SAP 權(quán)限管理

1、1.總述2.職能/Template Role/設定的分工3.三種不同的常規(guī)權(quán)限的設定方法4.常規(guī)以外的權(quán)限設定方式5.如何快速檢查權(quán)限設定的情況1.在開始學習之前2.SAP權(quán)限的架構(gòu)在開始了解權(quán)限前,有幾點是要大家注意的1.權(quán)限設定非常重要而且權(quán)限的DEBUG操作非常繁瑣,耗時,所以請大家設定時一定要非常謹慎,每次更改都要記錄。2.權(quán)限設定除非特殊情況不允許在正式環(huán)境直接更改請在測試環(huán)境修改好再傳到正式環(huán)境。3.MIS不是決定user權(quán)限的人而是user大大小小的leader所以要變更權(quán)限設定務必要求user提供經(jīng)過簽核的申請表。（當然對user不合理的權(quán)限要求MIS也有責任退回）4.權(quán)限的設

2、定,是MIS的工作.（廢話）所以本教材是MIS內(nèi)部教材請不要隨便泄漏Role template -Description -Menu -Authorizations Authorization profile -Object class -Authorization object -Authorizations .Assign toBind withAssign toSAP User account -Address -Logon data -Group . . . . . . . . . . . .這是SAP權(quán)限的架構(gòu)圖大家也接觸過。請大家一定要記住他們的關(guān)系。名詞解釋（英譯中）User a

3、ccount就是我們平常說的“賬號”也稱為“USER ID”。Role同類的USER使用SAP的目的和常用的功能都是類似的例如業(yè)務一定需要用到開S/O的權(quán)限。當我們把某類USER需要的權(quán)限都歸到一個集合中這個集合就是“職能”(Role)。所謂的“角色”或者“職能”是sap4.0才開始有的概念其實就是對user的需求進行歸類使權(quán)限的設定更方便。(面向?qū)ο蟮臋?quán)限!)分為single role和composite role兩種后者其實是前者的集合。Profile:真正記錄權(quán)限的設定的文件從sap4.0開始是與Role綁定在一起的。雖然在sap4.6c還可以單獨存在但按sap的行為推測以后將不能“一個

4、人活著”Template Role:Role的模板一般是single role.但這個模板具有一個 強大的功能能通過更改模板而更改所有應用(sap稱為Derive“繼承”）此模板的Role(sap稱之為adjust)例外權(quán)限這是公司創(chuàng)造的名詞。當一個USER除了其職位一般所需的權(quán)限外還需要一些特殊的權(quán)限我們把這些權(quán)限稱之為這個USER的例外權(quán)限。例如開工單對生管來說是其職能應有的權(quán)限但對倉庫來所就是例外權(quán)限。Role的命名規(guī)則和分類如下:以“G+”開頭都是Template Role(模板)都不會直接assign給user id。 G+職能名稱全球共同Template Role G+職能名稱-1

5、 地區(qū)Template Role以“Z+”開頭都是User Role,直接assign給user id。 Z+User ID+職能名稱:繼承全球共同Template Role Z+User ID+職能名稱-1:繼承地區(qū)Template Role Z+User ID+Exception :沒有繼承任何Role,例外權(quán)限以“Y+”開頭都是Basis Role,直接assign給user id。 Y+職能名稱:全球共同Basis Role附件是一張職能/Rolename對照表我們以其中一個職能“AR作業(yè)人員”做解釋A/R 作業(yè)人員CO-ARG+CO-ARG+CO-AR-1Y+CO-AR職能中文名稱職

6、能英文名稱全球共同Template Role地區(qū)Template Role全球共同Basis Role全球共同Template Role是指此職能在全球任何一個地區(qū)都一致的那部分權(quán)限的模板。 命名特征是以 “G +”開頭非“-1”結(jié)尾。例如 “G + CO CO ”地區(qū)Template Role是指此職能根據(jù)不同地區(qū)而不同的那部分權(quán)限的模板。 命名特征是 “G+”開頭“-1”結(jié)尾。例如 “G + CO CO 1 ”User Role是指根據(jù)每個user的具體需求進行設定的權(quán)限的Role.命名特征是“Z+”USER ID開頭（東莞臺灣地區(qū)）“W+” USER ID開頭（吳江地區(qū)）例如“Z+PSC

7、1-ACT01+CO-CO”全球共同Basis Role是指此職能關(guān)系到整個系統(tǒng)的安全的那部分權(quán)限的Role.命名特征是 “Y+”開頭例如 “Y + CO CO ”一.以Role類型分1.Template Role即“G”開頭的:臺北本部的AP MIS2.User Role:以Z開頭的:東莞AP MIS以W開頭的:吳江AP MIS3.Basis Role:即以Y開頭的:臺北和東莞Basis MIS二.以USER ID分從USER ID可以區(qū)分出這個ID所屬的廠別和模塊。例如PSC1-ENG01這是PSC1廠的賬號屬于PP模塊所以這個賬號申請的權(quán)限將由東莞PP模塊的MIS主要負責和監(jiān)督。三.以所

8、申請的權(quán)限歸屬的模塊分由于user所申請的權(quán)限通常涉及多個模塊這就需要多個模塊的MIS共同合作設定user的權(quán)限這時先按第二條執(zhí)行,由ID所屬模塊MIS接受申請并從始至終跟進。然后具體的權(quán)限屬于哪個模塊就由那個模塊的MIS作設定。但無論如何作為跟進的MIS都是負主要責任的。上面說過權(quán)限的大架構(gòu)由User ID, Role, Profile三層組成那么權(quán)限的設定自然也會有三層。但由于sap4.6是Profile與Role是捆綁在一起的所以在建立Role的時候Profile是會自動創(chuàng)建的（具體見后文）。而User ID的建立比較簡單。所以我將主要說明Role的部分。T CODE SU01單擊建立圖

9、標2輸入要創(chuàng)建的User ID1填好這些字段設定組別這對MIS非常重要MIS能否管理此User ID就看這里設定初始密碼有效期一般不設定按圖設定（打印機按實際設定）接著按save就把USER ID創(chuàng)建好了USER ID創(chuàng)建好了但這時這個ID沒有賦予(Assign)任何權(quán)限是什么都不能做的。USER得到這樣的賬號沒有任何意義。如何Assign權(quán)限給一個賬號主要就是Assign一個Role給這個賬號了。下面我們看看如何建Role和給權(quán)限。新創(chuàng)建Role主要有三種方式。T CODE PFCG1.由始至終新建;可以對應所有新建Role。主要對應例外權(quán)限Z+USERID+EXCEPTION2.繼承;主要

10、對應設定Z+USERID+職能名稱3.復制（COPY）主要對應設定Z+USERID+職能名稱-1我們假設有一個賬號 “FORTEST”,他申請了例外權(quán)限VA01和YF30。下面我將會一步一步向大家說明操作的步驟和應該注意的地方?？吹絇FCG的畫面了嗎沒有哦在下一頁。輸入Role name注意選第二項描述一般與Role name一致記錄此Role的創(chuàng)建者記錄此Role的最后修改者把描述填好后按save然后點擊menu頁簽建立新目錄修改TEXT項目下移項目上移刪除項目手動增加T code從SAPMenu中增加T code從其他Role中Copy Menu這些是常用的功能Menu頁簽定義的是USER

11、 MENU（個人化菜單）的內(nèi)容。請大家按圖所示建立目錄第一層是職能這里是EXCEPTION下面分“標準”(Standark)和 “外掛”(Add On)兩個目錄 。讓菜單保持清晰可以令User的個人菜單清楚不混亂。我們MIS檢查權(quán)限也比較方便。大家可以對比下面兩個USER的個人化菜單左邊職能清晰右邊非常混亂同名的目錄 大量出現(xiàn)但里面的內(nèi)容又不盡相同這對依賴路徑執(zhí)行指令的user是很麻煩的。菜單的殼子有了如何往里面添加內(nèi)容呢比較常見的是從SAP菜單添加和直接添加T CODE。從SAP菜單添加所有標準的T CODE和沒有T CODE的標準程序都可以用這種方法添加。好處是可以尋找可以一次添加標準菜單

12、的一個目錄T code在標準菜單中的位置也可以顯示出來。缺點是很浪費時間而且外掛的程序無法添加。直接添加所有T CODE(包括外掛）和沒有T CODE的標準程序都可以用這種方法添加。好處是比較快缺點是必須知道T code不能帶出路徑。從SAP菜單添加OBJECT完全沒有給值OBJECT只有部分給值OBJECT已經(jīng)全部有值請注意綠燈只是表示全部有值而已但不一定就是我們所需要的值這時標準T code所需要的Object系統(tǒng)會自動帶出來。這個Object是任何權(quán)限設定文件中都應該有的這是給予啟動T code的權(quán)限如果T code沒有出現(xiàn)在這個列表中user連這個指令的畫面都無法進入在這里需要向大家介

13、紹一個很重要的概念Org.level.在權(quán)限設定中有許多地方的控制點是一致的sap公司為了方便權(quán)限的設定把這些地方設計為與全局變量關(guān)聯(lián)。當改變?nèi)肿兞繒r這些地方就可以全部改變過來。這個全局的變量就是Org.level當Org.Level給值后相應的Object value的值也變了對Org.Level都給值之后會發(fā)現(xiàn)相當一部分的Object value都已經(jīng)給值了但還有一些Object是紅燈或者是黃燈這些Object是要單獨給值的。單擊 標志就可以輸入值按 保存在這里介紹一下 的作用點擊它就相當于給這個Object一個 “*”(star)“*”的意義是All Authorization不卡任何

14、權(quán)限。Object給值后就變成綠色不能點擊了。如果是外掛的T code就只能用“直接添加”的方式加入到菜單中需要注意的是外掛的T code的Object不會自動帶出來需要自己手工添加。按點擊Y-AUTH-PRT前的變?yōu)?后按屏幕上方的插入Object.注意外掛的T code除了前面所說的列表中要有外這里框住的地方要給T code否則user還是不會有權(quán)限都給好值后按 保存按“勾”。然后按 激活。退出。Authorization已經(jīng)變成綠燈這表示權(quán)限的設定已經(jīng)可用了。點擊USER,Assign USER ID給這個Role點擊USER COMPARE 再點擊Complete compare就完成

15、了COMPARE。至此此權(quán)限已經(jīng)Assign完畢FORTEST這個賬號已經(jīng)具有VA01和YF30的權(quán)限所謂“繼承”,是指兩個Role形成這樣的母子 關(guān)系子Role的所有Menu, Authorization（Org.level除外)都源于母Role,并與母Role保持一致。母Role與 子Role是 1對 多 的 。下面我們來學習用“繼承”方式建立Role.我們假設有一個賬號 “FORTEST”,他申請了職能 “AP立帳員”“AP立帳員”的Template Role是 “G+CO-AP”。我們先來按命名規(guī)則Create一個新Role。大家注意這個地方建立“繼承”關(guān)系就是靠這里了填入Templa

16、te Role,按Enter.是否建立繼承關(guān)系回答當然是“YES”了否則我們怎樣上課如果在此前沒有做過存盤系統(tǒng)會詢問是否存盤回答同樣是“YES”可以看到菜單已經(jīng)自動根據(jù)Template Role生成了,點擊Authorization頁簽設定權(quán)限去。進入Profile里面了請注意下面所說的操作如果做錯了可能要拉倒從新開始的喲。點擊這個按鈕1.系統(tǒng)會自動進入Org.level請點擊“X”,退出Org.level。2.按“SAVE”對Profile存檔。3.執(zhí)行菜單Edit中的Copy data,系統(tǒng)會提示這個操作不可反轉(zhuǎn)。按“勾”繼續(xù),執(zhí)行完畢后我們會看到許多Object已經(jīng)變成綠燈了?，F(xiàn)在可以維

17、護Org.level的設定了。進入的方法如上。當Org.level每一個字段都賦值之后應該每一個Object都是綠燈如果還有紅黃燈請通知臺北修正。當所有權(quán)限（其實只是設定Org.level)都設定完畢后按 激活設定Assign給USER ID,就完成了。大家是否覺得“繼承”的方法好簡單幾下就做完了。其實這種方法思路最復雜了后面的處理還隱藏不少陷阱。不過現(xiàn)在大家先掌握Role的建立方法其它的問題等一下再說。那么我們來看看第三種方法復制。復制其實是一種從思想到操作都很簡單的操作。它的核心就是復制! (雞蛋和西紅柿飛了起來）我們來看看如何操作吧。先告訴大家“AP立帳員”的Template Role還

18、有一個是 “G+CO-AP-1”我們就用它來學習。一開始當然是進入PFCG了先把Template Role名輸進去然后按COPY按鈕把描述改成與Role名一樣要注意“-1”的Role的menu是空的這里是空的紅色框住的都是要填入值的地方最好先填完Org.level與其它方式建立的Role一樣,當所有權(quán)限都設定完畢后按 激活設定Assign給USER ID一個Role就設定完成了小結(jié)非“-1”的那種Template Role 用繼承的方式建立新Role,繼承后只需要填入Org.levelObject就全部是綠燈了而“-1”的那種是用復制的方式還需要在Object里填入值才能全部綠燈。這是兩者操作

19、上的最大特點。1.Merge2.新增/刪除T Code3.從其它Role導入4.Adjust對Role的修改最常見的是有T Code的新增/刪除。這種改動一般是從Menu開始當Menu改變?nèi)魏胃淖兿到y(tǒng)都會偵測到Authorization和User會變成紅燈。在Authorization頁簽里有兩個按鈕他們有什么不同呢我們先點擊會出現(xiàn)一個小窗口里面是三個選項他們的意義是不同的。第一項刪除此Role的Profile后重建第二項編輯原有的Profile第三項讀取原有Profile并根據(jù)Menu的變化對Profile進行更改第一項會把Profile整個重建并且會把已經(jīng)被屏蔽掉或刪除的Object重新顯

20、示出來極容易造成權(quán)限設定錯誤反對使用。第二項完全保留之前可用的Profile即使新的權(quán)限沒設好還有原有的權(quán)限可用。推薦使用。缺點是Object的變更需要手動進行。第三項重新讀取Role的Menu按菜單的變化變更Object具有一定的智能但會把已經(jīng)Merge的Item彈開造成設定者的混亂。不反對使用。這個按鈕相當與前面所說的第三項。由于 已經(jīng)包含這個選擇而且第三項不是最優(yōu)選擇所以我們一般不建議使用它?？偟膩碚f我們認為選 的第二項比較穩(wěn)當保留原有的可用設定。可以看到變化前的Profile。詳細細節(jié)請繼續(xù)看后面的章節(jié)。當Role所包含的T Code經(jīng)過多次修改后可能產(chǎn)生多個同樣的Object其Val

21、ue可能互相包含。這時可以通過Merge（合并）的動作使同一個Object內(nèi)Value相同或者互相包含的Item合并起來使權(quán)限的條目更清晰紅框框住的兩個Object,是同樣的Object,而且其Value又是第一個包含第二個。上頁紅框里的兩項被合并了。選擇菜單Utilities里的Merge我們來看一個簡單的Object它只有兩項Activity和下面的Group。我稱Acitivity為“動作”它下面的Group等項目為“參數(shù)”。Merge的規(guī)則當兩個相同Object的Item的動作或參數(shù)完全一致時這兩個Item可以Merge。當一個Role經(jīng)過Merge后這個Role的Object會比較精

22、簡。但當Menu發(fā)生改變后系統(tǒng)會提示菜單已經(jīng)變化Authorization和User會從綠燈變成紅燈?，F(xiàn)在我來舉一個例子假設新增一個T Code : FSS0。這時如果我們選擇 的第二項進入Profile會發(fā)現(xiàn)所有的Object都和菜單沒有變化前一樣。到底FSS0對Object的影響有哪一些需要自己的經(jīng)驗。這里我就不詳細介紹。(如果一點都不知道可以做一個測試用的Role只含有這一個T Code看看系統(tǒng)自動為它帶出的Object即可)如果選擇 的第三項進入Profile我們會發(fā)現(xiàn)不少Object變成了黃燈。但如果有經(jīng)驗的話仔細看看會發(fā)現(xiàn)有好幾個Object其實都是以前Merge過現(xiàn)在給彈開或者刪

23、除過再次帶出.對于熟悉的人來說這些多余的Item可以刪除就可以了但也要費時間確認。對于不熟悉的人來說就可能無法區(qū)分那些Object是新增T Code所需要的哪些是因為不能開放而刪除的。耗費的時間可能更多。所以我們不推薦這種做法。新增和刪除T Code其實在前面都有提到。在Menu頁簽的操作這里就不再重復了細節(jié)請參照Role的新建完全新建在Authorization頁簽的操作請參考Role的修改這里只重點提醒一件事。在每一個有Menu的Role里必定有一個叫S_TCODE的Object這個Object里記錄的是這個Role所有可以執(zhí)行的T Code。當Menu變化這里也要相應變化。但這個Obje

24、ct永遠是綠燈所以大家一定要記得檢查這里。經(jīng)過測試在Menu新增T Code后在進入Profile時選擇第二項時系統(tǒng)不會在此Object自動增加T Code選擇第三項系統(tǒng)會自動增加T Code。在Menu刪除T Code后無論選擇第二項還是第三項系統(tǒng)都不會自動刪除T Code。必須手工刪除這一點請大家務必注意。當我們要處理的Role A與某個Role B的設定十分相似可以通過Insert功能把Role B的Object設定導入到Role A中。請留意實際上是導入Profile哦所以一般還要去看Role B的Profile Name不是很方便。需要注意的是這樣導入進去的Object的設定都跟Ro

25、le B的一樣一定要把其中對Role A不適用的部分更正過來。對Role B不熟悉不要亂用這功能哦。還是那句老話欲速不達不熟的事沒有把握的事一定要謹慎。Adjust是專門針對存在繼承關(guān)系的母子Role的一項功能。在Role的建立一章我們學習到從子Role可以通過Copy Data從母Role得到Object Value?，F(xiàn)在我們看看從母Role傳送Object Value到子Role的功能Adjust。用Display模式進入Template Role的Profile選擇菜單上的Generate derived roles即可。從操作來看十分簡單。注不要用Change進入Template Ro

26、le否則Adjust會造成Template Role本身最后修改日期和最后修改人發(fā)生改變對查對權(quán)限產(chǎn)生誤會簡單比較Copy Data和Adjust從子Role發(fā)出Copy Data僅影響執(zhí)行此功能的子Role其它繼承同一母Role的子Role不受影響同一Client下所有繼承此母Role的子Role均受影響從母Role發(fā)出Adjust1.產(chǎn)生Request Num2.Release3.Transport在PFCG的開始畫面可以看到。由于單個Role的傳送比大批量的傳送從操作上來說要簡單而且類似所以我們重點說大批量傳送的操作。大批量的傳輸單個Role的傳輸選擇Single Role選擇要傳輸?shù)腞

27、ole確定要傳輸確定要傳輸如果這個Role第一次傳輸這里一定要打勾否則傳輸?shù)狡渌點lient后會沒有Assign到User ID。但如果不是第一次傳輸請不要打勾因為只要打了勾就要到目標的Client端去做一次Compare的動作權(quán)限才能激活沒有起用如果要新建一個Request按如果現(xiàn)在已經(jīng)有一個還沒有Release的可用的Request Num請在這里輸入然后打勾簡要說明傳輸?shù)膬?nèi)容或目的Request Num產(chǎn)生, C00K開頭的都是大陸地區(qū)產(chǎn)生的T00K開頭的都是臺灣地區(qū)產(chǎn)生的.單個Role的傳輸Request Num產(chǎn)生的過程與打批量的相似只是開始不一樣而已。單個傳輸直接Key Role名

28、字按 按鈕其它操作就一樣了Release的T Code SE10輸入Request Num的產(chǎn)生者選擇查看Modifiable可以看到其實是有兩個Request Num的,一個記錄Header一個記錄Item先Release Item的Num（在下面作為子項的那一個）再Header的Num方法是點擊Item的Num然后按 按鈕會進入另一個畫面按會回到原來的畫面然后再Release Header的Num。同樣是點擊Header的Num然后按進入另一畫面后不用存盤按 即可這一部分是Basis的工作。本來是在Unix下進行但我們開發(fā)了兩支外掛程序。從測試環(huán)境到正式環(huán)境是YATP從測試環(huán)境到QAS是Y

29、ATPQA進行傳送的Request Num必須是已經(jīng)Release的Number兩者的畫面很象填入Request Num選擇好目標Server按 就可以了如果發(fā)現(xiàn)Role搭錯了一個Request Num在沒有Release前可以補救。同樣是在SE10,點擊Num后使用 就可以了。如果已經(jīng)Release就沒有辦法刪除了只能整個Number作廢所謂“作廢”其實是不做最后的傳送動作讓這個Number閑置而已。在PFCG中填好Role的名字按 按鈕確認即可把Role及其專屬Profile刪除。請注意如果需要利用傳輸功能在多個環(huán)境中刪除Role一定要按以下順序進行1.對Role產(chǎn)生傳輸?shù)腞equest

30、Num2.刪除本環(huán)境的Role3.Release;(此時本環(huán)境中已經(jīng)沒有這個Role了）4.傳輸賬號（User ID）的刪除操作也十分簡單在SU01中輸入賬號名稱按 就可以了刪除一個賬號后為其專設的Role（即Z或W開頭的）也要刪除（包括測試和正式環(huán)境）減少系統(tǒng)無用的數(shù)據(jù)也減少不必要的查對?；蛟S有人會認為保留這些Role雖然占用一點硬盤但如果以后這個賬號再次起用不就可以不用重設權(quán)限嗎這個理由咋看起來很有道理。實際上USER一旦決定刪除某個賬號在相當長的時間內(nèi)都不會再起用（一個 賬號的費用不菲決定不會輕易下的）在經(jīng)過長時間后即使需要再次起用其權(quán)限需求也要重新審視與其把其新需求與舊有設定一項一項對

31、比修改還不如重新設定來得方便快捷而且更安全。有一些工具對權(quán)限的問題處理很有幫助1.SU532.SUIM雖然還有一些其它工具但一般很少用或者不實用這里就不介紹了。當一個賬號反映沒有某個應有的權(quán)限時我們可以在系統(tǒng)出現(xiàn)沒有權(quán)限的信息時馬上輸入“/NSU53”上頁紅色框住的就是沒有權(quán)限的地方而藍色框住的是跟這個賬號已經(jīng)有的權(quán)限。但是請注意SU53給出的信息并不詳細大部分情況只能作為一個大方向的參考有時還可能指示不出來問題所在。但無論如何有一個 參考總比沒有好。SUIM其實就是Information系統(tǒng)的一個集合界面。我們最常用的功能是已知某個T Code查找含有這個T Code的Role。輸入T Code后執(zhí)行就可以得到含有這個T code的Role的列表。請注意其判斷條件是Role的Menu而不是ProfileSD的權(quán)限在SD模塊有一個解S/O Billing Block權(quán)限的設定它是在YS08中設定1.