交接-sap權(quán)限知識(shí)培訓(xùn)

**項(xiàng)目周報(bào)（日期：2011/9/1-2011/9/7）-1

ChenJesionFan2015.06.28

SAP權(quán)限知識(shí)培訓(xùn)2德勤Confidential2022/12/14SAP權(quán)限概念SAP角色設(shè)計(jì)模式SAP角色命名規(guī)則SAP用戶命名規(guī)則Database

ServerDatabaseServerOperating

SystemOperating

SystemOperating

SystemApplicationServerPresent.ServerR/3

UserOS

UserDB

UserOS

UserOS

UserAdmin.

UserDispatcher...VDB授權(quán)概念（1）UsermasterrecordUsermasterrecordAuthorizationsassigned?

ObjectsneedingprotectionVendorCompanycodePlantMaterialActionTransaction

permitted?ProfileAuthorizationforTaskAAuthorizationforTaskBProfileAction權(quán)限的使用登錄系統(tǒng)身份檢查檢查通過進(jìn)入系統(tǒng)DataBankDataBankUserBuffer權(quán)限賦于授權(quán)Profile權(quán)限檢查SAPGUIOK?AuthorityCheckNoProcessingUserContextMessageYesDynpro授權(quán)概念（2）Profile2ActivityGroup2Profile3ManualProfile1ActivityGroup1DataBankDataBankUser

MasterRecordProfile(s)Authorization(s)FieldValues授權(quán)概念（3）FinancialAccountingAuthorizationdisplay,changeCustomercompanycode:Authorization

ACustomercompanycode:Authorization

B0001-0009*displayObject:CustomercompanycodeCompanyCodeActivityAuthorizationobjectObjectclassSAP權(quán)限概念Role-Description-Menu

（Transactioncode)-AuthorizationsObject……………Authorizationprofile-Objectclass-Authorizationobject-Authorizations………………..AssigntoBindwithAssigntoSAPUseraccount-Address-Logondata-Group............SAP用戶如何獲得權(quán)限?SAP權(quán)限控制是基于授權(quán)對(duì)像。用戶進(jìn)行事務(wù)操作時(shí)，系統(tǒng)將會(huì)檢查用戶相應(yīng)事務(wù)的權(quán)限。同一事務(wù)碼具有多種功能，權(quán)限對(duì)像authorizationobject用于事務(wù)中詳細(xì)的權(quán)限控制(比如,對(duì)于總帳科目主記錄維護(hù)(transactioncodeFS00),可以用于GLaccount創(chuàng)建/更改,同樣也可只用于總帳科目顯示,這完全是由FS00所包含的權(quán)限對(duì)像authorizationobject控制)角色Role是SAP系統(tǒng)中權(quán)限的集合。同一崗位的USER使用SAP的目的和常用的功能都是類似的，當(dāng)我們把某個(gè)崗位的USER需要的權(quán)限都?xì)w到一個(gè)集合中﹐這個(gè)權(quán)限集合就是“角色”(Role)。角色的創(chuàng)建和維護(hù)-概覽（1）角色的創(chuàng)建和維護(hù)-概覽（2）授權(quán)Profile在建立Role的時(shí)候﹐Profile是會(huì)自動(dòng)創(chuàng)建的。Profile:真正記錄權(quán)限設(shè)定的文件Profile與Role是捆綁在一起的。AuthorizationProfile角色的創(chuàng)建和維護(hù)-概覽（3）授權(quán)對(duì)像ObjectClassAuthorization

objectAuthorization角色的創(chuàng)建和維護(hù)-概覽（4）SAP權(quán)限概念Cont.SAP權(quán)限是累加的用戶可以擁有多個(gè)SAP角色Role，所有角色的權(quán)限累加在一起成為用戶的最終權(quán)限。(比如,如果你擁有的角色中，其中一個(gè)角色有事務(wù)”用戶管理SU01”的顯示權(quán)限，另一個(gè)角色有事務(wù)”用戶管理SU01”的更改權(quán)限更改。那么你總的就擁有用戶顯示和更改的權(quán)限。Role1(Display

Material)Role2(ChangeMaterial)Role3(CreateMaterial)……………AssigntoPositionExample:Materialadministrators：CanDisplayMaterial,ChangeMaterial,CreateMaterialSAP權(quán)限概念SAP角色設(shè)計(jì)模式SAP角色命名規(guī)則SAP用戶命名規(guī)則SAP權(quán)限概念ERP系統(tǒng)中有公共角色、本地角色和崗位角色三種公共角色

完成某項(xiàng)特定工作需要用到一系列的事務(wù)代碼和權(quán)限對(duì)象（例如，查看物料主數(shù)據(jù)，包括事務(wù)代碼MM03,MM04…，所有的這些事務(wù)代碼都用于顯示物料主數(shù)據(jù)信息).本地角色本地角色是從公共角色繼承產(chǎn)生，本地角色所有Menu,Authorization（Org.level除外)都源于公共角色,并與公共角色保持一致。本地角色會(huì)被分配某個(gè)公司HR崗位相應(yīng)的組織級(jí)別。（比如，工廠、公司代碼和采購(gòu)組織）崗位角色

是SAP系統(tǒng)的復(fù)合角色，是一系列本地角色的集合，同HR的崗位相似。某個(gè)特定崗位要干的所有工作都包含其中。（例如，采購(gòu)經(jīng)理需要審批采購(gòu)訂單，查看采購(gòu)訂單內(nèi)容，每項(xiàng)工作都分配給了系統(tǒng)中一個(gè)工作角色）權(quán)限架構(gòu)設(shè)計(jì)公共角色本地角色崗位角色用戶公共角色本地角色事務(wù)代碼事務(wù)代碼分配分配繼承繼承分配組成組成崗位的組織級(jí)別(e.g.公司代碼,工廠,采購(gòu)組織).

……………Assignto授權(quán)架構(gòu)設(shè)計(jì)公共角色：由SAP項(xiàng)目集中進(jìn)行控制公共角色由中央組集中設(shè)計(jì)，包含了每個(gè)公司幾乎所有要用到的“工作任務(wù)”本地角色：公司特有的本地角色是從公共角色繼承得到的。從公共角色，針對(duì)不同的公司代碼和工廠可以繼承得到幾套本地角色，它們可能包含同樣的事務(wù)代碼和權(quán)限對(duì)象，唯一的不同是組織層級(jí)數(shù)據(jù)（例如，工廠、公司代碼、采購(gòu)組織）本地角色是Local顧問設(shè)計(jì)崗位角色：每個(gè)公司的崗位角色是由當(dāng)?shù)仃P(guān)鍵用戶設(shè)計(jì)崗位角色由本地關(guān)鍵用戶根據(jù)公司具體的業(yè)務(wù)流程設(shè)計(jì)在本地崗位角色中只能包括本公司特有的本地角色，以避免不同公司之間數(shù)據(jù)邊界重復(fù)崗位角色由關(guān)鍵用戶設(shè)計(jì)SAP角色創(chuàng)建流程公共角色設(shè)計(jì)組長(zhǎng)復(fù)查批準(zhǔn)?本地角色設(shè)計(jì)組長(zhǎng)復(fù)查批準(zhǔn)?創(chuàng)建本地角色NYYN創(chuàng)建公共角色Y人事崗位本地角色設(shè)計(jì)組長(zhǎng)復(fù)查批準(zhǔn)?創(chuàng)建本地角色NYYSAP權(quán)限概念SAP角色命名慣例 SAP用戶命名慣例SAP角色設(shè)計(jì)模式SAP角色命名規(guī)則范例：公共角色“銷售訂單創(chuàng)建”的編碼為“ZC_A_SD_SLS_BP1_001”。Example:Role“Creatsalesorder”code“ZC_A_SD_SLS_BP1_001”。SAP權(quán)限概念SAP用戶管理SAP角色設(shè)計(jì)模式SAP角色命名規(guī)則用戶賬號(hào)的建立SU01SAP用戶命名規(guī)則Role的建立PFCGRole的建立創(chuàng)建Role主要有三種方式:1.新建2.繼承 3.復(fù)制（COPY）

Role的建立—完全新建 我們假設(shè)有一個(gè)帳號(hào)“ADMIN”,他申請(qǐng)了例外權(quán)限VA01和MM01。 下面我將會(huì)一步一步向大家說明操作的步驟和應(yīng)該注意的地方。

Role的建立—完全新建輸入RolenameRole的建立—完全新建描述須能表示Role的內(nèi)容及屬性記錄此Role的創(chuàng)建信息把描述填好后﹐按save然后點(diǎn)擊菜單頁(yè)簽Role的建立—完全新建32德勤Confidential2022/12/14Role的建立—完全新建33德勤Confidential2022/12/14Role的建立—完全新建34德勤Confidential2022/12/14在這里﹐需要向大家介紹一個(gè)很重要的概念﹕Org.level（組織級(jí)別）在權(quán)限設(shè)定中﹐有許多地方的控制點(diǎn)是一致的﹐sap公司為了方便權(quán)限的設(shè)定﹐把這些地方設(shè)計(jì)為與全局變量關(guān)聯(lián)。當(dāng)改變?nèi)肿兞繒r(shí)﹐這些地方就可以全部改變過來。這個(gè)全局的變量就是﹕Org.levelRole的建立—完全新建35德勤Confidential2022/12/14如圖：當(dāng)改變?nèi)肿兞繒r(shí)﹐這些地方就可以全部賦值。這個(gè)全局的變量就是﹕Org.levelRole的建立—完全新建 對(duì)Org.Level都給值之后﹐會(huì)發(fā)現(xiàn)相當(dāng)一部分的Objectvalue都已經(jīng)給值了﹐但還有一些Object是紅燈或者是黃燈﹐這些Object是要單獨(dú)給值的。Role的建立—完全新建 按一下標(biāo)志﹐就可以輸入值﹐按保存 在這里介紹一下的作用﹐點(diǎn)擊它﹐就相當(dāng)于給這個(gè)Object一個(gè)“*”(star)﹐“*”的意義是AllAuthorization﹐不卡任何權(quán)限。Object給值后﹐就變成綠色﹐不能點(diǎn)擊了。Role的建立—完全新建都給好值后﹐按保存﹐按“勾”。然后按激活。退出。Role的建立—完全新建Authorization已經(jīng)變成綠燈﹐這表示權(quán)限的設(shè)定已經(jīng)可用了。點(diǎn)擊用戶,AssignUSERID給這個(gè)RoleRole的建立—完全新建40德勤Confidential2022/12/14Role的建立—繼承 所謂“繼承”,是指兩個(gè)Role形成這樣的母子關(guān)系﹕子Role的所有Menu,Authorization（Org.level除外)都源于母Role,并與母Role保持一致。 母Role與子Role是1對(duì)多的。Role的建立—繼承下面﹐我們來學(xué)習(xí)用“繼承”方式建立Role.我們假設(shè)有一個(gè)帳號(hào)“ADMIN”,他申請(qǐng)了職能“Z_TEST_002_001(001店?duì)I業(yè)員)”，這個(gè)角色的通用角色是“Z_TEST_002”。我們先來按命名規(guī)則Create一個(gè)新Role。Role的建立—繼承43德勤Confidential2022/12/14大家注意這個(gè)地方﹐建立“繼承”關(guān)系就是靠這里了Role的建立—繼承44德勤Confidential2022/12/14可以看到﹐菜單已經(jīng)自動(dòng)根據(jù)通用角色生成了,點(diǎn)擊權(quán)限頁(yè)簽﹐設(shè)定權(quán)限去。Role的建立—繼承45德勤Confidential2022/12/14根據(jù)實(shí)際需求定義組織級(jí)別的權(quán)限Role的建立—繼承46德勤Confidential2022/12/14當(dāng)所有權(quán)限字段維護(hù)完畢后，看到都變成了綠燈，點(diǎn)擊生成按鈕生成文件Role的修改1.Merge2.新增/刪除T_CodeRole的修改 對(duì)Role的修改最常見的是有TCode的新增/刪除。這種改動(dòng)﹐一般是從Menu開始﹐當(dāng)Menu改變?nèi)魏胃淖儵o系統(tǒng)都會(huì)偵測(cè)到﹐Authorization和User會(huì)變成紅燈。這個(gè)時(shí)候按照新建角色一樣，重新生產(chǎn)權(quán)限參數(shù)文件即可Role的修改—Merge 當(dāng)Role所包含的TCode經(jīng)過多次修改后﹐可能產(chǎn)生多個(gè)同樣的Object﹐其Value可能互相包含。 這時(shí)可以通過Merge