SAP-权限管理.ppt

1.总述2.职能/Template Role/设定的分工3.三种不同的常规权限的设定方法4.常规以外的权限设定方式5.如何快速检查权限设定的情况1.在开始学习之前2.SAP权限的架构在开始了解权限前,有几点是要大家注意的1.权限设定非常重要而且权限的DEBUG操作非常繁琐,耗时,所以请大家设定时一定要非常谨慎,每次更改都要记录2.权限设定除非特殊情况不允许在正式环境直接更改请在测试环境修改好再传到正式环境3.MIS不是决定user权限的人而是user大大小小的leader所以要变更权限设定务必要求user提供经过签核的申请表当然对user不合理的权限要求MIS也有责任退回）4.权限的设定,是MIS的工作.（废话）所以本教材是MIS内部教材请不要随便泄漏Role template-Description-Menu-Authorizations Authorization profile-Object class-Authorization object-Authorizations .Assign toBind withAssign toSAP User account-Address-Logon data-Group .这是SAP权限的架构图大家也接触过。

请大家一定要记住他们的关系名词解释（英译中）User account就是我们平常说的“账号”也称为“USER ID”Role同类的USER使用SAP的目的和常用的功能都是类似的例如业务一定需要用到开S/O的权限当我们把某类USER需要的权限都归到一个集合中这个集合就是“职能”(Role)所谓的“角色”或者“职能”是sap4.0才开始有的概念其实就是对user的需求进行归类使权限的设定更方便面向对象的权限!)分为single role和composite role两种后者其实是前者的集合Profile:真正记录权限的设定的文件从sap4.0开始是与Role绑定在一起的虽然在sap4.6c还可以单独存在但按sap的行为推测以后将不能“一个人活着”Template Role:Role的模板一般是single role.但这个模板具有一个 强大的功能能通过更改模板而更改所有应用(sap称为Derive“继承”）此模板的Role(sap称之为adjust)例外权限这是公司创造的名词当一个USER除了其职位一般所需的权限外还需要一些特殊的权限我们把这些权限称之为这个USER的例外权限例如开工单对生管来说是其职能应有的权限但对仓库来所就是例外权限。

Role的命名规则和分类如下:以“G+”开头都是Template Role(模板)都不会直接assign给user idG+职能名称全球共同Template RoleG+职能名称-1 地区Template Role以“Z+”开头都是User Role,直接assign给user idZ+User ID+职能名称:继承全球共同Template RoleZ+User ID+职能名称-1:继承地区Template RoleZ+User ID+Exception:没有继承任何Role,例外权限以“Y+”开头都是Basis Role,直接assign给user idY+职能名称:全球共同Basis Role附件是一张职能/Rolename对照表我们以其中一个职能“AR作业人员”做解释职能中文名称职能英文名称全球共同Template Role地区Template Role全球共同Basis Role全球共同Template Role是指此职能在全球任何一个地区都一致的那部分权限的模板命名特征是以“G+”开头非“-1”结尾例如“G+CO CO”地区Template Role是指此职能根据不同地区而不同的那部分权限的模板。

命名特征是“G+”开头“-1”结尾例如“G+CO CO 1”User Role是指根据每个user的具体需求进行设定的权限的Role.命名特征是“Z+”USER ID开头（东莞台湾地区）“W+”USER ID开头（吴江地区）例如“Z+PSC1-ACT01+CO-CO”全球共同Basis Role是指此职能关系到整个系统的安全的那部分权限的Role.命名特征是“Y+”开头例如“Y+CO CO”一.以Role类型分1.Template Role即“G”开头的:台北本部的AP MIS2.User Role:以Z开头的:东莞AP MIS以W开头的:吴江AP MIS3.Basis Role:即以Y开头的:台北和东莞Basis MIS二.以USER ID分从USER ID可以区分出这个ID所属的厂别和模块例如PSC1-ENG01这是PSC1厂的账号属于PP模块所以这个账号申请的权限将由东莞PP模块的MIS主要负责和监督三.以所申请的权限归属的模块分由于user所申请的权限通常涉及多个模块这就需要多个模块的MIS共同合作设定user的权限这时先按第二条执行,由ID所属模块MIS接受申请并从始至终跟进。

然后具体的权限属于哪个模块就由那个模块的MIS作设定但无论如何作为跟进的MIS都是负主要责任的上面说过权限的大架构由User ID,Role,Profile三层组成那么权限的设定自然也会有三层但由于sap4.6是Profile与Role是捆绑在一起的所以在建立Role的时候Profile是会自动创建的（具体见后文）而User ID的建立比较简单所以我将主要说明Role的部分T CODE SU01单击建立图标2输入要创建的User ID1填好这些字段设定组别这对MIS非常重要MIS能否管理此User ID就看这里设定初始密码有效期一般不设定按图设定（打印机按实际设定）接着按save就把USER ID创建好了USER ID创建好了但这时这个ID没有赋予(Assign)任何权限是什么都不能做的USER得到这样的账号没有任何意义如何Assign权限给一个账号主要就是Assign一个Role给这个账号了下面我们看看如何建Role和给权限新创建Role主要有三种方式T CODE PFCG1.由始至终新建;可以对应所有新建Role主要对应例外权限Z+USERID+EXCEPTION2.继承;主要对应设定Z+USERID+职能名称3.复制（COPY）主要对应设定Z+USERID+职能名称-1我们假设有一个账号“FORTEST”,他申请了例外权限VA01和YF30。

下面我将会一步一步向大家说明操作的步骤和应该注意的地方看到PFCG的画面了吗没有哦在下一页输入Role name注意选第二项描述一般与Role name一致记录此Role的创建者记录此Role的最后修改者把描述填好后按save然后点击menu页签建立新目录修改TEXT项目下移项目上移删除项目手动增加T code从SAPMenu中增加T code从其他Role中Copy Menu这些是常用的功能Menu页签定义的是USER MENU（个人化菜单）的内容请大家按图所示建立目录第一层是职能这里是EXCEPTION下面分“标准”(Standark)和“外挂”(Add On)两个目录让菜单保持清晰可以令User的个人菜单清楚不混乱我们MIS检查权限也比较方便大家可以对比下面两个USER的个人化菜单左边职能清晰右边非常混乱同名的目录 大量出现但里面的内容又不尽相同这对依赖路径执行指令的user是很麻烦的菜单的壳子有了如何往里面添加内容呢比较常见的是从SAP菜单添加和直接添加T CODE从SAP菜单添加所有标准的T CODE和没有T CODE的标准程序都可以用这种方法添加好处是可以寻找可以一次添加标准菜单的一个目录T code在标准菜单中的位置也可以显示出来。

缺点是很浪费时间而且外挂的程序无法添加直接添加所有T CODE(包括外挂）和没有T CODE的标准程序都可以用这种方法添加好处是比较快缺点是必须知道T code不能带出路径从SAP菜单添加OBJECT完全没有给值OBJECT只有部分给值OBJECT已经全部有值请注意绿灯只是表示全部有值而已但不一定就是我们所需要的值这时标准T code所需要的Object系统会自动带出来这个Object是任何权限设定文件中都应该有的这是给予启动T code的权限如果T code没有出现在这个列表中user连这个指令的画面都无法进入在这里需要向大家介绍一个很重要的概念Org.level.在权限设定中有许多地方的控制点是一致的sap公司为了方便权限的设定把这些地方设计为与全局变量关联当改变全局变量时这些地方就可以全部改变过来这个全局的变量就是Org.level当Org.Level给值后相应的Object value的值也变了对Org.Level都给值之后会发现相当一部分的Object value都已经给值了但还有一些Object是红灯或者是黄灯这些Object是要单独给值的单击 标志就可以输入值按 保存在这里介绍一下 的作用点击它就相当于给这个Object一个“*”(star)“*”的意义是All Authorization不卡任何权限。

Object给值后就变成绿色不能点击了如果是外挂的T code就只能用“直接添加”的方式加入到菜单中需要注意的是外挂的T code的Object不会自动带出来需要自己手工添加按点击Y-AUTH-PRT前的变为 后按屏幕上方的插入Object.注意外挂的T code除了前面所说的列表中要有外这里框住的地方要给T code否则user还是不会有权限都给好值后按 保存按“勾”然后按 激活Authorization已经变成绿灯这表示权限的设定已经可用了点击USER,Assign USER ID给这个Role点击USER COMPARE 再点击Complete compare就完成了COMPARE至此此权限已经Assign完毕FORTEST这个账号已经具有VA01和YF30的权限所谓“继承”,是指两个Role形成这样的母子 关系子Role的所有Menu,Authorization（Org.level除外)都源于母Role,并与母Role保持一致母Role与 子Role是 1对 多 的下面我们来学习用“继承”方式建立Role.我们假设有一个账号“FORTEST”,他申请了职能“AP立帐员”“AP立帐员”的Template Role是“G+CO-AP”。

我们先来按命名规则Create一个新Role大家注意这个地方建立“继承”关系就是靠这里了填入Template Role,按Enter.是否建立继承关系回答当然是“YES”了否则我们怎样上课如果在此前没有做过存盘系统会询问是否存盘回答同样是“YES”可以看到菜单已经自动根据Template Role生成了,点击Authorization页签设定权限去进入Profile里面了请注意下面所说的操作如果做错了可能要拉倒从新开始的哟点击这个按钮1.系统会自动进入Org.level请点击“X”,退出Org.level2.按“SAVE”对Profile存档3.执行菜单Edit中的Copy data,系统会提示这个操作不可反转按“勾”继续,执行完毕后我们会看到许多Object已经变成绿灯了现在可以维护Org.level的设定了进入的方法如上当Org.level每一个字段都赋值之后应该每一个Object都是绿灯如果还有红黄灯请通知台北修正当所有权限（其实只是设定Org.level)都设定完毕后按 激活设定Assign给USER ID,就完成了大家是否觉得“继承”的方法好简单几下就做完了其实这种方法思路最复杂了后面的处理还隐藏不少陷阱。

不过现在大家先掌握Role的建立方法其它的问题等一下再说那么我们来看看第三种方法复制复制其实是一种从思想到操作都很简单的操作它的核心就是复制!(鸡蛋和西红柿飞了起来）我们来看看如何操作吧先告诉大家“AP立帐员”的Template Role还有一个是“。