SAP权限测试方法

SAP用户权限管理配置及操作手册SAP用户权限管理配置及操作手册SAP用户权限管理配置及操作手册Overview业务说明OverviewSAP的每个用户能够拥有的角色是有数量限制的，大概是300多点，具体不记得了。

如果只在S_TCODE和菜单中设置了某个事务代码，而没有设置权限对象，此时将不能真正拥有执行该事务代码的权限。

SAP的权限检查机制：SAP进入一个t-code，要检查两个东西1）S_TCODE2) 表TSTCA 里面和这个T-cdoe相对应的object。

有些tcode在tstca里面没有对应的object，就会导致直接往S_TCODE中加事务代码不能使用的情况。

SAP权限架构概念权限对象Authorization objectSAP在事务码（T-code）的基础上通过权限对象对权限进行进一步的细分，例如用户有创建供应商的权限，但是创建供应商的事务码中有单独的权限对象，那么就可以通过权限对象设置不同的用户可以操作不同的供应商数据。

角色-Role同类的USER使用SAP的目的和常用的功能都是类似的﹐例如业务一定需要用到开S/O的权限。

当我们把某类USER需要的权限都归到一个集合中﹐这个集合就是“职能”(Role)。

所谓的“角色”或者“职能”﹐是sap4.0才开始有的概念﹐其实就是对user的需求进行归类﹐使权限的设定更方便。

(面向对象的权限!!)分为single role 和composite role两种﹐后者其实是前者的集合。

角色模板-Template RoleRole的模板﹐一般是single role.但这个模板具有一个强大的功能﹐能通过更改模板而更改所有应用(sap称为Derive“继承”）此模板的Role(sap称之为adjust)参数文件-Profile参数文件相当于指定对应的权限数据及权限组的定义。

每个角色下会产生一个附属的参数文件。

真正记录权限的设定的文件﹐从sap4.0开始是与Role绑定在一起的。

SAP信息化项目权限处理操作手册文档修改记录1.创建与分配权限操作1.1 维护用户(SU01)1.1.1 增加用户1）进入事务码SU01，先填入自定义的用户编码，再点击创建按钮进入下一屏。

2）在下图中填入用户名称和密码，后点击保存。

3）保存后提示。

在用户创建这里，必填项只有用户编码、用户名称、密码。

1.1.2 修改用户1）修改用户和创建用户都是事务码SU01，可在此界面给用户赋予角色。

先输入要修改的用户，然后点击修改按钮进入下一屏，如下图：2）点到“角色”页签，在角色栏选择具体的角色。

3）选好角色后，点击借上方的保存按钮，提示。

注：每个用户都要赋予下图所示的“基础全局角色”。

1.2 维护角色(PFCG)1.2.1 增加角色1）进入事务码PFCG，先填入自定义角色编码，再点击“单一角色”按钮。

2）点击“单一角色”按钮后进入下一屏，填写好“描述”点击上方的保存按钮。

1.2.2 给角色分配事务码1）角色简历完成后，给它赋事务码权限。

操作如下图：2）分配后的效果如下图：1.2.3 设置“权限”参数文件1）点击到“权限”页签，2）点击：“参数文件名称”栏目右边的按钮后，再点击“更改权限数据按钮”进入下一屏。

在下图中点击“组织级别”，在弹出的“定义组织级别”对话框中输入“公司代码”、“控制范围”等信息后，点击对话框上的保存按钮。

上图只是把操作过程表述出来了，下面将“定义组织级别”对话框详细的配置截图如下：1.2.4 手动配置权限在配置好组织级别后，有时还需要手动调整部分权限，通过界面上方的按钮来完成。

1）手动调整跨公司销售业务范围1020和2020的发票权限，只能看但是不能操作。

而本公司的1100销售组织具有全部的权限。

2）插入自开发报表的权限对象。

下面的四个对象是自开发的权限对象，需要手动插入权限中。

操作方法如下：查看插入效果：剩下的三个以此类推。

1.2.5 保存并生成“权限”参数文件1）将权限的黄色点绿。

1.创建 Data ElementTCODE SE801) 创建 Data ElementName: Z_EMP_ID00 Field Label 属性 Le ngth Sho rt Med ium Lon g Hea ding 19 EMPLOYEE ID HEADING 20 EMPLOYEE EMPLOYEE ID 15 EMPLOYEE ID 10 ID Field Label2) 为 Z_EMP_ID00 创建一个 DomainName Data Type No. Characters Decimal PlacesZ_EMP_ID00 NUMC 10 0Output Length102.创建 Authorization FieldsTCODE SU20 Field Name Data element ZEMPID00 Z_EMPID003.创建 Authorization Object多个 Authorization Fields 是被归在一个 Authorization Object 中的,创建好 Objec t 后需要把 Z_EMPID00 assign 给它. TCODE SU21图 SU21-1 (SU21 界面)1) 创建一个 Object class ZEMPObject Class TextZEMP Empleyee Object class.2) 在 ZEMP 里创建一个 Authorization Object ZEMPOBJ00Object TextZEMPOBJ00 Employee object 00.Field nameZEMPID00图 SU21-2 (创建 Authorization Object)图 SU21-3 (Object Class 和 Authorization Object 创建完毕)4.为用户添加 Profile这个 Profile 包含用户对 Object ZEMPOBJ00 的各个 Field 有权限访问的具体范围.1) 创建 ProfileTCODE SU01 在菜单 Enviroment > Mainten Profile(F9) Profile: ZEMPRF00 选择 Create.图 SU01-1 (创建 Profile) 在下半部分的表格中的 Object 列中添加 ZEMPOBJ00 Save, 激活 Authorization 列输入 ZAHUEMP,双击新建它 Text: Authorization for Employee. 点击 Maintenance Value, 在 From 列和 To 列分别输入* 分别激活 Authorization, Profile.图 SU01-2 (Profile 创建完毕)2) 将 ZAHUEMP assign 给用户 BCUSER.然后回到 SU01 对 BCUSER 的界面, 在 Profile 面板: 添加 ZEMPRF00 Save.5.创建 RoleTCODE PFCG Role ZEMPR 选择 Single Role1) Description: Maintenance Employee ID在 Authorizations 面板中: Profile Name Profile Text ZEMPRF00 Employee Profile2) 给这个 Role 添加用户在 User 面板中: User: BCUSER6.创建测试程序REPORT ZAUTHORITY01.DATA: Z(20) VALUE 'abc'. AUTHORITY-CHECK OBJECT 'ZEMPOBJ00' ID 'ZEMPID00' FIELD Z. WRITE:/ Z. IF SY-SUBRC = 0. WRITE:/ 'PASS'. ELSE. WRITE:/ 'Sorry.'. ENDIF.7.运行程序用户 BCUSER 必须先退出系统然后登录后前面设置的 role 才会生效.运行程序,结果 为 PASS.。

SAP 跳过权限检查——以SCC4为例
权限检查除了涉及TCD权限外，
还有另一个权限对象的检查。

这涉及的FUNCTION
1）AUTH_CHECK_TCODE
2）AUTHORITY-CHECK
控制权限的变量为SY-SUBRC当为0时可以进行任意修改。

1、SE37-AUTH_CHECK_TCODE第28行IF SY-SUBRC = 0处打断点，并新建断点AUTHORITY-CHECK
2、执行SCC4，将参数SY-SUBRC = 0改为0，F8继续
3、执行到CHECK_AUTHORITY_SCC4时，将SY-SUBRC = 0改为0，再在209行打断点。

4、再在209行打断点，参数改为0，点击执行。

5、终于可以进入到事物代码中，但是点击修改按钮又会报另外一个错误。

打钩继续DEBUG。

6、一路F8跳到刚才打断点的209行处。

再把参数改为0，执行。

终于可修改配置。

总结，跳过权限的关键：①两个FUNCTION；②SY-SUBRC=0；③28行和209行的断点（可能其他程序不在209行）。

权限设定操作手册权限维护1.注意1.1.用户、角色、事务代码、授权对象的关系-用户：由几个角色组成-角色：由一系列事务代码搭建-事务代码：需要系统规定的必要授权对象才能运行-授权对象：由它的参数来定义1.2.权限设定须谨慎-权限设定非常重要，并且权限的排错查询非常繁琐、耗时，因此在做权限设定时一定要谨慎，每次更改都要记录。

1.3.测试环境下修改-除非特殊情况，权限设定不允许在正式环境直接更改。

-一般都是在测试环境修改、测试成功后，再传到正式环境。

1.4.拒绝不合理权限要求-Basis不是决定用户权限范围的人，而是实际管理中大大小小业务流的管理者。

-所以，变更权限设定，务必要求用户提供经过领导签核的申请表。

-对于用户不合理的权限要求，顾问有责任拒绝。

2.角色维护2.1.作业说明-基本由权限的大架构有User ID（用户），Role（角色），Profile（权限参数文件）三层，可知权限的设定也会有相应的三层。

-目的SAP中的权限管理可以通过建立若干角色的方式进行，角色的定义为SAP中单个或者多个事务代码（T-Code）组成的一个角色定位。

角色是指在业务中事先定义的执行特殊职能的工作。

可以为单个的用户的需求去创建角色，也可以通过事务代码创建角色，然后分配给各个需要这些角色的用户。

-创建角色主要有三种方式：手工创建。

适合所有新建角色的需求，主要对应权限追加；继承。

主要对应设定派生角色；复制。

主要对应设定基本的角色。

-继承与复制创建角色的区别：用继承的方式建立新角色，继承后，只需要填写Org.level，Object就全部标识为绿灯。

用复制的方式建立新角色，需要在Object里填入值，Object才能全部标识为绿灯。

以上是两者操作上最大的区别。

2.2.创建单一角色-事务代码与菜单路径PFCG –工具 -> 管理 -> 用户维护 -> 角色管理 -> 角色-菜单此为事务代码输入栏-后续作业-字段说明-后续作业-字段说明-后续作业-字段说明-后续作业-字段说明-后续作业-备注由于SAP的角色内容可以用多种方法进行选择，如根据SAP的菜单、SAP的报表程序、以及其他角色等等。

SAP 权限与角色设计一般来说，权限就是“某人能干某事”和“某人不能干某事”之合。

在SAP系统中，用事务码（也称交易代码、或者TCODE、或者TransactionCode）表示一个用户能干的事情。

比如MM01这个TCODE是用来维护物料数据的、MIGO是用来收货的、FS00是用来维护会计科目的等。

用SU01新建一个ID时，默认的权限是空白，即这个新建的ID不能做任何事情，不能使用任何事务代码。

这样只需要为相应的ID赋上相应的TCODE，即可实现“某人能干某事”了，其补集，则是“某人不能干的某些事”。

但是我们不能直接在SU01里面给某个ID赋上TCODE，要通过ROLE中转一下。

即：一堆TCODE组成了一个ROLE，然后把这个ROLE 分给某个ID，然后这个ID就得到一堆TCODE了。

上面这些，仅仅是SAP权限控制的初级概念，要理解SAP权限控制的全部，必须还要明白下面的概念。

1、角色（ROLE）、通用角色（Common Role）、本地角色（Local Role）上面讲了，角色，即ROLE，是一堆TCODE的集合，当然还包含有TCODE必备的“权限对象”、“权限字段”、“允许的操作”及“允许的值”等。

我们使用PFCG来维护角色。

为了系统的测试与SAP实施项目的阶段性需要，进一步将角色分为“通用角色”和“本地角色”。

举个例子便于理解：通用角色好比“生产订单制单员”，本地角色对应就是“长城国际组装一分厂生产订单制单员”。

所以，本地角色较之通用角色的区别就是，在同样的操作权限（事务代码们）情况下，前者多了具体的限制值。

这个限制值可能是组织架构限制，也可能是其他业务的限制。

如，一分厂的制单员不能维护二分厂的制单员；一分厂的制单员甲只能维护类型为A的单据，而不能维护类型为B的单据，诸如此类。

具体请看下面的概念。

2、权限对象（Authorization Object）、权限字段（AuthorizationField）、允许的操作（Activity）、允许的值（Field Value）上面粗略说了构成ROLE的是若干TCODE。

SAP的权限是通过授权对象来控制的，所有的事务码、角色等最终反映在系统中都是授权对象。

在SAP中运行事务码时，系统首先会检查S_TCODE这个授权事务中是否有指定的事务码，如果有，你才能使用这个TCODE。

但这里通过后，并不代表你可以将所要操作的业务进行完毕，在不同的地方，系统还会检查其他的授权对象，比如在操作到与会计凭证的公司代码相关的事务时，系统会检查f_bkpf_buk 这个授权对象，只有这个检查通过后，才能继续往下走。

系统检查授权对象的代码一般为：AUTHORITY-CHECK OBJECT f_bkpf_buk for user zhangsan01ID ’ACTVT’ FIELD act_hinzID ’BUKRS’ FIELD bkpf-bukrs.IF sy-subrc NE 0.MESSAGE e083 WITH bkpf-bukrs.ENDIF.这个语句检查的是张三（zhangsan01)是否有f_bkpf_buk这个授权对象的权限，如果不要for user zhangsan01,则表示检查当前用户的权限。

注意这里只检查授权对象，没有单一角色和复合角色，也就是说虽然我们给用户分配了很多角色，但系统最终检查的是这些角色的授权对象，而且是不分角色的授权对象。

这样就会造成权限重叠的情况。

比如张三有A公司凭证查看的权限，又有B公司凭证过帐的权限，如果他同时还有S_TCODE：FB01的授权对象，这时候他就是有A、B两家公司的过帐和查看权限。

所以，分配权限的时候得注意了。

对于标准事务SAP已经分配好权限对象。

表USOBT和表USOBX已经定义了每个SAP事务以及相应权限对象之间的关系。

对于标准系统中定义的每个事务的权限对象而言，这些表已经包含了检查标识的初始值。

在为特定客户定制这些缺省值前，你必须使用事务SU25将这些缺省值复制到客户特定表USOBT_C和USOBX_C中。

然后使用事务SU24维护这些初始值。

sap权限检查方法SAP系统的权限检查可是个很重要的事儿呢，就像家里的钥匙管理一样，得确保每个人只能进自己该进的“房间”。

咱先说说最基本的，就是通过事务代码来检查权限。

在SAP里，每个操作都有对应的事务代码。

你要是想知道自己有没有某个操作的权限，就试着输入那个事务代码呗。

要是能顺利打开相关的操作界面，那大概率是有这个权限的。

要是系统弹出个警告或者干脆不让你进，那就是权限不够啦。

这就好比你拿钥匙开一扇门，钥匙插不进去或者拧不动，那就是没这个门的钥匙呗。

还有呢，查看用户角色分配也是个重要的方法。

每个用户在SAP里都被分配了特定的角色，这些角色就像是一个个权限的集合包。

你可以在系统里找到用户管理的部分，看看某个用户被分配了哪些角色。

如果一个角色包含了特定的权限，而用户拥有这个角色，那理论上就有相关权限。

这就像你在一个团队里，你的职位决定了你能做哪些工作一样。

比如说你是个小会计，那你就有会计相关的操作权限，要是你想做采购的事儿，没有被分配采购相关的角色，那肯定就不行啦。

另外呀，查看权限对象也是很关键的一步。

权限对象就像是一个个小的权限模块，每个权限对象规定了不同的权限规则。

在SAP系统里，可以深入到权限对象的设置里，看看对于某个操作，权限是怎么定义的。

比如说对于创建销售订单这个操作，权限对象可能会规定哪些字段你能修改，哪些你只能查看。

这就像是游戏里的规则一样，每个关卡都有自己的小规则，你得按照这个规则来玩。

不过呢，权限检查有时候也会有点小麻烦。

因为SAP系统很复杂，权限设置可能会相互关联。

就像一个复杂的拼图，一块拼错了，可能就影响整个画面。

有时候你觉得自己应该有某个权限，但是实际操作不行，那可能就是其他相关的权限设置出了问题。

这时候就需要耐心一点，一点点排查啦。

就像你找东西丢在哪里了，要把每个可能的地方都翻一翻一样。

总之呢，SAP权限检查虽然有点小复杂，但只要掌握了这些基本的方法，就像手里有了小法宝，遇到权限问题的时候就不会太慌啦。

S A P系统人员权限清单
查询操作手册V1.0 -CAL-FENGHAI-(2020YEAR-YICAI)_JINGBIAN
用户与角色分配关系查询操作手册
1)运行事务码:zusr01，输入需要查询的用户名，若需要查询多个用户，则点击下图中的红色标注按钮，输入多个用户ID，点击确定按钮；禁止模糊查询（即不输入用户ID就点击查询）；
2)点击执行按钮，显示结果；
3)若需要将结果导出至本地，则点击导出按钮，选择“本地文件”，选择“电子表格”，输入导出路径以及文件名称，点击“生成”按钮；
4)若用户查询的结果大于100条，则系统会提示如下图的显示结果数目，此时可以填写最大值99999，保证系统显示出所有数据，若用户过多，建议将用户分批次查询，以免造成数据量过多而导致无法显示；。

1当使用需要的事务代码例如：zmms03时左下角如出现“您无权使用事务ZMMS03”2 此时你需要在左上角输入/NSU53 并回车3 点击“”将需要的事务代码显示出来4如在事务操作过程中发现权限不足，出现下图类似情况：5同样在左上角输入/NSU53 并回车在弹出的窗口中会显示缺少的权限对象,请展开所有选项When you are old and grey and full of sleep, And nodding by the fire, take down this book, And slowly read, and dream of the soft look Your eyes had once, and of their shadows deep; How many loved your moments of glad grace, And loved your beauty with love false or true, But one man loved the pilgrim soul in you,And loved the sorrows of your changing face; And bending down beside the glowing bars,Murmur, a little sadly, how love fledAnd paced upon the mountains overheadAnd hid his face amid a crowd of stars.The furthest distance in the worldIs not between life and deathBut when I stand in front of youYet you don't know thatI love you.The furthest distance in the worldIs not when I stand in front of youYet you can't see my loveBut when undoubtedly knowing the love from both Yet cannot be together.The furthest distance in the worldIs not being apart while being in loveBut when I plainly cannot resist the yearningYet pretending you have never been in my heart. The furthest distance in the worldIs not struggling against the tidesBut using one's indifferent heartTo dig an uncrossable riverFor the one who loves you.When you are old and grey and full of sleep, And nodding by the fire, take down this book, And slowly read, and dream of the soft look Your eyes had once, and of their shadows deep; How many loved your moments of glad grace, And loved your beauty with love false or true, But one man loved the pilgrim soul in you,And loved the sorrows of your changing face; And bending down beside the glowing bars, Murmur, a little sadly, how love fledAnd paced upon the mountains overheadAnd hid his face amid a crowd of stars.The furthest distance in the worldIs not between life and deathBut when I stand in front of youYet you don't know thatI love you.The furthest distance in the worldIs not when I stand in front of youYet you can't see my loveBut when undoubtedly knowing the love from both Yet cannot be together.The furthest distance in the worldIs not being apart while being in loveBut when I plainly cannot resist the yearningYet pretending you have never been in my heart. The furthest distance in the worldIs not struggling against the tidesBut using one's indifferent heartTo dig an uncrossable riverFor the one who loves you.。

可能的权限问题： (1)1 出现“无授权〞或类似字样的提示信息； (1)2 其他账号可以看到的内容，自己的账号看不到； (1)常见权限问题及权限检查例如： (1)1 问题提示以消息的方式显示， (1)2 问题以窗口方式显示， (3)3 其他账号可以看到的内容，自己的用户看不到 (4)权限问题处理 (6)可能的权限问题：1 出现“无授权〞或类似字样的提示信息；2 其他账号可以看到的内容，自己的账号看不到；常见权限问题及权限检查例如：1 问题提示以消息的方式显示，如下VA03查询时出现的问题提示：图1在出现问题提示后在输入 /NSU53 点击回车即对当前的权限问题做检查图22 问题以窗口方式显示，如下在查询利润中心资产负债表时出现的问题提示：图3点击红色方框内绿色对勾图4在输入/NSU53 点击回车对当前权限做检查图53 其他账号可以看到的内容，自己的用户看不到如图6可以显示采购订单中净价而图7中没有显示出。

图6图7可以通过/NSU53检查权限，根据检查结果确定是否为权限问题：点击回车检查权限图8如出现如下截屏-“The last authorization check was successful〞，那么说明应该不是权限的问题。

图9权限问题处理当在操作时遇到问题不确定权限是否问题或不确定具体权限问题时，首先使用事务代码/nsu53检查当前权限。

1 检查结果显示有问题时请将问题的提示截屏、权限检查结果截屏及使用的事务代码或报表树路径发邮件到liuhua@@bybo 、liujinhui@bybo 或haoliang@bybo2检查权限，如检查的结果显示“The last authorization check was successful〞图9需要用户检查下个人的操作，比方输入的查询条件是否有问题等，。