sap权限的设定-文档资料

權限設定者分工
一.以Role類型分 1.Template Role
即“G”開頭的: 台北本部的AP MIS 2.User Role:
以Z開頭的:東莞AP MIS 以W開頭的:吳江AP MIS 3.Basis Role: 即以Y開頭的:台北和東莞Basis MIS
權限設定者分工
二.以USER ID分 從USER ID可以區分出這個ID所屬的廠別
SAP 權限的設定
QiQi V
張穎祺
內部教材 CONFIDENTIAL
目錄
1.總述 2.職能/Template Role/設定的分工 3.三種不同的常規權限的設定方法 4.常規以外的權限設定方式 5.如何快速檢查權限設定的情況
總述
1.在開始學習之前 2.SAP權限的架構
在開始學習之前
在開始了解權限前,有几點是要大家注意的
A/R 作業人員 CO-AR G+CO-AR G+CO-AR-1 Y+CO-AR
職能中文名稱
職能英文名稱 全球共同Template Role 地區Template Role 全球共同Basis Role
Role的命名和分類
全球共同Template Role﹕是指此職能在全球任何 一個地區都一致的那部分權限的模板。
按
﹐點擊Y-AUTH-PRT前的
Role的建立—完全新建
變為 后﹐按屏幕上方的
﹐插
入Object. 注意﹕外挂的T code﹐除了前
面所說的列表中要有外﹐這里框住的地
方要給T code﹐否則user還是不會有權限
Role的建立—完全新建
都給好值后﹐按 保存﹐按“勾”。
然后按 激活。退出。
Role的建立—完全新建
記錄此Role的創建者 把描述填好后﹐按save
記錄此Role的最后修改者 然后點擊menu頁簽
Role的建立—完全新建
Menu頁簽定義的是USER MENU（個人化菜單）的內容。
建立新目錄
修改TEXT 項目下移 項目上移 刪除項目
這些是常用的功能
手動增加T code 從SAPMenu中增加T code 從其他Role中Copy Menu
• Role﹕同類的USER使用SAP的目的和常用的功 能都是類似的﹐例如業務一定需要用到開S/O 的權限。當我們把某類USER需要的權限都歸 到一個集合中﹐這個集合就是“職能”(Role)。
所謂的“角色”或者“職能”﹐是sap4.0才 開始有的概念﹐其實就是對user的需求進行歸 類﹐使權限的設定更方便。(面向對象的權限!!)
➢ 命名特征是﹕
“Z+”USER ID開頭（東莞﹑台灣地區） “W+” USER ID開頭（吳江地區）
例如“Z+PSC1-ACT01+CO-CO”
全球共同Basis Role﹕是指此職能關系到整 個系統的安全的那部分權限的Role.
➢ 命名特征是 “Y+” 開頭 例如 “ Y + CO – CO ”
Role的建立—完全新建
請大家按圖所示建立目錄 ﹐第一層是職能﹐這里是 EXCEPTION﹐下面分“標准”(Standark)和 “外挂” (Add On) 兩個目錄 。 讓菜單保持清晰﹐可以令User的個人菜單清楚﹐不混亂。 我們MIS檢查權限也比較方便。
Role的建立—完全新建
大家可以對比 下面兩個USER 的個人化菜單 ﹐左邊職能清 晰﹐右邊非常 混亂﹐同名的 目錄 大量出現 ﹐但里面的內 容又不盡相同 ﹐這對依賴路 徑執行指令的 user是很麻煩 的。
Bind with
這是SAP權限的架構 圖﹐大家也接觸過。 請大家一定要記住
他們的關系。
Authorization profile
-Object class -Authorization object -Authorizations
………………..
SAP權限的架構
名詞解釋（英譯中﹖）﹕
• User account﹕就是我們平常說的“帳號”﹐也 稱為“USER ID”。
我們假設有一個帳號 “FORTEST”,他 申請了例外權限 VA01和YF30。
下面我將會一步一步向大家說明操作 的步驟和應該注意的地方。
看到PFCG的畫面了嗎﹖沒有﹖ 哦﹐在下一頁。
Role的建立—完全新建
輸入Role name
注意選第二項
Role的建立—完全新建
描述一般與Role name一致
➢ G+職能名稱
﹕全球共同Template Role
➢ G+職能名稱-1
﹕地區Template Role
以“Z+”開頭都是User Role,直接assign給user id。
➢ Z+User ID+職能名稱 :繼承全球共同Template Role
➢ Z+User ID+職能名稱-1:繼承地區Template Role
➢ 命名特征是以 “G +”開頭﹐非“-1”結尾。 例如 “G + CO – CO ”
地區Template Role﹕是指此職能根據不同地區而 不同的那部分權限的模板。
➢ 命名特征是 “G+”開頭﹐“-1”結尾。 例如 “G + CO – CO – 1 ”
Role的命名和分類
User Role﹕是指根據每個user的具體需求 進行設定的權限的Role.
➢ Z+User ID+Exception :沒有繼承任何Role,例外權限
以“Y+”開頭都是Basis Role,直接assign給user id。
➢ Y+職能名稱 :全球共同Basis Role
Role的命名和分類
附件是一張職能/Rolename對照表
我們以其中一個職能“AR作業人員”做解 釋﹕
Authorization已經變成綠燈﹐這表示權限的 設定已經可用了。
點擊USER,Assign USER ID 給這個Role
Role的建立—完全新建
點擊 USER COMPARE ﹐ 再點擊Complete compare﹐
Role的建立—完全新建
直接添加﹕ 所有T CODE(包括外挂）和沒有T CODE的
標準程式都可以用這種方法添加。好處 是比較快 缺點是必須知道T code﹐不能帶出路徑。
Role的建立—完全新建
從SAP菜單添加
Role的建立—完全新建
wk.baidu.com
Role的建立—完全新建
Role的建立—完全新建
Role的建立—完全新建
但無論如何﹐作為跟進的MIS都是負 主要責任的。
權限設定的操作
上面說過﹐權限的大架構由User ID, Role, Profile 三層組成﹐那么﹐權限的設 定自然也會有三層。但由于sap4.6是 Profile與Role是捆綁在一起的﹐所以在建 立Role的時候﹐Profile是會自動創建的 （具體見后文）。而User ID的建立比較 簡單。所以﹐我將主要說明Role的部分。
Role的建立—完全新建
在這里﹐需要向大家介紹一個很重要的概念﹕Org.level. 在權限設定中﹐有許多地方的控制點是一致的﹐sap公司 為了方便權限的設定﹐把這些地方設計為與全局變數關 聯。當改變全局變數時﹐這些地方就可以全部改變過來。
這個全局的變數就是﹕Org.level
Role的建立—完全新建
Role的建立
新創建Role主要有三種方式。T CODE ﹕PFCG 1.由始至終新建;
可以對應所有新建Role。主要對應例外權限 Z+USERID+EXCEPTION 2.繼承; 主要對應設定Z+USERID+職能名稱 3.復制（COPY）﹔ 主要對應設定Z+USERID+職能名稱-1
Role的建立—完全新建
USER ID 的建立
T CODE ﹕ SU01
1 輸入要創建的User ID 2 單擊建立圖標
USER ID 的建立
填好這些欄位
USER ID 的建立
設定初始密碼 設定組別﹐這對MIS非常重
要﹐MIS能否管理此User ID就看這里
有效期一般不設定
USER ID 的建立
按圖設定（印表機按實際設定）
USER ID 的建立
接著按save﹐就把 USER ID創建好了
USER ID創建好了﹐但這時這個ID沒有賦予 (Assign) 任何權限﹐是什么都不能做的。USER得 到這樣的帳號沒有任何意義。
如何 Assign權限給一個帳號﹖主要就是 Assign一個 Role 給這個帳號了。下面我們看看如 何建Role和給權限。
分為single role 和 composite role兩種﹐后者 其實是前者的集合。
SAP權限的架構
• Profile: 真正記錄權限的設定的文件﹐從sap4.0 開始是與Role綁定在一起的。雖然在sap4.6c還 可以單獨存在﹐但按sap的行為推測﹐以后將不 能“一個人活着”
• Template Role:Role的模板﹐一般是single role.但這個模板具有一個 強大的功能﹐ 能通過更改模板而更改所有應用(sap稱為 Derive“繼承”）此模板的Role(sap稱之為adjust)
在這里介紹一下 的作用﹐點擊它﹐就相當於給 這個Object一個 “*”(star)﹐“*”的意義是All Authorization﹐不卡任何權限。Object給值后﹐就 變成綠色 ﹐不能點擊了。
Role的建立—完全新建
如果是外挂的T code﹐就只能用“直 接添加”的方式加入到菜單中﹐需要注 意的是﹐外挂的T code的Object不會自動 帶出來﹐需要自己手工添加。
當 Org.Level 給值后﹐
相應的 Object value的值 也變了
Role的建立—完全新建
對Org.Level都給值之后﹐會發現相當一部分的 Object value都已經給值了﹐但還有一些Object是 紅燈或者是黃燈﹐這些Object是要單獨給值的。
Role的建立—完全新建
按一下 標志﹐就可以輸入值﹐按 保存
4.權限的設定,是MIS的工作.（廢話）所以﹐本教 材是MIS內部教材﹐請不要隨便泄漏
SAP權限的架構
SAP User account
-Address -Logon data -Group
............
Assign to
Role template
-Description -Menu -Authorizations ……………
SAP權限的架構
• 例外權限﹕這是公司創造的名詞。當一 個USER除了其職位一般所需的權限外﹐ 還需要一些特殊的權限﹐我們把這些權 限稱之為這個USER的例外權限。 例如開工單對生管來說是其職能應有 的權限﹐但對倉庫來所就是例外權限。
Role的命名和分類
Role的命名規則和分類如下:
以“G+”開頭都是Template Role(模板)﹐都不會直 接assign給user id。
這時﹐標准T code所需要的Object﹐系統會自動帶出來。
OBJECT完全沒有給值 OBJECT只有部分給值 OBJECT已經全部有值
請注意﹕綠燈只是表示 全部有值而已﹐但不一 定就是我們所需要的值
Role的建立—完全新建
這個Object是任何權限設定文件中都應該有 的﹐這是給予啟動T code的權限﹐如果T code沒有出現在這個列表中﹐user連這個 指令的畫面都無法進入
Role的建立—完全新建
菜單的殼子有了﹐如何往里面添加內容呢 ﹖
比較常見的是﹕從SAP菜單添加和直接添 加T CODE。
從SAP菜單添加﹕
所有標准的T CODE和沒有T CODE的標準 程式都可以用這種方法添加。好處是可 以尋找﹐可以一次添加標准菜單的一個 目錄﹐T code在標准菜單中的位置也可以 顯示出來。缺點是很浪費時間﹐而且外 挂的程式無法添加。
和模組。 例如﹕PSC1-ENG01這是PSC1廠的帳號﹐
屬于PP模組﹐所以這個帳號申請的權限 將由東莞PP模組的MIS主要負責和監督。
權限設定者分工
三.以所申請的權限歸屬的模組分
由于user所申請的權限通常涉及多個 模組﹐這就需要多個模組的MIS共同合作 設定user的權限﹐這時先按第二條執行, 由ID所屬模組MIS接受申請﹐并從始至 終跟進。然后具體的權限屬于哪個模組 就由那個模組的MIS作設定。
1.權限設定非常重要﹐而且權限的DEBUG操作非 常繁瑣,耗時,所以請大家設定時一定要非常謹 慎,每次更改都要記錄。
2.權限設定除非特殊情況﹐不允許在正式環境直 接更改﹐請在測試環境修改好再傳到正式環境。
3.MIS不是決定user權限的人﹐而是user大大小小 的leader﹐所以﹐要變更權限設定﹐務必要求 user提供經過簽核的申請表。（當然﹐對user不 合理的權限要求﹐MIS也有責任退回）