sap权限设定(完整版)
SAP权限设置文档
1.首先根据用户的需求清楚的知道是添加tcode,还是添加或者修改authorization object里
面相应的内容
2.然后一定要弄清楚是在哪个role里面需要添加tcode或者对authorization object添加和修
改。
(这里主要是跟key user讨论针对这个需要进行权限修改的用户是那个role下面的用户,可以参考文档SAP_Role_User_Assignment-V6)
a)修改Tcode的方法
i.运行Tcode :pfcg,输入需要修改的role
ii.首先检查一下需要添加的tcode是否已经在列表里面,如果没有的话就添加新的tcode。
行一个调校
设置值就给注掉,不启用它。
v.将全部的黄灯设置成绿灯之后点击“generate”完成权限的修改。
vi.这样一个tcode就添加给这个role了。
b)修改authorization object(如果用户已经有这个tcode了,但是依旧在这个tcode里
面有一些作业没有权限,那么就需要对authorization object进行修改)
i.让缺少权限的用户运行tcode :su53.这个tcode会显示该用户缺少的哪些权限。
ii.然后管理员用自己的账户也进入su53,然后查看缺失权限用户的su53的内容
改的role的名字
iv.直接进入“authorization”这个标签
这里需要对照一下之前su53里显示缺失的内容
作,修改好之后点击“generate”进行权限的生成。
SAP-权限设定、分配及传输详细说明
− 后续作业
工具列图示/其它说明
备注 点击可显示其组合的单一角色菜单
− 字段说明
字段名称
必要 备注 输入
菜单已被标识为绿色 组合角色的菜单已由其包含角色的菜单构建
− 后续作业
工具列图示/其它说明
备注 点击,保存 如果,需要用户分配,可继续与单一角色进行用户分配相同的操作 如果,不需要现在用户分配,点击,退出
− 字段说明
字段名称
必要 备注 输入
Object 已经全部给值 注意:只代表全部给值而已,但不一定是权限需要的符合系 统逻辑关系的值 Object 只有部分给值 Object 完全没有给值
− 后续作业
工具列图示/其它说明
类似于下图:
备注
点击 和 ,查看并激活所有需要被激活的相关其他连接的功
能,组织级别相关给值设置为未激活,使其变成绿灯 通过上一步操作,可以看到设置行项目的左端有此按钮。点击,将 和组织级别给值相关的设置转为未激活,尽可能使其变成绿灯 适当考虑后,有些授权,可通过点击此按钮,给全值。 注意:手动赋值过的设置,是不能再通过此操作给全值的。
− 后续作业
工具列图示/其它说明 备注
点击,保存输入的数据,进入激活界面。
− 字段说明
字段名称
− 后续作业
工具列图示/其它说明
必要 备注 输入
Object 已经全部给值 注意:只代表全部给值而已,但不一定是权限需要的符合系 统逻辑关系的值 Object 只有部分给值 Object 完全没有给值
备注
工具列图示/其它说明
必要 备注 输入
点击可建立菜单新目录结构
备注 点击进入单个事务代码的顺序手动添加
− 备注
由于 SAP 的角色内容可以用多种方法进行选择,如根据 SAP 的菜单、SAP 的报表程序、 以及其他角色等等。此处以单个事务代码为例。
SAP权限设定讲稿
复合角色设置
日期Date: 第 Page 30页 >
复合角色设置
日期Date: 第 Page 31页 >
复合角色设置
日期Date: 第 Page 32页 >
角色修改
日期Date: 第 Page 33页 >
几点需要注意的地方
• 权限设定非常重要﹐次更改都要记录。
Version 1.0
日期Date: 第 Page 12页 >
权ASPu限tEhXo的rSizAa概tPioRn念/C3oPn-rcoejp授etct 权对象
Version 1.0
授权对象 = 运行事务的权限
没有
没有
授权
=
事务
对象
权限
日期Date: 第 Page 13页 >
权ASPu限tEhXo的rSizAa概tPioRn念/C3oPn-rcoejp授etct 权对象
FEBP
F-04
物料管理经理角色
事务:
XK05
XK04
MB53
MB24
日期Date: 第 Page 6页 >
权限的概念
日期Date: 第 Page 7页 >
ASPutEhXor权SizAat限PioRn的/C3oPn概rcoejpe念tct —授权
Version 1.0
授权就是给个人(或组)一个方式或权力 来行使一些特殊的职责
用 SAP 的语言来说….
它允许或禁止用户在系统中进行操作和处 理事务
日期Date: 第 Page 8页 >
权限的概念 SPEX SAP R/3 Project Authorization Concept
SAP 授权概念
SAP系统权限设置和修改操作流程_v1.0
济南分公司SAP系统权限设置
和修改操作流程
1.概述
1.1目的
规范SAP用户权限设置和修改的操作流程,加强SAP用户权限的管理,保证SAP系统的安全、稳定运行。
1.2读者
SAP系统的最终用户和SAP系统的用户、权限管理员。
2.用户权限设置和修改操作流程
2.1用户权限的设置
权限管理员根据“中国石化济南分公司ERP最终用户申请表”相关栏目的内容,对用户管理员所创建的用户ID赋予相应的权限。
2.2用户权限的修改
ERP最终用户由于岗位或者业务范围的调整,需要对其权限进行修改(增加或者减少权限)时,必须填写“中国石化济南分公司ERP最终用户权限修改申请表”(请参见附表三),经所在单位的主要领导审核批准后,交信息中心。
经信息中心领导审核后,权限管理员在SAP系统中,手工对相应用户ID进行权限的修改,并通知用户本人。
附表三
中国石化济南分公司
2、“功能模块”指用户使用SAP中的功能模块,其中有:FI/CO—
财务/成本管理,PP—生产计划, SD—销售/分销,MRO—物料采
购管理,MM—物料管理,PM—设备维护,HR—人力资源。
单位(部门)负责人(签章):
年月日
信息中心审核:
年月日
2。
SAP权限设定讲稿
SAP权限设定讲稿一、简介在企业资源计划(Enterprise Resource Planning,简称ERP)系统中,SAP是其中一种常用的软件解决方案。
SAP系统的权限设定在企业信息化管理中起着重要的作用。
本篇讲稿将介绍SAP权限设定的基本概念、目的和步骤,并重点讲解权限的分配与管理。
二、SAP权限设定概述2.1 权限设定的定义权限设定是指企业在使用SAP系统时,根据用户的角色和职责,对其进行功能、数据和业务流程的访问控制。
通过权限设定,可以确保用户只能访问其工作所需的功能和数据,从而保证系统的安全性和数据的完整性。
2.2 权限设定的目的权限设定的主要目的是保护企业数据的安全性和可靠性,防止未经授权的人员访问和操纵企业敏感信息。
同时,权限设定还可以提高工作效率,根据用户的需要提供简化的界面和功能。
三、SAP权限设定步骤权限设定的过程通常包括以下几个步骤:3.1 了解企业需求在进行权限设定之前,需要充分了解企业的业务需求和工作流程。
通过与企业的相关部门和人员进行沟通,明确不同用户角色的职责、工作内容和所需权限。
3.2 角色设计与分配根据企业的需求,设计不同的角色,每个角色对应一组特定的权限。
角色可以根据用户的职位、部门或工作内容来进行分类。
在分配角色时,需要确保角色之间的权限不重叠,也不冲突。
3.3 权限设置在SAP系统中,权限通常以事务码、对象或数据元素的形式存在。
根据角色的设计,设置相应的权限。
权限设定可以通过SAP的访问控制列表(Access Control List,简称ACL)来完成。
3.4 测试和审批在完成权限设定后,需要进行测试和审批。
测试可以确保权限设定的正确性和完整性,审批可以确保权限设定符合企业的规定和要求。
3.5 权限管理和维护权限设定是一个持续的过程,需要进行权限的管理和维护。
根据企业的变化和需求,及时调整和更新权限,确保系统的安全性和高效性。
四、权限设定的要点与注意事项4.1 合理分配权限根据用户的实际工作需要,合理分配权限,避免过高或过低的权限导致的问题。
SAP用户权限管理配置及操作手册
SAP用户权限管理配置及操作手册SAP用户权限管理配置及操作手册SAP用户权限管理配置及操作手册Overview业务说明OverviewSAP的每个用户能够拥有的角色是有数量限制的,大概是300多点,具体不记得了。
如果只在S_TCODE和菜单中设置了某个事务代码,而没有设置权限对象,此时将不能真正拥有执行该事务代码的权限。
SAP的权限检查机制:SAP进入一个t-code,要检查两个东西1)S_TCODE2) 表TSTCA 里面和这个T-cdoe相对应的object。
有些tcode在tstca里面没有对应的object,就会导致直接往S_TCODE中加事务代码不能使用的情况。
SAP权限架构概念权限对象Authorization objectSAP在事务码(T-code)的基础上通过权限对象对权限进行进一步的细分,例如用户有创建供应商的权限,但是创建供应商的事务码中有单独的权限对象,那么就可以通过权限对象设置不同的用户可以操作不同的供应商数据。
角色-Role同类的USER使用SAP的目的和常用的功能都是类似的﹐例如业务一定需要用到开S/O的权限。
当我们把某类USER需要的权限都归到一个集合中﹐这个集合就是“职能”(Role)。
所谓的“角色”或者“职能”﹐是sap4.0才开始有的概念﹐其实就是对user的需求进行归类﹐使权限的设定更方便。
(面向对象的权限!!)分为single role 和composite role两种﹐后者其实是前者的集合。
角色模板-Template RoleRole的模板﹐一般是single role.但这个模板具有一个强大的功能﹐能通过更改模板而更改所有应用(sap称为Derive“继承”)此模板的Role(sap称之为adjust)参数文件-Profile参数文件相当于指定对应的权限数据及权限组的定义。
每个角色下会产生一个附属的参数文件。
真正记录权限的设定的文件﹐从sap4.0开始是与Role绑定在一起的。
SAP权限的设定
业务需求分析
深入了解业务部门的需求,明确 用户在SAP系统中需要执行的操 作和访问的数据范围。
权限分类
将需求细化为具体的权限分类, ቤተ መጻሕፍቲ ባይዱ数据查询、数据修改、审批等 。
创建角色
定义角色名称和描述
为每个角色命名并提供清晰的描述, 以便用户了解其职责和权限。
配置角色所拥有的权限
根据确定的权限需求,为角色分配相 应的权限,如事务代码、报表、数据 范围等。
验证与反馈
对测试结果进行验证,并 及时收集和处理用户的反 馈意见,持续优化权限设 定流程。
04
CATALOGUE
SAP权限的安全控制
用户认证与授权
用户认证
确保只有经过身份验证的用户才能访问SAP系统,可以通过多因素认证、单点登 录等方式增强安全性。
授权管理
根据用户的角色和职责,为其分配适当的权限,限制对敏感操作的访问,防止未 经授权的访问。
数据安全性
数据加密
对敏感数据进行加密存储,确保数据 在传输和存储过程中的安全性。
数据备份与恢复
定期备份数据,并制定有效的恢复策 略,以防止数据丢失或损坏。
访问控制列表
访问控制策略
制定严格的访问控制策略,限制用户对特定功能、数据和信息的访问。
权限审查
定期审查用户的权限设置,确保权限分配合理且符合组织的安全要求。
及时更新权限
当组织结构或工作职责发生变化时,应及时更新相关 用户的权限,以保持权限与实际需求的一致性。
使用标准角色与自定义角色
使用标准角色
SAP提供了标准角色,这些角色已经预先定义了相应的 权限。通过分配标准角色,可以快速为新用户配置所需 权限。
适当使用自定义角色
《SAP权限的设定》课件
定期审查权限设置,确保与组织政策和业务需求保持一致。
权限审计与监控
1 2
日志记录与分析
记录用户对系统的所有操作,以便进行审计和分 析。
异常检测
通过监控系统活动,及时发现异常操作或潜在的 安全威胁。
3
定期审计
对系统权限进行定期审计,确保权限设置符合组 织政策和最佳实践。
04 SAP权限的安全控制
案例二:用户管理与授权
总结词
用户是SAP系统中的具体操作人员,需要对用户进行 合理的授权管理,以确保系统的安全性。
详细描述
在SAP系统中,用户是具有登录和操作SAP系统的能 力的个体。管理员需要根据用户的职责和需求为其分 配相应的角色或权限。授权过程需要遵循最小权限原 则,即只授予用户完成工作所需的最低权限。在案例 二中,我们将介绍如何管理用户账户,包括创建用户 、分配角色或权限、设置登录参数等,以确保用户能 够安全、有效地使用SAP系统。
访问控制策略
用户身份验证
通过用户名和密码进行身份验证,确保只有授权用户能够访问SAP 系统。
角色管理
为不同用户分配不同的角色,每个角色具有不同的权限级别,限制 用户对特定功能和数据的访问。
权限审查
定期进行权限审查,确保用户只拥有完成工作所需的必要权限,避免 权限过度分配。
数据安全保护
数据加密
01
好地满足企业的实际需求。
02 SAP权限的设定流程
角色管理
01
02
03
角色定义
定义角色名称、描述,为 角色分配相应的职责和功 能。
角色授权
根据角色职责,为其分配 相应的权限,控制角色可 访问的模块和功能。
角色分配
将角色分配给相应的组织 单元或用户,实现权限的 集中管理和分配。
sap权限设定(完整版)
权限设定操作手册权限保护1.注意1.1.用户、角色、事务代码、受权对象的关系用户:由几个角色构成角色:由一系列事务代码搭建事务代码:需要系统规定的必需受权对象才能运转受权对象:由它的参数来定义1.2.权限设定须慎重权限设定特别重要,而且权限的排错查问特别繁琐、耗时,所以在做权限设准时必定要慎重,每次改正都要记录。
1.3.测试环境下改正除非特别状况,权限设定不同意在正式环境直接改正。
一般都是在测试环境改正、测试成功后,再传到正式环境。
1.4.拒绝不合理权限要求Basis 不是决定用户权限范围的人,而是实质管理中大大小小业务流的管理者。
所以,改正权限设定,务必需求用户供给经过领导签核的申请表。
关于用户不合理的权限要求,顾问有责任拒绝。
2.角色保护2.1.作业说明基本由权限的大架构有 User ID (用户),Role (角色), Profile (权限参数文件)三层,可知权限的设定也会有相应的三层。
目的SAP中的权限管理能够经过成立若干角色的方式进行,角色的定义为 SAP中单个或很多个事务代码( T-Code)构成的一个角色定位。
角色是指在业务中预先定义的履行特别职能的工作。
能够为单个的用户的需求去创立角色,也能够经过事务代码创立角色,而后分派给各个需要这些角色的用户。
创立角色主要有三种方式:手工创立。
合适所有新建角色的需求,主要对应权限追加;继承。
主要对应设定派生角色;复制。
主要对应设定基本的角色。
继承与复制创立角色的差别:用继承的方式成立新角色,继承后,只要要填写Org.level,Object就所有表记为绿灯。
用复制的方式成立新角色,需要在Object 里填入值, Object 才能所有表记为绿灯。
以上是二者操作上最大的差别。
2.2.创立单调角色事务代码与菜单路径PFCG–工具 ->管理->用户保护->角色管理->角色菜单此为事务代码输入栏后续作业工具列图示 / 其余说明备注输入事务代码可于命令栏输入 [ 事务代码 ] 并按 ENTER键,履行程序鼠标双击( 或 ) 将鼠标光标停在欲履行对象,并双击鼠标左键。
sap 权限的设定
权限设定的操作
上面说过﹐权限的大架构由User ID, Role, Profile 三层组成﹐那么﹐权限的设 定自然也会有三层。但由于sap4.6是 Profile与Role是捆绑在一起的﹐所以在建 立Role的时候﹐Profile是会自动创建的 (具体见后文)。而User ID的建立比较 简单。所以﹐我将主要说明Role的部分。
A/R 作業人員 CO-AR G+CO-AR G+CO-AR-1 Y+CO-AR
职能中文名称
职能英文名称 全球共同Template Role 地区Template Role 全球共同Basis Role
Role的命名和分类
全球共同Template Role﹕是指此职能在全球任何 一个地区都一致的那部分权限的模板。
USER ID 的建立
T CODE ﹕ SU01
1 输入要创建的User ID 2 单击建立图标
USER ID 的建立
填好这些字段
USER ID 的建立
设定初始密码 设定组别﹐这对MIS非常重
要﹐MIS能否管理此User ID就看这里
有效期一般不设定
USER ID 的建立
按图设定(打印机按实际设定)
Role的建立—完全新建
菜单的壳子有了﹐如何往里面添加内容呢 ﹖
比较常见的是﹕从SAP菜单添加和直接添 加T CODE。
从SAP菜单添加﹕
所有标准的T CODE和没有T CODE的标准 程序都可以用这种方法添加。好处是可 以寻找﹐可以一次添加标准菜单的一个 目录﹐T code在标准菜单中的位置也可以 显示出来。缺点是很浪费时间﹐而且外 挂的程序无法添加。
当 Org.Level 给值后﹐
SAP权限设定
• Role﹕同類的USER使用SAP的目的和常用的功 能都是類似的﹐例如業務一定需要用到開S/O 的權限。當我們把某類USER需要的權限都歸 到一個集合中﹐這個集合就是“職能”(Role)。
所謂的“角色”或者“職能”﹐是sap4.0才 開始有的概念﹐其實就是對user的需求進行歸 類﹐使權限的設定更方便。(面向對象的權限!!)
PPT文档演模板
注意選第二項
SAP权限设定
Role的建立—完全新建
描述一般與Role name一致
記錄此Role的創建者 把描述填好后﹐按save
PPT文档演模板
記錄此Role的最后修改者 然后點擊menu頁簽
SAP权限设定
Role的建立—完全新建
Menu頁簽定義的是USER MENU(個人化菜單)的內容。
PPT文档演模板
SAP权限设定
權限設定者分工
二.以USER ID分 從USER ID可以區分出這個ID所屬的廠別
和模組。 例如﹕PSC1-ENG01這是PSC1廠的帳號﹐
屬于PP模組﹐所以這個帳號申請的權限 將由東莞PP模組的MIS主要負責和監督。
PPT文档演模板
SAP权限设定
權限設定者分工
三.以所申請的權限歸屬的模組分
PPT文档演模板
SAP权限设定
Role的建立—完全新建
我們假設有一個帳號 “FORTEST”,他 申請了例外權限 VA01和YF30。
下面我將會一步一步向大家說明操作 的步驟和應該注意的地方。
看到PFCG的畫面了嗎﹖沒有﹖ 哦﹐在下一頁。
PPT文档演模板
SAP权限设定
SAP权限的设定PPT课件
USER ID 的建立——1
• T CODE ﹕ SU01
1 輸入要創建的User ID 2 單擊建立圖標
9
USER ID 的建立——2
填好这些栏目
在某些用户用SAP 系统打印时,需要 输出这些信息,比 10 如采购部门
USER ID 的建立——3
别名
设定用户组
設定初始密碼
一般当公司多 了后,要把用 户分成不同的 用户组
單個Role的傳輸 大批量的傳輸
• 在PFCG的開始畫面﹐可以看到。 • 由于單個Role的傳送比大批量的傳送從操作上來說
要簡單而且類似﹐所以我們重點說大批量傳送的操 作。
47
Role的傳輸—產生Request Num
沒有起用
如果這個Role第一次傳輸這里 一定要打勾﹐否則傳輸到其 它client后會沒有Assign到User
51
Role的刪除
• 請注意﹕如果需要利用傳輸功能在多個環境中刪除 Role﹐一定要按以下順序進行﹕
• 1.對Role產生傳輸的Request Num﹔ • 2.刪除本環境的Role﹔ • 3.Release;(此時本環境中已經沒有這個Role了) • 4.傳輸
52
帳號刪除
•
帳號(User ID)的刪除操作也十分簡單
畢后﹐按 激活設定﹐Assign給USER ID,就完成了。
34
Role的建立—復制
一開始當然是進入PFCG了﹐先把Template Role名輸進去﹐然
后按COPY按鈕
35
Role的建立—復制
36
Role的建立—復制
紅色框住 的都是要 填入值的 地方﹐最 好先填完 Org.level
37
sap权限设定(完整版)
权限设定操作手册权限维护1.注意1.1.用户、角色、事务代码、授权对象的关系-用户:由几个角色组成-角色:由一系列事务代码搭建-事务代码:需要系统规定的必要授权对象才能运行-授权对象:由它的参数来定义1.2.权限设定须谨慎-权限设定非常重要,并且权限的排错查询非常繁琐、耗时,因此在做权限设定时一定要谨慎,每次更改都要记录。
1.3.测试环境下修改-除非特殊情况,权限设定不允许在正式环境直接更改。
-一般都是在测试环境修改、测试成功后,再传到正式环境。
1.4.拒绝不合理权限要求-Basis不是决定用户权限范围的人,而是实际管理中大大小小业务流的管理者。
-所以,变更权限设定,务必要求用户提供经过领导签核的申请表。
-对于用户不合理的权限要求,顾问有责任拒绝。
2.角色维护2.1.作业说明-基本由权限的大架构有User ID(用户),Role(角色),Profile(权限参数文件)三层,可知权限的设定也会有相应的三层。
-目的SAP中的权限管理可以通过建立若干角色的方式进行,角色的定义为SAP中单个或者多个事务代码(T-Code)组成的一个角色定位。
角色是指在业务中事先定义的执行特殊职能的工作。
可以为单个的用户的需求去创建角色,也可以通过事务代码创建角色,然后分配给各个需要这些角色的用户。
-创建角色主要有三种方式:手工创建。
适合所有新建角色的需求,主要对应权限追加;继承。
主要对应设定派生角色;复制。
主要对应设定基本的角色。
-继承与复制创建角色的区别:用继承的方式建立新角色,继承后,只需要填写Org.level,Object就全部标识为绿灯。
用复制的方式建立新角色,需要在Object里填入值,Object才能全部标识为绿灯。
以上是两者操作上最大的区别。
2.2.创建单一角色-事务代码与菜单路径PFCG –工具 -> 管理 -> 用户维护 -> 角色管理 -> 角色-菜单此为事务代码输入栏-后续作业-字段说明-后续作业-字段说明-后续作业-字段说明-后续作业-字段说明-后续作业-备注由于SAP的角色内容可以用多种方法进行选择,如根据SAP的菜单、SAP的报表程序、以及其他角色等等。
SAP权限设定的方法
SAP权限设定的方法简介SAP(Systems, Applications, and Products in Data Processing)是一个用于企业资源规划(ERP)的软件系统。
在SAP系统中,权限设定是非常重要的一项任务,它可以控制用户对系统中不同事务和数据的访问权限。
本文将介绍SAP权限设定的方法,帮助读者了解如何正确设置用户权限,确保系统的安全性和合规性。
SAP用户权限的级别在SAP系统中,用户权限分为以下几个级别:1.事务级权限:控制用户对特定事务的访问权限,如创建销售订单、审核付款等。
2.模块级权限:控制用户对特定模块的访问权限,如销售模块、采购模块等。
3.数据级权限:控制用户对特定数据对象的访问权限,如销售订单数据、员工数据等。
4.组织级权限:控制用户对特定组织单元(如公司、部门、项目组)的访问权限。
SAP权限设定的步骤下面将介绍在SAP系统中进行权限设定的基本步骤:步骤一:确定用户角色首先,需要确定每个用户的角色,即其在组织中扮演的角色和职责。
根据用户角色的不同,其所需的权限也会有所区别。
步骤二:创建角色在SAP系统中,需要创建与用户角色相对应的角色。
角色可以通过事务码“PFCG”来创建。
在创建角色时,可以选择预定义的模板,也可以根据需要进行自定义。
步骤三:分配事务和模块权限在创建角色后,需要为角色分配事务和模块的权限。
可以通过事务码“SU01”来进行权限分配。
在分配权限时,可以选择将事务和模块权限直接分配给角色,也可以通过角色分配给用户。
步骤四:定义数据级权限除了事务和模块权限外,还可以定义数据级的权限。
通过事务码“PFCG”,可以在角色中定义哪些数据对象的访问权限是允许的,哪些是禁止的。
步骤五:设置组织级权限最后,还可以设置组织级的权限。
通过事务码“PPOCE”和“PPOC_OLD”,可以进行组织单元的设置和组织单元之间的关系设置。
SAP权限设定的最佳实践在进行SAP权限设定时,需要遵循以下最佳实践:1.权限分离原则:应该根据用户的职责和工作需求,将权限按照粒度进行划分,避免将过多权限授予单个用户。
SAP权限设置介绍
ERP权限控制在这一节,介绍一下ERP 的权限设计,了解权限设计的逻辑。
一个特别是适合大集团业务的ERP 系统,应该提供一个非常完善的权限控制机制,甚至允许将权限控制字段细到字段级别,举例:Select 用户名From 用户表where 用户名='butcher' (得到用户名)select 权限组ID From 权限表where 用户名='butcher' (得到用户对应的权限组ID )select * From 权限控制列表where 权限组ID = ‘***** '(得到没个权限组ID 对应的明细权限列表也就是用户的明细权限)在此我们可看到诸如用户名表,角色表,权限组表和对应业务操作的权限详细控制列表诸如此类的表格。
现在来看看ERP的权限设计思路,首先了解下几个Tcode和权限相关表格。
常用权限相关Tcode .(一)Role(角色)相关T-code:PFCG 创建ROLE_CMP 角色比较SUPC 批量建立角色profile(二)建立用户SU01 建立用户SU01D 显示用户SU2|SU3| SU50|SU51|SU52 改变/显示用户个人参数SU10|SU12 批量维护用户SUCOMP 维护用户公司地址SUIM 用户信息系统(强调一下)(三)建立用户组SUGR| SUGRD_NA V 维护用户组SUGRD| SUGR_NAV 显示用户组(四)维护检查授权SU20|SU21 自定义授权字段和授权对象SU53 当出现权限问题可使用它检测未授权对象.SU56: 分析authoraztion data buffers.常用权限相关表格:TOBJ : All avaiable authorization objects.(ERP 系统默认的所有授权对象)USR12: 用户级authorization 值USR02:User Logon Data(包括用户名称密码,是否锁住等字段)USR03:User address dataUSR05:User Master Parameter ID(Tcode SU3可查看用户参数文件的参数ID默认值)USR41:当前用户(即Tcode SM04看到的所有当前活动用户,包括各种对话系统通信类用户)USRBF2 :记录当前用户所有的授权objectsUST04:User Profile master(用户主数据中对应的权限参数文件名)UST10S : Single profiles (授权文件,权限参数和授权对象对应表 ) UST12 : Authorizations (具体授权细节)重点提示:USR02/USRBF2/UST10S/UST1四个表包含的信息就是 ERP 权限控制的关键,前者是用户主数 据表,后三者和用户授权紧密相关。
SAP权限设置介绍
ERP权限控制在这一节,介绍一下ERP 的权限设计,了解权限设计的逻辑。
一个特别是适合大集团业务的ERP 系统,应该提供一个非常完善的权限控制机制,甚至允许将权限控制字段细到字段级别,举例:Select 用户名From 用户表where 用户名='butcher' (得到用户名)select 权限组ID From 权限表where 用户名='butcher' (得到用户对应的权限组ID )select * From 权限控制列表where 权限组ID = ‘***** '(得到没个权限组ID 对应的明细权限列表也就是用户的明细权限)在此我们可看到诸如用户名表,角色表,权限组表和对应业务操作的权限详细控制列表诸如此类的表格。
现在来看看ERP的权限设计思路,首先了解下几个Tcode和权限相关表格。
常用权限相关Tcode .(一)Role(角色)相关T-code:PFCG 创建ROLE_CMP 角色比较SUPC 批量建立角色profile(二)建立用户SU01 建立用户SU01D 显示用户SU2|SU3| SU50|SU51|SU52 改变/显示用户个人参数SU10|SU12 批量维护用户SUCOMP 维护用户公司地址SUIM 用户信息系统(强调一下)(三)建立用户组SUGR| SUGRD_NA V 维护用户组SUGRD| SUGR_NAV 显示用户组(四)维护检查授权SU20|SU21 自定义授权字段和授权对象SU53 当出现权限问题可使用它检测未授权对象.SU56: 分析authoraztion data buffers.常用权限相关表格:TOBJ : All avaiable authorization objects.(ERP 系统默认的所有授权对象)USR12: 用户级authorization 值USR02:User Logon Data(包括用户名称密码,是否锁住等字段)USR03:User address dataUSR05:User Master Parameter ID(Tcode SU3可查看用户参数文件的参数ID默认值)USR41:当前用户(即Tcode SM04看到的所有当前活动用户,包括各种对话系统通信类用户)USRBF2 :记录当前用户所有的授权objectsUST04:User Profile master(用户主数据中对应的权限参数文件名)UST10S : Single profiles (授权文件,权限参数和授权对象对应表 ) UST12 : Authorizations (具体授权细节)重点提示:USR02/USRBF2/UST10S/UST1四个表包含的信息就是 ERP 权限控制的关键,前者是用户主数 据表,后三者和用户授权紧密相关。
快速搞定SAP权限设定
快速搞定SAP权限设定Sap权限设定方法1.使用su01给用户添加权限1.1打开SAP进入SAP初始化界面,在T-CODE输入栏中输入su01(如图1.1)图1.1:1.2.进入如图1.2的画面,在USER栏里输入你需添加的用户帐号,然后按新建图标. 图1.21.3出现如图1.3的画面,给所要添加的用户输入TITLE和LAST NAME等属性图1.31.4选择LOGON DATA页面,在PASSWORD栏里输入初始化密码(如图1.4)图1.4:1.5选择ROLE页面,在ROLE栏里添加用户的权限(如图1.5)图1.5:1.6输入完毕后,按保存按钮,返回su01功能界面,输入其他的用户,并添加权限(如图1.6)图1.6:2.用pfcg来维护ROLE2.1进入SAP初始化界面,输入T-COLD:pfcg(如图2.1)图2.1:2.2进入如图2.2界面,在ROLE栏中输入你想建立或维护的ROLE 名,按新建按钮2.3进入如图2.3界面,按保存按钮.图2.32.4选择AUTHORIZATIONS页面,按CHANGE AUTHORIZATION DATA按钮(如图2.4)2.5进入如下界面,表中列出所有的分类权限,选择一个你想设定的权限(如图2.5)图2.52.6进入分类设定权限的界面(如图2.6)2.7在表中选择你不想要的权限并把它们设成红色,设完后保存(如图2.7)2.8然后按激活按钮(红白圆形图标),跳出如图2.8窗口,按确定2.9然后返回(如图2.9)2.10选择USER页面,在USER ID栏中输入你想赋予权限的用户帐户名.(图2.10)2.11这样用pfcg维护ROLE就完成了.。
SAP权限的设定教程
Role的建立
新创建Role主要有三种方式。T CODE ﹕PFCG 1.由始至终新建;
可以对应所有新建Role。主要对应例外权限 Z+USERID+EXCEPTION 2.继承; 主要对应设定Z+USERID+职能名称 3.复制(COPY)﹔ 主要对应设定Z+USERID+职能名称-1
– 命名特征是 “Y+” 开头 例如 “ Y + CO – CO ”
SAP权限管理
权限设定者分工
一.以Role类型分 1.Template Role
即“G”开头的: 台北本部的AP MIS er Role:
以Z开头的:东莞AP MIS 以W开头的:吴江AP MIS 3.Basis Role: 即以Y开头的:台北和东莞Basis MIS
OBJECT完全没有给值 OBJECT只有部分给值 OBJECT已经全部有值
请注意﹕绿灯只是表示 全部有值而已﹐但不一 定就是我们所需要的值
SAP权限管理
Role的建立—完全新建
这个Object是任何权限设定文件中都应该有的﹐这是给予启 动T code的权限﹐如果T code没有出现在这个列表 中﹐user连这个指令的画面都无法进入
这些是常用的功能
手动增加T code 从SAPMenu中增加T code 从其他Role中Copy Menu
SAP权限管理
Role的建立—完全新建
请大家按图所示建立目录 ﹐第一层是职能﹐这里是 EXCEPTION﹐下面分“标准”(Standark)和 “外挂” (Add On) 两个目录 。 让菜单保持清晰﹐可以令User的个人菜单清楚﹐不混乱。 我们MIS检查权限也比较方便。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
权限设定操作手册权限维护1.注意1.1.用户、角色、事务代码、授权对象的关系-用户:由几个角色组成-角色:由一系列事务代码搭建-事务代码:需要系统规定的必要授权对象才能运行-授权对象:由它的参数来定义1.2.权限设定须谨慎-权限设定非常重要,并且权限的排错查询非常繁琐、耗时,因此在做权限设定时一定要谨慎,每次更改都要记录。
1.3.测试环境下修改-除非特殊情况,权限设定不允许在正式环境直接更改。
-一般都是在测试环境修改、测试成功后,再传到正式环境。
1.4.拒绝不合理权限要求-Basis不是决定用户权限范围的人,而是实际管理中大大小小业务流的管理者。
-所以,变更权限设定,务必要求用户提供经过领导签核的申请表。
-对于用户不合理的权限要求,顾问有责任拒绝。
2.角色维护2.1.作业说明-基本由权限的大架构有User ID(用户),Role(角色),Profile(权限参数文件)三层,可知权限的设定也会有相应的三层。
-目的SAP中的权限管理可以通过建立若干角色的方式进行,角色的定义为SAP中单个或者多个事务代码(T-Code)组成的一个角色定位。
角色是指在业务中事先定义的执行特殊职能的工作。
可以为单个的用户的需求去创建角色,也可以通过事务代码创建角色,然后分配给各个需要这些角色的用户。
-创建角色主要有三种方式:手工创建。
适合所有新建角色的需求,主要对应权限追加;继承。
主要对应设定派生角色;复制。
主要对应设定基本的角色。
-继承与复制创建角色的区别:用继承的方式建立新角色,继承后,只需要填写Org.level,Object就全部标识为绿灯。
用复制的方式建立新角色,需要在Object里填入值,Object才能全部标识为绿灯。
以上是两者操作上最大的区别。
2.2.创建单一角色-事务代码与菜单路径PFCG –工具 -> 管理 -> 用户维护 -> 角色管理 -> 角色-菜单此为事务代码输入栏-后续作业工具列图示/其它说明备注输入事务代码可于命令栏输入[ 事务代码 ]并按ENTER键,执行程序鼠标双击(或)将鼠标光标停在欲执行对象,并双击鼠标左键。
(或)将鼠标点击按钮-字段说明字段名称必要备注输入Role √角色的名称显示显示该角色的内容更改更改该角色的内容创建创建角色创建组件角色创建带有其他角色的角色-后续作业工具列图示/其它说明备注点击,进入下一个画面-字段说明备注字段名称必要输入角色√角色的名称说明角色的描述空白处角色的详细备注等-后续作业工具列图示/其它说明备注点击,选择“保存”后,保存该角色名称。
进入菜单标签-字段说明字段名称必要备注输入点击可进行事务代码的手动添加点击可进行报表程序代码的添加点击可进行其他方式的添加点击可从SAP Menu中选择事务代码添加从其他角色中Copy Menu -后续作业工具列图示/其它说明备注点击可建立菜单新目录结构-字段说明字段名称必要备注输入点击可建立菜单新目录结构-后续作业工具列图示/其它说明备注点击进入单个事务代码的顺序手动添加-备注由于SAP的角色内容可以用多种方法进行选择,如根据SAP的菜单、SAP的报表程序、以及其他角色等等。
此处以单个事务代码为例。
-字段说明备注字段名称必要输入此处填入选择的SAP事务代码-后续作业工具列图示/其它说明备注点击分配事务代码-字段说明备注字段名称必要输入此栏位处,显示已经分配给该角色的事务代码清单-后续作业工具列图示/其它说明备注点击进入“权限”标签-字段说明备注字段名称必要输入此栏位为建立角色必须产生的参数文件名称此栏位为建立角色产生的参数文件的描述-后续作业工具列图示/其它说明备注点击生成角色参数文件,也可手动按自定义规则填写-字段说明备注字段名称必要输入删除已授权的参数文件信息更改菜单以后,必须点击此处重新激活角色的参数文件。
系统重新读取角色的菜单,按菜单的变化变更Object对象,具有一定的智能,但会把已经Merge(合并)的Item弹开,造成设定者的混乱。
不反对使用包含“更改授权数据”的功能,但保留原有的可用设定,可以看到变化前的参数文件。
即使新的权限没设定好,还有原有的权限可用。
推荐使用-后续作业工具列图示/其它说明备注点击,进入角色参数文件的激活界面-字段说明备注字段名称必要输入-后续作业工具列图示/其它说明备注点击保存之前的数据,进入激活界面系统中设置的标准事务代码所需要的Object,系统会自动带出来-字段说明备注字段名称必要输入-后续作业工具列图示/其它说明备注因为,这里是根角色的设置,所以不分配组织级别的value值,点击退出,进入激活界面系统中设置的标准事务代码所需要的Object,系统会自动带出来-字段说明字段名称必要备注输入Object已经全部给值注意:只代表全部给值而已,但不一定是权限需要的符合系统逻辑关系的值Object只有部分给值Object完全没有给值-后续作业工具列图示/其它说明备注点击和,查看并激活所有需要被激活的相关其他连接的功能,组织级别相关给值设置为未激活,使其变成绿灯通过上一步操作,可以看到设置行项目的左端有此按钮。
点击,将和组织级别给值相关的设置转为未激活,尽可能使其变成绿灯适当考虑后,有些授权,可通过点击此按钮,给全值。
注意:手动赋值过的设置,是不能再通过此操作给全值的。
类似于下图:如果,需要维护组织级别value,可以在分配组织级别value时不退出,直接如下图定义:-字段说明备注字段名称必要输入√选择该角色范围在组织架构中的职权范围组织级别维护计划工厂√选择该角色适用的维护计划工厂范围维护工厂√选择该角色适用的维护工厂范围工厂√选择该角色适用的工厂范围德文,英译“Org.level”权限设定中许多地方的控制点是一致的,SAP为了方便权限的设定,把这些地方设计为与全局变量关联。
当改变全局变量时,这些地方就可以全部关联更改。
这个全局变量就是:Org.level当给Org.level赋值后,其对应的Object Value的值也会改变对Org.Level赋值之后,会发现相当一部分的Object value都已经被联动赋值,但还有一些Object依旧标识为红灯或者黄灯。
这些Object是要单独被赋值的。
-后续作业工具列图示/其它说明备注点击,保存输入的数据,进入激活界面。
-字段说明字段名称必要输入备注Object已经全部给值注意:只代表全部给值而已,但不一定是权限需要的符合系统逻辑关系的值Object只有部分给值Object完全没有给值-后续作业工具列图示/其它说明备注点击和,查看并激活所有需要被激活的相关其他连接的功能,组织级别相关给值设置为未激活,使其变成绿灯通过上一步操作,可以看到设置行项目的左端有此按钮。
点击,将和组织级别给值相关的设置转为未激活,尽可能使其变成绿灯适当考虑后,有些授权,可通过点击此按钮,给全值。
注意:手动赋值过的设置,是不能再通过此操作给全值的。
-字段说明字段名称必要备注输入点击,激活需要被激活的相关其他连接的功能,给对应的Object赋值点击,相当于给这个Object一个“*”(star);“*”表示All Authorization的含义,不卡任何权限;Object给值后,就变成绿色,不能再被点击红框中标注的行对象,是每个权限参数文件中都应该有的。
如果添加的事务代码没有出现在这个行对象列表中,那么用户可能不能进入事务代码控制的视图。
-后续作业工具列图示/其它说明备注-字段说明备注字段名称必要输入-后续作业工具列图示/其它说明备注点击生成激活程序,保存该角色参数文件。
激活该角色的参数文件,完成创建表示该角色的参数文件已被创建-字段说明备注字段名称必要输入表示该角色的参数文件已经被创建-后续作业工具列图示/其它说明备注点击,退出角色参数文件维护界面-字段说明字段名称必要备注输入绿灯,表示该角色的参数文件已经被激活-后续作业工具列图示/其它说明备注点击进入“用户”标签,进行权限授权-备注授权就是给个人(或组)一个方式或权力来行使一些特殊的职责。
它允许或禁止用户在系统中进行操作和处理事务。
在缺省状态下,所有用户最初是没有执行任何事务的权限的;通过各种授权赋予执行事务的权限;一个用户可以执行的事务数量反映出其授权的大小。
-字段说明备注字段名称必要输入表示该角色被分配的用户名清单表示该角色对该用户的有效时限-后续作业工具列图示/其它说明备注点击进行用户名和角色功能比较检查-字段说明备注字段名称必要输入-后续作业工具列图示/其它说明备注点击,完全比较,显示下一个页面-字段说明备注字段名称必要输入-后续作业工具列图示/其它说明备注点击“是”,保存该角色的用户分配信息-字段说明备注字段名称必要输入-后续作业工具列图示/其它说明备注此作业结束2.3.创建复合角色-事务代码与菜单路径PFCG –工具 -> 管理 -> 用户维护 -> 角色管理 -> 角色-菜单此为事务代码输入栏-后续作业工具列图示/其它说明备注输入事务代码可于命令栏输入[ 事务代码 ]并按ENTER键,执行程序鼠标双击(或)将鼠标光标停在欲执行对象,并双击鼠标左键。
(或)将鼠标点击按钮-字段说明字段名称必要备注输入Role √角色的名称显示显示该角色的内容更改更改该角色的内容创建创建角色创建组件角色创建带有其他角色的角色-后续作业工具列图示/其它说明备注点击,进入下一个画面-字段说明备注字段名称必要输入角色√角色的名称说明角色的描述空白处角色的详细备注等-后续作业工具列图示/其它说明备注点击,进入“角色”标签-字段说明备注字段名称必要输入如果之前未保存,会弹出判断是否保存的对话框-后续作业工具列图示/其它说明备注点击,保存-字段说明备注字段名称必要输入√填写组合角色中的单一角色名称-后续作业工具列图示/其它说明备注点击,保存点击,进入“菜单”标签页-字段说明备注字段名称必要输入点击可建立菜单新目录结构点击可修改菜单新目录结构点击可显示其组合的单一角色菜单-后续作业工具列图示/其它说明备注点击可显示其组合的单一角色菜单-字段说明字段名称必要备注输入菜单已被标识为绿色组合角色的菜单已由其包含角色的菜单构建-后续作业工具列图示/其它说明备注点击,保存如果,需要用户分配,可继续与单一角色进行用户分配相同的操作如果,不需要现在用户分配,点击,退出2.4.更改角色-交易代码与菜单路径PFCG –工具 -> 管理 -> 用户维护 -> 角色管理 -> 角色-菜单此为事务代码输入栏-后续作业工具列图示/其它说明备注输入事务代码可于命令栏输入[ 事务代码 ]并按ENTER键,执行程序鼠标双击(或)将鼠标光标停在欲执行对象,并双击鼠标左键。