sap权限设定(完整版).

权限相关1 权限的作用及基本概念介绍1.1权限的作用决定了用户在系统中能否进行某项操作；防止越权和失误操作发生，从而保证系统数据安全（核心作用）；权限工作的质量（好坏），是上线成功的基础之一；权限工作的质量（好坏），会直接影响最终用户对使用ERP系统的信息；1.2权限的基本概念①用户ID下可以包含多个角色（参数文件）；②角色（参数文件）下可以包括多个Tcode；③Tcode下包括多个权限对象；④权限对象下包括多个参数；⑤参数下包括多个参数值；1.2.1用户ID命名规则：如果启用HR模块，则可直接使用员工ID，否则要跟用户商量命名规则；（长度不能超过12位）（例如HR108）；1.2.2角色（参数文件），即岗位角色与参数文件是一一对应的关系，角色即岗位，权限的设置首先创建用户ID，然后给用户ID分配角色、参数文件；权限的维护有两种方式：一种维护角色、另一种维护参数文件（如果是创建角色点击自动生成的参数文件，不行，只能是单独的参数文件）；角色和参数文件是一一对应的，维护了角色，参数文件会自动带过来；角色分四类：①单一角色、②复合角色、③通用角色、④本地角色；可以把多个单一角色给一个ID；复合角色=多个单一角色集合；通用角色相当于模板角色，把模板制作好；本地角色就相当于复制或继承，继承与复制有区别，本地角色可以继承并一直关联通用角色，复制不存在关联；1.2.3事务代码（Tcode）角色里面有很多Tcode；相当于给你个保险箱；把MIRO的权限给了用户ID；1.2.4权限对象与Tcode相关，相当于打开保险箱的一串钥匙；比如：把MIRO的权限给了用户ID，就能做发票校验么？不能，必须配合权限对象，权限对象可以是一把钥匙，也可能是一串钥匙；权限对象里面包括：参数、参数值；1.2.5参数两种类型参数：①组织结构类型，如：公司代码、采购组织、工厂等；举例：做MIRO只给你6666公司代码的权限，7777公司代码你就做不了等等；②约束类型，如：行为、授权组合、采购凭证类型等；1.2.6参数值参数值：例如公司代码6666、5009；采购组织5108；工厂1081、1082；创建、显示/更改等等；1.3 权限数据收集模板我们作为业务顾问，先调研，如果公司比较大，权限多，我们会设置一个权限组交给几个顾问，专门负责权限，同时甲方企业也会成立个权限组，负责权限，我们相互沟通；调研制定权限，需要制定权限数据收集模板，这个模板要结合我们的企业需求（见excel资料）；举例：1.3.1 通用角色（模板角色）黄色：ZMM038是开发的Tcode；也要维护进去；Z-YKM-MM0001：中YCM是项目简称，MM表示模块，后面是流水号；Z-YKM-MM0001：是通用角色（模板角色）；此时设计角色要注意，要把所有权限包含在内，具体多少个因项目而异，一个tcode可以设置一个角色，两个tcode也可以设置一个角色，所有tcode设置一个角色也可以；X：表示使用这个tcode；1.3.2 本地角色通用角色不是直接使用的，只是个模板，真正使用输入SAP的是本地角色；Z-MM-6000-0001：6000指工厂，0001流水号；每个本地角色，有对应参考的通用角色，本地角色是复制通用角色的；后四列（公司代码、利润中心、工厂、采购组织）就是权限对象；1.3.3 用户权限表将本地权限分配给用户；这个模板将参数EVO和EFB也定义为本地角色了；这样分配权限后，用户ID就不用SU3维护相关参数了；原账号就是用户ID；将本地角色分配给用户ID；需要的角色就打个X；2 SU01创建用户及界面字段介绍可以新建、更改、显示在角色页签分配角色，有了相应的权限；地址页签：相应得个人信息、公司信息；登陆数据页签：1）用户类型：选A对话，其他的B\C等和BASIS相关；1）密码：可以维护密码；2）用户组：SAP授权方式可以以组的方式进行授权，都一样的给这个组授权就可以了，组页签也可以维护用户组；SNC页签：与VPN账号有关，创建后能从外网连接内网，BASISI负责；参数页签：就是SU3维护的参数；参数文件页签：权限的维护有两种方式：一种维护角色、另一种维护参数文件（如果是创建角色点击自动生成的参数文件，不行，只能是单独的参数文件）；角色和参数文件是一一对应的，维护了角色参数文件自动带过来；3 PFCG创建角色并分配用户演示：创建BASIS基本角色（SU3、SU53、SE36等），并分配给用户；SU53：评估权限检查，项目上用户没有某个tcode的权限，想添加，与权限组的顾问进行交流，用SU53可以查看缺什么权限对象，截图，然后把权限对象和截图告诉、发送给权限组顾问，权限组顾问给开权限；可以用Tcode，也可以点界面创建角色；正常只有BASIS有使用这个Tcode 的权限，有了这个权限啥都能干，功能权限最大的Tcode；进入后：户页签：可以将创建的角色关联到用户；也可以SU01角色页签关联角色；权限页签：最下面维护权限数据和生成参数文件，进入可以维护相应权限，比如SU53缺的权限都可以进入并维护上，维护完点保存--再激活；4 以MIRO为例：演示权限分配过程4.1 PFCG创建角色编辑抬头--保存--菜单页签添加事务代码：MIRO--保存--点权限页签；点击更改权限数据--是：显示出MIRO组织级别的限制：可以输工厂，或者*和点击完全授权一样不受工厂控制，任意工厂都行；保存；自动进到这个界面，红灯是不允许的，要维护改为绿灯，黄灯可以，最好也改为绿灯；彩色底的都叫权限对象；Tcode MIRO包括了多个权相对象；权限对象下还包括权限对象，最后是参数（作业和工厂），白底的是参数值；对黄灯参数值进行维护，自动变绿维护好，都变绿，点保存，点激活，一定要激活；然后后退；保存；户页签：可以将创建的角色关联到用户；也可以SU01角色页签关联角色；4.2 SU01创建用户编辑登陆数据页签：用户名，密码；地址页签维护：姓；激活不用管；角色页签：关联角色，参数文件自动带入到参数文件页签保存；此时，新建的用户ID：QIU108登陆系统，MIRO报错；还需要其他权限对象，还需要其他要是打开tcode miro；比如这个公司代码的钥匙；4.3 SU53查看缺少的权限对象新用户QIU108：SU53查看缺少的权限对象；（注意新用户要开SU53的权限）；会显示上一次错误，需要的权限对象，显示出来：权限对象F_BKPF_BUK；4.4 PFCG维护权限数据权限组顾问登陆，PFCG维护新用户的权限页签；红灯，需要维护，绿灯了--点上方激活--保存；新用户QIU108再MIRO就可以进入了，做业务可能还会红灯报错缺，查看错误信息缺权限对象，有的错误信息会带权限对象的编号，我们直接把这个编号发给权限组顾问，重复之前操作，维护权限数据；做MIRO时会用到的相关Tcode（MIR4、MIR5、MIR7、MBSS），我们也要添加到PFCG的菜单页签的角色菜单里，然后同理维护权限页签；4.5 PFCG通过复制菜单的方式，给关键用户授权以上是给普通用户授权（通过角色的方式）；如果是MM关键用户，MM关键用户其实和顾问的权限差不多，后勤所有的权限都要有，可以通过复制菜单的方式；相关的事务代码，就都带过来了；然后权限页签--生成参数文件--维护权限数据（因为是关键用户，全部都完全授权就可以了）；提示很多黄灯，我们不用一个一个点（可以直接点黄色三角确定就变绿了需要一个一个权限对象的点），点最上面一行中间有个黄色三角，点一下，再确定，就所有都变绿了；然后激活--保存；再把这个角色分配给关键用户；5 单一角色和复合角色把创建的单一角色，放到一起，就是复合角色；PFCG创建复合角色：角色页签可以输入角色；保存就行了，不需要维护权限数据；把这个复合角色分配给用户就行了；6 通用角色和本地角色通用角色也称根角色、母角色；本地角色也称派生角色、衍生角色、子角色；①本地角色需继承通用角色，但参数文件需要重新生成；②本地角色复制通用的组织级别数据；在更改权限数据界面，点击“复制数据”；③通常情况下，通用角色不需要做组织级别的限制，全部为*；④本地角色要做组织级别的限制，如工厂或采购组织的限制等；⑤通用角色的命名比较宏观，如Z-MM-MIRO；⑥本地角色的命名比较明确，如Z-MM-MIRO-1000-001；⑦更改通用角色，点击“生成派生角色”后，会同步更新本地角色；⑧如果时间来不及，也可以不用创建通用角色，直接使用本地角色；6.1 本地角色需继承通用角色，但参数文件需要重新生成PFCG创建单一角色，描述为通用角色，通用角色不分配关联用户ID；PFCG创建单一角色，描述为本地角色，在描述页签：来自角色：输入刚刚创建的通用角色；通用角色的信息就都带过来了；权限页签需要维护，维护参数文件，更改权限数据等；更改权限数据，可以不输入，点×；点复制数据--确定，自动复制母角色（通用角色）的权限数据；变绿灯；6.2 更改通用角色，点击“生成派生角色”后通常通用角色权限是不做限制的（比如组织级别都是完全授权*），所有权限都授权；本地角色的权限如果复制的通用角色，当通用角色做了更改，同时让本地角色发生更改，激活--保存后：点击生成派生的角色，会同步更新本地角色，这一步一定不要忘记，否则，两者不一致；由于通用角色授权的权限很多，所以真正限制权限是在本地角色，点击更改权限数据，对授权进行限制；将本地角色分配给用户，通用角色不分配用户；组织级别可以做限制：比如工厂、采购组织做个限制；权限对象的参数值，也可以维护做限制，点笔，或者双击空白；像MM03在权限对象参数值的编辑中，就可以控制显示哪些视图；7 角色的复制与继承共同点：都可以提高工作效率，都需要分配用户；不同点：①复制的新角色跟模板角色无后续关联，需要重新生成参数文件，而权限对象直接全部绿灯；②继承的新角色后续会保持跟模板角色的同步更新，需要重新生成参数文件，而且需要维护好组织级别后，权限对象才会全部变为绿灯；复制：继承：通常情况下用继承；复制看情况；8 权限相关TcodeSU01：用户维护；PFCG：角色维护；SUGR：维护用户组；SU10：用户批量维护；SU3：维护用户参数文件；SU53：显示用户缺失的权限数据；SU24：维护事务代码与权限对象之间的分配；SUIM：用户权限信息系统；8.1 SUGR创建用户组可以在SUGR创建用户组时将用户维护到组里，或者SU01用户维护时输入组；8.2 SU10用户批量维护财务常用这个tcode SU10；月结时要把所有用户的权限都锁定，啥也干不了，月结结束以后，再将权限开放；8.3 SU24维护事务代码与权限对象之间的分配比如我们创建MIRO角色，需要维护公司代码、供应商等等很多权限对象；能不能一次搞定，省的用SU53一个一个去查；SU24就可以直接查出需要哪些权限对象；或者根据权限对象查出哪些Tcode会用到；举例：①应用程序页签：MIRO--运行：可以显示出与MIRO相关的全部系统自带的权限对象；具体用哪个就得凭经验了；②权限对象页签：输入权限对象--运行：8.4 SUIM用户权限信息系统用处不大；比如：可以按用户分配查找角色、按Tcode查找角色等等；9 权限对象的查找①可以通过SU24来查找，另外SU24，还可以通过权限对象来反查Tcode;②可以根据前台权限报错，然后通过SU53的方式，来获取权限对应信息；③最好根据经验，把常用的权限对象总结的一个文档上，以便后用（可以收集模板时也把权限对象加入里面）；PFCG中权限对象显示技术名称：10 权限相关底表①AGR_USERS：用户与角色对应表；SE16输入底表AGR_USERS--筛序输入用户--运行出相关角色；或SE16输入底表--筛序输入角色--运行出相关用户；②AGR_TCODES：角色与Tcode对应表；SE16输入底表AGR_TCODES--筛序输入角色--运行出相关Tcode；或SE16输入底表--筛序输入Tcode--运行出相关角色；③查询用户ID对应的Tcode：SA38中运行程序RSUSR010；④其它：RSUSR_ROLE_MENU，RSUSRAUTH；不是底表也不是程序；与权限相关；11 其它①查看授权对象的技术名称：在更改权限数据界面，菜单栏--实用程序--技术名称打开；（笔记663页）②只能把角色分配给用户，不能把已生成的参数文件直接分配给用户；③但系统自带的参数文件可以直接分配给用户，如SAP_ALL，可以直接分配，而无需角色；④权限是并集，即如果有两个角色，一个设置只能查看物料主数据，一个能查能改，则此用户能查能改；12 权限的测试一般放到对最终用户进行培训的时候；基本上权限培训完，就开始进行上线了；权限的测试非常非常关键！！！12.1 权限设计时的注意事项①权限设计非常重要，而且一旦出现问题，排错非常繁琐、耗时，所以请大家在设计时一定要非常谨慎，每次更改都要记录；②权限设计不允许在测试、生产系统更改，必须在开发系统修改好后传到测试、生产系统（不仅权限，所有维护都是这样，保证系统之间的一致性）；③决定user权限的人不是IT人员，而是team leader，所以要变更用户权限，务必要求用户提供经过审核的申请表（上线后给用户设计word申请表：比如用户解锁、密码重置申请表；用户权限变更管理流程；用户角色权限变更申请表(业务顾问填写)；用户角色权限变更申请表(最终用户填写)）；④对于user不合理的权限要求，IT人员有责任退回；12.2 权限的测试①在权限测试过程中，最少应进行两轮测试，第一轮测试需对每个模块抽取一个种子角色（关联通用角色的本地角色）进行测试；②这个测试过程非常重要，在以后的角色创建过程中，都将会对这个角色（通用角色）进行复制操作；③因此，第一轮测试应该安排的时间最长，做的最完善，以免以后造成重复工作；测试都时候，要一个tcode一个tcode的测试，还要进行反向测试，比如你是采购员，要有ME21N的权限，ME21N测试完没问题，属于正向测试，然后我们权限顾问将ME21N的权限拿掉，测试采购员ME21N是否还能使用，叫反向测试，正向一遍反向一编；12.3 权限测试的注意事项①权限测试要重视，要指派专门的业务人员与权限管理员共同完成整个测试过程（测试的时候我们顾问不参与，有问题找顾问）；②每个事务代码都要测试，避免发生遗漏的现象；③根角色中的权限对象要避免重复，对于重复的权限对象要对其进行合并，在角色中避免出现红色OBJECT值的现象（权限对象那不能有红灯）；④修改权限对象(authorizition object)时要注意能否继续派生；⑤在做权限过程中，注意更新文档，与系统保持同步；13 权限的传输13.1 角色导出权限也是在开发机进行维护，然后进行传输；首先进行角色导出到本地；①单一角色（这里指一个角色（可以单一可以复合））的导出：PFCG--输入角色技术名称--左上角“角色”--下载（ctrl+F11）;保存到本地文件夹；②批量角色的导出：PFCG--实用程序--成批下载（ctrl+shift+F1）;可以进行筛选--运行导出到本地文件夹；Z*表示所有Z打头的导出；*MM*表示所有MM的角色；可以重命名，就是个空白文件；13.2 角色导入到目标系统将角色导入；①单一角色的导入：PFCG--左上角“角色”--上载（ctrl+F12）；②批量角色的导入：PFCG--左上角“角色”--上载（ctrl+F12）；选择本地角色导出的数据导入，显示绿灯就是成功了，PFCG可以更改/显示；注意：上载后权限页签参数文件要重新生成，检查下权限数据绿灯--激活--保存；13.3 通过请求号传输到目标系统上面的导出和导入是通过文件的方式；还可以通过请求号传输到目标系统；PFCG--实用程序--批量（大量）传输--选择要传输的角色--点击左上角的闹钟--输入已有或重新新建请求号传输过去；一般项目上不用这种方法传角色；13.4 注意只需要下载本地角色20200804注意：只需要下载本地角色，然后COPY上载到目标系统，通用角色会自动带过来；13.5 角色导入生产机后，批量生成参数文件PFCG--实用程序--成批生产，选择第一个选项带非当前参数文件的角色（Roles with Non-Current Profiles）附加限定--角色--输入比如QIU*--然后点击运行--全选点击生成，就批量创建好了--保存；注意：只需要批量生成通用角色的参数文件，点击“生成派生角色”后，本地角色的参数文件会自动更新；本地角色不用选中，选中通用角色就行---点生成；点击上方眼镜角色可以查看；13.6 角色导入生产机后，批量生成用户比较PFCG--实用程序--批量比较（ctrl+shift+F5）;用户页签分配用户，如果导入的系统里有相同的用户，自动关联，没有（或红灯较多）需要批量关联导入系统里的用户（进行批量用户比较）；进入后筛选--运行--自动生成；。

权限设定操作手册权限保护1.注意1.1.用户、角色、事务代码、受权对象的关系用户：由几个角色构成角色：由一系列事务代码搭建事务代码：需要系统规定的必需受权对象才能运转受权对象：由它的参数来定义1.2.权限设定须慎重权限设定特别重要，而且权限的排错查问特别繁琐、耗时，所以在做权限设准时必定要慎重，每次改正都要记录。

1.3.测试环境下改正除非特别状况，权限设定不同意在正式环境直接改正。

一般都是在测试环境改正、测试成功后，再传到正式环境。

1.4.拒绝不合理权限要求Basis 不是决定用户权限范围的人，而是实质管理中大大小小业务流的管理者。

所以，改正权限设定，务必需求用户供给经过领导签核的申请表。

关于用户不合理的权限要求，顾问有责任拒绝。

2.角色保护2.1.作业说明基本由权限的大架构有 User ID （用户），Role （角色）， Profile （权限参数文件）三层，可知权限的设定也会有相应的三层。

目的SAP中的权限管理能够经过成立若干角色的方式进行，角色的定义为 SAP中单个或很多个事务代码（ T-Code）构成的一个角色定位。

角色是指在业务中预先定义的履行特别职能的工作。

能够为单个的用户的需求去创立角色，也能够经过事务代码创立角色，而后分派给各个需要这些角色的用户。

创立角色主要有三种方式：手工创立。

合适所有新建角色的需求，主要对应权限追加；继承。

主要对应设定派生角色；复制。

主要对应设定基本的角色。

继承与复制创立角色的差别：用继承的方式成立新角色，继承后，只要要填写Org.level，Object就所有表记为绿灯。

用复制的方式成立新角色，需要在Object 里填入值， Object 才能所有表记为绿灯。

以上是二者操作上最大的差别。

2.2.创立单调角色事务代码与菜单路径PFCG–工具 ->管理->用户保护->角色管理->角色菜单此为事务代码输入栏后续作业工具列图示 / 其余说明备注输入事务代码可于命令栏输入 [ 事务代码 ] 并按 ENTER键，履行程序鼠标双击( 或 ) 将鼠标光标停在欲履行对象，并双击鼠标左键。

网上有不少关于权限的文章，多是转来转去，COPY的台湾某个人N年前的PPT。

这里用平实的语言另启一个版本。

直观的说，权限就是“某人能干某事”和“某人不能干某事”之合。

在SAP系统中，用事务码（也称交易代码、或者TCODE、或者Transaction Code）表示一个用户能干的事情。

比如MM01这个TCODE是用来维护物料数据的、MIGO是用来收货的、FS00是用来维护会计科目的等。

用SU01新建一个ID时，默认的权限是空白，即这个新建的ID不能做任何事情，不能使用任何事务代码。

这样只需要为相应的ID赋上相应的TCODE，即可实现“某人能干某事”了，其补集，则是“某人不能干的某些事”。

但是我们不能直接在SU01里面给某个ID赋上TCODE，要通过ROLE中转一下。

即：一堆TCODE组成了一个ROLE，然后把这个ROLE分给某个ID，然后这个ID就得到一堆TCODE了。

上面这些，仅仅是SAP权限控制的初级概念，要理解SAP权限控制的全部，必须还要明白下面的概念。

1、角色（ROLE）、通用角色（Common Role）、本地角色（Local Role）上面讲了，角色，即ROLE，是一堆TCODE的集合，当然还包含有TCODE必备的“权限对象”、“权限字段”、“允许的操作”及“允许的值”等。

我们使用PFCG来维护角色。

为了系统的测试与SAP实施项目的阶段性需要，进一步将角色分为“通用角色”和“本地角色”。

举个例子便于理解：通用角色好比“生产订单制单员”，本地角色对应就是“长城国际组装一分厂生产订单制单员”。

所以，本地角色较之通用角色的区别就是，在同样的操作权限（事务代码们）情况下，前者多了具体的限制值。

这个限制值可能是组织架构限制，也可能是其他业务的限制。

如，一分厂的制单员不能维护二分厂的制单员；一分厂的制单员甲只能维护类型为A的单据，而不能维护类型为B的单据，诸如此类。

具体请看下面的概念。

2、权限对象（Authorization Object）、权限字段（Authorization Field）、允许的操作（Activity）、允许的值（Field Value）上文粗略说了构成ROLE的是若干TCODE。

权限设定操作手册权限维护1.注意1.1.用户、角色、事务代码、授权对象的关系-用户：由几个角色组成-角色：由一系列事务代码搭建-事务代码：需要系统规定的必要授权对象才能运行-授权对象：由它的参数来定义1.2.权限设定须谨慎-权限设定非常重要，并且权限的排错查询非常繁琐、耗时，因此在做权限设定时一定要谨慎，每次更改都要记录。

1.3.测试环境下修改-除非特殊情况，权限设定不允许在正式环境直接更改。

-一般都是在测试环境修改、测试成功后，再传到正式环境。

1.4.拒绝不合理权限要求-Basis不是决定用户权限范围的人，而是实际管理中大大小小业务流的管理者。

-所以，变更权限设定，务必要求用户提供经过领导签核的申请表。

-对于用户不合理的权限要求，顾问有责任拒绝。

2.角色维护2.1.作业说明-基本由权限的大架构有User ID（用户），Role（角色），Profile（权限参数文件）三层，可知权限的设定也会有相应的三层。

-目的SAP中的权限管理可以通过建立若干角色的方式进行，角色的定义为SAP中单个或者多个事务代码（T-Code）组成的一个角色定位。

角色是指在业务中事先定义的执行特殊职能的工作。

可以为单个的用户的需求去创建角色，也可以通过事务代码创建角色，然后分配给各个需要这些角色的用户。

-创建角色主要有三种方式：手工创建。

适合所有新建角色的需求，主要对应权限追加；继承。

主要对应设定派生角色；复制。

主要对应设定基本的角色。

-继承与复制创建角色的区别：用继承的方式建立新角色，继承后，只需要填写Org.level，Object就全部标识为绿灯。

用复制的方式建立新角色，需要在Object里填入值，Object才能全部标识为绿灯。

以上是两者操作上最大的区别。

2.2.创建单一角色-事务代码与菜单路径PFCG –工具 -> 管理 -> 用户维护 -> 角色管理 -> 角色-菜单此为事务代码输入栏-后续作业-字段说明-后续作业-字段说明-后续作业-字段说明-后续作业-字段说明-后续作业-备注由于SAP的角色内容可以用多种方法进行选择，如根据SAP的菜单、SAP的报表程序、以及其他角色等等。

如何快速创建一个拥有全部权限的SAP用户要快速创建一个拥有全部权限的SAP用户，需要按照以下步骤进行操作：1.登录SAP系统：使用具有足够权限的SAP用户登录系统，一般是管理员用户。

2. 进入用户管理界面：在SAP主界面上，选择"工具"-> "Administration" -> "用户管理"。

3.创建用户：点击"用户"菜单下的"创建"按钮，进入用户创建界面。

4.输入用户信息：在用户创建界面中，输入要创建用户的相关信息。

包括用户名、用户全名、初始密码等。

确保填写的信息准确无误。

5.分配角色：在用户创建界面中，选择"角色"选项卡。

点击"添加"按钮，将需要分配给该用户的角色添加到已选角色列表中。

这些角色应该包括所有的权限。

6.分配权限：在角色选项卡中，选择已选角色列表中的一个角色，点击"更改权限"按钮。

在权限分配界面中，选择需要分配给该角色的所有权限，确保勾选了所有权限。

7.保存用户：点击用户创建界面中的"保存"按钮，将创建的用户保存到系统中。

8.检查用户权限：在用户管理界面中，选择刚创建的用户，点击"查看权限"按钮，确认该用户拥有所有需要的权限。

9.重置密码：登录系统后，要求该用户修改初始密码。

点击"密码重置"按钮，设置一个新的密码。

10.测试用户权限：使用刚创建的用户登录SAP系统，并尝试访问各种功能和数据，确保用户拥有正确的权限。

需要注意的是，在创建拥有全部权限的SAP用户时，要确保给予用户必要的权限，同时也要谨慎给予系统最高权限，以避免滥用和安全风险。

此外，根据实际需求，可能需要创建多个具有特定权限的用户，以便按照不同的角色和职责进行管理。

SAP权限设定的方法简介SAP（Systems, Applications, and Products in Data Processing）是一个用于企业资源规划（ERP）的软件系统。

在SAP系统中，权限设定是非常重要的一项任务，它可以控制用户对系统中不同事务和数据的访问权限。

本文将介绍SAP权限设定的方法，帮助读者了解如何正确设置用户权限，确保系统的安全性和合规性。

SAP用户权限的级别在SAP系统中，用户权限分为以下几个级别：1.事务级权限：控制用户对特定事务的访问权限，如创建销售订单、审核付款等。

2.模块级权限：控制用户对特定模块的访问权限，如销售模块、采购模块等。

3.数据级权限：控制用户对特定数据对象的访问权限，如销售订单数据、员工数据等。

4.组织级权限：控制用户对特定组织单元（如公司、部门、项目组）的访问权限。

SAP权限设定的步骤下面将介绍在SAP系统中进行权限设定的基本步骤：步骤一：确定用户角色首先，需要确定每个用户的角色，即其在组织中扮演的角色和职责。

根据用户角色的不同，其所需的权限也会有所区别。

步骤二：创建角色在SAP系统中，需要创建与用户角色相对应的角色。

角色可以通过事务码“PFCG”来创建。

在创建角色时，可以选择预定义的模板，也可以根据需要进行自定义。

步骤三：分配事务和模块权限在创建角色后，需要为角色分配事务和模块的权限。

可以通过事务码“SU01”来进行权限分配。

在分配权限时，可以选择将事务和模块权限直接分配给角色，也可以通过角色分配给用户。

步骤四：定义数据级权限除了事务和模块权限外，还可以定义数据级的权限。

通过事务码“PFCG”，可以在角色中定义哪些数据对象的访问权限是允许的，哪些是禁止的。

步骤五：设置组织级权限最后，还可以设置组织级的权限。

通过事务码“PPOCE”和“PPOC_OLD”，可以进行组织单元的设置和组织单元之间的关系设置。

SAP权限设定的最佳实践在进行SAP权限设定时，需要遵循以下最佳实践：1.权限分离原则：应该根据用户的职责和工作需求，将权限按照粒度进行划分，避免将过多权限授予单个用户。

SAP 用户权限控制设置及开发(2012-09-03 16:03:31)转载▼标签：分类： ABAP权限用户的权限菜单是通过分配具体角色来实现的.1.创建角色PFCG输入角色名并点击 Single Role为角色分配权限菜单 .为角色配置权限数据维护完菜单后 ,仅实现在用户菜单中能看到相关的事务,要具有此事务权限还待设置具体的权限数据.SAP程式在执行中会通过读取该参数文件的数据来进行用户权限的检查及管控.在SAP实际应用中 , 用户所直接操作的是屏幕及屏幕所对应的字段 , 而这些具体的字段都是由权限对象进行控制 , 包括该字段所允许的操作及允许的值 .*表示为该字段分配完全权限 .通过状态灯图标来表示各权限对象的维护状态 , 绿灯代表激活 , 黄色代表未激活 , 红色代表未给权限字段分配值 , 单击权限字段前的铅笔图标可以定义该字段的授权值 .一些常用的权限字段 :ACTVT: 该字段存放的就是允许操作的代码,例如01代表创建,02代表修改,03代表显示等;TCD:存放该权限角色所包含的事务代码;该图说明允许该角色的用户能查看和更改物料的Status.权限对象维护完成后 , 点 Generate 将该权限数据激活 .将角色分配给用户 :进行用户比较 ,只有单击"完成比较"按钮,该用户所对应的权限角色才将正式生效.自定义权限对象 :1.权限字段的维护:SU20创建权限字段 .2.对象类及权限对象的维护SU21对象类是多个权限对象的集合 , 而一个权限对象下又可分配多个权限字段 , 新增的用户自定义权限对象 , 需要单击工具栏中的 "Regenerate SAP_ALL" 按钮才会把新增的权限对象赋值给 SAP_ALL这个权限参数文件 .3.权限对象的分配 .SU22把权限对象 (Authorization Object)分配给事务代码.有个奇怪的问题是 :我用SU22给自己的事务码分配了自定义的Authorization Object后,为什么在用PFCG增加权限的时候这个Authorization Object不能自动带过来,而系统自身的Tcode却能带过已经分配给它的Authorization Object.有知道的同学们请告知一声.可加QQ群:262131634 或 QQ: 115023071权限对象在 ABAP 程序中的调用 .For Example 1.对Parameters 输入的检查 :-------------------------------------------------------REPORT z_af_034.TABLES: marc.PARAMETERS:s_werks LIKE marc-werks DEFAULT '1000'.AT SELECTION-SCREEN.AUTHORITY-CHECKOBJECT 'ZS002'ID 'ZWERKS' FIELD s_werks.IF sy-subrc<>0.MESSAGE' 权限检查失败 ' TYPE 'E'.ENDIF.START-OF-SELECTION.--------------------------------------------------------For Example 2.对select-options数据的权限检查:--------------------------------------------------------REPORT z_af_034.TABLES: marc.DATA: errstr TYPE string.SELECT-OPTIONS: s_werks FOR marc-werks.START-OF-SELECTION.LOOP AT s_werks.IF NOT s_werks IS INITIAL.AUTHORITY-CHECKOBJECT 'ZS002'ID 'ZWERKS' FIELD s_werks-low.CONCATENATE'Plant' s_werks-low ' No Authorization'INTO errstr.MESSAGEerrstr TYPE 'E'.EXIT.ENDIF.IF NOT s_werks IS INITIAL.AUTHORITY-CHECKOBJECT 'ZS002'ID 'ZWERKS' FIELD s_werks-high.CONCATENATE'Plant' s_werks-high' No Authorization'INTO errstr.MESSAGEerrstr TYPE 'E'.EXIT.ENDIF.ENDLOOP.--------------------------------------------------------------可通过 Function GET_AUTH_VALUES获取权限对象的权限值 .用户权限缺失的检查 .SU531). 检查操作用户是否被授权能操作所执行的事务.2). 检查操作用户被授权的权限角色里面是否包含程序所调用的权限对象.3). 检查操作用户的权限检查字段输入值是否包含在权限字段.在用户执行某个程式权限检查失败后,输入SU53就能看到权限评估检查报表. 如下图所示 :查找权限角色 :如何知道某个 Tcode 分配给了哪些 Role?SUIM。

ERP权限控制在这一节，介绍一下ERP 的权限设计，了解权限设计的逻辑。

一个特别是适合大集团业务的ERP 系统,应该提供一个非常完善的权限控制机制,甚至允许将权限控制字段细到字段级别，举例：Select 用户名From 用户表where 用户名='butcher' （得到用户名）select 权限组ID From 权限表where 用户名='butcher' （得到用户对应的权限组ID ）select * From 权限控制列表where 权限组ID = ‘***** '（得到没个权限组ID 对应的明细权限列表也就是用户的明细权限）在此我们可看到诸如用户名表，角色表，权限组表和对应业务操作的权限详细控制列表诸如此类的表格。

现在来看看ERP的权限设计思路，首先了解下几个Tcode和权限相关表格。

常用权限相关Tcode .（一）Role（角色）相关T-code:PFCG 创建ROLE_CMP 角色比较SUPC 批量建立角色profile（二）建立用户SU01 建立用户SU01D 显示用户SU2|SU3| SU50|SU51|SU52 改变/显示用户个人参数SU10|SU12 批量维护用户SUCOMP 维护用户公司地址SUIM 用户信息系统（强调一下）（三）建立用户组SUGR| SUGRD_NA V 维护用户组SUGRD| SUGR_NAV 显示用户组（四）维护检查授权SU20|SU21 自定义授权字段和授权对象SU53 当出现权限问题可使用它检测未授权对象.SU56: 分析authoraztion data buffers.常用权限相关表格:TOBJ : All avaiable authorization objects.（ERP 系统默认的所有授权对象）USR12: 用户级authorization 值USR02:User Logon Data（包括用户名称密码，是否锁住等字段）USR03:User address dataUSR05:User Master Parameter ID（Tcode SU3可查看用户参数文件的参数ID默认值）USR41:当前用户（即Tcode SM04看到的所有当前活动用户，包括各种对话系统通信类用户）USRBF2 :记录当前用户所有的授权objectsUST04:User Profile master（用户主数据中对应的权限参数文件名）UST10S : Single profiles （授权文件，权限参数和授权对象对应表 ） UST12 : Authorizations （具体授权细节）重点提示：USR02/USRBF2/UST10S/UST1四个表包含的信息就是 ERP 权限控制的关键，前者是用户主数 据表，后三者和用户授权紧密相关。

ERP权限控制在这一节，介绍一下ERP 的权限设计，了解权限设计的逻辑。

一个特别是适合大集团业务的ERP 系统,应该提供一个非常完善的权限控制机制,甚至允许将权限控制字段细到字段级别，举例：Select 用户名From 用户表where 用户名='butcher' （得到用户名）select 权限组ID From 权限表where 用户名='butcher' （得到用户对应的权限组ID ）select * From 权限控制列表where 权限组ID = ‘***** '（得到没个权限组ID 对应的明细权限列表也就是用户的明细权限）在此我们可看到诸如用户名表，角色表，权限组表和对应业务操作的权限详细控制列表诸如此类的表格。

现在来看看ERP的权限设计思路，首先了解下几个Tcode和权限相关表格。

常用权限相关Tcode .（一）Role（角色）相关T-code:PFCG 创建ROLE_CMP 角色比较SUPC 批量建立角色profile（二）建立用户SU01 建立用户SU01D 显示用户SU2|SU3| SU50|SU51|SU52 改变/显示用户个人参数SU10|SU12 批量维护用户SUCOMP 维护用户公司地址SUIM 用户信息系统（强调一下）（三）建立用户组SUGR| SUGRD_NA V 维护用户组SUGRD| SUGR_NAV 显示用户组（四）维护检查授权SU20|SU21 自定义授权字段和授权对象SU53 当出现权限问题可使用它检测未授权对象.SU56: 分析authoraztion data buffers.常用权限相关表格:TOBJ : All avaiable authorization objects.（ERP 系统默认的所有授权对象）USR12: 用户级authorization 值USR02:User Logon Data（包括用户名称密码，是否锁住等字段）USR03:User address dataUSR05:User Master Parameter ID（Tcode SU3可查看用户参数文件的参数ID默认值）USR41:当前用户（即Tcode SM04看到的所有当前活动用户，包括各种对话系统通信类用户）USRBF2 :记录当前用户所有的授权objectsUST04:User Profile master（用户主数据中对应的权限参数文件名）UST10S : Single profiles （授权文件，权限参数和授权对象对应表 ） UST12 : Authorizations （具体授权细节）重点提示：USR02/USRBF2/UST10S/UST1四个表包含的信息就是 ERP 权限控制的关键，前者是用户主数 据表，后三者和用户授权紧密相关。

角色设置一、MM模块角色规范要求 (2)二、角色建立 (2)1、新角色新建 (2)2、新角色复制 (8)3、角色批量比较 (10)三、角色传输 (11)四、角色维护注意点 (15)1、主数据 (15)2、采购管理 (16)3、库存管理 (17)4、用户权限查看 (19)一、MM模块角色规范要求角色名规范：MM_WERKS_FUNC_ACTVT。

如：MM_SBSX_PO_MATN。

角色描述规范：MM WERKS FUNC作业描述。

如：MM SBSX PO维护。

作业缩写规范：维护MATN—包含了创建与更改权限。

创建CREA，更改为CHANGE，显示DISP，审批REL。

建议在角色进行用户分配时，如果有创建、更改、审批权限时，就不需要再分配显示权限，一般在设置时，创建、更改或审批权限都包含有显示权限。

在设置审批权限时需要给对应的更改权限，否则单独把该权限分配给用户，用户是无法正常操作的。

二、角色建立使用事务码PFCG进入操作界面1、新角色新建输入需要新建的角色点按钮，输入规范的角色描述后，进入菜单屏幕，从选择角色需要的路径，选择相应的维护路径后，点左下角的返回到菜单界面，然后进入权限界面，进行权限参数维护，权限参数名建议点键自动生成，然后点进入具体参数设置，首先维护组织级别，然后点左下角保存按钮，可先打开技术名称，对需要人工添加的授权对象，点，然后维护授权对象名称，系统将在相应的路径下添加该对象，对于不需要的路径，点该路径右边，该路径将变为未激活。

在所有路径进行相应维护后，点保存，然后再点，点，参数文件已生成，返回到原始界面，至此角色已维护好，最后一步工作是进行用户分配，点，显示如下界面，点点，这样就完成了角色设置的整个过程，在输入用户时可从EXCEL文档中复制多行用户账号然后进行批粘贴，2、新角色复制在ROLE栏位输入原始ROLE，然后点复制按钮，显示如下，更改需要生成的角色名，然后点，点进行修改，首先需要修改角色描述，然后自动生成参数名称，再进行具体参数维护，在进行具体参数维护时，需要把组织级别进行更改，系统复制时是自动把原来的组织级别带过来，在组织级别进行更改后，对涉及到组织级别的路径再进行相应检查，避免有路径可能未更新组织级别的情况，如有未更新，则手工调整。

SAP权限设置控制与传输1. 引言SAP（Systems, Applications and Products）是一套领先的企业资源计划（ERP）软件，提供了广泛的功能模块来管理企业的各个方面，包括财务、物料管理、销售和采购等。

在SAP系统中，权限设置控制与传输是非常重要的，它可以确保只有授权的用户能够访问和操作特定的数据和功能模块。

本文将介绍SAP权限设置控制与传输的基本原则和操作步骤。

2. SAP权限设置控制2.1 权限概述在SAP系统中，权限是指用户可以访问和执行的特定功能和数据的范围。

通过权限设置控制，管理员可以定义哪些用户可以执行哪些操作，并限制用户的访问权限。

这些权限可以在不同的层次上进行设置，包括系统级、应用级和对象级权限。

2.2 权限设置原则在进行SAP权限设置时，应遵循以下原则：•最小权限原则：用户只能获得他们工作所需的最低权限级别，以降低潜在的风险。

•分离权限原则：不同的操作应该由不同的用户执行，以确保控制和审计的有效性。

•审计跟踪原则：系统应该记录所有用户的操作和访问行为，以便追踪和审计。

2.3 权限设置步骤2.3.1 创建角色角色是一组相关权限和功能的集合，可以为用户分配角色来定义其权限。

在SAP系统中，创建角色是权限设置的第一步。

1.进入SAP系统，使用管理员账户登录。

2.打开SAP菜单，并选择“角色管理”。

3.在角色管理界面，点击“新建角色”按钮。

4.输入角色名称、描述和权限范围等信息。

5.点击“保存”按钮，保存新角色。

2.3.2 分配角色一旦创建了角色，就可以将其分配给用户。

1.在SAP菜单中选择“用户管理”。

2.在用户管理界面，选择要分配角色的用户。

3.在用户详情页中，找到“角色”部分，点击“分配角色”按钮。

4.选择要分配的角色，并点击“保存”按钮。

2.3.3 测试权限在分配角色后，应该进行权限测试，以确保角色的权限设置满足预期。

1.使用被分配角色的用户账户登录SAP系统。