sap权限设定完整版定稿版
s a p权限设定完整版精
编W O R D版
IBM system office room 【A0816H-A0912AAAHH-GX8Q8-GNTHHJ8】
权限设定操作手册
权限维护
1.注意
1.1.用户、角色、事务代码、授权对象的关系
用户:由几个角色组成
角色:由一系列事务代码搭建
事务代码:需要系统规定的必要授权对象才能运行
授权对象:由它的参数来定义
1.2.权限设定须谨慎
权限设定非常重要,并且权限的排错查询非常繁琐、耗时,因此在做权限设定时一定要谨慎,每次更改都要记录。
1.3.测试环境下修改
除非特殊情况,权限设定不允许在正式环境直接更改。
一般都是在测试环境修改、测试成功后,再传到正式环境。
1.4.拒绝不合理权限要求
Basis不是决定用户权限范围的人,而是实际管理中大大小小业务流的管理者。
所以,变更权限设定,务必要求用户提供经过领导签核的申请表。
对于用户不合理的权限要求,顾问有责任拒绝。
2.角色维护
2.1.作业说明
基本
由权限的大架构有User ID(用户),Role(角色),Profile(权限参数文件)三层,可知权限的设定也会有相应的三层。
目的
SAP中的权限管理可以通过建立若干角色的方式进行,角色的定义为SAP中单个或者多个事务代码(T-Code)组成的一个角色定位。
角色是指在业务中事先定义的执行特殊职能的工作。
可以为单个的用户的需求去创建角色,也可以通过事务代码创建角色,然后分配给各个需要这些角色的用户。
创建角色主要有三种方式:
手工创建。适合所有新建角色的需求,主要对应权限追加;
继承。主要对应设定派生角色;
复制。主要对应设定基本的角色。
继承与复制创建角色的区别:
用继承的方式建立新角色,继承后,只需要填写Org.level,Object就全部标识为绿灯。
用复制的方式建立新角色,需要在Object里填入值,Object才能全部标识为绿灯。
以上是两者操作上最大的区别。
2.2.创建单一角色
事务代码与菜单路径
PFCG –工具 -> 管理 -> 用户维护 -> 角色管理 -> 角色
菜单
此为事务代码输
后续作业
工具列图示/其它说明备注
输入事务代码可于命令栏输入[ 事务代码 ]并按ENTER键,执行程序鼠标双击(或)将鼠标光标停在欲执行对象,并双击鼠标左键。
(或)将鼠标点击按钮
字段说明
备注
字段名称必要
输入
Role√角色的名称
显示显示该角色的内容
更改更改该角色的内容
创建创建角色
创建组件角色创建带有其他角色的角色
后续作业
工具列图示/其它说明备注
点击,进入下一个画面
字段说明
备注
字段名称必要
输入
角色√角色的名称
说明角色的描述
空白处角色的详细备注等
后续作业
工具列图示/其它说明备注
点击,选择“保存”后,保存该角色名称。进入菜单标
签
字段说明
备注
字段名称必要
输入
点击可进行事务代码的手动添加
点击可进行报表程序代码的添加
点击可进行其他方式的添加
点击可从SAP Menu中选择事务代码添加
从其他角色中Copy Menu
后续作业
工具列图示/其它说明备注
点击可建立菜单新目录结构
字段说明
备注
字段名称必要
输入
点击可建立菜单新目录结构
后续作业
工具列图示/其它说明备注
点击进入单个事务代码的顺序手动添加备注
由于SAP的角色内容可以用多种方法进行选择,如根据SAP的菜单、SAP的报表程序、以及其他角色等等。此处以单个事务代码为例。
字段说明
备注
字段名称必要
输入
此处填入选择的SAP事务代码
后续作业
工具列图示/其它说明备注
点击分配事务代码
字段说明
备注
字段名称必要
输入
此栏位处,显示已经分配给该角色的事务代码清
单
后续作业
工具列图示/其它说明备注
点击进入“权限”标签
字段说明
备注
字段名称必要
输入
此栏位为建立角色必须产生的参数文件名称
此栏位为建立角色产生的参数文件的描述后续作业
工具列图示/其它说明备注
点击生成角色参数文件,也可手动按自定义规则填写字段说明
字段名称必要
备注
输入
删除已授权的参数文件信息
更改菜单以后,必须点击此处重新激活角色的参数
文件。
系统重新读取角色的菜单,按菜单的变化变更
Object对象,具有一定的智能,但会把已经
Merge(合并)的Item弹开,造成设定者的混
乱。
不反对使用
包含“更改授权数据”的功能,但保留原有的可
用设定,可以看到变化前的参数文件。即使新的
权限没设定好,还有原有的权限可用。
推荐使用
后续作业
工具列图示/其它说明备注
点击,进入角色参数文件的激活界面
字段说明
字段名称必要
备注
输入
后续作业
工具列图示/其它说明备注
点击保存之前的数据,进入激活界面
系统中设置的标准事务代码所需要的Object,系统会自
动带出来
字段说明
备注
字段名称必要
输入
后续作业
工具列图示/其它说明备注
因为,这里是根角色的设置,所以不分配组织级别的
value值,点击退出,进入激活界面
系统中设置的标准事务代码所需要的Object,系统会自
动带出来
字段说明
字段名称必要
备注
输入
Object已经全部给值
注意:只代表全部给值而已,但不一定是权限需
要的符合系统逻辑关系的值
Object只有部分给值
Object完全没有给值
后续作业
工具列图示/其它说明备注
点击和,查看并激活所有需要被激活的相关其
他连接的功能,组织级别相关给值设置为未激活,使其
变成绿灯
通过上一步操作,可以看到设置行项目的左端有此按
钮。点击,将和组织级别给值相关的设置转为未激活,
尽可能使其变成绿灯
适当考虑后,有些授权,可通过点击此按钮,给全值。
注意:手动赋值过的设置,是不能再通过此操作给全值
的。
类似于下图:
如果,需要维护组织级别value,可以在分配组织级别value时不退出,直接如下图定义:字段说明
字段名称必要
备注
输入
√选择该角色范围在组织架构中的职权范围
组织级
别
维护计划工厂√选择该角色适用的维护计划工厂范围
维护工厂√选择该角色适用的维护工厂范围
工厂√选择该角色适用的工厂范围
德文,英译“Org.level”
权限设定中许多地方的控制点是一致的,SAP为
了方便权限的设定,把这些地方设计为与全局变
量关联。当改变全局变量时,这些地方就可以全
部关联更改。
这个全局变量就是:Org.level
当给Org.level赋值后,其对应的Object Value的
值也会改变
对Org.Level赋值之后,会发现相当一部分的
Object value都已经被联动赋值,但还有一些
Object依旧标识为红灯或者黄灯。
这些Object是要单独被赋值的。
后续作业
工具列图示/其它说明备注
点击,保存输入的数据,进入激活界面。
字段说明
字段名称必要
备注
输入
Object已经全部给值
注意:只代表全部给值而已,但不一定是权限需
要的符合系统逻辑关系的值
Object只有部分给值
Object完全没有给值
后续作业
工具列图示/其它说明备注
点击和,查看并激活所有需要被激活的相关其
他连接的功能,组织级别相关给值设置为未激活,使其
变成绿灯
通过上一步操作,可以看到设置行项目的左端有此按
钮。点击,将和组织级别给值相关的设置转为未激活,
尽可能使其变成绿灯
适当考虑后,有些授权,可通过点击此按钮,给全值。
注意:手动赋值过的设置,是不能再通过此操作给全值
的。
字段说明
备注
字段名称必要
输入
点击,激活需要被激活的相关其他连接的功能,
给对应的Object赋值
点击,相当于给这个Object一个“*”(star);
“*”表示All Authorization的含义,不卡任何权
限;
Object给值后,就变成绿色,不能再被点击
红框中标注的行对象,是每个权限参数文件中都
应该有的。
如果添加的事务代码没有出现在这个行对象列表
中,那么用户可能不能进入事务代码控制的视
图。
后续作业
工具列图示/其它说明备注
字段说明
备注
字段名称必要
输入
后续作业
工具列图示/其它说明备注
点击生成激活程序,保存该角色参数文件。
激活该角色的参数文件,完成创建
表示该角色的参数文件已被创建
字段说明
备注
字段名称必要
输入
表示该角色的参数文件已经被创建
后续作业
工具列图示/其它说明备注
点击,退出角色参数文件维护界面
字段说明
字段名称必要
备注
输入
绿灯,表示该角色的参数文件已经被激活
后续作业
工具列图示/其它说明备注
点击进入“用户”标签,进行权限授权
备注
授权就是给个人(或组)一个方式或权力来行使一些特殊的职责。
它允许或禁止用户在系统中进行操作和处理事务。
在缺省状态下,所有用户最初是没有执行任何事务的权限的;通过各种授权赋予执行事务的权限;一个用户可以执行的事务数量反映出其授权的大小。
字段说明
备注
字段名称必要
输入
表示该角色被分配的用户名清单
表示该角色对该用户的有效时限后续作业
工具列图示/其它说明备注
点击进行用户名和角色功能比较检查字段说明
备注
字段名称必要
输入
后续作业
工具列图示/其它说明备注