SAP权限设计培训

1SAP权限概念2授权就是给个人（或组）一个方式或权力来行使一些的职责用SAP的语言来说….它允许或禁止用户在系统中进行操作和处理事务权限的概念什么是授权3SAP授权概念在缺省状态下，所有用户最初是没有执行任何事务的权限的通过各种授权赋予执行事务的权限一个用户可以执行的事务数量反映出其授权的大小权限的概念4事务基于“角色”进行分组角色是指在业务中事先定义的执行特殊职能的工作例如，在下面的事务中有两个角色：物料主数据管理员角色事务:MM01MM02MM03MM06MM60物料管理经理角色事务:XK05XK04MB53MB24权限的概念－角色5李四角色:会计师经理张三角色:会计师仓库检验员WO创建者用户ID基于岗位业务要求而被分配给各适合的角色例如:TCODE1TCODE2TCODE3TCODE4TCODE5TCODE6TCODE7TCODE8TCODE9TCODE1TCODE2TCODE3TCODE10TCODE11TCODE12TCODE13TCODE14TCODE15用户可以运行他们所属角色中的各种事务代码权限的概念－用户6进入一个SAP事务代码就好象….从z间授权对象就是开门的钥匙授权对象权限的概念－授权对象7即使只缺少一个对象，用户都不能够运行事务代码运行事务代码需要先具备所有的授权对象!(即整套钥匙)授权对象1授权对象2授权对象3授权对象4授权对象5权限的概念－授权对象8可以对授权对象进行更详细的参数限制，有两种类型的参数:–组织数值，例如•公司代码•帐目类型•销售组织–约束值，例如•行为•授权组合•购买凭证类型权限的概念－对象参数9SPEXSAPR/3ProjectVersion1.0AuthorizationConcept例如:事务MIRO–发票凭证用户必须具有下列对象才能够运行事务代码….这些对象是进入并运行事务代码必需的钥匙权限的概念－授权对象10“参数”=特征例如:会计帐目:帐目类型的授权有两个参数12权限概念－对象参数11SPEXSAPR/3ProjectVersion1.0AuthorizationConcept在这个例子中，有两个对象参数…对象参数决定了用户在事务代码中操作的特殊Objectparametersdeterminethespecificpermissionsausercanperforminatransaction.…问题:ThisusercanperformWHATACTIVITIEStoWHICHACCOUNTTYPES?权限概念－对象参数12参数参数参数授权对象授权对象授权对象授权对象事务代码事务代码事务代码授权对象角色角色角色角色角色用户是由几个角色组成的实际工作岗位可能对应于系统中的几个角色的集合角色是一系列事务代码事务代码需要一些授权对象来运行授权对象由它的参数（组织架构，约束值等）来定义用户授权级别图表工作岗位1工作岗位22019年8月1日星期四13每一位系统操作人员对应有一个系统用户；每个系统用户对应多个复合角色以满足一人对应企业中多个岗位的要求；单一角色为定义一个业务操作单位的最小单元；每个单一角色下可以对应多个事务代码；授权的概念-权限的组成UserCo.RoleCo.RoleRoleRoleRoleTcodeTcodeTcodeTcodeTcodeTcode…IPSystemnumberClientObjecttypeObjectfieldProfile2019年8月1日星期四14总体设计•对SAPR3开发、测试、质量保证、生产系统进行不同权限配置，以完成相应的功能；•SAP可以透过对用户几个维度的管理来达到权限管理的目的：−组织架构（如公司代码、仓库、。。。）−在系统中可以操作的业务（如执行交易、查询数据、更改数据、审批数据等）的事务码−授权对象（如授与用户A总账科目展示,创建,删除权限）•SAP中的用户权限完全由分配给他的权限参数文件决定，分配到的权限参数文件越大、越多，其可以执行的操作也越多2019年8月1日星期四15授权的原则16岗位MRO-P04-S02-E01发料流程需用单位仓库保管员流程开始查询库存物资需求情况(MD04)确认发货需求及数量创建预留根据预留、工单提出发货请求打印发货单发货(MB1A)结束移动类型：241：从仓库发货到资产(项目类物资)ZB1：发料到成本中心(营业费用)ZB3：发料到成本中心(管理费用)ZB5：发料到成本中心(生产成本)ZB7：发料到成本中心(长期待摊物资)签字确认业务科室专业计划员是否工单发货（MB1A)是否此处的岗位在系统中叫角色，不等于我们实际工作中的岗位17通用角色创建—PFCG事务码：PFCG18通用角色—角色描述此处输入角色描述点击菜单并保存19通用角色—添加事务码点击事务按钮，添加此角色所需的事务码20通用角色—生成参数文件点击权限进一步维护此角色的详细参数21通用角色—生成参数文件点击更改授权数据来维护此角色的详细参数此处暂无参数名称22通用角色—组织级别特别注意：红灯表示组织级别尚未维护，只能点击组织级别按钮进去维护，切勿在此处直接维护此处维护组织级别，通用角色的组织级别仅用来测试23通用角色—对象参数在此页维护：行为：创建、显示等凭证类型授权组合此处的选择决定了此角色可以维护哪些物料主数据视图24通用角色—激活参数凭证类型点击激活按钮，即可生成参数文件无需修改参数文件名称25通用角色—查看参数文件返回到前一屏幕即可看到参数文件26本地角色—创建事务码：PFCG输入本地角色名称27本地角色—维护继承关系在此处维护继承的通用角色确认后本地角色即创建完成，还需再集中生成参数文件28本地角色—复制点击复制按钮，即可参照已有的本地角色复制新本地角色事务码：PFCG29本地角色—复制选项确认后本地角色即复制完成，还需再集中生成参数文件30本地角色—继承关系被复制注意：继承关系也同时被复制31本地角色—集中生成通过修改通用角色而集中生成本地角色32本地角色—集中生成1.点击菜单：权限—调整派生—生成派生的角色2.将把通用角色的参数值复制到所有他的本地角色3.并同时生成本地角色的参数文件4.需要为本地角色重新维护组织级别5.以后再作派生是通用角色不再覆盖本地角色33本地角色—维护特定组织级别运行PFCG，修改本地角色，如：Z：MPMM00100134本地角色—维护特定组织级别输入本地角色的组织级别35本地角色—重新激活36通用角色和本地角色通用角色采购管理员北京基地采购管理员天津基地采购管理员本地角色角色类型相同点不同点联系及影响采购管理员通用角色事物代码和约束值（如：创建、修改、显示、凭证类型）无需维护组织级别为通用角色添加、删除事务时，继承于她的本地角色同时也改变北京基地采购管理员本地角色维护北京基地的组织级别继承于通用角色，通用角色被更改时本地角色的事务代码和权限值同时被修改，但本地角色保持各自原有的组织级别不变，用户只能申请本地角色天津基地采购管理员本地角色维护天津基地的组织级别继承用户的维护(SU01)用户维护事务代码：SU01权限的管理主要使用到了下面的事务代码：SE43、SU03、SU02、SE93、SUIMSU53、SU20、SU21、SU22、SU24、SU10/SU12程序中权限的检查在用户能在系统中进行某项操作之前，需要进行适当的授权。登录到R/3系统后，系统在用户主记录进行检查，看看有权使用哪些事务。每个敏感事务都要实施授权检查。如果要保护某项事务操作，则必须实施授权检查。这意味着必须：在事务定义中分配授权对象；对AUTHORITY-CHECK进行编程。AUTHORITY-CHECKOBJECTauthorizationobjectIDauthority-field1FIELDfield-value1IDauthority-field2FIELDfield-value2IDauthority-fieldnFIELDfield-valuen.其中：OBJECT参数指定授权对象。ID参数指定授权字段。FIELD参数指定授权字段的值。例子例：AUTHORITY-CHECKOBJECT'S_TABU_DIS'ID'ACTVT'FIELD'02'ID'DICBERCLS'FIELD'05'.IFSY-SUBRC=0.......ENDIF.