SAPERP权限管理

SAP系统权限管理权限设置24用户权限管理3权限特殊功能技巧介绍内容权限概念1•掌握R3系统权限的概念•掌握系统中权限的设置•掌握和权限相关的事务代码•了解用户权限的管理•掌握用户申请权限的流程和处理方式目标权限设置24用户权限管理3权限特殊功能技巧介绍内容权限概念1权限的概念权限的概念授权就是给个人（或组）一个方式或权力来行使一些特殊的职责用SAP的语言来说….它允许或禁止用户在系统中进行操作和处理事务权限的概念SAP授权概念在缺省状态下，所有用户最初是没有执行任何事务的权限的通过各种授权赋予执行事务的权限一个用户可以执行的事务数量反映出其授权的大小权限的概念权限的概念SAPAG1999AuthorizationConcept2Profile2ActivityGroup2Profile3ManualProfile1ActivityGroup1DataBankDataBankUserMasterRecordProfile(s)Authorization(s)FieldValues权限的概念权限的概念事务基于“角色”进行分组角色是指在业务中事先定义的执行特殊职能的工作例如，在下面的事务中有两个角色：总账会计角色事务:MMRVMMPVZOB52物料管理员角色事务:MM01MM02MM03MM60权限的概念---角色李四角色:会计经理张三角色:会计仓库保管员员用户IDs基于业务要求而被分配给各适合的角色例如:TCODE1TCODE2TCODE3TCODE4TCODE5TCODE1TCODE2TCODE3TCODE10TCODE11TCODE12TCODE13TCODE14TCODE15用户可以运行他们所属角色中的各种事务代码权限的概念---用户事务代码怎样分配给角色?通过分配来实现…授权对象权限的概念权限的概念----授权对象授权对象=运行事务的权限没有授权对象没有事务权限=权限的概念----授权对象进入一个SAP事务代码就好象….从一扇门进入一个房间授权对象就是开门的钥匙授权对象权限的概念----授权对象即使只缺少一个对象，用户都不能够运行事务代码运行事务代码需要先具备所有的授权对象!(即整套钥匙)授权对象1授权对象2授权对象3授权对象4授权对象5权限的概念----授权对象SAPAG1999FinancialAccountingAuthorizationdisplay,changeCustomercompanycode:AuthorizationACustomercompanycode:AuthorizationB0001-0009*displayObject:CustomercompanycodeCompanyCodeActivityAuthorizationobjectObjectclassAuthorizationObjects权限的概念----授权对象例如:事务MIRO–发票凭证用户必须具有下列对象才能够运行事务代码….这些对象是进入并运行事务代码必需的钥匙权限的概念----授权对象权限的概念----对象参数“参数”=特征例如:会计帐目:科目类型的授权有两个参数12权限的概念----对象参数有两种类型的参数:•组织数值，例如•公司代码•帐目类型•销售组织•约束值，例如•行为•授权组合•购买凭证类型权限的概念----对象参数在这个例子中，有两个对象参数…对象参数决定了用户在事务代码中操作的特殊.…问题:这个用户能操作哪个帐户类型？权限的概念----对象参数参数参数参数授权对象授权对象授权对象授权对象事务代码事务代码事务代码授权对象角色角色角色角色角色用户是由几个角色组成的角色是一系列事务代码事务代码需要一些授权对象来运行授权对象由它的参数来定义用户权限的概念----对象参数权限设置24用户权限管理3权限特殊功能技巧介绍内容权限概念1权限设置权限设置权限设置权限设置权限设置24用户权限管理3权限特殊功能技巧介绍内容权限概念1权限特殊功能技巧介绍SU01－用户维护SU02－参数文件SU24－维护事务权限对象的分配SU3－维护用户参数文件SUPC－参数文件的批量生成SU53－显示用户的权限数据ST01－系统轨迹跟踪PFCG－职责维护权限设置24用户权限管理3权限特殊功能技巧介绍内容权限概念1•用户管理标准化•用户ID命名规则•用户主数据•用户组•用户管理维护流程•基本用户角色•修改角色内容（增减事务代码，组织结构等）•增加或删除用户ID用户管理操作用户ID共享创建用户ID用户密码重设用户ID的锁定及解锁用户权限管理用户ID命名规则第1-2位第3-10位常数数字保留JT用户权限管理•用户主数据用于存储用户地址信息、登陆数据以及权限数据。最终用户应该用事务代码su01在系统中维护相关的信息：如地址、通讯方式等关键信息将用于用户的分类、识别以及便于实现如查找、修改、报告等功能的用户管理。•系统管理员应该统一用户界面，以便最终用户使用•登录语言:ZH•日期格式:YYYY/MM/DD•十进制符号:1234567.89•输出设备:根据实施地点预先设定•开始菜单:遵从角色菜单，同时多余菜单应删除•参数:根据每个功能的要求预先设定主要组织参数，以便于业务流程运行•对于临时用户，系统管理员应根据用户类型设定用户主数据有效期用户权限管理—用户主数据用户组-最终用户在登陆时，选择自己所在的用户组，也方便系统管理员的管理。用户组也可以用作查找标准，以便于用户管理。例如：查找财物功能组，使用“财务”组；查找已锁定的用户ID，使用“临时雇员”组。用户权限管理—用户主数据•权限管理员•授权管理•权限参数文件及角色的增加和修改•对已分配给用户的权限与所批准的权限是否一致进行周期性审查•向用户主数据分配SAP角色•用户账户管理•受理用户ID申请•增加和修改用户主数据•终止用户ID用户权限管理---基本角色描述•系统维护人员配置人员在开发系统中，进行配置调整工作；在测试系统中，进行测试工作；在生产系统中，进行查看数据工作；ABAP开发员•开发及测试系统•ABAP程序开发•ABAP程序测试•生产系统•跟踪•调试•显示用户权限管理---基本角色描述部门职责业务部门：负责指定本部门的权限规范者，权限审批者；负责填写，规范和审核《SAP权限申请表》对权限申请后形成的业务结果负责IT系统部门：负责制定R/3系统系列管理规范负责对新增用户的审批，从而管理控制系统中的用户数量负责提供对业务部门权限规范者的咨询、支持和培训负责对业务部门权限规范者提供的规范结果进行技术审查，并完成R/3系统内的权限配置工作负责对系统中用户及用户权限定期进行审核对R/3系统的数据安全、系统安全负责用户权限管理—职责与流程权限规范者应具备三方面的基本条件：熟悉本部门业务相关的流程、术语熟悉权限规范的工作流程认真负责，能够坚持原则权限规范者的基本职责：负责并管理本部门的操作用户和查询用户能够及时调整新到岗人员系统用户权限的增减及离岗人员用户的删除严格控制本部门R3用户查询及操作系统中数据的范围，从而保证系统的安全性按照系统用户管理规范的要求，定期对本部门的用户个数和各用户的权限进行审核用户权限管理—职责与流程R/3系统权限申请流程需求提出：业务部门根据实际业务需要，需要增加、修改或者减少R/3系统用户的权限时，即可提出R/3系统权限申请填写申请：申请者根据实际业务需求，在权限需求栏详细填写《SAP用户权限申请表》，向本部门的权限规范者提出申请权限规范：权限规范者接到本部门用户的《SAP用户权限申请表》，与申请者及相关人员进行必要沟通，准确了解业务需求，进行需求分析，通过系统用户名、角色编号及名称、事务代码等专业术语，准确描述本部门的权限需求，在《SAP用户权限申请表》中“权限规范者填写部分”填写，完成权限规范，并送交本部门的权限审批者进行审批用户权限管理—职责与流程权限审批权限审批者接到权限规范者递交的《SAP用户权限申请表》，从全局考虑，把握业务需求的正确性，对本部门的业务需求及权限规范结果进行签字认可如果需要申请非本部门的操作或查询权限，权限规范者需将经本部门权限规范者审批通过的《SAP用户权限申请表》，送交数据所属部门的权限规范者，由数据所属部门的权限审批者进行审批如果为新增用户，要由IT部门负责人进行审批递交申请权限规范者将经过审批后的《SAP用户权限申请表》，统一递交IT部门权限管理员。权限管理员只受理业务部门指定权限规范者递交的、并经权限审批者批准的《SAP用户权限申请表》的文件权限配置IT部门权限管理员接到《SAP用户权限申请表》，并确认无误后，在三个工作日内完成权限设置，并通知权限规范者检查使用用户权限管理—职责与流程用户管理维护流程权限确认及反馈：权限规范者在接到权限配置完成的信息后，应及时通知相关用户，并督促用户在3个工作日之内测试申请的权限，如有问题，由权限规范者统一反馈给权限接口人。如在3个工作日之内无问题反馈，权限管理员则视此权限设置正确，如以后再发现此问题将需要重新递交权限申请。文档维护：IT部门权限管理员完成权限设置以后，应该同时维护相关权限文档。用户审核流程各部门权限规范者应在一年中对于本部门的系统用户进行两次的审核，审核内容包括：每个用户的权限是否有所变化，是否有已经离职或停用的用。各个部门的权限规范者将本部门变动的情况提交给IT部门，由IT部门进行系统内的变动调整。用户权限管理—职责与流程开始业务人员权限申请权限规范者接受申请规范者规范权限申请报告递交业务人员所属部门审批者审批内部顾问IT负责人对申请进行审批权限管理员在系统中配置权限业务人员：权限申请者反馈给权限规范者审批未通过审批通过不批准增加用户用户权限管理—职责与流程•终止用户ID有时十分敏感，因此在实施前，应先实施相应安全措施，以避免系统遇到潜在威胁。•终止用户ID的流程需要多个用户组的协调工作•用于用户主数据模板的用户ID将被保存，以用于简化将来的用户管理流程。•用户SM37负责检查用户ID是否有进行后台工作•用户ID终止的3种情况•辞职:在移交期间，应该有对应的用户ID到期日•荒废的用户ID:进行定期检查，以删除荒废的用户ID•工作调动:原有用户ID应删除，创建新的用户ID用户权限管理—用户ID管理注意事项•用户ID共享是一种安全隐患，因为：•用户对其行为可不负责任•不便进行职责分配•不能对用户管理进行有效的控制•用户ID共享控制•在一个共享组中，挑选出一个用户ID负责人•当一个用户ID共享组中某个用户离开系统时，用户ID的负责人必须立即申请重新设定密码•权限管理员应该对于生产系统中的用户进行定期的检查，对于系统中过了有效期的临时用户进行锁定，临时用户在三个月之后，没有申请解锁可将其删除用户权限管理—用户ID管理注意事项•开发环境•系统配置员，开发员，超级用户将由手工创建•测试环境•首次创建用户将通过集团复制方式•集团复制源=开发环境中的用户主数据•新增用户将由手工创建•对于每个角色，至少创建属于此角色的一个用户，其用户名将遵从角色名•培训环境•由集团复制创建用户•集团复制源=培训环境中的用户主数据•新增用户将由手工创建•生产环境•权限管理员通过手工方式或bdc程序创建用户用户权限管理—用户ID管理注意事项•当最终用户忘记密码时可向权限管理员申请重新设置用户密码•用户密码重设的请求需要被核实，以防出现欺骗行为•对于共享的用户ID，此ID的负责人通知所有共享成员•如必要，可以修改禁止密码清单用户权限管理—用户ID管理注意事项系统管理员职责•用户ID锁定是防止用户进入系统的简便方式，也是解决临时雇员问题的理想方式•通常，当用户进行不正确的登录并且超过某一特定次数时，就需要进行用户ID的解锁工作。•在进行解锁前，解锁申请应被核实。•对用户ID使用状态应进行定期的检查。比如，错误登录的次数。用户权限管理—用户ID管理注意事项SAP系统权限管理培训结束下面做用户与权限设置的演示