《SAP权限的设定》ppt课件

1、YOLANDAV李 伟Modify By Olivia内部教材CONFIDENTIAL 综述 权限维护的内部规定 权限设定的常规方法 权限检查 权限的设定非常重要，其调试也非常繁琐，需求异常谨慎 原那么上权限的设定是不允许在消费机上直接做的，需求在开发机上测试胜利之后传到消费机上 权限的变卦必需求恳求，审批完成之后方可维护 权限维护人员是最终在系统中维护权限的，假设对user的权限设定的不合理，有权退回 权限维护过程中必需对其进展记录Role template -Description -Menu -Authorizations Authorization profile -Object cl

2、ass -Authorization object -Authorizations .Assign toBind withAssign toSAP User account -Address -Logon data -Group . . . . . . . . . . . . 名詞解釋英譯中 User account就是我們平常說的“帳號也稱為“USER ID。 Role同類的USER运用SAP的目的和常用的功能都是類似的例如業務一定需求用到開S/O的權限。當我們把某類USER需求的權限都歸到一個集合中這個集合就是“職能(Role)。所謂的“角色或者“職能是sap4.0才開始有的概念其實就是對

3、user的需求進行歸類使權限的設定更方便。(面向對象的權限!)分為single role 和 composite role兩種后者其實是前者的集合。 Profile: 真正記錄權限的設定的文件從sap4.0開始是與Role綁定在一同的。雖然在sap4.6c還可以單獨存在但按sap的行為推測以后將不能“一個人活着 Template Role:Role的模板普通是single role.但這個模板具有一個 強大的功能能通過更改模板而更改一切應用(sap稱為Derive“繼承此模板的Role(sap稱之為adjust) 以“Z+開頭都是User Role,直接assign給user id。 Z+mo

4、dule+英文描画 以“sap+開頭都是system Role,特殊情况下可参考 系统中几个特殊的角色： Z_COMMON_FOR_ALL_USERS Z_SAP_ALL Z_SAP_ALL_1 上面說過權限的大架構由User ID, Role, Profile 三層組成那么權限的設定自然也會有三層。但由于sap4.6是Profile與Role是捆綁在一同的所以在建立Role的時候Profile是會自動創建的具體見后文。而User ID的建立比較簡單。所以我將主要說明Role的部分。 T CODE SU01 單擊建立圖標2輸入要創建的User ID1填好这些栏目在某些用户用SAP系统打印时，需

5、求输出这些信息，比如采购部门设定用户组設定初始密碼有效期普通不設定别名普通当公司多了后，要把用户分成不同的用户组普通是本人公司设定好的规范菜单输出设备是执行打印功能时，所用的打印机一切用户共有接著按save就把USER ID创建好了USER ID创建好了下面我們看看如何建Role。 新创建建Role主要有三种方式。T CODE PFCG 1.由始至終新建; 2.繼承; 3.復制COPY輸入Role name留意選第二項描画普通與Role name一致記錄此Role的創建者記錄此Role的最后修正者把描画填好后按save然后點擊menu頁簽建立新目錄修正TEXT項目下移項目上移刪除項目手動添加T

6、 code從SAPMenu中添加T code從其他Role中Copy Menu這些是常用的功能Menu頁簽定義的是USER MENU個人化菜單的內容。請大家按圖所示建立目錄 第一層是職能這里是EXCEPTION下面分“標准(Standark)和 “外挂 (Add On) 兩個目錄 。讓菜單坚持明晰可以令User的個人菜單清楚不混亂。我們MIS檢查權限也比較方便。OBJECT完全沒有給值OBJECT只需部分給值OBJECT已經全部有值請留意綠燈只是表示全部有值而已但不一定就是我們所需求的值這時標准T code所需求的Object系統會自動帶出來。 這個Object是任何權限設定文件中都應該有的這

7、是給予啟動T code的權限假设T code沒有出現在這個列表中user連這個指令的畫面都無法進入對Org.Level都給值之后會發現相當一部分的Object value都已經給值了但還有一些Object是紅燈或者是黃燈這些Object是要單獨給值的。按一下 標志就可以輸入值按 保管在這里介紹一下 的作用點擊它就相當於給這個Object一個 “*(star)“*的意義是All Authorization不卡任何權限。Object給值后就變成綠色 不能點擊了。假设是外挂的T code就只能用“直接添加的方式参与到菜單中需求留意的是外挂的T code的Object不會自動帶出來需求本人手工添加。按

8、 點擊Y-AUTH-PRT前的 變為 后按屏幕上方的 插入Object. 留意外挂的T code除了前面所說的列表中要有外這里框住的地方要給T code否則user還是不會有權限 都給好值后按 保管按“勾。 然后按 激活。退出。 Authorization已經變成綠燈這表示權限的設定已經可用了。 點擊USER,Assign USER ID 給這個Role點擊 USER COMPARE 再點擊Complete compare就完成了COMPARE。至此此權限已經Assign完畢FORTEST這個帳號已經具有VA01和YF30的權限大家留意這個地方建立“繼承關系就是靠這里了執行菜單Edit中的Co

9、py data,系統會提示這個操作不可反轉。按“勾繼續 ,執行完畢后我們會看到許多Object 已經變成綠燈了。當一切權限其實只是設定Org.level)都設定完畢后按 激活設定Assign給USER ID,就完成了。一開始當然是進入PFCG了先把Template Role名輸進去然后按COPY按鈕紅色框住的都是要填入值的地方最好先填完Org.level 與其它方式建立的Role一樣,當一切權限都設定完畢后按 激活設定Assign給USER ID一個Role就設定完成了 1.Merge 2.新增/刪除T Code 3.從其它Role導入 4.Adjust 紅框框住的兩個Object,是同樣的O

10、bject,而且其Value又是第一個包含第二個。 上頁紅框里的兩項被合并了。選擇菜單Utilities里的Merge 當我們要處理的Role A與某個Role B的設定非常类似可以通過Insert功能把Role B的Object設定導入到Role A中。請留意實際上是導入Profile哦所以普通還要去看Role B的Profile Name不是很方便。 需求留意的是這樣導入進去的Object的設定都跟Role B的一樣一定要把其中對Role A不適用的部分更正過來。對Role B不熟习不要亂用這功能哦。 還是那句老話欲速不達不熟的事沒有把握的事一定要謹慎。 Adjust是專門針對存在繼承關系

11、的母子Role的一項功能。 在一章我們學習到從子Role可以通過Copy Data從母Role得到Object Value。 現在我們看看從母Role傳送Object Value到子Role的功能Adjust。 用Display方式進入Template Role的Profile選擇菜單上的Generate derived roles即可。從操作來看非常簡單。 注不要用Change進入Template Role否則Adjust會呵斥Template Role本身最后修正日期和最后修正人發生改變對查對權限產生誤會 簡單比較Copy Data 和 Adjust從子Role發出Copy Data僅影響

12、執行此功能的子Role其它繼承同一母Role的子Role不受影響同一Client下一切繼承此母Role的子Role均受影響從母Role發出Adjust 在PFCG的開始畫面可以看到。 由于單個Role的傳送比大批量的傳送從操作上來說要簡單而且類似所以我們重點說大批量傳送的操作。大批量的傳輸單個Role的傳輸假设這個Role第一次傳輸這里一定要打勾否則傳輸到其它client后會沒有Assign到User ID。但假设不是第一次傳輸請不要打勾因為只需打了勾就要到目標的Client端去做一次Compare的動作權限才干激活沒有起用 假设要新建一個Request按 其他的传输操作同程序的传输假设現在已

13、經有一個還沒有Release的可用的Request Num請在這里輸入然后打勾 單個Role的傳輸Request Num產生的過程與打批量的类似只是開始不一樣而已。 單個傳輸直接Key Role名字按 按鈕其它操作就一樣了 在PFCG中填好Role的名字按 按鈕確認即可把Role及其專屬Profile刪除。 請留意假设需求利用傳輸功能在多個環境中刪除Role一定要按以下順序進行 1.對Role產生傳輸的Request Num 2.刪除本環境的Role 3.Release;(此時本環境中已經沒有這個Role了 4.傳輸帳號User ID的刪除操作也非常簡單在SU01中輸入帳號名稱按 就可以了刪除

14、一個帳號后為其專設的Role即Z或W開頭的也要刪除包括測試和正式環境減少系統無用的資料也減少不用要的查對。或許有人會認為保管這些Role雖然占用一點硬盤但假设以后這個帳號再次起用不就可以不用重設權限嗎這個理由咋看起來很有道理。實際上USER一旦決定刪除某個帳號在相當長的時間內都不會再起用一個 帳號的費用不菲決定不會輕易下的在經過長時間后即使需求再次起用其權限需求也要重新審視與其把其新需求與舊有設定一項一項對比修正還不如重新設定來得方便快捷而且更平安。 有一些工具對權限的問題處理很有幫助1.SU532.SUIM 雖然還有一些其它工具但普通很少用或者不實用這里就不介紹了。 當一個帳號反映沒有某個應

15、有的權限時我們可以在系統出現沒有權限的信息時馬上輸入“/NSU53 上頁紅色框住的就是沒有權限的地方 而藍色框住的是跟這個帳號已經有的權限。 但是請留意SU53給出的信息并不詳細大部分情況只能作為一個大方向的參考有時還能够指示不出來問題所在。 但無論如何有一個 參考總比沒有好。 SUIM其實就是Information 系統的一個集合界面。 我們最常用的功能是 知某個T Code查找含有這個T Code的Role。 輸入T Code后執行就可以得到含有這個T code的Role的列表。 請留意其判斷條件是Role的Menu而不是Profile Object的狀態Standard/Manually/Maintained/Changed 當我們用第三項進入一個Profile的時