中石油SAP权限培训文档

1、中国石油ERP系统权限培训文档中国石油ERP系统实施项目2009年3月26日日期Date:目录二、SAP权限的架架构三、权限的基基本概念念四、用户和角角色的创创建及命命名规则则五、权限设置置的步骤骤六、权限实施施计划表表一、权限限的重要要性权限的重重要性权限本身身的重要要性在SAP系统中，业务人人员是否否能够行行使该业业务范围围的操作作是由权权限来实实现的。权限工作作的好坏坏是系统统能否成成功上线线的基础础之一。最终用户户是权限限的直接接使用者者，权限限设计的的好坏会会直接影影响到最最终用户户对使用用ERP系统的信信心。权限的重重要性权限实施施工作的的重要性性权限实施施是ERP系统上线线的必备

2、备条件之之一，权权限设计计的合理理性、实实施的准准确性和和测试的的精准度度是系统统能否成成功上线线的基础础之一。在权限设设计、实实施和测测试全过过程，由由于地区区公司人人员最了了解其自自身业务务，因此此由地区公司司权限组组全程参与与权限设设计和实实施工作作，将从从ERP技术角度度和地区区公司业业务角度度双重保保障权限限实施的的质量，进而保保证ERP项目的顺顺利上线线。项目准备蓝图设计系统实现权限设计、实施、测试最后准备上线支持权限的重重要性权限运维维工作的的重要性性在项目上上线及运运维阶段段，系统统处于稳稳定运行行状态，权限变变更安全全合理才才能防止止越权和和误操作作发生，从而保保证系统统数据

3、安安全。通过ERP项目权限限组和地区公司司权限组组在权限设设计实施施期间的的相互配配合，提提高了地区公司司权限组组的问题处处理能力力，将在在项目进进入上线线支持及及运维期期后，有有效保证证了权限限变更工工作的顺顺利进行行。项目准备蓝图设计系统实现上线支持 运维最后准备上线支持5日期Date:目录一、权限限的重要要性 三、权限的基基本概念念四、用户和角角色的创创建及命命名规则则五、权限实施施中注意意要点六、权限工作作计划二、SAP权限的架架构SAP权限的架架构SAPUserID-地址-登录数据据-组. . . . .分配Role-描述-菜单-权限分配Bind withAuthorization

4、profile-组织级别别值-权限对象象-用户.日期Date:目录一、权限限的重要要性二、SAP权限的架架构 四、用户和角角色的创创建及命命名规则则五、权限实施施中注意意要点六、权限工作作计划三、权限限的基本本概念权限的基基本概念念名词解释释：User account就是我们们平常说说 “USER ID”(注意用户户类型）dialog用户、权限：它允许或或禁止用用户在系系统中进进行操作作和处理理事务，一般以以角色分分配给用用户角色（Role）权限的集集合，基基于业务务要求创创建所谓的“角色” 是是sap4.0才开始有有的概念念其实实就是对对user的需求进进行归类类使权限的的设定更更方便。分为

5、singlerole和compositerole两种后者其实实是前者者的集合合Profile:真正记录录权限的的设定的的文件,和角色绑绑定在一一起，一一个角色色生成一一个PROFILE权限对象象：被授权的的业务对对象，由由字段值值和参数数组成日期Date:SPEX SAPR/3ProjectVersion 1.0Authorization Concept授权就是给个人（或组）一个方式或权力来行使一些特殊的职责用SAP的语言来来说.它允许或禁止用户在系统中进行操作和处理事务权限的概概念授授权权限的概概念授授权对象象授权对象象=运行事务务的权限=没有 授权对象没有事务权限日期Date:SPEX S

6、APR/3ProjectVersion 1.0Authorization Concept进入一个个SAP事务代码码就好象. 从一扇 门 进入一个房间Transaction授权对象 就是开门的 钥匙授权对象权限的概概念授授权对象象日期Date:SPEX SAPR/3ProjectVersion 1.0Authorization Concept即使只缺少一一个对象象，用户都都不能够运行事务务代码运行事务代码需要先具备所有的授权对象! (即整套钥匙)授权对象1授权对象2授权对象3授权对象4授权对象5权限的概概念授授权对象象日期Date:授权级别别图用户是由由几个角角色组成成的角色下包包括一些些事务代

7、代码角色下包包括的事事务代码码权限的概概念授授权ProfileProfile:真正记录录权限设设定的文文件Profile与Role是捆绑在在一起的的。在建立Role的时候 Profile是会自动动创建的的，（有有弊端），我们们根据每每个项目目每个模模块的不不同，根根据需求求表对每每个角色色定义一一个profile。Authorization ProfileObjectclass权限对象象（Authorization object）参 数权限的概概念权权限对象象业务、岗岗位及用用户之间间的关系系用户：基于业务务要求而而赋予岗岗位相适适合的角角色，用用户和角角色一对对多的关关系角色：执执行相关关业

8、务所所需要的的权限集集合。业务关键点业务关键点业务关键点角色A角色B角色C用户1用户2业务流程程岗 位用 户日期Date:目录一、权权限的重重要性二、SAP权限的基基本架构构三、权权限的基基本概念念 五、权权限实施施中注意意要点六、权权限工作作计划四、用用户和和角色的的创建及及命名规规则日期Date:USERID的命名规规则SAP系统分为为门户和和后台两两类系统统，后台台系统包包括ECC和BI系统。在在所有SAP系统中，同一用用户的ID是唯一的的，用户户ID最长不超超过12位。ERP用户ID以中石油油邮箱用用户名为为准，若若超过12位，按如如下方法法进行处处理：如如果没有有邮件地地址，必必须申

9、请请一个少于11位的邮箱箱地址。有邮件地地址的用用户，取取邮件地地址的用用户名为为用户ID；如果用用户名超超过11位，应另另外申请请一个少少于11位的邮箱箱地址；举例如下下：正常用户户名：，ID：ZHANGXING超长用户户名：zhangxingyuancnpc.，重新申申请：ZHANGXINGY注：保留一一位是为为区分CNPC和PetroChina不同邮箱箱，如果果产生冲冲突，则则在用户户名前加加前缀，集团ERP用户ID前加前缀缀V，股份ERP用户ID前加前缀缀U。举例如下下：CNPC：zhangxin，ID：VZHANGXINGPetroChina：，ID：UZHANGXING日期Date

10、:相关事务务代码SU01用户维护护PFCG职责维护护SU24维护事务务权限对对象的分分配SU3维护用户户参数文文件SU53显示用户户的权限限数据SUGR维护用户户组SUIM用户信息息系统SU10帐号批维维护日期Date:USERID的建立T_codeSU01SU01SU01日期Date:USERID的建立输入要创建的User ID1单击建立图标2USERID的建立选择“对对话”类类型设定初始始密码用户组选选择此用用户对应应的组，地区二二级管理理员管理理日期Date:USERID的建立填好这些些字段注：1.通讯方法法选择：INTE-mail2.如果输入入座机号号，分机机号必须须填写00USERI

11、D的建立这些都是是必填项项USERID的建立用户组最最好跟前前面设置置的一样样，这个个用户组组是总部部技术组组管理用用户用的的USERID的建立USER ID创建好了了但这时这这个ID没有赋予予(Assign)任何权限限是什么都都不能做做的。USER得到这样样的帐号号没有任任何意义义。如何Assign权限给一一个帐号号主要就是是Assign一个Role给这个帐帐号了。下面我我们看看看如何建建Role和给权限限。点击SAVE，这个用用户就创创建好了了帐号的批批维护有时我们们需要对对账户进进行批量量维护,例如：当公司地地址变了了，需要要变更所所有用户户的公司司地址。月结时，需要将将除了月月结人员员

12、外，其其它的所所有用户户暂时锁锁定。T_CODE：SU10帐号的批批维护全选用户户后，点点击transfer可以批量量修改“新疆油油田咨询询顾问”的前台台信息，包括添添加角色色、锁定定用户等等创建用户户组T_CODE：SUGR例如：创建勘探探与生产产项目新新疆油田田咨询顾顾问用户户组EXJYTZZYH业务板块块缩写项目名称称缩写最终用户户用户组命命名规规则ROLE的建立T_CODE：PFCGROLE的建立创建Role主要有三三种方式式：1.新建2.继承3.复制（COPY） ROLE的命名根角色的的创建输入role的角色记录此Role的创建者者描述须能表示示Role的内容及及属性根角色的的创建点

13、击“事事务”添添加tcode按照profile命名规则则进行命命名根角色的的创建标准T code所需要的的Object,系统会自自动带出出来OBJECT完全没有有给值OBJECT只有部分分给值OBJECT已经全部部有值请注意绿灯只是是表示全全部有值值而已但不一定定就是我我们所需需要的值值根角色的的创建根角色的的创建在这里介介绍一下下的作用点击它就相当于于给这个个Object一个“*”(star)“*”的意义是是AllAuthorization不卡任何何权限。根角色的的创建然后按激激活，退出已经变成成绿灯这表示权权限的设设定已经经可用了了点击，再点击击此权限已已经分配配完毕，test001这个帐

14、号号已经具具有了主主数据维维护的权权限派生角色色的定义义所谓派生角色色,是指根Role和派生Role形成这样样的母子子关系派生Role的所有权限、权权限对象象（组织级别别值除外)都源于根Role,并与根Role保持一致致。根Role与派生Role是1对多的。根角色与与派生角角色之间间的关系系公司组织机构构地区公司司1地区公司司3员工1地区公司司2根角色A角色子角色A1子角色A3地区公司1子角色A2地区公司2地区公司3子角色B1子角色B3地区公司1子角色B2地区公司2地区公司3根角色B根角色C根据根据据岗位分分配按限制范围派生出不同的子角色员工2员工3员工1员工2员工3员工1员工2员工3派生角色

15、色的创建建根据公司司代码派派生的，创建好好后点击击“创建角色色”组织级别别代码字字典表派生角色色的创建建角色继承承就是通通过这派生角色色的创建建这时候的的派生角角色还没没有完全全继承，要返回回根角色色里点击击生生成成派生角角色这时候一一个派生生角色就就创建完完成了角色的复复制输入角色色，点击击copy复制角色色这时候一一个角色色就复制制完成了了角色的创创建-继承与复复制小结用继承的的方式建建立新Role,继承后只需维护好组组织级别别Object就全部是是绿灯了了。用复制的的方式全部是绿绿灯。这是两者者操作上的最大大特点。角色的修修改对Role的修改最最常见的的就是T Code的新增/删除，这这

16、种改动动一般是从从菜单开开始。添加VF01（创建客客户发票票）角色的修修改角色的修修改当Role所包含的的TCode经过多次次修改后后可能产生生多个同同样的Object其Value可能互相相包含。这时可以以通过合合并的动动作使同同一个Object内Value相同或者者互相包包含的Item合并起来来使权限的的条目更更清晰Debug/查看有一些工工具对权权限的问问题处理理很有帮帮助1.SU532.SUIM3.SU24Debug/查看-SU53当一个帐帐号反映映没有某某个应有有的权限限时我们可以以在系统统出现没没有权限限的信息息时马上输入入“/NSU53” Debug/查看-SU53但是请注注意SU

17、53给出的信信息并不不详细大部分情情况只能能作为一一个大方方向的参参考有时还可可能指示示不出来来问题所所在。Debug/查看-SUIMSUIM其实就是是Information系统的一一个集合合界面。我们最常常用的功功能是已知某个个TCode查找含有有这个T Code的Role。Debug/查看-SU24查看XD01检查哪些些权限对对象Debug/查看-SU24查看F_KNA1_BED检查哪些些Tcode日期Date:几点需要要注意的的地方权限设定定非常重重要而而且一旦旦有问题题，排错错非常繁繁琐、耗耗時,所所以请大大家设定定时一定定要非常常谨慎,每次更更改都要要记录。权限设定定除非特特殊情況況

18、不允允许在生生产机直直接更改改请在在开发机机修改好好再传到到生产机机。IT人员不是是决定user权限的人人而是是user大大小小小的leader所以要要变更权权限设定定务必要求求user提供经过审核核的申请请表。当然对对于user不合理的的权限要要求IT人员也有有责任退退回。日期Date:目录一、权权限的重重要性二、SAP权限的基基本架构构三、权权限的基基本概念念四、用用户和角角色的创创建及命命名规则则六、权权限工作作计划五、权权限实实施中注注意要点点日期Date:角色命名名规则要要慎重在创建角角色时需需要遵循循一个规规则，这这个规则则要求权权限管理理员与业业务顾问问进行充充分的讨讨论后，制定

19、出出一个能能够满足足业务需需求的权权限命名名规则在对角色色命名过过程中，最好把把可变部部分放到到最后，不变的的放在命命名前。为以后后上二级级单位管管理员做做好准备备。例：Z:E_XJYT_FI001_BS日期Date:第一轮权权限测试试要做细细在权限测测试过程程中，最最少应进进行两轮轮测试，第一轮轮测试需需对每个个模块抽抽取一个种子角色色进行测测试，这这个测试试过程非非常重要要，在以以后的角角色创建建过程中中，都将将会对这这个角色色进行复复制工作作。因此此第一轮轮测试应应该安排排的时间间最长，做的最最完善，以免以以后造成成重复工工作。在在做第一一轮测试试时应注注意事项项有：日期Date:权限测试试注意事事项权限测试试要重视视，要指指派专门门的业务务人员与与权限管管理员共共同完成成整个测测试过程程。对事务代代码的测测试要详详细，对对每个事事务代码码都要完完全测一一遍，以以免以后后发现漏漏测的现现象。种子角色色中的权权限对象象要干净净，对于于重复的的权限对对象要对对其进行行合并，在角色色中避免免出现红红色OBJECT值的现象象。统一做权权限的登登录界面面，建议议全部以以中文方方式登录录SAP系统进行行操作。在做权限限过程中中，文档档要注意意更新，与系统统保持同同步。对权限的的任何操操作