用户权限最终版

©HANDSAP 第31页（共31页）SAP技术培训SAP技术培训2012年8月ASKDokSprache"SpracheindemDokumentverfaßtist"English简体中文SAP用户权限HANDSAP培训标准教材SAP技术培训 SAP概述图标图标含义警告示例注释建议语法外部处理可选业务处理或决定排版惯例字体风格描述Exampletext出现在屏幕上的单字或字符。包括字段名、屏幕标题、按钮以及菜单名、路径和选项。到其它文档的交叉引用。Exampletext正文文本中强调的字或词组，图形和表格的标题。EXAMPLETEXT系统中元素的名称。包括报表名、程序名、事务代码、表名和正文文本中嵌入的编程语言关键字，如SELECT和INCLUDE。Exampletext屏幕输出。包括文件和目录的名称及其路径、消息、源代码、变量和参数的名称以及安装工具、更新工具和数据库工具的名称。EXAMPLETEXT键盘上的按键。例如，功能键（如F2）或ENTER键。Exampletext用户输入原文。完全如文档所示输入这些单字或字符至系统中。<Exampletext>可变用户输入。尖括号表示应使用适当的输入替换括号中的单字和字符。

目录TOC\o"1-2"\h\z用户权限 51 用途 52 用户权限介绍 52.1 用户权限概念 52.2 授权各个级别的概念 52.3 授权级别图 63 用户事务码权限设置流程 63.1 新建角色 63.2 给角色添加权限 73.3 新建用户 103.4 把角色分配给用户： 143.5 检查用户权限： 153.6 以新用户身份登录检查权限： 164 数据权限访问控制 194.1 创建权限字段su20 194.2 创建权限对象类su21 214.3 创建权限对象（当前屏幕） 234.4 将权限赋给角色： 265 程序中的权限检查 286 结果展示： 297 附程序： 30

用户权限用途1.通过不同用户拥有不同的权限，从而对系统进行更好的管理维护，防止敏感数据的泄漏，保证数据的安全。

2.如果在企业拥有多个用户管理员的情况下，该权限对象还可以维护用户组的值，可以给不同的用户管理员配置不同的用户组维护权限，而未配置用户组的用户，所有用户管理员均可以加以维护。这一点对于集团企业不同层次用户管理权限的分配十分有用。

3.将对数据的访问修改删除权限分开来，部分人只能访问数据，却不能修改删除，这样数据的正确性得到了改善。

4.通过权限对象来控制用户的权限。一个事务码看似具有多种功能，但用户拥有某一事务码并不意味着拥有该事务码的所有功能权限，其权限大小受制于授权对象，因为权限对象(authorizationobject)用于事务中详细的权限控制。5.限制跨越实体的权限，避免责任追究不明。用户权限介绍用户权限概念1.指在R/3系统中某一用户所能够执行的操作及所能访问的数据2.SAP系统用户要完成某项工作需要运行相应的事务码，不同的事务码可以在系统中进行不同的动作。而权限问题的产生，是基于系统权限检查的机制：即用户在SAP系统中进行事务操作时，系统将会检查用户相应事务的权限。3.SAP系统的权限控制是基于事务码(Transaction／Menu)和授权对象的，其中，通常所说的授权对象则是权限控制的最小单位。可将对数据的增删改操作赋给事务码授权各个级别的概念权限主要用到的概念有：角色、用户、授权、授权对象、对象类、参数文件、组合参数文件、1.角色：SAP系统中权限的集合，可能包含一个或数个事务码，也可能包含一个或数个权限对象。同一类工作使用SAP的目的和常用的功能都是类似的，当我们把某类工作需要的权限都归到一个集合中这个权限集合就是“角色”(Role)。2.用户：用户ID基于岗位业务要求而被分配给各适合的角色，用户可以运行他们所属角色中的各种事务代码3.授权：它允许或禁止用户在系统中进行操作和处理事务。在缺省状态下，所有用户最初是没有执行任何事务的权限的，通过各种授权赋予执行事务的权限4.权限：SAP系统中的权限是指分配给用户的操作命令及操作范围.一般来说,同岗位的用户在使用SAP系统时,操作及操作范围都是相同的.所以当我们把某个岗位的用户需要的操作命令都归到一个集合中时,这个集合就是"权限(Role)",5.授权对象：用户操作和处理事物、权限的最小单位。SAP的权限是通过授权对象来控制的，所有的事务码、角色等最终反映在系统中都是授权对象6.事务代码：SAP系统中,每个操作命令都是唯一对应一个事务代码.事务代码是操作命令的表现形式.用户通过输入相应的事务代码来执行相应的功能,事务代码一般是在SAP系统的命令栏中输入.授权级别图如图2-1所示。图2-1用户事务码权限设置流程新建角色系统管理员根据岗位性质用事务代码PFCG增加一个新的角色，如图3-1所示。图3-1给角色添加权限1、根据用户的要求添加必需的菜单和事务代码；2、添加必需的授权对象。点击菜单添加事务代码，如图3-2所示。图3-2输入tcode：mm01，如图3-2所示。图3-2点击权限，如图3-3所示。图3-3更改权限数据，如图3-4所示。图3-4先保存角色，再生成参数文件，如图3-5所示。图3-5回到上一屏幕，即可看到参数文件，如图3-6所示。图3-6新建用户根据岗位的要求用事务代码SU01添加新的用户，如图3-7所示。图3-7输入姓氏，如图3-8所示。图3-8点击登录数据，输入初始密码，选择用户类型，如图3-9所示。图3-9初始密码长度至少六个字符，否则左下角将提示错误用户类型选择：对话用户顾名思义，就是需要通过SAPGUI与SAP系统进行交互的用户。在对话用户登录时，系统会检查用户的有效期和初始密码，并且要求修改密码。重复登录时，系统会给出提示。系统用户系统用户主要用来执行系统中无需会话交互的应用（例如RFC）或者是执行后台处理。这种用户不允许使用SAPGUI登录。这种用户类型没有密码有效期。只有用户管理员才能使用事务码SU01来修改密码。通讯用户使用通讯用户来处理系统间不需要会话操作的通讯（各种使用RFC服务的应用程序，例如ALE、工作流、TMS）。不允许使用SAPGUI登录。服务用户类型为服务用户的是一个匿名的大分组用户。通常它应该受到非常严格的授权。例如，服务用户用于通过ITS服务来匿名访问系统。一旦验证通过，使用服务用户开始的匿名会话就可以向使用会话用户登录的个人会话一样执行。在登录时，系统不检查有效期和初始密码，只有管理员可以修改密码。允许重复登录。参考用户跟服务用户类似，参考用户用于通用用户，不指定到特定人。不能使用参考用户登录。参考用户只用来指定附加的权限。它用于互联网上相同授权的用户。在角色选项卡，可以为会话用户指定参考用户来添加附加权限。一般来说，应用控制参考用户的分配。可以用事务码SU_REFUSERVARIABLE来维护参考用户和会话用户的对应。这种分配主要用户CUA场景的所有系统。如果被分配的参考用户不存在于某个CUA子系统，则分配被忽略。点击缺省值选项，设置登录语言，可以设置日期格式，常用的有YYYY-MM-DD,设置用户时区东八区，系统时区按服务器设置，当前用户不可设置系统时区，如图3-10所示。图3-10点击角色选项，可以将角色分配给用户，如图3-11所示。图3-11也可如3.4所说，在角色维护中分配给用户。把角色分配给用户：1.事务代码pfcg，如图3-12所示。图3-12选中用户选项卡，输入创建的用户test11，保存，如图3-13所示。图3-13用户比较，保证用户分配角色的一致性，如图3-14所示。图3-14检查用户权限：事务代码su53，如图3-15所示。图3-15事务代码su56，如图3-16所示。图3-16以新用户身份登录检查权限：test11用户登录，如图3-17所示。图3-17尝试是否有se38编辑器的权限，如图3-18所示。图3-18使用mm01的t-code（事务码），如图3-19所示。图3-19成功进入，如图3-20所示。图3-20数据权限访问控制创建权限字段su20如图4-1所示。图4-1点击上图中的按钮，如图4-2所示。图4-2点击保存，弹出界面，如图4-3所示：图4-3点击本地对象，即可！(注意：如果是正式情况不能点击本地对象，要点击保存)！创建权限对象类su21如图4-4所示。图4-4选择创建权限对象类：命名以z或者y开头，这也是sap的命名规范如图4-5所示。图4-5输入权限对象类名，如图4-6所示。图4-6点击保存，如图4-7所示。图4-7点击本地对象(注意：如果是正式情况不能点击本地对象，要点击保存)！创建权限对象（当前屏幕）选中创建的权限对象类，如图4-8所示。 图4-8 输入权限对象名和描述，如图4-9所示。 图4-9点击继续按钮，即可填入之前创建的权限字段名，如图4-10所示。图4-10点击保存，如图4-11所示。图4-11点击本地对象，，如图4-12所示。(注意：如果是正式情况不能点击本地对象，要点击保存)。图4-12创建成功，如图4-13所示。图4-13点击取消按钮返回，权限对象和字段，如图4-14所示。图4-14将权限赋给角色：t-code：pfcg，如图4-15所示。图4-15点击显示权限对象，如图4-16所示。图4-16输入创建的授权对象，如图4-17所示。图4-17成功后，如图4-18所示。图4-18点击生成参数文件，如图4-19所示。图4-19按f3返回，如图4-20所示。图4-20点击保存，返回之前屏幕，如图4-21所示。图4-21用户比较，如图4-22所示。图4-22点击完成比较，如图4-23所示。图4-23程序中的权限检查如果有的人认为以上操作完就，就可以进行权限控制了，那就错了。其实以上的设置对权限限制完全起不到任何作用，真正的权限限制是在事务代码相应的程序中增加如下代码：*授权约束查询

AUTHORITY-CHECK

OBJECT

'Z_VKORG2'

ID

'Z_VKORG2'

FIELD

wa_out-vkorg.

IF

SY-SUBRC

<>

0.

MESSAGE

'No

Authorization!'

TYPE

'E'.

ENDIF.才能达到权限的控制，即以上的操作才起作用。可以访问的数据有，如图5-1所示。图5-1因此只能访问1100数据，其他的就会报错结果展示：以创建新角色执行程序，访问0001到1100数据时，如图6-1所示。别忘了给用户授权se38编辑器图6-1结果，如图6-2所示。图6-2访问1100数据，如图6-3所示。图6-3附程序：*&**&ReportY_HOMEWORK_ALV*&*&**&*&*&*REPORTY_AUTHORITY_ALV.tables:vbak.tables:VBAP.tables:KNA1.tables:vbep.tables:zlaugh_001.tables:sscrfields.type-pools:slis.data:gt_fieldcattypeslis_t_fieldcat_alvwithheaderline,"添加表格字段gs_layouttypeslis_layout_alv,"控制表格布局g_repidlikesy-repidvaluesy-repid.datafieldnametypestring.dataseltest_stypestring.types:beginofty_out,VKORGlikevbak-VKORG,"销售组织endofty_out.datait_outtypestandardtableofty_out.datawa_outtypety_out.*选择屏幕selection-screenbeginofblockblk1withframetitletext-001.select-options:s_vkorgforvbak-vkorg."销售组织selection-screenendofblockblk1.*初始化选择屏幕initialization.start-of-selection.*根据条件选择数据performfrm_seldata.end-of-selection.performfrm_write.*&**&FormFRM_SELDATA*&**text***-->p1text*<--p2text**formfrm_seldata.*多表连接查询selectvkorgfromvbakintocorrespondingfieldsoftableit_outwherevkorgins_vkorg.loopatit_outintowa_out.*授权约束查询wa_out-vkorgAUTHORITY-CHECKOBJECT'Z_VKORG2'ID'Z_VKORG2'FIELDwa_out-vkorg.IFSY-SUBRC<>0."如果没有权限MESSAGE'NoAuthorization!'TYPE'E'.ENDIF.endloop.endform."FRM_SELDATA*&**&FormFRM_WRITE*&**text***-->p1text*<--p2text**formfrm_write.performinduceDupusing'VKORG''销售组织'.performlistado.endform."FRM_WRITEforminduceDupusingfieldnameseltest_s.cleargt_fieldcat.gt_fieldcat-fieldname=fieldname.gt_fieldcat-seltext_s=seltest_s.gt_fieldcat-seltext_m=gt_fieldcat-seltext_s.gt_fieldcat-seltext_l=gt_fieldcat-seltext_s.gt_fieldcat-outputlen=10.IFfieldname='ARKTX'.gt_fieldcat-outputlen=30.ENDIF.gt_fieldcat-key='X'.gt_fieldcat-no_zero='X'.appendgt_fieldcat.endform.*&**&FormLISTADO*&**text***-->