SA系统权限培训文档

XXXX公司ERP系统

权限培训文档ERP系统实施项目2009年4月15日目录二、SAP系统的环境三、权限的基本概念四、用户和角色的创建五、权限设置的注意事项

一、权限的重要性权限的重要性在SAP系统中，业务人员是否能够行使该业务范围的操作是由权限来实现的。

权限工作的好坏是系统能否成功上线的基础之一。

最终用户是权限的直接使用者，权限设计的好坏会直接影响到最终用户对使用ERP系统的信心。权限的重要性权限实施工作的重要性权限实施是ERP系统上线的必备条件之一，权限设计的合理性、实施的准确性和测试的精准度是系统能否成功上线的基础之一。在权限设计、实施和测试全过程，由于地区公司人员最了解其自身业务，因此由地区公司权限组全程参与权限设计和实施工作，将从ERP技术角度和地区公司业务角度双重保障权限实施的质量，进而保证ERP项目的顺利上线。项目准备蓝图设计系统实现权限设计、实施、测试最后准备上线支持权限的重要性权限运维工作的重要性在项目上线及运维阶段，系统处于稳定运行状态，权限变更安全合理才能防止越权和误操作发生，从而保证系统数据安全。通过ERP项目权限组和地区公司权限组在权限设计实施期间的相互配合，提高了地区公司权限组的问题处理能力，将在项目进入上线支持及运维期后，有效保证了权限变更工作的顺利进行。项目准备蓝图设计系统实现上线支持运维最后准备上线支持5日期Date:

目录一、权限的重要性

三、权限的基本概念四、用户和角色的创建五、权限设置的注意事项二、SAP系统的环境RSAP系统环境PetroChinaSystemLandscape开发系统测试系统生产系统SAP系统采用SAP4SystemsLandscape架构,此架构中包含三套SAP系统：开发系统、测试系统、生产系统、生产支持系统。它们的作用分别如下。所有的开发和配置工作都应在开发系统中进行，修改的对象在开发系统上进行初步的测试后可以将其传送到测试系统上。在测试系统中对新开发的内容进行全面的测试，由于是独立的系统，这些测试都可以在不影响生产下进行。需要传输的对象在通过测试后才可以传输到生产系统。生产支持系统环境同步传输路径RPetroChinaSystemLandscape开发系统测试系统生产系统开发系统Development(DEV)SAP项目的实施系统，各种业务模块的客户化工作、相关的应用开发等在该系统中进行。并提供进行单元测试的环境。生产支持系统环境同步传输路径SAP系统环境RPetroChinaSystemLandscape开发系统测试系统生产系统测试系统QualityAssurance(QAS)为各种客户化和开发工作提供完整测试的系统，其中存有企业实际业务数据，用以验证客户化和开发的正确性。同时，此系统亦用于关键用户及最终用户的培训。生产支持系统环境同步传输路径SAP系统环境RPetroChinaSystemLandscape开发系统测试系统生产系统生产系统Production(PRD)企业日常运转实际使用的系统，其中存有企业的完整业务数据，生产系统中不允许直接做客户化或开发。生产支持系统环境同步传输路径SAP系统环境RPetroChinaSystemLandscape开发系统测试系统生产系统生产支持系系统如果最终用用户在使用用ERP系统过程中中，遇到系系统问题。。需要运行行支持人员员在系统中中重现其问问题，并加加以解决。。通过定期期将生产系系统的数据据复制到生生产支持系系统，可以以完整模拟拟生产系统统的数据。。同时，生生产支持环环境可以模模拟对生产产系统进行行系统压力力测试。生产支持系系统环境同步传输路径SAP系统环境日期Date:目录一、权限的的重要性二、SAP系统的环境境四、用户和角色色的创建五、权限设置的的注意事项项三、权限的的基本概念念权限的基本本概念名词解释：：Useraccount﹕就是我们平平常说““USERID”(注意用户类类型）dialog用户权限：它允许或禁禁止用户在在系统中进进行操作和和处理事务务，一般以以角色分配配给用户角色（Role）﹕权限的集合合，基于业业务要求创创建所谓的“角角色”﹐是是sap4.0才开始有的的概念﹐其其实就是对对user的需求进行行归类﹐使权限的设设定更方便便。分为singlerole和compositerole两种﹐后者是前者者的集合，，我们需要要创建的是是singlerole。Profile:真正记录权权限的设定定的文件,和角色绑定定在一起，，一个角色色生成一个个PROFILE。权限对象：：被授权的业业务对象，，由字段值值和参数组组成。日期Date:SPEXSAPR/3ProjectVersion1.0AuthorizationConcept授权就是给个人（或组）一个方式或权力来行使一些特殊的职责用SAP的语言来说说….它允许或禁止用户在系统中进行操作和处理事务权限的概念念—授权日期Date:授权级别图图权限的概念念－授权对对象授权对象=运行事务的的权限=没有授权对象没有事务权限日期Date:SPEXSAPR/3ProjectVersion1.0AuthorizationConcept进入一个SAP事务代码就好象….从一扇

门进入一个房间Transaction授权对象

就是开门的

钥匙授权对象权限的概念念－授权对对象日期Date:SPEXSAPR/3ProjectVersion1.0AuthorizationConcept即使只缺少一个个对象，用户都不能够运行事务代代码运行事务代码需要先具备所有的授权对象!

(即整套钥匙)授权对象1授权对象2授权对象3授权对象4授权对象5权限的概念念－授权对对象用户是由几几个角色组组成的角色下包括括一些事务务代码角色下包括括的事务代代码权限的概念念－授权ProfileProfile:真正记录权权限设定的的文件Profile与Role是捆绑在一一起的。在建立Role的时候﹐Profile是会自动创创建的，（（有弊端）），我们根根据每个项项目每个模模块的不同同，根据需需求表对每每个角色定定义一个profile。AuthorizationProfileObjectclass权限对象（（Authorizationobject）参数权限的概念念－权限对对象业务、岗位位及用户之之间的关系系用户：基于业务要要求而赋予予岗位相适适合的角色色，用户和和角色一对对多的关系系角色：执行行相关业务务所需要的的权限集合合。业务关键点业务关键点业务关键点角色A角色B角色C用户1用户2业务流程岗位用户日期Date:目录一、权限限的重要性性二、SAP系统的环境境三、权限限的基本概概念五、权限设置的的注意事项项四、用用户和角色色的创建日期Date:USERID的命名规则则SAP系统分为门门户和后台台两类系统统，后台系系统包括ECC和BI系统。在所所有SAP系统中，同同一用户的的ID是唯一的，，用户ID最长不超过过12位。ERP用户ID以中石油邮邮箱用户名名为准，要要求不超过过11位（预留出出一位做为为区分cnpc与petrochina邮箱）。如果没有邮邮件地址，，必须申请请一个不大于11位的邮箱地地址。有邮件地址址的用户，，取邮件地地址的用户户名为用户户ID；如果用户户名超过11位，应另外外申请一个个不大于11位的邮箱地地址；举例如下：：正常用户名名：，ID：ZHANGXING超长用户名名：，重新申请请：ZHANGXINGY注：保留一位位是为区分分CNPC和PetroChina不同邮箱，，如果产生生冲突，则则在用户名名前加前缀缀，集团ERP用户ID前加前缀V，股份ERP用户ID前加前缀U。举例如下：：CNPC：，ID：VZHANGXINGPetroChina：，ID：UZHANGXING日期Date:相关事务代代码SU01－－用户维护PFCG－角色维护SU24－维护事务权限限对象的分配配SU3－维护用户参数数文件SU53－显示用户的权权限数据SUGR－维护用户组SUIM－用户信息系统统SU10－用户批维护日期Date:USERID的建立T_code﹕SU01SU01SU01日期Date:USERID的建立输入要创建的UserID1单击建立图标2日期Date:USERID的建立填好这些字段段注：1、“姓”为必必填项2、通讯方法选选择：INTE-mail3、如果输入座座机号，分机机号必须填写写00USERID的建立选择“对话””类型设定初始密码码用户组选择此此用户对应的的组，地区二二级管理员管管理USERID的建立这些都是必填填项USERID的建立用户组要与前前面设置相同同，这个用户户组是总部技技术组管理用用户用的USERID的建立点击SAVE，这个用户就就创建好了帐号的批维护护有时我们需要要对账户进行行批量维护,例如：当公司地址变变了，需要变变更所有用户户的公司地址址。月结时，需要要将除了月结结人员外，其其它的所有用用户暂时锁定定。T_CODE：SU10USERID批量修改全选用户后，，点击transfer可以批量修改改“新疆油田田咨询顾问””的前台信息息，包括添加加角色、锁定定用户等创建用户组T_CODE：SUGR例如：创建勘探与生生产项目大港港油田顾问用用户组EDGYTZXGW业务板块缩写写项目名称缩写写咨询顾问ROLE的建立T_CODE：PFCGUSERID创建好了﹐但这时这个USERID没有任何权限限﹐是什么都不能能做的。USER得到这样的帐帐号没有任何何意义。如何分配权限限给用户﹖主要是分配Role给这个帐号。。下面我们看看看如何建Role和分配权限。。ROLE的建立创建Role主要有三种方方式：1.新建2.继承3.复制（COPY）根角色的创建建输入role的角色描述须能表示Role的内容及属性性根角色的创建建点击“事务””添加tcode按照profile命名规则进行行命名根角色的创建建标准T-code所需要的Object,系统会自动列列出来组织级别没有有维护OBJECT只有部分维护OBJECT已经全部维护请注意﹕绿灯只是表示示全部维护﹐但不一定就是是我们所需要要的值。根角色的创建建根角色的创建建在这里介绍一一下的作用﹐点击它﹐就相当于给这这个Object一个“*””(star)﹐“*”的意义是AllAuthorization﹐不卡任何权限限。根角色的创建建然后按激激活，退出已经变成绿灯灯﹐这表示权限的的设定已经可可用了点击，，再点击此权限已经分分配完毕，test001这个帐号已经经具有了主数数据维护的权权限派生角色的定定义所谓派生角色,是指根Role和派生Role形成这样的母母子关系﹕派生Role的所有权限、权限对对象（组织级别值除外)都源于根Role,并与根Role保持一致。根Role与派生Role是一对多的。根角色与派生生角色之间的的关系公司组织机构地区公司1地区公司3员工1地区公司2根角色A角色派生角色A1地区公司1地区公司2地区公司3地区公司1地区公司2地区公司3根角色B根角色C根据根据岗位位分配按限制范围派生出不同的子角色员工2员工3员工1员工2员工3员工1员工2员工3派生角色A1派生角色A1派生角色B1派生角色B1派生角色B1派生角色的创创建根据公司代码码派生的，创创建好后点击击“创建角色”组织级别代码码字典表派生角色的创创建角色继承就是是通过这派生角色的创创建这时候的派生生角色还没有有完全继承，，要返回根角角色里点击生生成成派生角色这时候一个派派生角色就创创建完成了角色的复制输入角色，点点击copy复制角色这时候一个角角色就复制完完成了角色的创建-继承与复制小结﹕用继承的方式式建立新Role，继承后，只需维护好组织级级别﹐Object就全部是绿灯灯了。用复制的方式式﹐全部是绿灯。。这是两者操作上的最大区别别。角色的修改对Role的修改最常见见的就是T-code的新增/删除，这种改改动﹐一般是从菜单单开始（派生生角色不能修修改T-code）。添加VF01（创建客户发发票）角色的修改角色的修改当Role所包含的T-code经过修改后﹐可能含有多个同样的Object﹐其Value可能互相包含含。这时可以通过过合并的动作作使同一个Object内Value相同或者互相相包含的项合合并起来﹐使权限的条目目更清晰。Debug/查看有一些工具对对权限的问题题处理很有帮帮助1.SU532.SUIM3.SU24Debug/查看-SU53当一个帐号反反映没有某个个应有的权限限时﹐我们可以在系系统出现没有有权限的信息息时﹐马上输入“/NSU53”Debug/查看-SU53但是请注意﹕SU53给出的信息并并不详细﹐大部分情况只只能作为一个个大方向的参参考﹐有时还可能指指示不出来问问题所在。Debug/查看-SUIMSUIM其实就是Information系统的一个集集合界面。我们最常用的的功能是﹕已知某个T-code﹐查找含有这个个T-code的Role。Debug/查看-SU24查看XD01含有哪些权限限对象，哪些些是需要检查查的Debug/查看-SU24查看F_KNA1_BED检查哪些Tcode日期Date:几点需要注意意的地方权限设定非常常重要﹐而且且一旦出现问问题，排错非非常繁琐、耗耗時,所以请请大家设定时时一定要非常常谨慎,每次次更改都要记记录。权限设定不