SAP系统权限培训文档

XXXX公司ERP系统

权限培训文档ERP系统实施工程2009年4月15日目录二、SAP系统的环境三、权限的根本概念四、用户和角色的创立五、权限设置的本卷须知

一、权限的重要性权限的重要性在SAP系统中，业务人员是否能够行使该业务范围的操作是由权限来实现的。权限工作的好坏是系统能否成功上线的根底之一。最终用户是权限的直接使用者，权限设计的好坏会直接影响到最终用户对使用ERP系统的信心。权限的重要性权限实施工作的重要性权限实施是ERP系统上线的必备条件之一，权限设计的合理性、实施的准确性和测试的精准度是系统能否成功上线的根底之一。在权限设计、实施和测试全过程，由于地区公司人员最了解其自身业务，因此由地区公司权限组全程参与权限设计和实施工作，将从ERP技术角度和地区公司业务角度双重保障权限实施的质量，进而保证ERP工程的顺利上线。项目准备蓝图设计系统实现权限设计、实施、测试最后准备上线支持权限的重要性权限运维工作的重要性在工程上线及运维阶段，系统处于稳定运行状态，权限变更平安合理才能防止越权和误操作发生，从而保证系统数据平安。通过ERP工程权限组和地区公司权限组在权限设计实施期间的相互配合，提高了地区公司权限组的问题处理能力，将在工程进入上线支持及运维期后，有效保证了权限变更工作的顺利进行。项目准备蓝图设计系统实现上线支持运维最后准备上线支持5日期Date:

目录一、权限的重要性

三、权限的根本概念四、用户和角色的创立五、权限设置的本卷须知二、SAP系统的环境RSAP系统环境PetroChinaSystemLandscape开发系统测试系统生产系统SAP系统采用SAP4SystemsLandscape架构,此架构中包含三套SAP系统：开发系统、测试系统、生产系统、生产支持系统。它们的作用分别如下。所有的开发和配置工作都应在开发系统中进行，修改的对象在开发系统上进行初步的测试后可以将其传送到测试系统上。在测试系统中对新开发的内容进行全面的测试，由于是独立的系统，这些测试都可以在不影响生产下进行。需要传输的对象在通过测试后才可以传输到生产系统。生产支持系统环境同步传输路径RPetroChinaSystemLandscape开发系统测试系统生产系统开发系统Development(DEV)SAP工程的实施系统，各种业务模块的客户化工作、相关的应用开发等在该系统中进行。并提供进行单元测试的环境。生产支持系统环境同步传输路径SAP系统环境RPetroChinaSystemLandscape开发系统测试系统生产系统测试系统QualityAssurance(QAS)为各种客户化和开发工作提供完整测试的系统，其中存有企业实际业务数据，用以验证客户化和开发的正确性。同时，此系统亦用于关键用户及最终用户的培训。生产支持系统环境同步传输路径SAP系统环境RPetroChinaSystemLandscape开发系统测试系统生产系统生产系统Production(PRD)企业日常运转实际使用的系统，其中存有企业的完整业务数据，生产系统中不允许直接做客户化或开发。生产支持系统环境同步传输路径SAP系统环境RPetroChinaSystemLandscape开发系统测试系统生产系统生产支持系统如果最终用户在使用ERP系统过程中，遇到系统问题。需要运行支持人员在系统中重现其问题，并加以解决。通过定期将生产系统的数据复制到生产支持系统，可以完整模拟生产系统的数据。同时，生产支持环境可以模拟对生产系统进行系统压力测试。生产支持系统环境同步传输路径SAP系统环境日期Date:

目录一、权限的重要性二、SAP系统的环境

四、用户和角色的创立五、权限设置的本卷须知三、权限的根本概念权限的根本概念名词解释：Useraccount﹕就是我们平常说“USERID”(注意用户类型〕dialog用户权限：它允许或禁止用户在系统中进行操作和处理事务，一般以角色分配给用户角色〔Role〕﹕权限的集合，基于业务要求创立所谓的“角色”﹐是sap4.0才开始有的概念﹐其实就是对user的需求进行归类﹐使权限的设定更方便。分为singlerole和compositerole两种﹐后者是前者的集合，我们需要创立的是singlerole。Profile:真正记录权限的设定的文件,和角色绑定在一起，一个角色生成一个PROFILE。权限对象：被授权的业务对象，由字段值和参数组成。日期Date:

SPEXSAPR/3ProjectVersion1.0AuthorizationConcept 授权就是给个人（或组）一个方式或权力来行使一些特殊的职责用

SAP

的语言来说….它允许或禁止用户在系统中进行操作和处理事务权限的概念—授权日期Date:

授权级别图权限的概念－授权对象授权对象

=

运行事务的权限=没有

授权对象没有事务权限日期Date:

SPEXSAPR/3ProjectVersion1.0AuthorizationConcept 进入一个

SAP事务代码就好象….从一扇

门进入一个房间Transaction授权对象

就是开门的

钥匙授权对象权限的概念－授权对象日期Date:

SPEXSAPR/3ProjectVersion1.0AuthorizationConcept 即使只缺少一个对象，用户都不能够运行事务代码运行事务代码需要先具备所有的授权对象!

(即整套钥匙)授权对象1授权对象2授权对象3授权对象4授权对象5权限的概念－授权对象用户是由几个角色组成的角色下包括一些事务代码角色下包括的事务代码权限的概念－授权ProfileProfile:真正记录权限设定的文件Profile与Role是捆绑在一起的。在建立Role的时候﹐Profile是会自动创立的，〔有弊端〕，我们根据每个工程每个模块的不同，根据需求表对每个角色定义一个profile。AuthorizationProfileObjectclass权限对象〔Authorizationobject〕参数权限的概念－权限对象业务、岗位及用户之间的关系用户：基于业务要求而赋予岗位相适合的角色，用户和角色一对多的关系角色：执行相关业务所需要的权限集合。业务关键点业务关键点业务关键点角色A角色B角色C用户1用户2业务流程岗位用户日期Date:

目录一、权限的重要性二、SAP系统的环境三、权限的根本概念

五、权限设置的本卷须知四、用户和角色的创立日期Date:

USERID的命名规那么SAP系统分为门户和后台两类系统，后台系统包括ECC和BI系统。在所有SAP系统中，同一用户的ID是唯一的，用户ID最长不超过12位。ERP用户ID以中石油邮箱用户名为准，要求不超过11位〔预留出一位做为区分cnpc与petrochina邮箱〕。如果没有邮件地址，必须申请一个不大于11位的邮箱地址。有邮件地址的用户，取邮件地址的用户名为用户ID；如果用户名超过11位，应另外申请一个不大于11位的邮箱地址；举例如下：正常用户名：，ID：ZHANGXING超长用户名：，重新申请：ZHANGXINGY注：保存一位是为区分CNPC和PetroChina不同邮箱，如果产生冲突，那么在用户名前加前缀，集团ERP用户ID前加前缀V，股份ERP用户ID前加前缀U。举例如下：CNPC：，ID：VZHANGXINGPetroChina：，ID：UZHANGXING日期Date:

相关事务代码SU01－用户维护PFCG－角色维护SU24－维护事务权限对象的分配SU3－维护用户参数文件SU53－显示用户的权限数据SUGR－维护用户组SUIM－用户信息系统SU10－用户批维护日期Date:

USERID的建立T_code﹕SU01SU01SU01日期Date:

USERID的建立输入要创建的UserID1单击建立图标2日期Date:

USERID的建立填好这些字段注：1、“姓”为必填项2、通讯方法选择：INTE-mail3、如果输入座机号，分机号必须填写00USERID的建立选择“对话”类型设定初始密码用户组选择此用户对应的组，地区二级管理员管理USERID的建立这些都是必填项USERID的建立用户组要与前面设置相同，这个用户组是总部技术组管理用户用的USERID的建立点击SAVE，这个用户就创立好了帐号的批维护有时我们需要对账户进行批量维护,例如：当公司地址变了，需要变更所有用户的公司地址。月结时，需要将除了月结人员外，其它的所有用户暂时锁定。T_CODE：SU10USERID批量修改全选用户后，点击transfer可以批量修改“新疆油田咨询参谋”的前台信息，包括添加角色、锁定用户等创立用户组T_CODE：SUGR例如：创立勘探与生产工程大港油田参谋用户组EDGYTZXGW业务板块缩写工程名称缩写咨询参谋ROLE的建立T_CODE：PFCGUSERID创立好了﹐但这时这个USERID没有任何权限﹐是什么都不能做的。USER得到这样的帐号没有任何意义。如何分配权限给用户﹖主要是分配Role给这个帐号。下面我们看看如何建Role和分配权限。ROLE的建立创立Role主要有三种方式：1.新建2.继承 3.复制〔COPY〕

根角色的创立输入role的角色描述须能表示Role的内容及属性根角色的创立点击“事务”添加tcode按照profile命名规那么进行命名根角色的创立标准T-code所需要的Object,系统会自动列出来组织级别没有维护OBJECT只有局部维护OBJECT已经全部维护请注意﹕绿灯只是表示全部维护﹐但不一定就是我们所需要的值。根角色的创立根角色的创立在这里介绍一下

的作用﹐点击它﹐就相当于给这个Object一个“*”(star)﹐“*”的意义是AllAuthorization﹐不卡任何权限。根角色的创立然后按激活，退出已经变成绿灯﹐这表示权限的设定已经可用了点击，再点击此权限已经分配完毕，test001这个帐号已经具有了主数据维护的权限派生角色的定义所谓派生角色,是指根Role和派生Role形成这样的母子关系﹕派生Role的所有权限、权限对象〔组织级别值除外)都源于根Role,并与根Role保持一致。根Role与派生Role是一对多的。根角色与派生角色之间的关系公司组织机构地区公司1地区公司3员工1地区公司2根角色A角色派生角色A1地区公司1地区公司2地区公司3地区公司1地区公司2地区公司3根角色B根角色C根据根据岗位分配按限制范围派生出不同的子角色员工2员工3员工1员工2员工3员工1员工2员工3派生角色A1派生角色A1派生角色B1派生角色B1派生角色B1派生角色的创立根据公司代码派生的，创立好后点击“创立角色”组织级别代码字典表派生角色的创立角色继承就是通过这派生角色的创立这时候的派生角色还没有完全继承，要返回根角色里点击生成派生角色这时候一个派生角色就创立完成了角色的复制输入角色，点击copy复制角色这时候一个角色就复制完成了角色的创立-继承与复制

小结﹕

用继承的方式建立新Role，继承后，只需维护好组织级别﹐Object就全部是绿灯了。

用复制的方式﹐全部是绿灯。这是两者操作上的最大区别。角色的修改对Role的修改最常见的就是T-code的新增/删除，这种改动﹐一般是从菜单开始〔派生角色不能修改T-code〕。添加VF01〔创立客户发票〕角色的修改角色的修改当Role所包含的T-code经过修改后﹐可能含有多个同样的Object﹐其Value可能互相包含。这时可以通过合并的动作使同一个Object内Value相同或者互相包含的项合并起来﹐使权限的条目更清晰。Debug/查看有一些工具对权限的问题处理很有帮助1.SU53 2.SUIM3.SU24Debug/查看-SU53当一个帐号反映没有某个应有的权限时﹐我们可以在系统出现没有权限的信息时﹐马上输入“/NSU53”

Debug/查看-SU53但是请注意﹕SU53给出的信息并不详细﹐大局部情况只能作为一个大方向的参考﹐有时还可能指示不出来问题所在。Debug/查看-SUIMSUIM其实就是Information系统的一个集合界面。我们最常用的功能是﹕某个T-code﹐查找含有这个T-code的Role。Debug/查看-SU24查看XD01含有哪些权限对象，哪些是需要检查的Debug/查看-SU24查