《sap权限的设定》由会员分享,可在线阅读,更多相关《sap权限的设定(121页珍藏版)》请在金锄头文库上搜索。
1、SAP 權限的設定 QiQi V 張穎祺 內部教材 CONFIDENTIAL 目錄 1.總述 2.職能/Template Role/設定的分工 3.三種不同的常規權限的設定方法 4.常規以外的權限設定方式 5.如何快速檢查權限設定的情況 總述 1.在開始學習之前 2.SAP權限的架構 在開始學習之前 在開始了解權限前,有几點是要大家注意的 1.權限設定非常重要而且權限的DEBUG操作 非常繁瑣,耗時,所以請大家設定時一定要非常 謹慎,每次更改都要記錄。 2.權限設定除非特殊情況不允許在正式環境 直接更改請在測試環境修改好再傳到正式 環境。 3.MIS不是決定user權限的人而是user大大小
2、小的leader所以要變更權限設定務必 要求user提供經過簽核的申請表。(當然 對user不合理的權限要求MIS也有責任退回 ) 4.權限的設定,是MIS的工作.(廢話)所以本 教材是MIS內部教材請不要隨便泄漏 SAP權限的架構 Role template -Description -Menu -Authorizations Authorization profile -Object class -Authorization object -Authorizations . Assign to Bind with Assign to SAP User account -Address -L
3、ogon data -Group . . . . . . . . . . . . 這是SAP權限的架構 圖大家也接觸過 。 請大家一定要記住 他們的關系。 SAP權限的架構 名詞解釋(英譯中 ) User account就是我們平常說的“帳號”也 稱為“USER ID”。 Role同類的USER使用SAP的目的和常用的 功能都是類似的例如業務一定需要用到開 S/O的權限。當我們把某類USER需要的權限 都歸到一個集合中這個集合就是“職能 ”(Role)。 所謂的“角色”或者“職能”是sap4.0才開始 有的概念其實就是對user的需求進行歸類 使權限的設定更方便。(面向對象的權限!) 分為si
4、ngle role 和 composite role兩種后者 其實是前者的集合。 SAP權限的架構 Profile: 真正記錄權限的設定的文件從 sap4.0開始是與Role綁定在一起的。雖然在 sap4.6c還可以單獨存在但按sap的行為推測 以后將不能“一個人活着” Template Role:Role的模板一般是 single role.但這個模板具有一個 強大的 功能能通過更改模板而更改所有應用 (sap稱為Derive“繼承”)此模板的Role(sap稱之為adjust) SAP權限的架構 例外權限這是公司創造的名詞。當一 個USER除了其職位一般所需的權限外 還需要一些特殊的權限我
5、們把這 些權限稱之為這個USER的例外權限。 例如開工單對生管來說是其職能應有 的權限但對倉庫來所就是例外權限。 Role的命名和分類 Role的命名規則和分類如下: 以“G+”開頭都是Template Role(模板)都不會 直接assign給user id。 G+職能名稱全球共同Template Role G+職能名稱-1 地區Template Role 以“Z+”開頭都是User Role,直接assign給user id。 Z+User ID+職能名稱:繼承全球共同 Template Role Z+User ID+職能名稱-1:繼承地區Template Role Z+User ID+E
6、xception:沒有繼承任何Role,例 外權限 以“Y+”開頭都是Basis Role,直接assign給user id 。 Y+職能名稱 :全球共同Basis Role Role的命名和分類 附件是一張職能/Rolename對照表 我們以其中一個職能“AR作業人員”做解 釋 職能中文名稱 職能英文名稱 全球共同Template Role 地區Template Role 全球共同Basis Role Role的命名和分類 全球共同Template Role是指此職能在全球任 何一個地區都一致的那部分權限的模板。 命名特征是以 “G +”開頭非“-1”結尾。 例如 “G + CO CO ”
7、地區Template Role是指此職能根據不同地區 而不同的那部分權限的模板。 命名特征是 “G+”開頭“-1”結尾。 例如 “G + CO CO 1 ” Role的命名和分類 User Role是指根據每個user的具體需求 進行設定的權限的Role. 命名特征是 “Z+”USER ID開頭(東莞台灣地區) “W+” USER ID開頭(吳江地區) 例如“Z+PSC1-ACT01+CO-CO” 全球共同Basis Role是指此職能關系到 整個系統的安全的那部分權限的Role. 命名特征是 “Y+” 開頭 例如 “ Y + CO CO ” 權限設定者分工 一.以Role類型分 1.Temp
8、late Role 即“G”開頭的: 台北本部的AP MIS 2.User Role: 以Z開頭的:東莞AP MIS 以W開頭的:吳江AP MIS 3.Basis Role: 即以Y開頭的:台北和東莞Basis MIS 權限設定者分工 二.以USER ID分 從USER ID可以區分出這個ID所屬的廠別 和模組。 例如PSC1-ENG01這是PSC1廠的帳號 屬于PP模組所以這個帳號申請的 權限將由東莞PP模組的MIS主要負責和 監督。 權限設定者分工 三.以所申請的權限歸屬的模組分 由于user所申請的權限通常涉及多個 模組這就需要多個模組的MIS共同合 作設定user的權限這時先按第二條執
9、 行,由ID所屬模組MIS接受申請并從 始至終跟進。然后具體的權限屬于哪個 模組就由那個模組的MIS作設定。 但無論如何作為跟進的MIS都是負 主要責任的。 權限設定的操作 上面說過權限的大架構由User ID, Role, Profile 三層組成那么權限的 設定自然也會有三層。但由于sap4.6是 Profile與Role是捆綁在一起的所以在 建立Role的時候Profile是會自動創建 的(具體見后文)。而User ID的建立 比較簡單。所以我將主要說明Role的 部分。 USER ID 的建立 T CODE SU01 單擊建立圖標2 輸入要創建的User ID 1 USER ID 的建
10、立 填好這些欄位 USER ID 的建立 設定組別這對MIS非常重 要MIS能否管理此User ID就看這里 設定初始密碼 有效期一般不設定 USER ID 的建立 按圖設定(印表機按實際設定) USER ID 的建立 接著按save就把 USER ID創建好了 USER ID創建好了但這時這個ID沒有賦 予(Assign) 任何權限是什么都不能做的。USER 得到這樣的帳號沒有任何意義。 如何 Assign權限給一個帳號 主要就是 Assign一個 Role 給這個帳號了。下面我們看看如 何建Role和給權限。 Role的建立 新創建Role主要有三種方式。T CODE PFCG 1.由始至
11、終新建; 可以對應所有新建Role。主要對應例外權限 Z+USERID+EXCEPTION 2.繼承; 主要對應設定Z+USERID+職能名稱 3.復制(COPY) 主要對應設定Z+USERID+職能名稱-1 Role的建立完全新建 我們假設有一個帳號 “FORTEST”,他 申請了例外權限 VA01和YF30。 下面我將會一步一步向大家說明操作 的步驟和應該注意的地方。 看到PFCG的畫面了嗎 沒有 哦在下一頁。 Role的建立完全新建 輸入Role name 注意選第二項 Role的建立完全新建 描述一般與Role name一致 記錄此Role的創建者記錄此Role的最后修改者 把描述填好
12、后按save然后點擊menu頁簽 Role的建立完全新建 建立新目錄 修改TEXT 項目下移 項目上移 刪除項目 手動增加T code 從SAPMenu中增加T code 從其他Role中Copy Menu 這些是常用的功能 Menu頁簽定義的是USER MENU(個人化菜單)的內容。 Role的建立完全新建 請大家按圖所示建立目錄 第一層是職能這里是 EXCEPTION下面分“標准”(Standark)和 “外挂” (Add On) 兩個目錄 。 讓菜單保持清晰可以令User的個人菜單清楚不混亂 。 我們MIS檢查權限也比較方便。 Role的建立完全新建 大家可以對比 下面兩個USER 的個
13、人化菜單 左邊職能清 晰右邊非常 混亂同名的 目錄 大量出現 但里面的內 容又不盡相同 這對依賴路 徑執行指令的 user是很麻煩 的。 Role的建立完全新建 菜單的殼子有了如何往里面添加內容 呢 比較常見的是從SAP菜單添加和直接添 加T CODE。 從SAP菜單添加 所有標准的T CODE和沒有T CODE的標 準程式都可以用這種方法添加。好處是 可以尋找可以一次添加標准菜單的一 個目錄T code在標准菜單中的位置也 可以顯示出來。缺點是很浪費時間而 且外挂的程式無法添加。 Role的建立完全新建 直接添加 所有T CODE(包括外挂)和沒有T CODE 的標準程式都可以用這種方法添加
14、。好 處是比較快 缺點是必須知道T code不能帶出路徑。 Role的建立完全新建 從SAP菜單添加 Role的建立完全新建 Role的建立完全新建 Role的建立完全新建 Role的建立完全新建 OBJECT完全沒有給值 OBJECT只有部分給值 OBJECT已經全部有值 請注意綠燈只是表示 全部有值而已但不一 定就是我們所需要的值 這時標准T code所需要的Object系統會自動帶出來。 Role的建立完全新建 這個Object是任何權限設定文件中都應該 有的這是給予啟動T code的權限如 果T code沒有出現在這個列表中user 連這個指令的畫面都無法進入 Role的建立完全新建
15、在這里需要向大家介紹一個很重要的概念Org.level. 在權限設定中有許多地方的控制點是一致的sap公司 為了方便權限的設定把這些地方設計為與全局變數關 聯。當改變全局變數時這些地方就可以全部改變過來 。 這個全局的變數就是Org.level Role的建立完全新建 當 Org.Level 給值后 相應的 Object value的值 也變了 Role的建立完全新建 對Org.Level都給值之后會發現相當一部分 的Object value都已經給值了但還有一些 Object是紅燈或者是黃燈這些Object是要單 獨給值的。 Role的建立完全新建 按一下 標志就可以輸入值按 保存 在這里介紹一下 的作用點擊它就相當於 給這個Object一個 “*”(star)“*”的意義是All Authorization不卡任何權限。Object給值后 就變成綠色 不能點擊了。 Role的建立完全新建 如果是外挂的T code就只能用“直接 添加”的方式加入到菜單中需要注意 的是外挂的T code的Object不會自動 帶出來需要自己手工添加。 按 點擊Y-AUTH-PRT前的 Role的建立完全新建 變為 后按
