《SAP权限的设定课件》由会员分享,可在线阅读,更多相关《SAP权限的设定课件(65页珍藏版)》请在金锄头文库上搜索。
1、SAP权限的设定YOLANDAV李 伟Modify By Olivia内部教材CONFIDENTIAL目录综述权限维护的内部规定权限设定的常规方法权限检查综述权限设定的注意事项权限设定的注意事项权限的设定非常重要,其调试也非常繁琐,需要异常谨慎原则上权限的设定是不允许在生产机上直接做的,需要在开发机上测试成功之后传到生产机上权限的变更必须要申请,审批完成之后方可维护权限维护人员是最终在系统中维护权限的,如果对user的权限设定的不合理,有权退回权限维护过程中必须对其进行记录综述sap权限架构权限架构Role template -Description -Menu -Authorizations
2、 Authorization profile -Object class -Authorization object -Authorizations .Assign toBind withAssign toSAP User account -Address -Logon data -Group . . . . . . . . . . . .综述sap权限架构权限架构名詞解釋(英譯中)User account就是我們平常說的“帳號”也稱為“USER ID”。Role同類的USER使用SAP的目的和常用的功能都是類似的例如業務一定需要用到開S/O的權限。當我們把某類USER需要的權限都歸到一個集合
3、中這個集合就是“職能”(Role)。所謂的“角色”或者“職能”是sap4.0才開始有的概念其實就是對user的需求進行歸類使權限的設定更方便。(面向對象的權限!)分為single role 和 composite role兩種后者其實是前者的集合。综述sap权限架构权限架构Profile: 真正記錄權限的設定的文件從sap4.0開始是與Role綁定在一起的。雖然在sap4.6c還可以單獨存在但按sap的行為推測以后將不能“一個人活着”Template Role:Role的模板一般是single role.但這個模板具有一個 強大的功能能通過更改模板而更改所有應用(sap稱為Derive“繼承”
4、)此模板的Role(sap稱之為adjust)Role的命名和分类以“Z+”開頭都是User Role,直接assign給user id。Z+module+英文描述以“sap+”開頭都是system Role,特殊情况下可参考系统中几个特殊的角色:Z_COMMON_FOR_ALL_USERSZ_SAP_ALLZ_SAP_ALL_1权限设定的操作上面說過權限的大架構由User ID, Role, Profile 三層組成那么權限的設定自然也會有三層。但由于sap4.6是Profile與Role是捆綁在一起的所以在建立Role的時候Profile是會自動創建的(具體見后文)。而User ID的建立
5、比較簡單。所以我將主要說明Role的部分。USER ID 的建立1T CODE SU01 單擊建立圖標2輸入要創建的User ID1USER ID 的建立2填好这些栏目在某些用户用SAP系统打印时,需要输出这些信息,比如采购部门USER ID 的建立3设定用户组設定初始密碼有效期一般不設定别名一般当公司多了后,要把用户分成不同的用户组USER ID 的建立4一般是自己公司设定好的标准菜单输出设备是执行打印功能时,所用的打印机USER ID 的建立5所有用户共有USER ID 的建立6USER ID 的建立7接著按save就把USER ID创建好了USER ID创建好了下面我們看看如何建Role
6、。Role的建立新创建建Role主要有三种方式。T CODE PFCG1.由始至終新建;2.繼承;3.復制(COPY)Role的建立完全新建輸入Role name注意選第二項Role的建立完全新建描述一般與Role name一致記錄此Role的創建者記錄此Role的最后修改者把描述填好后按save然后點擊menu頁簽Role的建立完全新建建立新目錄修改TEXT項目下移項目上移刪除項目手動增加T code從SAPMenu中增加T code從其他Role中Copy Menu這些是常用的功能Menu頁簽定義的是USER MENU(個人化菜單)的內容。Role的建立完全新建請大家按圖所示建立目錄 第一
7、層是職能這里是EXCEPTION下面分“標准”(Standark)和 “外挂” (Add On) 兩個目錄 。讓菜單保持清晰可以令User的個人菜單清楚不混亂。我們MIS檢查權限也比較方便。Role的建立完全新建Role的建立完全新建Role的建立完全新建OBJECT完全沒有給值OBJECT只有部分給值OBJECT已經全部有值請注意綠燈只是表示全部有值而已但不一定就是我們所需要的值這時標准T code所需要的Object系統會自動帶出來。Role的建立完全新建這個Object是任何權限設定文件中都應該有的這是給予啟動T code的權限如果T code沒有出現在這個列表中user連這個指令的畫面
8、都無法進入Role的建立完全新建對Org.Level都給值之后會發現相當一部分的Object value都已經給值了但還有一些Object是紅燈或者是黃燈這些Object是要單獨給值的。Role的建立完全新建按一下 標志就可以輸入值按 保存在這里介紹一下 的作用點擊它就相當於給這個Object一個 “*”(star)“*”的意義是All Authorization不卡任何權限。Object給值后就變成綠色 不能點擊了。Role的建立完全新建如果是外挂的T code就只能用“直接添加”的方式加入到菜單中需要注意的是外挂的T code的Object不會自動帶出來需要自己手工添加。按 點擊Y-AUT
9、H-PRT前的Role的建立完全新建變為 后按屏幕上方的 插入Object. 注意外挂的T code除了前面所說的列表中要有外這里框住的地方要給T code否則user還是不會有權限Role的建立完全新建都給好值后按 保存按“勾”。然后按 激活。退出。Role的建立完全新建Authorization已經變成綠燈這表示權限的設定已經可用了。點擊USER,Assign USER ID 給這個Role Role的建立完全新建點擊 USER COMPARE 再點擊Complete compare就完成了COMPARE。至此此權限已經Assign完畢FORTEST這個帳號已經具有VA01和YF30的權限
10、Role的建立繼承大家注意這個地方建立“繼承”關系就是靠這里了Role的建立繼承執行菜單Edit中的Copy data,系統會提示這個操作不可反轉。按“勾”繼續 ,執行完畢后我們會看到許多Object 已經變成綠燈了。Role的建立繼承當所有權限(其實只是設定Org.level)都設定完畢后按 激活設定Assign給USER ID,就完成了。Role的建立復制一開始當然是進入PFCG了先把Template Role名輸進去然后按COPY按鈕Role的建立復制Role的建立復制紅色框住的都是要填入值的地方最好先填完Org.levelRole的建立復制與其它方式建立的Role一樣,當所有權限都設定
11、完畢后按 激活設定Assign給USER ID一個Role就設定完成了Role的修改1.Merge2.新增/刪除T Code3.從其它Role導入4.AdjustRole的修改Merge紅框框住的兩個Object,是同樣的Object,而且其Value又是第一個包含第二個。Role的修改Merge上頁紅框里的兩項被合并了。選擇菜單Utilities里的MergeRole的修改從其它Role導入當我們要處理的Role A與某個Role B的設定十分相似可以通過Insert功能把Role B的Object設定導入到Role A中。請留意實際上是導入Profile哦所以一般還要去看Role B的Pr
12、o不是很方便。Role的修改從其它Role導入需要注意的是這樣導入進去的Object的設定都跟Role B的一樣一定要把其中對Role A不適用的部分更正過來。對Role B不熟悉不要亂用這功能哦。還是那句老話欲速不達不熟的事沒有把握的事一定要謹慎。Role的修改AdjustAdjust是專門針對存在繼承關系的母子Role的一項功能。在Role的建立一章我們學習到從子Role可以通過Copy Data從母Role得到Object Value。現在我們看看從母Role傳送Object Value到子Role的功能Adjust。Role的修改Adjust用Display模式進入Template R
13、ole的Profile選擇菜單上的Generate derived roles即可。從操作來看十分簡單。注不要用Change進入Template Role否則Adjust會造成Template Role本身最后修改日期和最后修改人發生改變對查對權限產生誤會Role的修改Adjust簡單比較Copy Data 和 Adjust從子Role發出Copy Data僅影響執行此功能的子Role其它繼承同一母Role的子Role不受影響同一Client下所有繼承此母Role的子Role均受影響從母Role發出AdjustRole的傳輸產生Request Num在PFCG的開始畫面可以看到。由于單個Rol
14、e的傳送比大批量的傳送從操作上來說要簡單而且類似所以我們重點說大批量傳送的操作。大批量的傳輸單個Role的傳輸Role的傳輸產生Request Num如果這個Role第一次傳輸這里一定要打勾否則傳輸到其它client后會沒有Assign到User ID。但如果不是第一次傳輸請不要打勾因為只要打了勾就要到目標的Client端去做一次Compare的動作權限才能激活沒有起用Role的傳輸產生Request Num如果要新建一個Request按其他的传输操作同程序的传输如果現在已經有一個還沒有Release的可用的Request Num請在這里輸入然后打勾Role的傳輸產生Request Num單個
15、Role的傳輸Request Num產生的過程與打批量的相似只是開始不一樣而已。單個傳輸直接Key Role名字按 按鈕其它操作就一樣了Role的刪除在PFCG中填好Role的名字按 按鈕確認即可把Role及其專屬Profile刪除。Role的刪除請注意如果需要利用傳輸功能在多個環境中刪除Role一定要按以下順序進行1.對Role產生傳輸的Request Num2.刪除本環境的Role3.Release;(此時本環境中已經沒有這個Role了)4.傳輸帳號刪除帳號(User ID)的刪除操作也十分簡單在SU01中輸入帳號名稱按 就可以了帳號刪除刪除一個帳號后為其專設的Role(即Z或W開頭的)也
16、要刪除(包括測試和正式環境)減少系統無用的資料也減少不必要的查對。或許有人會認為保留這些Role雖然占用一點硬盤但如果以后這個帳號再次起用不就可以不用重設權限嗎這個理由咋看起來很有道理。實際上USER一旦決定刪除某個帳號在相當長的時間內都不會再起用(一個 帳號的費用不菲決定不會輕易下的)在經過長時間后即使需要再次起用其權限需求也要重新審視與其把其新需求與舊有設定一項一項對比修改還不如重新設定來得方便快捷而且更安全。Debug/查看有一些工具對權限的問題處理很有幫助1.SU532.SUIM雖然還有一些其它工具但一般很少用或者不實用這里就不介紹了。Debug/查看SU53當一個帳號反映沒有某個應有
17、的權限時我們可以在系統出現沒有權限的信息時馬上輸入“/NSU53”Debug/查看SU53Debug/查看SU53上頁紅色框住的就是沒有權限的地方而藍色框住的是跟這個帳號已經有的權限。但是請注意SU53給出的信息并不詳細大部分情況只能作為一個大方向的參考有時還可能指示不出來問題所在。但無論如何有一個 參考總比沒有好。Debug/查看SUIMSUIM其實就是Information 系統的一個集合界面。我們最常用的功能是已知某個T Code查找含有這個T Code的Role。Debug/查看SUIMDebug/查看SUIM輸入T Code后執行就可以得到含有這個T code的Role的列表。請注意
18、其判斷條件是Role的Menu而不是Profile其它知識Object的狀態Standard/Manually/Maintained/Changed其它知識Object的狀態其它知識Object的狀態當我們用第三項進入一個Profile的時候我們可以看到每個Object 的描述前有都有兩個狀態。現在我來給大家解釋一下他們的含義。右邊的狀態共有兩種NEW 和 OLDNEW此Object有新的Item或Value, Pro后會變成OLDOLD 此Object的Item是以前建立的其它知識Object的狀態左邊的狀態有好几種Standard由系統帶出后沒有經過任何更改Maintained對系統初次帶出時Value為空的Item進行過變更或補充Changed對系統初次帶出時Value為非空的Item進行過變更
