sap权限设定 完整版.docx

sap权限设定 完整版.docx

《sap权限设定 完整版.docx》由会员分享，可在线阅读，更多相关《sap权限设定 完整版.docx（97页珍藏版）》请在冰豆网上搜索。

sap权限设定完整版

权限设定操作手册

权限维护

1.注意

1.1.用户、角色、事务代码、授权对象的关系

用户：

由几个角色组成

角色：

由一系列事务代码搭建

事务代码：

需要系统规定的必要授权对象才能运行

授权对象：

由它的参数来定义

1.2.权限设定须谨慎

权限设定非常重要，并且权限的排错查询非常繁琐、耗时，因此在做权限设定时一定要谨慎，每次更改都要记录。

1.3.测试环境下修改

除非特殊情况，权限设定不允许在正式环境直接更改。

一般都是在测试环境修改、测试成功后，再传到正式环境。

1.4.拒绝不合理权限要求

Basis不是决定用户权限范围的人，而是实际管理中大大小小业务流的管理者。

所以，变更权限设定，务必要求用户提供经过领导签核的申请表。

对于用户不合理的权限要求，顾问有责任拒绝。

2.角色维护

2.1.作业说明

基本

由权限的大架构有UserID（用户），Role（角色），Profile（权限参数文件）三层，可知权限的设定也会有相应的三层。

目的

SAP中的权限管理可以通过建立若干角色的方式进行，角色的定义为SAP中单个或者多个事务代码（T-Code）组成的一个角色定位。

角色是指在业务中事先定义的执行特殊职能的工作。

可以为单个的用户的需求去创建角色，也可以通过事务代码创建角色，然后分配给各个需要这些角色的用户。

创建角色主要有三种方式：

手工创建。

适合所有新建角色的需求，主要对应权限追加；

继承。

主要对应设定派生角色；

复制。

主要对应设定基本的角色。

继承与复制创建角色的区别：

用继承的方式建立新角色，继承后，只需要填写Org.level，Object就全部标识为绿灯。

用复制的方式建立新角色，需要在Object里填入值，Object才能全部标识为绿灯。

以上是两者操作上最大的区别。

2.2.创建单一角色

事务代码与菜单路径

PFCG–工具->管理->用户维护->角色管理->角色

菜单

此为事务代码输入栏

后续作业

工具列图示/其它说明

备注

输入事务代码

可于命令栏输入[事务代码]并按ENTER键，执行程序

鼠标双击

（或）将鼠标光标停在欲执行对象，并双击鼠标左键。

（或）将鼠标点击按钮

字段说明

字段名称

必要

输入

备注

Role

√

角色的名称

显示

显示该角色的内容

更改

更改该角色的内容

创建

创建角色

创建组件角色

创建带有其他角色的角色

后续作业

工具列图示/其它说明

备注

点击，进入下一个画面

字段说明

字段名称

必要

输入

备注

角色

√

角色的名称

说明

角色的描述

空白处

角色的详细备注等

后续作业

工具列图示/其它说明

备注

点击，选择“保存”后，保存该角色名称。

进入菜单标签

字段说明

字段名称

必要

输入

备注

点击可进行事务代码的手动添加

点击可进行报表程序代码的添加

点击可进行其他方式的添加

点击可从SAPMenu中选择事务代码添加

从其他角色中CopyMenu

后续作业

工具列图示/其它说明

备注

点击可建立菜单新目录结构

字段说明

字段名称

必要

输入

备注

点击可建立菜单新目录结构

后续作业

工具列图示/其它说明

备注

点击进入单个事务代码的顺序手动添加

备注

由于SAP的角色内容可以用多种方法进行选择，如根据SAP的菜单、SAP的报表程序、以及其他角色等等。

此处以单个事务代码为例。

字段说明

字段名称

必要

输入

备注

此处填入选择的SAP事务代码

后续作业

工具列图示/其它说明

备注

点击分配事务代码

字段说明

字段名称

必要

输入

备注

此栏位处，显示已经分配给该角色的事务代码清单

后续作业

工具列图示/其它说明

备注

点击进入“权限”标签

字段说明

字段名称

必要

输入

备注

此栏位为建立角色必须产生的参数文件名称

此栏位为建立角色产生的参数文件的描述

后续作业

工具列图示/其它说明

备注

点击生成角色参数文件，也可手动按自定义规则填写

字段说明

字段名称

必要

输入

备注

删除已授权的参数文件信息

更改菜单以后,必须点击此处重新激活角色的参数文件。

系统重新读取角色的菜单，按菜单的变化变更Object对象，具有一定的智能，但会把已经Merge（合并）的Item弹开，造成设定者的混乱。

不反对使用

包含“更改授权数据”的功能，但保留原有的可用设定，可以看到变化前的参数文件。

即使新的权限没设定好，还有原有的权限可用。

推荐使用

后续作业

工具列图示/其它说明

备注

点击，进入角色参数文件的激活界面

字段说明

字段名称

必要

输入

备注

后续作业

工具列图示/其它说明

备注

点击保存之前的数据，进入激活界面

系统中设置的标准事务代码所需要的Object，系统会自动带出来

字段说明

字段名称

必要

输入

备注

后续作业

工具列图示/其它说明

备注

因为，这里是根角色的设置，所以不分配组织级别的value值，点击退出，进入激活界面

系统中设置的标准事务代码所需要的Object，系统会自动带出来

字段说明

字段名称

必要

输入

备注

Object已经全部给值

注意：

只代表全部给值而已，但不一定是权限需要的符合系统逻辑关系的值

Object只有部分给值

Object完全没有给值

后续作业

工具列图示/其它说明

备注

点击

和

，查看并激活所有需要被激活的相关其他连接的功能，组织级别相关给值设置为未激活，使其变成绿灯

通过上一步操作，可以看到设置行项目的左端有此按钮。

点击，将和组织级别给值相关的设置转为未激活，尽可能使其变成绿灯

适当考虑后，有些授权，可通过点击此按钮，给全值。

注意：

手动赋值过的设置，是不能再通过此操作给全值的。

类似于下图：

如果，需要维护组织级别value，可以在分配组织级别value时不退出，直接如下图定义：

字段说明

字段名称

必要

输入

备注

组织级别

√

选择该角色范围在组织架构中的职权范围

维护计划工厂

√

选择该角色适用的维护计划工厂范围

维护工厂

√

选择该角色适用的维护工厂范围

工厂

√

选择该角色适用的工厂范围

德文，英译“Org.level”

权限设定中许多地方的控制点是一致的，SAP为了方便权限的设定，把这些地方设计为与全局变量关联。

当改变全局变量时，这些地方就可以全部关联更改。

这个全局变量就是：

Org.level

当给Org.level赋值后，其对应的ObjectValue的值也会改变

对Org.Level赋值之后，会发现相当一部分的Objectvalue都已经被联动赋值，但还有一些Object依旧标识为红灯或者黄灯。

这些Object是要单独被赋值的。

后续作业

工具列图示/其它说明

备注

点击，保存输入的数据，进入激活界面。

字段说明

字段名称

必要

输入

备注

Object已经全部给值

注意：

只代表全部给值而已，但不一定是权限需要的符合系统逻辑关系的值

Object只有部分给值

Object完全没有给值

后续作业

工具列图示/其它说明

备注

点击

和

，查看并激活所有需要被激活的相关其他连接的功能，组织级别相关给值设置为未激活，使其变成绿灯

通过上一步操作，可以看到设置行项目的左端有此按钮。

点击，将和组织级别给值相关的设置转为未激活，尽可能使其变成绿灯

适当考虑后，有些授权，可通过点击此按钮，给全值。

注意：

手动赋值过的设置，是不能再通过此操作给全值的。

字段说明

字段名称

必要

输入

备注

点击，激活需要被激活的相关其他连接的功能，给对应的Object赋值

点击，相当于给这个Object一个“*”（star）；

“*”表示AllAuthorization的含义，不卡任何权限；

Object给值后，就变成绿色，不能再被点击

红框中标注的行对象，是每个权限参数文件中都应该有的。

如果添加的事务代码没有出现在这个行对象列表中，那么用户可能不能进入事务代码控制的视图。

后续作业

工具列图示/其它说明

备注

字段说明

字段名称

必要

输入

备注

后续作业

工具列图示/其它说明

备注

点击生成激活程序，保存该角色参数文件。

激活该角色的参数文件，完成创建

表示该角色的参数文件已被创建

字段说明

字段名称

必要

输入

备注

表示该角色的参数文件已经被创建

后续作业

工具列图示/其它说明

备注

点击，退出角色参数文件维护界面

字段说明

字段名称

必要

输入

备注

绿灯，表示该角色的参数文件已经被激活

后续作业

工具列图示/其它说明

备注

点击进入“用户”标签，进行权限授权

备注

授权就是给个人（或组）一个方式或权力来行使一些特殊的职责。

它允许或禁止用户在系统中进行操作和处理事务。

在缺省状态下，所有用户最初是没有执行任何事务的权限的；通过各种授权赋予执行事务的权限；一个用户可以执行的事务数量反映出其授权的大小。

字段说明

字段名称

必要

输入

备注

表示该角色被分配的用户名清单

表示该角色对该用户的有效时限

后续作业

工具列图示/其它说明

备注

点击进行用户名和角色功能比较检查

字段说明

字段名称

必要

输入

备注

后续作业

工具列图示/其它说明

备注

点击，完全比较，显示下一个页面

字段说明

字段名称

必要

输入

备注

后续作业

工具列图示/其它说明

备注

点击“是”，保存该角色的用户分配信息

字段说明

字段名称

必要

输入

备注

后续作业

工具列图示/其它说明

备注

此作业结束

2.3.创建复合角色

事务代码与菜单路径

PFCG–工具->管理->用户维护->角色管理->角色

菜单

此为事务代码输入栏

后续作业

工具列图示/其它说明

备注

输入事务代码

可于命令栏输入[事务代码]并按ENTER键，执行程序

鼠标双击

（或）将鼠标光标停在欲执行对象，并双击鼠标左键。

（或）将鼠标点击按钮

字段说明

字段名称

必要

输入

备注

Role

√

角色的名称

显示

显示该角色的内容

更改

更改该角色的内容

创建

创建角色

创建组件角色

创建带有其他角色的角色

后续作业

工具列图示/其它说明

备注

点击，进入下一个画面

字段说明

字段名称

必要

输入

备注

角色

√

角色的名称

说明

角色的描述

空白处

角色的详细备注等

后续作业

工具列图示/其它说明

备注

点击，进入“角色”标签

字段说明

字段名称

必要

输入

备注

如果之前未保存，会弹出判断是否保存的对话框

后续作业

工具列图示/其它说明

备注

点击，保存

字段说明

字段名称

必要

输入

备注

√

填写组合角色中的单一角色名称

后续作业

工具列图示/其它说明

备注

点击,保存

点击，进入“菜单”标签页

字段说明

字段名称

必要

输入

备注

点击可建立菜单新目录结构

点击可修改菜单新目录结构

点击可显示其组合的单一角色菜单

后续作业

工具列图示/其它说明

备注

点击可显示其组合的单一角色菜单

字段说明

字段名称

必要

输入

备注

菜单已被标识为绿色

组合角色的菜单已由其包含角色的菜单构建

后续作业

工具列图示/其它说明

备注

点击，保存

如果，需要用户分配，可继续与单一角色进行用户分配相同的操作

如果，不需要现在用户分配，点击，退出

2.4.更改角色

交易代码与菜单路径

PFCG–工具->管理->用户维护->角色管理->角色

菜单

此为事务代码输入栏

后续作业

工具列图示/其它说明

备注

输入事务代码

可于命令栏输入[事务代码]并按ENTER键，执行程序

鼠标双击

（或）将鼠标光标停在欲执行对象，并双击鼠标左键。

（或）将鼠标点击按钮

后续作业

工具列图示/其它说明

备注

点击，进入修改角色界面

字段说明

字段名称

必要

输入

备注

点击可进行事务代码的手动添加

点击可进行报表程序代码的添加

点击可进行其他方式的添加

点击可从SAPMenu中选择事务代码添加

从其他角色中CopyMenu

后续作业

工具列图示/其它说明

备注

可在角色菜单中增添事务代码

可修改角色菜单中的目录名称

可在角色菜单中删除单个对象（事务代码或目录结构）

可在角色菜单中删除所有对象（事务代码或目录结构）

后续作业

工具列图示/其它说明

备注

删除已授权的参数文件信息

更改菜单以后,必须点击此处重新激活角色的参数文件。

系统重新读取角色的菜单，按菜单的变化变更Object对象，具有一定的智能，但会把已经Merge（合并）的Item弹开，造成设定者的混乱。

不反对使用

包含“更改授权数据”的功能，但保留原有的可用设定，可以看到变化前的参数文件。

即使新的权限没设定好，还有原有的权限可用。

推荐使用

字段说明

字段名称

必要

输入

备注

删除并重建整个参数文件，并且会把已经被屏蔽或删除的Object对象重新显示出来，极容易造成权限设定错误。

不建议使用

完全保留原有的可用设定，可以看到变化前的参数文件。

即使新的权限没设定好，还有原有的权限可用。

推荐使用

系统重新读取角色的菜单，按菜单的变化变更Object对象，具有一定的智能，但会把已经Merge（合并）的Item弹开，造成设定者的混乱。

不反对使用

当角色菜单所包含的T-code经过多次修改后，可能产生多个同样的Object对象，其Value可能互相包含。

可以通过Merge（合并）的动作使同一个Object对象内Value相同或者互相包含的Item（T-code）合并，使权限的条目更清晰。

后续作业

工具列图示/其它说明

备注

确定选择的权限设定方式，执行参数文件的后续激活操作

字段说明

字段名称

必要

输入

备注

后续作业

工具列图示/其它说明

备注

当需要处理的角色A与某个角色B的设定十分相似，可以通过“插入权限”功能把角色B的Object设定导入到角色A中

这样导入进去的Object的设定都跟角色B的一样，一定要把其中对角色A不适用的部分更正过来

备注

在角色菜单新增T-code后，进入权限参数检查时选择

，系统不会在此Object对象自动增加T-code；选择

，系统会自动增加T-code。

在角色菜单删除T-code后，无论选择

还是

，系统都不会自动删除T-code。

必须手工删除！

字段说明

字段名称

必要

输入

备注

后续作业

工具列图示/其它说明

备注

Merge（合并）同一个Object对象内Value相同或者互相包含的Item（T-code），使权限的条目更清晰

激活修改后的角色参数文件

激活完成以后,点击保存即可

字段说明

字段名称

必要

输入

备注

因为角色参数文件修改，需要重新进行用户分配，才能将更新的参数分配给用户。

后续作业

工具列图示/其它说明

备注

参见“创建单一角色”中的用户分配

2.5.显示角色

交易代码与菜单路径

PFCG–工具->管理->用户维护->角色管理->角色

菜单

此为事务代码输入栏

后续作业

工具列图示/其它说明

备注

输入事务代码

可于命令栏输入[事务代码]并按ENTER键，执行程序

鼠标双击

（或）将鼠标光标停在欲执行对象，并双击鼠标左键。

（或）将鼠标点击按钮

字段说明

字段名称

必要

输入

备注

后续作业

工具列图示/其它说明

备注

点击，显示该角色的权限设定信息

该作业结束

2.6.继承角色

备注

所谓“继承”，指的是两个Role形成的父子关系：

子Role的所有Menu、Authorization（Org.level除外）都源于父Role，并与父Role保持一致。

父Role与子Role的关系是一对多的。

事务代码与菜单路径

PFCG–工具->管理->用户维护->角色管理->角色

菜单

此为事务代码输入栏

后续作业

工具列图示/其它说明

备注

输入事务代码

可于命令栏输入[事务代码]并按ENTER键，执行程序

鼠标双击

（或）将鼠标光标停在欲执行对象，并双击鼠标左键。

（或）将鼠标点击按钮

字段说明

字段名称

必要

输入

备注

Role

√

角色的名称

显示

显示该角色的内容

更改

更改该角色的内容

创建

创建角色

创建组件角色

创建带有其他角色的角色

后续作业

工具列图示/其它说明

备注

点击，进入下一个画面

字段说明

字段名称

必要

输入

备注

角色

√

派生角色的名称

说明

派生角色的描述

空白处

派生角色的详细备注等

后续作业

工具列图示/其它说明

备注

点击，选择“保存”，保存该角色描述信息

字段说明

字段名称

必要

输入

备注

后续作业

工具列图示/其它说明

备注

点击，确定继承关系

字段说明

字段名称

必要

输入

备注

如果在此前没有做过存档，系统会询问是否保存，回答“是”即可

后续作业

工具列图示/其它说明

备注

点击，保存派生角色的描述信息

字段说明

字段名称

必要

输入

备注

点击，可断裂之前设定的继承关系

派生角色描述信息保存后，菜单已经自动根据其继承的根角色生成，标识为绿色

后续作业

工具列图示/其它说明

备注

点击进入“权限”标签

字段说明

字段名称

必要

输入

备注

此栏位为建立派生角色必须产生的参数文件名称

此栏位为建立派生角色产生的参数文件的描述

点击可生成角色参数文件，也可手动按自定义规则填写

后续作业

工具列图示/其它说明

备注

字段说明

字段名称

必要

输入

备注

删除已授权的参数文件信息

更改菜单以后,必须点击此处重新激活角色的参数文件。

系统重新读取角色的菜单，按菜单的变化变更Object对象，具有一定的智能，但会把已经Merge（合并）的Item弹开，造成设定者的混乱。

不反对使用

包含“更改授权数据”的功能，但保留原有的可用设定，可以看到变化前的参数文件。

即使新的权限没设定好，还有原有的权限可用。

推荐使用

后续作业

工具列图示/其它说明

备注

点击，查看角色参数文件的详细信息

字段说明

字段名称

必要

输入

备注

如果在此前没有做过存档，系统会询问是否保存，回答“是”即可

后续作业

工具列图示/其它说明

备注

点击，保存派生角色的参数文件描述信息

字段说明

字段名称

必要

输入

备注

系统自动进入Org.level（组织级别）

后续作业

工具列图示/其它说明

备注

点击，先退出，在此视图不做信息更改

点击，保存角色参数文件

字段说明

字段名称

必要

输入

备注

后续作业

工具列图示/其它说明

备注

Adjust（调整）是专门针对存在继承关系的父子角色的一项功能。

从子角色可以通给CopyData从父角色得到ObjectValue，那么从父角色传送ObjectValue到子角色用到的就是功能Adjust（调整）

备注

用显示角色模式进入根角色的Profile，选择菜单上的“生成派生角色”，执行操作。

不要用更改角色进入根角色的Profile，否则Adjust（调整）会造成根角色本身最后修改日期和最后修改人发生改变，检查权限变更时容易产生麻烦。

或

字段说明

字段名称

必要

输入

备注

后续作业

工具列图示/其它说明

备注

复制继承的根角色权限参数文件中的数据

字段说明

字段名称

必要

输入

备注

系统会提示这个操作不可取消

后续作业

工具列图示/其它说明

备注

点击，确定，进入下一个界面

字段说明

字段名称

必要

输入

备注

执行上一步骤后，部分Object已经标识成绿灯

后续作业

工具列图示/其它说明

备注

进行Org.level的设定