SAP用户权限管理维护手册.docx

SAP用户权限管理维护手册.docx

《SAP用户权限管理维护手册.docx》由会员分享，可在线阅读，更多相关《SAP用户权限管理维护手册.docx（18页珍藏版）》请在冰豆网上搜索。

SAP用户权限管理维护手册

密级:

秘密

SAP用户权限管理维护手册

1．SAP系统权限设置

权限角色是SAP系统的重要的一个环节，权限角色可以控制用户登录SAP系统后对SAP操作的各种权限，所以要严格设置.用户对SAP系统权限进行申请时（指对在生产系统上的权限配置，对非生产系统，一般有各模块负责人审批就行了），必须走公司规定流程，得到各级部门审批后，BASIS方给予进行处理.进行权限设置时，先在开发系统DEV系统进行配置，配置时严格按照用户或模块顾问提供的权限文档来进行（有不明白的地方应该马上与顾问或用户取得联系，并确认），设置确认无误后，对所设置的权限角色生成CHANGEREQUEST，释放后在测试系统里提供给用户或顾问进行测试，测试正确后，才正式同步传输到生产系统，然后用邮件或电话的方式通知用户。

维护角色

通过调用事务代码t-code:

PFCG调用，或者是

工具->系统管理->用户维护->角色管理->角色

角色代表一个特殊的任务或交易处理或功能：

（1）创建单一角色

T-CODE：

pfcg进入角色维护界面，根据权限模版填写角色名称

分配事务代码，选择菜单--事务--分配交易

在权限页，我们可以为一个配置文件生成所有必需的授权对象。

通过查找确定授权对象及字段进行修改。

授权的创建基于在菜单维护屏幕中选择的菜单。

通过选择权限页和修改授权数据（Changeauthorizationdata），你可以选择你想维护的明确的选项。

如果第一次生成该权限，系统会提示会生成所有显示的组织层次。

该值用于生成该权限。

如果所有显示区域由配置生成器填充（特别的，如果该区域仅包括组织层次需求），系统会为该权限显示绿灯。

如果有权限的区域还没有输入值，系统会显示黄灯。

只有当用户为该区域输入值以后，系统才会显示绿灯。

通过选择工具显示技术名称，我们可以显示每个授权对象的技术名称。

如果我们想删除一个独立的权限对象，我们需要通过点击

将它de-active，然后该权限对象将会用红色列出未被激活状态。

点击

按钮我们可以将它再激活，或者通过点击

将它从配置文件中删除。

点击

可以手工添加权限对象。

修改完成后，点击生成或shift+F5激活，退出该界面。

在用户栏进行用户分配，注意用户比较。

角色直接赋值给用户可以在用户页实现。

完成赋值后，需要做“UserCompare”，而UMR（用户主数据）将相应的更新。

标志从红色变成绿色代表UMR成功更新。

（2）创建复合角色

T-CODE：

pfcg进入角色维护界面，复合角色即组件角色，由多个单一角色组成。

填写角色名称保存

菜单栏选择读菜单，刷新角色。

最后根据用户分配，输入用户ID保存。

授权管理工具

有些情况下，授权可能会出现错误，特别是用户被限制不能使用某些功能。

在这种情况下，事务代码SU53可以帮助我们跟踪哪个授权对象有用但是在这个配置文件中丢失。

事务代码SUIM推荐使用与授权报告。

SUIM集成的授权报告包括任何选择标准。

例如：

选择所有拥有“S_USER_PRO（用户主记录维护：

授权配置文件）”对象。

2．用户授权设置

配置文件生成器可以通过调用事务代码SU01调用，或者是工具->系统管理->用户维护->用户。

其功能包括：

创建新用户、修改用户信息和权限、删除用户、复制、锁定／解锁、修改用户口令。

创建新用户

在“用户”中输入需要创建的用户名称，如：

test

在菜单选取：

用户名－>　创建

地址：

必须维护的字段为“姓”；

登录数据：

必须维护的字段为“口令”；

角色：

需要付给的权限角色；

修改用户

在“用户”中输入需要修改的用户名称，如：

test

在菜单选取：

用户名－>　修改

显示用户

在“用户”中输入需要创建的用户名称，如：

test

在菜单选取：

用户名－>　显示

复制新用户

此功能的作用是以现有的用户做模板来创建新用户，新创建的用户具有原模办用户相同的权限和基本信息。

在“用户”中输入的模板用户名称，如：

template

在菜单选取：

用户名－>　复制

锁定／解锁用户

在“用户”中输入需要锁定或解锁的用户名称，如：

test

在菜单选取：

用户名－>　锁定或解锁

修改密码

在“用户”中输入需要修改密码的用户名称，如：

test

在菜单选取：

用户名－>　修改密码

3．权限管理流程及用户授权策略

SAP系统安全管理流程

系统安全管理策略的另一个重要方面是制定标准的规范流程来管理用户对权限变动的申请。

在项目的进行中，东软项目小组会结合客户的实际特点，制定系统安全管理流程。

用户授权策略

授权防止用户获取认证的SAP数据。

授权管理包括许多步骤与参与者。

定义功能（角色矩阵）在这个周期中特别重要。

这个框架的质量将会决定一个好的功能和安全授权实施的成功。

PG（参数文件生成器）是事项授权的最有用的工具。

SAP主要通过ROLE,PROFILE两种方式来进行权限的管理控制，其中系统在安装初始阶段就已经包括了一些已经被系统定义好的重要的角色与参数文件，这些角色与参数文件一旦被分配，所持有者就可以对系统内部作出相应的管理操作，当然就会对整个系统产生非常大危险性，故此我们一定要在开始就得慎用，并且设定符合自身的管理规则。

在SAP安装完毕后，也会有几个特殊的用户，在系统安装设置阶段，都要完成特殊的功用，那么我们在设置阶段结束后，一定要妥善的管理者几个用户：

1）SAP*-----系统初始用户，拥有系统所有权限

2）DDIC----系统初始化进行配置使用的用户，拥有系统所有权限

3）SAPCPIC----系统通讯用途的超级用户

4）EarlyWatch-----用来做系统分析的超级用户

控制策略：

1）通过设定参数login/no_automatic_usr_sapstar=0

此时运用SE38运行程序RSUSR003查看上述用户的初始密码，更改所有密码

2）通过SUIM审核是否CCA存在，去掉不必要的职责不相容，严格遵从权限分离制度

3）设置一定的密码规则

对于简单通用密码可以使用SE16运行表USR40查看，通知用户及时更改

通过以下参数设置可以制定用户密码策略

1）login/min_password_lng-----定义密码最小允许长度

2）login/password_expiration_time---定义密码过期时间

3）login/fails_to_user_lock---密码登陆错误次数

4）login/failed_user_auto_unlock----晚上密码自动解锁

5）login/fails_to_session_end-----超过制定错误登陆数后，结束所有用户进程

6）login/disable_multiple_gui_login-----拒绝多用户使用单一用户名登陆

7）login/multi_login_users-----允许多用户使用相同用户名登陆

8）login/min_password_diff----定义新旧密码重复使用次数

9）login/password_max_new_valid---定义对新建用户的密码有效期

10）login/password_max_reset_valid---定义密码重置有效期

11）login/min_password_digits/_letters/_specials----定义特殊字符密码规则

12）login/disable_password_logon&login/password_logon_usergroup

控制被撤销密码的登陆

13）login/disable_cpic-----拒绝cpic通讯接入

14）rdisp/gui_auto_logout----定义系统自动空置时间

15）login/no_automatic_user_sapstar-----控制sap系统用户

4．附录

附录A修改请求（Changerequest）管理文档

传输类型：

ABAP程序配置数据SAPScriptReportpaint主数据

源系统:

DEV（开发系统）QAS（测试系统）PRD（生产系统）

状态：

¨批准¨拒绝¨已传输

NO.

修改请求描述

修改请求号

目标系统

开发测试系统

生产系统

100

200

300

700

800

1

2

3

4

5

6

7

签名：

申请人:

顾问批准人:

操作者:

.

项目经理:

附录B权限修改请求表管理文档

修改权限类型：

¨事物码添加¨增加角色¨增加权限¨其他

修改权限原因：

¨批准¨拒绝

增加描述权限

日期：

以下项目组填写：

角色名称：

限制条件：

其它：

备注：

是否涉及价格等公司机密

申请人:

部门经理：

.批准人：

操作者:

时间：

项目经理：

_______________

附录C权限管理常用事务代码

事务代码

菜单路径

描述

PFCG

工具系统管理用户维护角色管理角色

MaintainRoles（ProfileGenerator）

SU01

工具系统管理用户维护用户

MaintainActivityGroups（ProfileGenerator）

SU02

工具系统管理用户维护权限和参数文件维护手工编辑参数文件

MaintainAuthorizationProfiles

SU03

工具系统管理用户维护权限和参数文件维护手工编辑权限文件

MaintainAuthorizations

SU53

Tracewhichauthorizationismissed.

ST01

工具系统管理监视器跟踪系统轨迹

SystemTraceincludingauthorization.

SU24

Maintaincheckindicatorsfortransactioncodes

SU25

InstallingandupgradingtheProfileGenerator

SUIM/SARP

InfosystemAuthorizations

SESS

SessionManager

SU10

工具系统管理用户维护用户批维护

MassChangestoUserMasterRecords

PPOC

人力资源组织管理专家模式简单维护创建

CreateOrganizationalplan

PPOM

人力资源组织管理专家模式简单维护修改

MaintainOrganizationalPlan

SUPC

工具系统管理用户维护角色管理生成角色参数文件

Roles:

massgenerationofprofiles

PFUD

工具系统管理用户维护角色管理用户主数据统驭

UserMasterDataReconciliation