sap 权限

SAP的权限设计思路，首先了解下几个Tcode和权限相关表格。 常用权限相关Tcode .

(一)Role(角色)相关T-code: PFCG 创建

ROLE_CMP 角色比较

SUPC 批量建立角色profile (二)建立用户

SU01 建立用户 SU01D 显示用户

SU2|SU3| SU50|SU51|SU52 改变/显示用户个人参数 SU10|SU12 批量维护用户 SUCOMP维护用户公司地址

SUIM 用户信息系统（强调一下） (三)建立用户组

SUGR| SUGRD_NAV 维护用户组 SUGRD| SUGR_NAV 显示用户组 (四)维护检查授权

SU20|SU21自定义授权字段和授权对象

SU53 当出现权限问题可使用它检测未授权对象. SU56:分析authoraztion data buffers. 常用权限相关表格:

TOBJ : All avaiable authorization objects.(ERP系统默认的所有授权对象) USR12: 用户级authorization值

USR02:User Logon Data(包括用户名称密码,是否锁住等字段) USR03:User address

浅谈SAP权限管理

——基于安徽电力权限设计

SAP R/3 系统是基于ERP（企业资源计划）技术的一个成熟产品，在国内外大中企业中广为使用。该系统主要包括财务管理、物资管理、项目管理、人力资源等多个功能模块。其中，权限ERP初上线时，企业比较注重系统的流程设计、系统的稳定运行，而对权限设计不够重视。并且绝大多数权限设计是在系统建设时期，一方面由于当时对SAP权限管理缺乏全局意识，另一方面建设人员对于实际业务没有充分的认识，因此设计的权限难免会存在问题和风险。本文将结合安徽电力SAP权限设计来阐述权限设计常存在的问题及解决方案。

一、 企业用户权限存在问题

（1） 没有一套清晰明确的授权规则。

企业用户量比较大，随着系统应用的深入，各种功能增加，用户都要求给自己增加权限。这样对于权限管理人员来说，面对大量的申请似乎并不能找到一个明确的标准。于是部门主管审批便成了一个最为有效的解决方案；

（2）用户权限有被逐渐放大甚至失控的危险。

SAP系统内的权限管理是以“角色”这一概念展开的，一个“角色”上分配了体现功能权限的一组功能事务码（T-Code）和体现限制的授权参数文件（profile）。假如，在 SAP 系统中给每位用户

权限设定操作手册

权限维护

2008-9-3

1.注意

1.1.用户、角色、事务代码、授权对象的关系

?用户：由几个角色组成

?角色：由一系列事务代码搭建

?事务代码：需要系统规定的必要授权对象才能运行

?授权对象：由它的参数来定义

1.2.权限设定须谨慎

?权限设定非常重要，并且权限的排错查询非常繁琐、耗时，因此在做权限设定时一定要谨慎，每次更改都要记录。

1.3.测试环境下修改

?除非特殊情况，权限设定不允许在正式环境直接更改。

?一般都是在测试环境修改、测试成功后，再传到正式环境。

1.4.拒绝不合理权限要求

?Basis不是决定用户权限范围的人，而是实际管理中大大小小业务流的管理者。

?所以，变更权限设定，务必要求用户提供经过领导签核的申请表。

?对于用户不合理的权限要求，顾问有责任拒绝。

2.角色维护

2.1.作业说明

?基本

由权限的大架构有User ID（用户），Role（角色），Profile（权限参数文件）三层，可知权限的设定也会有相应的三层。

?目的

SAP中的权限管理可以通过建立若干角色的方式进行，角色的定义为SAP中单个或者多个事务代码（T-Code）组成的一个角色定位。

角色是指在业务中事先定义的执行特殊职能的工作。

可以为单个的用户的需求去创建角色，也可以通过事务

随着SAP的深入应用，我们几乎可以在所有使用了SAP管理软件的企业中找到这样一个共同的现象：在上线之后随着公司业务的不断重组、用户工作岗位的频繁变动、岗位职责的扩大与组合等都需要对用户的权限做出调整，这时候权限管理人员的疑问就出来了，这个用户本身有哪些权限？这个权限用户可以申请吗？因此权限管理变得更加重要与迫切。

直观的说，权限就是“某人能干某事” 与“某人不能干某事”之和。然而，尤其在用户量大的集团企业，哪些用户拥有关键事务或敏感权限（SAT）？哪些用户拥有的TCODE存在权责互斥（SOD）？哪些用户拥有超级权限？哪些用户拥有跨公司权限？

在没有管理系统的情况下，只能靠关键用户（内部顾问）的经验判断，可有时并不是那么可靠。在严格的管理要求和法律环境情况下，对SAP系统的应用带来风险，给用户的权限管理带来困惑，而给每年的404审计更是带来麻烦。

依据SAP GRC的权限管理理念，我们认为权限审计管理系统：其主要功能是事前及事后的合规性检查。比如：哪些用户拥有敏感权限（SAT）；哪些用户存在权责互斥（SOD）；哪些用户拥有跨公司权限等。PCAOB发布的指引和声明强调，基于系统的控制比手工控制更可靠。

有些东西可以让用户动态配置：一旦可配置的应用

如何快速创建一个拥有全部权限的SAP用户

一．说明

当SAP系统安装完成，初始的用户(User)只有SAP*和DDIC，而这两个用户是不能进行配置的。创建具有配置权限的用户，需用SAP*或DDIC登录到指定的Client，创建并赋予SAP_ALL的权限。

维护用户的事物码是SU01，具有创建、复制、修改、删除用户的功能，并能进行解锁及初始化密码。本示例演示最简单的用户维护过程——创建并赋予SAP_ALL和SAP_NEW的权限。其中SAP_ALL是全部权限，而SAP_NEW则是新生成对象的全部授权。

与维护一般用户不同，全部权限的用户只需维护参数文件，而一般用户则需要维护角色。

二．数据说明

项目 初始屏幕 用户 地址 标题 姓 名 登录数据 用户类型 初始口令/重复口令 默认 小数点格式 日期格式 时间格式(12/24h) 参数文件 参数文件 R SAP_ALL SAP_NEW R R R X (小数点是句点) 4 (YYYY.MM.DD) 0 (24小时格式) R R 输入用户类型 输入用户口令 O R O 先生 输入姓 输入名 R FZDQ R/O 示例数据 （R/O列：R必输；O选输。） 三．操作

在前台输入事物码SU01进入用户维护的

SAP问答：http://www.sapzhidao.com

SAP培训：http://www.51sap.cn

一、传统的权限分配方案

1、通用权限角色和结构化授权参数文件是直接分配给SAP用户（User）；

2、权限管理员完成通用角色的定义后派生出本地角色，再把本地角色分配给SAP用户； 3、顾问或者内部顾问在系统后台配置表定义构化授权参数文件并在把构化授权参数文件分配给用户；

3、可以根据角色的命名规则和用户分组分配给不同单位的权限管理员的授权。 优点是：

1）传统SAP权限管理方法，企业BASIS人员已经熟练掌握角色分配等操作，面对大批量的用户和本地角色时，易于推广；

2）权限调整需要负责领导审批，后提交给权限管理员在系统中进行调整，用户创建和权限授予都由于权限管理员集中处理，易于管控；

3）可通过SU01/PFCG等系统标准界面进行单用户多角色/单角色多用户/多用户多角色等处理，无需客户化开发；

4）授权参数文件可采用系统自动生成流水码，仅使用本地

打开BOS设计视图，在项目路径下右键创建权限

创建权限路径树（EAS系统——报表权限（或其他目录，参考客户化菜单）） 客户化菜单，是什么权限建立对应的权限路径，必须和系统保持一致

创建权限

权限标准代码展示：

//加权限

if(!isHasPermission(\)){ --这里就是你创建的权限的名称

MsgBox.showInfo(\您没有查看库存的权限！\); SysUtil.abort();

}

//判断权限方法

public boolean isHasPermission(String permissionItem) throws EASBizException,BOSException{ IObjectPK userObjectPK=new ObjectUuidPK(SysContext.getSysContext().getCurrentUserInfo().getId()); IObjectPK orgObjectPK=new ObjectUuidPK(SysContext.getSysContext().getCurrentOrgUnit().get

MM常用T-CODE

MM01 创建一般物料 Create Material – General MM02 修改一般物料 Change Material MM03 显示一般物料 Display Material mm04 显示修改 Display modify MK01 建立供应商 Create vendor (Purchasing) MK02 修改供应商 Change vendor (Purchasing) MK03 显示供应商 Display vendor (Purchasing) Mk05 冻结供应商 Block vendor (Purchasing)

MK06 在供应商上作标记以备删除(采购) Mark vendor for deletion (purch.) ME11 建立采购信息记录 Create Purchasing Info Record ME12 改变采购信息记录 Change Purchasing Info Record ME13 显示采购信息记录 Display Purchasing Info Record ME28 采购审批 Release Purchase Order

ME29N 采购审批（单个）

MM常用T-CODE

MM01 创建一般物料 Create Material – General MM02 修改一般物料 Change Material MM03 显示一般物料 Display Material mm04 显示修改 Display modify MK01 建立供应商 Create vendor (Purchasing) MK02 修改供应商 Change vendor (Purchasing) MK03 显示供应商 Display vendor (Purchasing) Mk05 冻结供应商 Block vendor (Purchasing)

MK06 在供应商上作标记以备删除(采购) Mark vendor for deletion (purch.) ME11 建立采购信息记录 Create Purchasing Info Record ME12 改变采购信息记录 Change Purchasing Info Record ME13 显示采购信息记录 Display Purchasing Info Record ME28 采购审批 Release Purchase Order

ME29N 采购审批（单个）

ERROR: In commit 0c9eeaba4c2f8ed64394f1701e78a94c4fd3484e ERROR: author email address chenxinke@ict.ac.cn ERROR: does not match your user account. ERROR:

ERROR: The following addresses are currently registered: ERROR: wanghongmei@loongson.cn ERROR:

To ssh://wanghongmei_99@172.17.109.72:29418/pmon-loongson.git ! [remote rejected] HEAD -> ref/for/master (invalid author) error: failed to push some 'ssh://wanghongmei_99@172.17.109.72:29418/pmon-loongson.git' 出现此错误需要在gerrit权限配置中选择For ge Committer Identity 如图所示

refs to