sap权限的设定方法(ppt 121页)

《sap权限的设定方法(ppt 121页)》由会员分享，可在线阅读，更多相关《sap权限的设定方法(ppt 121页)（121页珍藏版）》请在装配图网上搜索。

1、SAP 权限的设定QiQiV内部教材CONFIDENTIAL目录1.总述2.职能/Template Role/设定的分工3.三种不同的常规权限的设定方法4.5.如何快速检查权限设定的情况总述1.在开始学习之前2.SAP权限的架构在开始学习之前在开始了解权限前,有几点是要大家注意的1.权限设定非常重要而且权限的DEBUG操作非常繁琐,耗时,所以请大家设定时一定要非常谨慎,每次更改都要记录。2.权限设定除非特殊情况不允许在正式环境直接更改请在测试环境修改好再传到正式环境。3.MIS不是决定user权限的人而是user大大小小的leader所以要变更权限设定务必要求user提供经过签核的申请表。（当

2、然对user不合理的权限要求MIS也有责任退回）4.权限的设定,是MIS的工作.（废话）所以本教材是MIS内部教材请不要随便泄漏SAP权限的架构Role template-Description-Menu-AuthorizationsAuthorization profile-Object class-Authorization object-Authorizations.Assign toBind withAssign toSAP User account-Address-Logon data-Group.这是SAP权限的架构图大家也接触过。请大家一定要记住他们的关系。SAP权限的架构名词解

3、释（英译中）User account就是我们平常说的“账号”也称为“USER ID”。Role同类的USER使用SAP的目的和常用的功能都是类似的例如业务一定需要用到开S/O的权限。当我们把某类USER需要的权限都归到一个集合中这个集合就是“职能”(Role)。所谓的“角色”或者“职能”是sap4.0才开始有的概念其实就是对user的需求进行归类使权限的设定更方便。(面向对象的权限!)分为single role 和 composite role两种后者其实是前者的集合。SAP权限的架构 Profile:真正记录权限的设定的文件从sap4.0开始是与Role绑定在一起的。虽然在sap4.6c还可

4、以单独存在但按sap的行为推测以后将不能“一个人活着”Template Role:Role的模板一般是single role.但这个模板具有一个 强大的功能能通过更改模板而更改所有应用(sap称为Derive“继承”）此模板的Role(sap称之为adjust)SAP权限的架构 例外权限这是公司创造的名词。当一个USER除了其职位一般所需的权限外还需要一些特殊的权限我们把这些权限称之为这个USER的例外权限。例如开工单对生管来说是其职能应有的权限但对仓库来所就是例外权限。Role的命名和分类Role的命名规则和分类如下:以“G+”开头都是Template Role(模板)都不会直接assign

5、给user id。G+职能名称全球共同Template RoleG+职能名称-1 地区Template Role以“Z+”开头都是User Role,直接assign给user id。Z+User ID+职能名称:继承全球共同Template RoleZ+User ID+职能名称-1:继承地区Template RoleZ+User ID+Exception:没有继承任何Role,例外权限以“Y+”开头都是Basis Role,直接assign给user id。Y+职能名称:全球共同Basis RoleRole的命名和分类附件是一张职能/Rolename对照表我们以其中一个职能“AR作业人员”做

6、解释A/R 作業人員CO-ARG+CO-ARG+CO-AR-1Y+CO-AR职能中文名称职能英文名称全球共同Template Role地区Template Role全球共同Basis RoleRole的命名和分类全球共同Template Role是指此职能在全球任何一个地区都一致的那部分权限的模板。命名特征是以“G+”开头非“-1”结尾。例如“G+CO CO”地区Template Role是指此职能根据不同地区而不同的那部分权限的模板。命名特征是“G+”开头“-1”结尾。例如“G+CO CO 1”Role的命名和分类User Role是指根据每个user的具体需求进行设定的权限的Role.命名

7、特征是“Z+”USER ID开头（东莞台湾地区）“W+”USER ID开头（吴江地区）例如“Z+PSC1-ACT01+CO-CO”全球共同Basis Role是指此职能关系到整个系统的安全的那部分权限的Role.命名特征是“Y+”开头例如“Y+CO CO”权限设定者分工一.以Role类型分1.Template Role即“G”开头的:台北本部的AP MIS2.User Role:以Z开头的:东莞AP MIS以W开头的:吴江AP MIS3.Basis Role:即以Y开头的:台北和东莞Basis MIS权限设定者分工二.以USER ID分从USER ID可以区分出这个ID所属的厂别和模块。例如P

8、SC1-ENG01这是PSC1厂的账号属于PP模块所以这个账号申请的权限将由东莞PP模块的MIS主要负责和监督。权限设定者分工三.以所申请的权限归属的模块分由于user所申请的权限通常涉及多个模块这就需要多个模块的MIS共同合作设定user的权限这时先按第二条执行,由ID所属模块MIS接受申请并从始至终跟进。然后具体的权限属于哪个模块就由那个模块的MIS作设定。但无论如何作为跟进的MIS都是负主要责任的。权限设定的操作上面说过权限的大架构由User ID,Role,Profile 三层组成那么权限的设定自然也会有三层。但由于sap4.6是Profile与Role是捆绑在一起的所以在建立Role

9、的时候Profile是会自动创建的（具体见后文）。而User ID的建立比较简单。所以我将主要说明Role的部分。USER ID 的建立T CODE SU01单击建立图标2输入要创建的User ID1USER ID 的建立填好这些字段USER ID 的建立设定组别这对MIS非常重要MIS能否管理此User ID就看这里设定初始密码有效期一般不设定USER ID 的建立按图设定（打印机按实际设定）USER ID 的建立接着按save就把USER ID创建好了USER ID创建好了但这时这个ID没有赋予(Assign)任何权限是什么都不能做的。USER得到这样的账号没有任何意义。如何 Assign

10、权限给一个账号主要就是Assign一个 Role 给这个账号了。下面我们看看如何建Role和给权限。Role的建立新创建Role主要有三种方式。T CODE PFCG1.可以对应所有新建Role。主要对应例外权限Z+USERID+EXCEPTION2.继承;主要对应设定Z+USERID+职能名称3.复制（COPY）主要对应设定Z+USERID+职能名称-1Role的建立完全新建我们假设有一个账号“FORTEST”,他申请了例外权限 VA01和YF30。下面我将会一步一步向大家说明操作的步骤和应该注意的地方。看到PFCG的画面了吗没有哦在下一页。Role的建立完全新建输入Role name注意选

11、第二项Role的建立完全新建描述一般与Role name一致记录此Role的创建者记录此Role的最后修改者把描述填好后按save然后点击menu页签Role的建立完全新建建立新目录修改TEXT项目下移项目上移删除项目手动增加T code从SAPMenu中增加T code从其它Role中Copy Menu这些是常用的功能Menu页签定义的是USER MENU（个人化菜单）的内容。Role的建立完全新建请大家按图所示建立目录 第一层是职能这里是EXCEPTION下面分“标准”(Standark)和“外挂”(Add On)两个目录。让菜单保持清晰可以令User的个人菜单清楚不混乱。我们MIS检查权

12、限也比较方便。Role的建立完全新建大家可以对比下面两个USER的个人化菜单左边职能清晰右边非常混乱同名的目录 大量出现但里面的内容又不尽相同这对依赖路径执行指令的user是很麻烦的。Role的建立完全新建菜单的壳子有了如何往里面添加内容呢比较常见的是从SAP菜单添加和直接添加T CODE。从SAP菜单添加所有标准的T CODE和没有T CODE的标准程序都可以用这种方法添加。好处是可以寻找可以一次添加标准菜单的一个目录T code在标准菜单中的位置也可以显示出来。缺点是很浪费时间而且外挂的程序无法添加。Role的建立完全新建直接添加所有T CODE(包括外挂）和没有T CODE的标准程序都可

13、以用这种方法添加。好处是比较快缺点是必须知道T code不能带出路径。Role的建立完全新建从SAP菜单添加Role的建立完全新建Role的建立完全新建Role的建立完全新建Role的建立完全新建OBJECT完全没有给值OBJECT只有部分给值OBJECT已经全部有值请注意绿灯只是表示全部有值而已但不一定就是我们所需要的值这时标准T code所需要的Object系统会自动带出来。Role的建立完全新建这个Object是任何权限设定文件中都应该有的这是给予启动T code的权限如果T code没有出现在这个列表中user连这个指令的画面都无法进入Role的建立完全新建在这里需要向大家介绍一个很重

14、要的概念Org.level.在权限设定中有许多地方的控制点是一致的sap公司为了方便权限的设定把这些地方设计为与全局变量关联。当改变全局变量时这些地方就可以全部改变过来。这个全局的变量就是Org.levelRole的建立完全新建当Org.Level给值后相应的Object value的值也变了Role的建立完全新建对Org.Level都给值之后会发现相当一部分的Object value都已经给值了但还有一些Object是红灯或者是黄灯这些Object是要单独给值的。Role的建立完全新建按一下 标志就可以输入值按 保存在这里介绍一下 的作用点击它就相当于给这个Object一个“*”(star)

15、“*”的意义是All Authorization不卡任何权限。Object给值后就变成绿色 不能点击了。Role的建立完全新建如果是外挂的T code就只能用“直接添加”的方式加入到菜单中需要注意的是外挂的T code的Object不会自动带出来需要自己手工添加。按 点击Y-AUTH-PRT前的Role的建立完全新建变为 后按屏幕上方的 插入Object.注意外挂的T code除了前面所说的列表中要有外这里框住的地方要给T code否则user还是不会有权限Role的建立完全新建都给好值后按 保存按“勾”。然后按 激活。退出。Role的建立完全新建Authorization已经变成绿灯这表示权

16、限的设定已经可用了。点击USER,Assign USER ID 给这个RoleRole的建立完全新建点击 USER COMPARE 再点击Complete compare就完成了COMPARE。至此此权限已经Assign完毕FORTEST这个账号已经具有VA01和YF30的权限Role的建立继承所谓“继承”,是指两个Role形成这样的母子 关系子Role的所有Menu,Authorization（Org.level除外)都源于母Role,并与母Role保持一致。母Role 与 子Role 是1 对 多 的。Role的建立继承下面我们来学习用“继承”方式建立Role.我们假设有一个账号“FORT

17、EST”,他申请了职能“AP立帐员”“AP立帐员”的Template Role 是“G+CO-AP”。我们先来按命名规则Create一个新Role。Role的建立继承大家注意这个地方建立“继承”关系就是靠这里了Role的建立继承填入Template Role,按Enter.是否建立继承关系回答当然是“YES”了否则我们怎样上课如果在此前没有做过存盘系统会询问是否存盘回答同样是“YES”Role的建立继承可以看到菜单已经自动根据Template Role生成了,点击Authorization 页签设定权限去。Role的建立继承进入Profile里面了请注意下面所说的操作如果做错了可能要拉倒从新开

18、始的哟。点击这个按钮1.系统会自动进入Org.level请点击“X”,退出Org.level。2.按“SAVE”对Profile存档。Role的建立继承3.执行菜单Edit中的Copy data,系统会提示这个操作不可反转。按“勾”继续 ,执行完毕后我们会看到许多Object 已经变成绿灯了。Role的建立继承现在可以维护Org.level的设定了。进入的方法如上。当Org.level每一个字段都赋值之后应该每一个Object都是绿灯如果还有红黄灯请通知台北修正。Role的建立继承当所有权限（其实只是设定Org.level)都设定完毕后按 激活设定Assign给USER ID,就完成了。Rol

19、e的建立继承大家是否觉得“继承”的方法好简单几下就做完了。其实这种方法思路最复杂了后面的处理还隐藏不少陷阱。不过现在大家先掌握Role的建立方法其它的问题等一下再说。那么我们来看看第三种方法复制。Role的建立复制复制其实是一种从思想到操作都很简单的操作。它的核心就是复制!(鸡蛋和西红柿飞了起来）我们来看看如何操作吧。先告诉大家“AP立帐员”的Template Role 还有一个是“G+CO-AP-1”我们就用它来学习。Role的建立复制一开始当然是进入PFCG了先把Template Role名输进去然后按COPY按钮Role的建立复制Role的建立复制把描述改成与Role名一样要注意“-1”

20、的Role的menu是空的这里是空的Role的建立复制红色框住的都是要填入值的地方最好先填完Org.levelRole的建立复制与其它方式建立的Role一样,当所有权限都设定完毕后按 激活设定Assign给USER ID一个Role就设定完成了Role的建立继承与复制小结非“-1”的那种Template Role 用继承的方式建立新Role,继承后只需要填入Org.levelObject就全部是绿灯了而“-1”的那种是用复制的方式还需要在Object里填入值才能全部绿灯。这是两者操作上的最大特点。Role的修改1.Merge2.新增/删除T Code3.从其它Role导入4.AdjustRol

21、e的修改对Role的修改最常见的是有T Code的新增/删除。这种改动一般是从Menu开始当Menu改变任何改变系统都会侦测到Authorization和User会变成红灯。在Authorization页签里有两个按钮他们有什么不同呢Role的修改我们先点击 会出现一个小窗口里面是三个选项他们的意义是不同的。第一项删除此Role的Profile后重建第二项编辑原有的Profile第三项读取原有Profile并根据Menu的变化对Profile进行更改Role的修改第一项会把Profile整个重建并且会把已经被屏蔽掉或删除的Object重新显示出来极容易造成权限设定错误反对使用。第二项完全保留之

22、前可用的Profile即使新的权限没设好还有原有的权限可用。推荐使用。缺点是Object的变更需要手动进行。第三项重新读取Role的Menu按菜单的变化变更Object具有一定的智能但会把已经Merge的Item弹开造成设定者的混乱。不反对使用。Role的修改这个按钮相当与前面所说的第三项。由于 已经包含这个选择而且第三项不是最优选择所以我们一般不建议使用它。总的来说我们认为选 的第二项比较稳当保留原有的可用设定。可以看到变化前的Profile。详细细节请继续看后面的章节。Role的修改Merge当Role所包含的T Code经过多次修改后可能产生多个同样的Object其Value可能互相包含

23、。这时可以通过Merge（合并）的动作使同一个Object内Value相同或者互相包含的Item合并起来使权限的条目更清晰Role的修改Merge红框框住的两个Object,是同样的Object,而且其Value又是第一个包含第二个。Role的修改Merge上页红框里的两项被合并了。选择菜单Utilities里的MergeRole的修改Merge的规则我们来看一个简单的Object它只有两项Activity和下面的Group。我称Acitivity为“动作”它下面的Group等项目为“参数”。Merge的规则当两个相同Object的Item的动作或参数完全一致时这两个Item可以Merge。R

24、ole的修改Merge当一个Role经过Merge后这个Role的Object 会比较精简。但当Menu发生改变后系统会提示菜单已经变化Authorization和User会从绿灯变成红灯。现在我来举一个例子假设新增一个T Code:FSS0。Role的修改Merge这时如果我们选择 的第二项进入Profile会发现所有的Object都和菜单没有变化前一样。到底FSS0对Object的影响有哪一些需要自己的经验。这里我就不详细介绍。(如果一点都不知道可以做一个测试用的Role只含有这一个T Code看看系统自动为它带出的Object即可)Role的修改Merge如果选择 的第三项进入Profi

25、le我们会发现不少Object变成了黄灯。但如果有经验的话仔细看看会发现有好几个Object其实都是以前Merge过现在给弹开或者删除过再次带出.Role的修改Merge对于熟悉的人来说这些多余的Item可以删除就可以了但也要费时间确认。对于不熟悉的人来说就可能无法区分那些Object是新增T Code所需要的哪些是因为不能开放而删除的。耗费的时间可能更多。所以我们不推荐这种做法。Role的修改新增和删除T Code新增和删除T Code其实在前面都有提到。在Menu页签的操作这里就不再重复了细节请参照Role的新建完全新建在Authorization页签的操作请参考Role的修改这里只重点提

26、醒一件事。Role的修改新增和删除T Code在每一个有Menu的Role里必定有一个叫S_TCODE的Object这个Object里记录的是这个Role所有可以执行的T Code。当Menu变化这里也要相应变化。但这个Object永远是绿灯所以大家一定要记得检查这里。Role的修改新增和删除T Code经过测试在Menu新增T Code后在进入Profile时选择第二项时系统不会在此Object自动增加T Code选择第三项系统会自动增加T Code。在Menu删除T Code后无论选择第二项还是第三项系统都不会自动删除T Code。必须手工删除这一点请大家务必注意。Role的修改从其它Ro

27、le导入当我们要处理的Role A与某个Role B的设定十分相似可以通过Insert功能把Role B的Object设定导入到Role A中。请留意实际上是导入Profile哦所以一般还要去看Role B的Profile Name不是很方便。Role的修改从其它Role导入需要注意的是这样导入进去的Object的设定都跟Role B的一样一定要把其中对Role A不适用的部分更正过来。对Role B不熟悉不要乱用这功能哦。还是那句老话欲速不达不熟的事没有把握的事一定要谨慎。Role的修改AdjustAdjust是专门针对存在继承关系的母子Role的一项功能。在Role的建立一章我们学习到从子

28、Role可以通过Copy Data从母Role得到Object Value。现在我们看看从母Role传送Object Value到子Role的功能Adjust。Role的修改Adjust用Display模式进入Template Role的Profile选择菜单上的Generate derived roles即可。从操作来看十分简单。注不要用Change进入Template Role否则Adjust会造成Template Role本身最后修改日期和最后修改人发生改变对查对权限产生误会Role的修改Adjust简单比较Copy Data 和 Adjust从子Role发出Copy Data仅影响执行

29、此功能的子Role其它继承同一母Role的子Role不受影响同一Client下所有继承此母Role的子Role均受影响从母Role发出AdjustRole的传输1.产生Request Num2.Release3.TransportRole的传输产生Request Num在PFCG的开始画面可以看到。由于单个Role的传送比大批量的传送从操作上来说要简单而且类似所以我们重点说大批量传送的操作。大批量的传输单个Role的传输Role的传输产生Request Num选择Single Role选择要传输的RoleRole的传输产生Request Num确定要传输确定要传输Role的传输产生Reques

30、t Num如果这个Role第一次传输这里一定要打勾否则传输到其它client后会没有Assign到User ID。但如果不是第一次传输请不要打勾因为只要打了勾就要到目标的Client端去做一次Compare的动作权限才能激活没有起用Role的传输产生Request Num如果要新建一个Request按如果现在已经有一个还没有Release的可用的Request Num请在这里输入然后打勾Role的传输产生Request Num简要说明传输的内容或目的Role的传输产生Request NumRequest Num产生,C00K开头的都是大陆地区产生的T00K开头的都是台湾地区产生的.Role的传

31、输产生Request Num单个Role的传输Request Num产生的过程与打批量的相似只是开始不一样而已。单个传输直接Key Role名字按 按钮其它操作就一样了Role的传输ReleaseRelease的 T Code SE10输入Request Num的产生者选择查看ModifiableRole的传输Release可以看到其实是有两个Request Num的,一个记录Header一个记录ItemRole的传输Release先Release Item的Num（在下面作为子项的那一个）再Header的Num方法是点击Item的Num然后按 按钮会进入另一个画面按 会回到原来的画面然后再R

32、elease Header的Num。同样是点击Header的Num然后按 进入另一画面后不用存盘按 即可Role的传输传送这一部分是Basis的工作。本来是在Unix下进行但我们开发了两支外挂程序。从测试环境到正式环境是YATP从测试环境到QAS是YATPQA进行传送的Request Num必须是已经Release的NumberRole的传输传送两者的画面很象填入Request Num选择好目标Server按 就可以了Role的传输删除如果发现Role搭错了一个 Request Num在没有Release前可以补救。同样是在SE10,点击Num后使用 就可以了。Role的传输删除如果已经Rel

33、ease就没有办法删除了只能整个Number作废所谓“作废”其实是不做最后的传送动作让这个Number闲置而已。Role的删除在PFCG中填好Role的名字按 按钮确认即可把Role及其专属Profile删除。Role的删除请注意如果需要利用传输功能在多个环境中删除Role一定要按以下顺序进行1.对Role产生传输的Request Num2.删除本环境的Role3.Release;(此时本环境中已经没有这个Role了）4.传输账号删除账号（User ID）的删除操作也十分简单在SU01中输入账号名称按 就可以了账号删除删除一个账号后为其专设的Role（即Z或W开头的）也要删除（包括测试和正式环

34、境）减少系统无用的数据也减少不必要的查对。或许有人会认为保留这些Role虽然占用一点硬盘但如果以后这个账号再次起用不就可以不用重设权限吗这个理由咋看起来很有道理。实际上USER一旦决定删除某个账号在相当长的时间内都不会再起用（一个 账号的费用不菲决定不会轻易下的）在经过长时间后即使需要再次起用其权限需求也要重新审视与其把其新需求与旧有设定一项一项对比修改还不如重新设定来得方便快捷而且更安全。Debug/查看有一些工具对权限的问题处理很有帮助1.SU532.SUIM虽然还有一些其它工具但一般很少用或者不实用这里就不介绍了。Debug/查看SU53当一个账号反映没有某个应有的权限时我们可以在系统出

35、现没有权限的信息时马上输入“/NSU53”Debug/查看SU53Debug/查看SU53上页红色框住的就是没有权限的地方而蓝色框住的是跟这个账号已经有的权限。但是请注意SU53给出的信息并不详细大部分情况只能作为一个大方向的参考有时还可能指示不出来问题所在。但无论如何有一个 参考总比没有好。Debug/查看SUIMSUIM其实就是Information 系统的一个集合界面。我们最常用的功能是已知某个T Code查找含有这个T Code的Role。Debug/查看SUIMDebug/查看SUIM输入T Code后执行就可以得到含有这个T code的Role的列表。请注意其判断条件是Role的M

36、enu而不是Profile特殊的权限设定SD的权限在SD模块有一个解S/O Billing Block权限的设定它是在YS08中设定其它知识1.Object的状态Standard/Manually/Maintained/Changed2.Object Value VS Org.level其它知识Object的状态其它知识Object的状态当我们用第三项进入一个Profile的时候我们可以看到每个Object 的描述前有都有两个状态。现在我来给大家解释一下他们的含义。右边的状态共有两种NEW 和 OLDNEW此Object有新的Item或Value,Profile Save后会变成OLDOLD

37、此Object的Item是以前建立的其它知识Object的状态左边的状态有好几种Standard由系统带出后没有经过任何更改Maintained对系统初次带出时Value为空的Item进行过变更或补充Changed对系统初次带出时Value为非空的Item进行过变更其它知识Object Value VS Org.level大家可能对Object Value与Org.level的关系有一些疑问对Adjust时子Role到底那些地方会被母Role控制变更有点把握不住。那么下面介绍的东东对大家可能有点帮助1.Adjust大原则Org.level子Role有值时Adjust时以子Role为准子Role

38、无值时Adjust以母Role为准Object.Value一律强制以母Role为准其它知识Object Value VS Org.level2.Value与Org.level我们可以发现在Object里有些Item的Value是与Org.level相关联的其值在没有手工更改前都是以“$”开头这类值都是变量指向对应的Org.level。当Org.level给值后Object就通过这些变量把Org.level的值显示出来但实际上Object的值仍然是原来以“$”开头的那个值。其它知识Object Value VS Org.level在子Role中如果这些Object Value被手工更改在母Rol

39、e没有做Adjust之前子Role的Object Value是可以与Org.level不一致的实际权限以Object Value为准。但一旦母Role做了Adjust子Role的Object Value就强制与母Role一致。而母Role一般对这类Object Value的处理是保持其变量状态那么子Role的Value就变会变量状态（$XXXX)然后根据子Role Org.level的值显示出新的值。其它知识Object Value VS Org.level3.如果不小心变更了与Org相连的Value但又想恢复其变量状态怎么操作首先简单地把Value清空是不行的这样的操作只是把当前值变为NUL

40、L(空)第二把其原有的$开头的值Key进去也是不行的主要原因是输入字段的长度不够。正确操作是把这个Object整个删除然后手工添加这个Object。请大家把自己的发现告诉我这个教材是我在工作之余测试编写的因为看到不少兄弟姊妹包权限的时候还有不少的疑问所以希望能总结一下对大家有点帮助因为时间很不够用断断续续写了一个多月本来有些东西想写但由于没有时间进一步了解怕写出来误人子弟。只好作罢。同时由于时间和精力美观方面就不做多的修饰了。(反正是内部教材 _)请大家把自己的发现告诉我这不是客套话这个教材虽然是我很辛苦写出来的但可能还是有不对的地方请大家发现后告诉我我有时间的时候会修正。同时如果大家有自己的心得也请不吝赐教特别是各个模块特有的权限设定辅助工具的使用Basis组所负责的权限部分权限的传输等方面我还有些地方了解的很不足够希望各位能告诉我。