SAP权限的设定.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,SAP权限的设定,YOLANDA,V,李 伟,Modify,By,Olivia,内部教材,CONFIDENTIAL,目录,综述,权限维护的内部规定,权限设定的常规方法,权限检查,综述,权限设定的注意事项,权限的设定非常重要，其调试也非常繁琐，需要异常谨慎,原则上权限的设定是不允许在生产机上直接做的，需要在开发机上测试成功之后传到生产机上,权限的变更必须要申请，审批完成之后方可维护,权限维护人员是最终在系统中维护权限的，如果对user的权限设定的不合理，有权退回,权限维护过程中必须对其进行记录,综述,sap,权限架构,Role template,-Description,-Menu,-Authorizations,Authorization profile,-Object class,-Authorization object,-Authorizations,.,Assign to,Bind with,Assign to,SAP User account,-Address,-Logon data,-Group,.,综述,sap,权限架构,名詞解釋（英譯中,）,User account,就是我們平常說的“帳號”,也稱為“,USER ID”,。,Role,同類的,USER,使用,SAP,的目的和常用的功能都是類似的,例如業務一定需要用到開,S/O,的權限。當我們把某類,USER,需要的權限都歸到一個集合中,這個集合就是“職能”,(Role),。,所謂的“角色”或者“職能”,是,sap4.0,才開始有的概念,其實就是對,user,的需求進行歸類,使權限的設定更方便。,(,面向對象的權限,!),分為,single role,和,composite role,兩種,后者其實是前者的集合。,综述,sap,权限架构,Profile:,真正記錄權限的設定的文件,從,sap4.0,開始是與,Role,綁定在一起的。雖然在,sap4.6c,還可以單獨存在,但按,sap,的行為推測,以后將不能“一個人活着”,Template Role:Role,的模板,一般是,single role.,但這個模板具有一個 強大的功能,能通過更改模板而更改所有應用,(sap,稱為,Derive“,繼承”）,此模板的,Role,(sap,稱之為,adjust),USER ID,的建立,1,T CODE SU01,單擊建立圖標,2,輸入要創建的,User ID,1,USER ID,的建立,2,填好这些栏目,在某些用户用,SAP,系统打印时，需要,输出这些信息，比,如采购部门,USER ID,的建立,3,设,定,用户组,設定初始密碼,有效期一般不設定,别名,一般当公司多,了后，要把用,户分成不同的,用户组,USER ID,的建立,4,一般是自己公司设定好的标准菜单,输出设备是执行打印功能时，所用的打印机,USER ID,的建立,5,所有用户共有,USER ID,的建立,6,USER ID,的建立,7,接著按,save,就把,USER ID,创,建好了,USER ID,创,建好了下面我們看看如何建,Role,。,Role的建立,新,创建,建,Role,主要有三,种,方式。,T CODE,PFCG,1.,由始至終新建,;,2.,繼承,;,3.,復制（,COPY,）,Role的建立完全新建,輸入,Role name,注意選第二項,Role的建立完全新建,描述一般與,Role name,一致,記錄此,Role,的創建者,記錄此,Role,的最后修改者,把描述填好后,按,save,然后點擊,menu,頁簽,Role的建立完全新建,建立新目錄,修改,TEXT,項目下移,項目上移,刪除項目,手動增加,T code,從,SAPMenu,中增加,T code,從其他,Role,中,Copy Menu,這些是常用的功能,Menu,頁簽定義的是,USER MENU,（個人化菜單）的內容。,Role的建立完全新建,請大家按圖所示建立目錄,第一層是職能,這里是,EXCEPTION,下面分“標准”,(Standark),和“外挂”,(Add On),兩個目錄。,讓菜單保持清晰,可以令,User,的個人菜單清楚,不混亂。,我們,MIS,檢查權限也比較方便。,Role的建立完全新建,Role的建立完全新建,Role的建立完全新建,OBJECT,完全沒有給值,OBJECT,只有部分給值,OBJECT,已經全部有值,請注意,綠燈只是表示全部有值而已,但不一定就是我們所需要的值,這時,標准,T code,所需要的,Object,系統會自動帶出來。,Role的建立完全新建,這個Object是任何權限設定文件中都應該有的這是給予啟動T code的權限如果T code沒有出現在這個列表中user連這個指令的畫面都無法進入,Role的建立完全新建,對,Org.Level,都給值之后,會發現相當一部分的,Object value,都已經給值了,但還有一些,Object,是紅燈或者是黃燈,這些,Object,是要單獨給值的。,Role的建立完全新建,按一下 標志,就可以輸入值,按 保存,在這里介紹一下 的作用,點擊它,就相當於給這個,Object,一個“*”,(star)“*”,的意義是,All Authorization,不卡任何權限。,Object,給值后,就變成綠色,不能點擊了。,Role的建立完全新建,如果是外挂的T code就只能用“直接添加”的方式加入到菜單中需要注意的是外挂的T code的Object不會自動帶出來需要自己手工添加。,按 點擊Y-AUTH-PRT前的,Role的建立完全新建,變為 后按屏幕上方的 插入Object.注意外挂的T code除了前面所說的列表中要有外這里框住的地方要給T code否則user還是不會有權限,Role的建立完全新建,都給好值后按 保存按“勾”。,然后按 激活。退出。,Role的建立完全新建,Authorization已經變成綠燈這表示權限的設定已經可用了。,點擊USER,Assign USER ID 給這個Role,Role的建立完全新建,點擊,USER COMPARE,再點擊,Complete compare,就完成了,COMPARE,。,至此,此權限已經,Assign,完畢,FORTEST,這個帳號已經具有,VA01,和,YF30,的權限,Role的建立繼承,大家注意這個地方,建立“繼承”關系就是靠這里了,Role的建立繼承,執行菜單,Edit,中的,Copy data,系統會提示這個操作不可反轉。按“勾”繼續,執行完畢后我們會看到,許多,Object,已經變成綠燈了。,Role的建立繼承,當所有權限（其實只是設定,Org.level),都設定完畢后,按 激活設定,Assign,給,USER ID,就完成了。,Role的建立復制,一開始當然是進入,PFCG,了,先把,Template Role,名輸進去,然后按,COPY,按鈕,Role的建立復制,Role的建立復制,紅色框住的都是要填入值的地方,最好先填完,Org.level,Role的建立復制,與其它方式建立的Role一樣,當所有權限都設定完畢后按 激活設定Assign給USER ID一個Role就設定完成了,Role的修改,1.Merge,2.新增/刪除T Code,3.從其它Role導入,4.Adjust,Role的修改Merge,紅框框住的兩個Object,是同樣的Object,而且其Value又是第一個包含第二個。,Role的修改Merge,上頁紅框里的兩項被合并了。,選擇菜單,Utilities,里的,Merge,Role,的修改,從其它,Role,導入,當我們要處理的Role A與某個Role B的設定十分相似可以通過Insert功能把Role B的Object設定導入到Role A中。,請留意,實際上是導入,Profile,哦,所以一般還要去看,Role B,的,Profile Name,不是很方便。,Role,的修改,從其它,Role,導入,需要注意的是這樣導入進去的Object的設定都跟Role B的一樣一定要把其中對Role A不適用的部分更正過來。,對Role B不熟悉不要亂用這功能哦。,還是那句老話欲速不達不熟的事沒有把握的事一定要謹慎。,Role的修改Adjust,Adjust是專門針對存在繼承關系的母子Role的一項功能。,在Role的建立一章我們學習到從子Role可以通過Copy Data從母Role得到Object Value。,現在我們看看從母Role傳送Object Value到子Role的功能Adjust。,Role的修改Adjust,用,Display,模式進入,Template Role,的,Profile,選擇菜單上的,Generate derived roles,即可。從操作來看,十分簡單。,注,不要用,Change,進入,Template Role,否則,Adjust,會造成,Template Role,本身最后修改日期和最后修改人發生改變,對查對權限產生誤會,Role的修改Adjust,簡單比較,Copy Data,和,Adjust,從子,Role,發出,Copy Data,僅影響執行此功能的子,Role,其它繼承同一母,Role,的子,Role,不受影響,同一,Client,下所有繼承此母,Role,的子,Role,均受影響,從母,Role,發出,Adjust,Role的傳輸產生Request Num,在,PFCG,的開始畫面,可以看到。,由于單個,Role,的傳送比大批量的傳送從操作上來說要簡單而且類似,所以我們重點說大批量傳送的操作。,大批量的傳輸,單個,Role,的傳輸,Role的傳輸產生Request Num,如果這個,Role,第一次傳輸這里一定要打勾,否則傳輸到其它,client,后會沒有,Assign,到,User ID,。,但如果不是第一次傳輸請不要打勾,因為只要打了勾就要到目標的,Client,端去做一次,Compare,的動作,權限才能激活,沒有起用,Role的傳輸產生Request Num,如果要新建一個Request按,其他的传输操作同程序的传输,如果現在已經有一個還沒有,Release,的可用的,Request Num,請在這里輸入,然后打勾,Role的傳輸產生Request Num,單個Role的傳輸Request Num產生的過程與打批量的相似只是開始不一樣而已。,單個傳輸直接Key Role名字按 按鈕其它操作就一樣了,Role的刪除,在PFCG中填好Role的名字按 按鈕確認即可把Role及其專屬Profile刪除。,Role的刪除,請注意如果需要利用傳輸功能在多個環境中刪除Role一定要按以下順序進行,1.對Role產生傳輸的Request Num,2.刪除本環境的Role,3.Release;(此時本環境中已經沒有這個Role了）,4.傳輸,帳號刪除,帳號（User ID）的刪除操作也十分簡單在SU01中輸入帳號名稱按 就可以了,帳號刪除,刪除一個帳號后,為其專設的,Role,（即,Z,或,W,開頭的）也要刪除（包括測試和正式環境）,減少系統無用的資料,也減少不必要的查對。,或許有人會認為,保留這些,Role,雖然占用一點硬盤,但如果以后這個帳號再次起用,不就可以不用重設權限嗎,這個理由咋看起來很有道理。實際上,USER,一旦決定刪除某個帳號,在相當長的時間內都不會再起用（一個 帳號的費用不菲,決定不會輕易下的）,在經過長時間后即使需要再次起用,其權限需求也要重新審視,與其把其新需求與舊有設定一項一項對比修改,還不如重新設定來得方便快捷,而且更安全。,Debug/查看,有一些工具對權限的問題處理很有幫助,1.SU53,2.SUIM,雖然還有一些其它工具但一般很少用或者不實用這里就不介紹了。,Debug/查看SU53,當一個帳號反映沒有某個應有的權限時我們可以在系統出現沒有權限的信息時馬上輸入“/NSU53”,Debug/查看SU53,Debug/查看SU53,上頁紅色框住的就是沒有權限的地方,而藍色框住的是跟這個帳號已經有的權限。,但是請注意SU53給出的信息并不詳細大部分情況只能作為一個大方向的參考有時還可能指示不出來問題所在。,但無論如何有一個 參考總比沒有好。,Debug/查看SUIM,SUIM其實就是Information 系統的一個集合界面。,我們最常用的功能是,已知某個T Code查找含有這個T Code的Role。,Debug/查看SUIM,Debug/查看SUIM,輸入,T Code,后執行,就可以得到含有這個,T code,的,Role,的列表。,請注意,其判斷條件是,Role,的,Menu,而不是,Profile,其它知識,Object,的狀態,Standard/Manually/Maintained/Changed,其它知識Object的狀態,其它知識Object的狀態,當我們用第三項進入一個Profile的時候我們可以看到每個Object 的描述前有都有兩個狀態。現在我來給大家解釋一下他們的含義。,右邊的狀態共有兩種NEW 和 OLD,NEW此Object有新的Item或Value,Profile Save后會變成OLD,OLD 此Object的Item是以前建立的,其它知識Object的狀態,左邊的狀態有好几種,Standard,由系統帶出后沒有經過任何更改,Maintained,對,系統初次帶出時,Value,為空,的,Item,進行過變更或補充,Changed,對系統初次帶出時,Value,為非空的,Item,進行過變更,