搜索
1.总述2.职能/TemplateRole/设定的分工3.三种不同的常规权限的设定方法4.常规以外的权限设定方式5.如何快速检查权限设定的情况1.在开始学习之前2.SAP权限的架构在开始了解权限前,有几点是要大家注意的1.权限设定非常重要﹐而且权限的DEBUG操作非常繁琐,耗时,所以请大家设定时一定要非常谨慎,每次更改都要记录。2.权限设定除非特殊情况﹐不允许在正式环境直接更改﹐请在测试环境修改好再传到正式环境。3.MIS不是决定user权限的人﹐而是user大大小小的leader﹐所以﹐要变更权限设定﹐务必要求user提供经过签核的申请表。(当然﹐对user不合理的权限要求﹐MIS也有责任退回)4.权限的设定,是MIS的工作.(废话)所以﹐本教材是MIS内部教材﹐请不要随便泄漏Roletemplate-Description-Menu-Authorizations……………Authorizationprofile-Objectclass-Authorizationobject-Authorizations………………..AssigntoBindwithSAPUseraccount-Address-Logondata-Group............这是SAP权限的架构图﹐大家也接触过。请大家一定要记住他们的关系。名词解释(英译中﹖)﹕•Useraccount﹕就是我们平常说的“账号”﹐也称为“USERID”。•Role﹕同类的USER使用SAP的目的和常用的功能都是类似的﹐例如业务一定需要用到开S/O的权限。当我们把某类USER需要的权限都归到一个集合中﹐这个集合就是“职能”(Role)。所谓的“角色”或者“职能”﹐是sap4.0才开始有的概念﹐其实就是对user的需求进行归类﹐使权限的设定更方便。(面向对象的权限!!)分为singlerole和compositerole两种﹐后者其实是前者的集合。•Profile:真正记录权限的设定的文件﹐从sap4.0开始是与Role绑定在一起的。虽然在sap4.6c还可以单独存在﹐但按sap的行为推测﹐以后将不能“一个人活着”•TemplateRole:Role的模板﹐一般是singlerole.但这个模板具有一个强大的功能﹐能通过更改模板而更改所有应用(sap称为Derive“继承”)此模板的Role(sap称之为adjust)•例外权限﹕这是公司创造的名词。当一个USER除了其职位一般所需的权限外﹐还需要一些特殊的权限﹐我们把这些权限称之为这个USER的例外权限。例如开工单对生管来说是其职能应有的权限﹐但对仓库来所就是例外权限。Role的命名规则和分类如下:以“G+”开头都是TemplateRole(模板)﹐都不会直接assign给userid。◦G+职能名称﹕全球共同TemplateRole◦G+职能名称-1﹕地区TemplateRole以“Z+”开头都是UserRole,直接assign给userid。◦Z+UserID+职能名称:继承全球共同TemplateRole◦Z+UserID+职能名称-1:继承地区TemplateRole◦Z+UserID+Exception:没有继承任何Role,例外权限以“Y+”开头都是BasisRole,直接assign给userid。◦Y+职能名称:全球共同BasisRole附件是一张职能/Rolename对照表我们以其中一个职能“AR作业人员”做解释﹕A/R作業人員CO-ARG+CO-ARG+CO-AR-1Y+CO-AR职能中文名称职能英文名称全球共同TemplateRole地区TemplateRole全球共同BasisRole全球共同TemplateRole﹕是指此职能在全球任何一个地区都一致的那部分权限的模板。◦命名特征是以“G+”开头﹐非“-1”结尾。例如“G+CO–CO”地区TemplateRole﹕是指此职能根据不同地区而不同的那部分权限的模板。◦命名特征是“G+”开头﹐“-1”结尾。例如“G+CO–CO–1”UserRole﹕是指根据每个user的具体需求进行设定的权限的Role.◦命名特征是﹕“Z+”USERID开头(东莞﹑台湾地区)“W+”USERID开头(吴江地区)例如“Z+PSC1-ACT01+CO-CO”全球共同BasisRole﹕是指此职能关系到整个系统的安全的那部分权限的Role.◦命名特征是“Y+”开头例如“Y+CO–CO”一.以Role类型分1.TemplateRole即“G”开头的:台北本部的APMIS2.UserRole:以Z开头的:东莞APMIS以W开头的:吴江APMIS3.BasisRole:即以Y开头的:台北和东莞BasisMIS二.以USERID分从USERID可以区分出这个ID所属的厂别和模块。例如﹕PSC1-ENG01这是PSC1厂的账号﹐属于PP模块﹐所以这个账号申请的权限将由东莞PP模块的MIS主要负责和监督。三.以所申请的权限归属的模块分由于user所申请的权限通常涉及多个模块﹐这就需要多个模块的MIS共同合作设定user的权限﹐这时先按第二条执行,由ID所属模块MIS接受申请﹐并从始至终跟进。然后具体的权限属于哪个模块就由那个模块的MIS作设定。但无论如何﹐作为跟进的MIS都是负主要责任的。上面说过﹐权限的大架构由UserID,Role,Profile三层组成﹐那么﹐权限的设定自然也会有三层。但由于sap4.6是Profile与Role是捆绑在一起的﹐所以在建立Role的时候﹐Profile是会自动创建的(具体见后文)。而UserID的建立比较简单。所以﹐我将主要说明Role的部分。TCODE﹕SU01单击建立图标2输入要创建的UserID1填好这些字段设定组别﹐这对MIS非常重要﹐MIS能否管理此UserID就看这里设定初始密码有效期一般不设定按图设定(打印机按实际设定)接着按save﹐就把USERID创建好了USERID创建好了﹐但这时这个ID没有赋予(Assign)任何权限﹐是什么都不能做的。USER得到这样的账号没有任何意义。如何Assign权限给一个账号﹖主要就是Assign一个Role给这个账号了。下面我们看看如何建Role和给权限。新创建Role主要有三种方式。TCODE﹕PFCG1.由始至终新建;可以对应所有新建Role。主要对应例外权限Z+USERID+EXCEPTION2.继承;主要对应设定Z+USERID+职能名称3.复制(COPY)﹔主要对应设定Z+USERID+职能名称-1我们假设有一个账号“FORTEST”,他申请了例外权限VA01和YF30。下面我将会一步一步向大家说明操作的步骤和应该注意的地方。看到PFCG的画面了吗﹖没有﹖哦﹐在下一页。输入Rolename注意选第二项描述一般与Rolename一致记录此Role的创建者记录此Role的最后修改者把描述填好后﹐按save然后点击menu页签建立新目录修改TEXT项目下移项目上移删除项目手动增加Tcode从SAPMenu中增加Tcode从其他Role中CopyMenu这些是常用的功能Menu页签定义的是USERMENU(个人化菜单)的内容。请大家按图所示建立目录﹐第一层是职能﹐这里是EXCEPTION﹐下面分“标准”(Standark)和“外挂”(AddOn)两个目录。让菜单保持清晰﹐可以令User的个人菜单清楚﹐不混乱。我们MIS检查权限也比较方便。大家可以对比下面两个USER的个人化菜单﹐左边职能清晰﹐右边非常混乱﹐同名的目录大量出现﹐但里面的内容又不尽相同﹐这对依赖路径执行指令的user是很麻烦的。菜单的壳子有了﹐如何往里面添加内容呢﹖比较常见的是﹕从SAP菜单添加和直接添加TCODE。从SAP菜单添加﹕所有标准的TCODE和没有TCODE的标准程序都可以用这种方法添加。好处是可以寻找﹐可以一次添加标准菜单的一个目录﹐Tcode在标准菜单中的位置也可以显示出来。缺点是很浪费时间﹐而且外挂的程序无法添加。直接添加﹕所有TCODE(包括外挂)和没有TCODE的标准程序都可以用这种方法添加。好处是比较快缺点是必须知道Tcode﹐不能带出路径。从SAP菜单添加OBJECT完全没有给值OBJECT只有部分给值OBJECT已经全部有值请注意﹕绿灯只是表示全部有值而已﹐但不一定就是我们所需要的值这时﹐标准Tcode所需要的Object﹐系统会自动带出来。这个Object是任何权限设定文件中都应该有的﹐这是给予启动Tcode的权限﹐如果Tcode没有出现在这个列表中﹐user连这个指令的画面都无法进入在这里﹐需要向大家介绍一个很重要的概念﹕Org.level.在权限设定中﹐有许多地方的控制点是一致的﹐sap公司为了方便权限的设定﹐把这些地方设计为与全局变量关联。当改变全局变量时﹐这些地方就可以全部改变过来。这个全局的变量就是﹕Org.level当Org.Level给值后﹐相应的Objectvalue的值也变了对Org.Level都给值之后﹐会发现相当一部分的Objectvalue都已经给值了﹐但还有一些Object是红灯或者是黄灯﹐这些Object是要单独给值的。单击标志﹐就可以输入值﹐按保存在这里介绍一下的作用﹐点击它﹐就相当于给这个Object一个“*”(star)﹐“*”的意义是AllAuthorization﹐不卡任何权限。Object给值后﹐就变成绿色﹐不能点击了。如果是外挂的Tcode﹐就只能用“直接添加”的方式加入到菜单中﹐需要注意的是﹐外挂的Tcode的Object不会自动带出来﹐需要自己手工添加。按﹐点击Y-AUTH-PRT前的变为后﹐按屏幕上方的﹐插入Object.注意﹕外挂的Tcode﹐除了前面所说的列表中要有外﹐这里框住的地方要给Tcode﹐否则user还是不会有权限都给好值后﹐按保存﹐按“勾”。然后按激活。退出。Authorization已经变成绿灯﹐这表示权限的设定已经可用了。点击USER,AssignUSERID给这个Role点击USERCOMPARE﹐再点击Completecompare﹐就完成了COMPARE。至此﹐此权限已经Assign完毕﹐FORTEST这个账号已经具有VA01和YF30的权限所谓“继承”,是指两个Role形成这样的母子关系﹕子Role的所有Menu,Authorization(Org.level除外)都源于母Role,并与母Role保持一致。母Role与子Role是1对多的。下面﹐我们来学习用“继承”方式建立Role.我们假设有一个账号“FORTEST”,他申请了职能“AP立帐员”﹐“AP立帐员”的TemplateRole是“G+CO-AP”。我们先来按命名规则Create一个新Role。大家注意这个地方﹐建立“继承”关系就是靠这里了填入TemplateRole,按Enter.是否建立继承关系﹖回答当然是“YES”了﹐否则我们怎样上课﹖如果在此前没有做过存盘﹐系统会询问是否存盘﹐回答同样是“YES”可以看到﹐菜单已经自动根据TemplateRole生成了,点击Authorization页签﹐设定权限去。进入Profile里面了﹐请注意下面所说的操作﹐如果做错了﹐可能要拉倒从新开始的哟。点击这个按钮1.系统会自动进入Org.level﹐请点击“X”,退出Org.level。2.按“SAVE”对Profile存档。3.执行菜单Edit中的Copydata,系统会提示这个操作不可反转。按“勾”继续,执行完毕后我们会看到﹐许多Object已经变成绿灯了。现在可以维护Org.level的设定了。进入的方法如上。当Org.level每一个字段都赋值之后﹐应该每一个Object都是绿灯﹐如果还有红黄灯﹐请通知台北修正。当所有权限(其实只是设定Org.level)都设定完毕后﹐按激活设定﹐Assi