sap权限的设定

SAP權限的設定QiQiV張穎祺內部教材CONFIDENTIAL目錄1.總述2.職能/TemplateRole/設定的分工3.三種不同的常規權限的設定方法4.常規以外的權限設定方式5.如何快速檢查權限設定的情況總述1.在開始學習之前2.SAP權限的架構在開始學習之前在開始了解權限前,有几點是要大家注意的1.權限設定非常重要﹐而且權限的DEBUG操作非常繁瑣,耗時,所以請大家設定時一定要非常謹慎,每次更改都要記錄。2.權限設定除非特殊情況﹐不允許在正式環境直接更改﹐請在測試環境修改好再傳到正式環境。3.MIS不是決定user權限的人﹐而是user大大小小的leader﹐所以﹐要變更權限設定﹐務必要求user提供經過簽核的申請表。（當然﹐對user不合理的權限要求﹐MIS也有責任退回）4.權限的設定,是MIS的工作.（廢話）所以﹐本教材是MIS內部教材﹐請不要隨便泄漏SAP權限的架構Roletemplate-Description-Menu-Authorizations……………Authorizationprofile-Objectclass-Authorizationobject-Authorizations………………..AssigntoBindwithSAPUseraccount-Address-Logondata-Group............這是SAP權限的架構圖﹐大家也接觸過。請大家一定要記住他們的關系。SAP權限的架構名詞解釋（英譯中﹖）﹕•Useraccount﹕就是我們平常說的“帳號”﹐也稱為“USERID”。•Role﹕同類的USER使用SAP的目的和常用的功能都是類似的﹐例如業務一定需要用到開S/O的權限。當我們把某類USER需要的權限都歸到一個集合中﹐這個集合就是“職能”(Role)。所謂的“角色”或者“職能”﹐是sap4.0才開始有的概念﹐其實就是對user的需求進行歸類﹐使權限的設定更方便。(面向對象的權限!!)分為singlerole和compositerole兩種﹐后者其實是前者的集合。SAP權限的架構•Profile:真正記錄權限的設定的文件﹐從sap4.0開始是與Role綁定在一起的。雖然在sap4.6c還可以單獨存在﹐但按sap的行為推測﹐以后將不能“一個人活着”•TemplateRole:Role的模板﹐一般是singlerole.但這個模板具有一個強大的功能﹐能通過更改模板而更改所有應用(sap稱為Derive“繼承”）此模板的Role(sap稱之為adjust)SAP權限的架構•例外權限﹕這是公司創造的名詞。當一個USER除了其職位一般所需的權限外﹐還需要一些特殊的權限﹐我們把這些權限稱之為這個USER的例外權限。例如開工單對生管來說是其職能應有的權限﹐但對倉庫來所就是例外權限。Role的命名和分類Role的命名規則和分類如下:以“G+”開頭都是TemplateRole(模板)﹐都不會直接assign給userid。G+職能名稱﹕全球共同TemplateRoleG+職能名稱-1﹕地區TemplateRole以“Z+”開頭都是UserRole,直接assign給userid。Z+UserID+職能名稱:繼承全球共同TemplateRoleZ+UserID+職能名稱-1:繼承地區TemplateRoleZ+UserID+Exception:沒有繼承任何Role,例外權限以“Y+”開頭都是BasisRole,直接assign給userid。Y+職能名稱:全球共同BasisRoleRole的命名和分類附件是一張職能/Rolename對照表我們以其中一個職能“AR作業人員”做解釋﹕A/R作業人員CO-ARG+CO-ARG+CO-AR-1Y+CO-AR職能中文名稱職能英文名稱全球共同TemplateRole地區TemplateRole全球共同BasisRoleRole的命名和分類全球共同TemplateRole﹕是指此職能在全球任何一個地區都一致的那部分權限的模板。命名特征是以“G+”開頭﹐非“-1”結尾。例如“G+CO–CO”地區TemplateRole﹕是指此職能根據不同地區而不同的那部分權限的模板。命名特征是“G+”開頭﹐“-1”結尾。例如“G+CO–CO–1”Role的命名和分類UserRole﹕是指根據每個user的具體需求進行設定的權限的Role.命名特征是﹕“Z+”USERID開頭（東莞﹑台灣地區）“W+”USERID開頭（吳江地區）例如“Z+PSC1-ACT01+CO-CO”全球共同BasisRole﹕是指此職能關系到整個系統的安全的那部分權限的Role.命名特征是“Y+”開頭例如“Y+CO–CO”權限設定者分工一.以Role類型分1.TemplateRole即“G”開頭的:台北本部的APMIS2.UserRole:以Z開頭的:東莞APMIS以W開頭的:吳江APMIS3.BasisRole:即以Y開頭的:台北和東莞BasisMIS權限設定者分工二.以USERID分從USERID可以區分出這個ID所屬的廠別和模組。例如﹕PSC1-ENG01這是PSC1廠的帳號﹐屬于PP模組﹐所以這個帳號申請的權限將由東莞PP模組的MIS主要負責和監督。權限設定者分工三.以所申請的權限歸屬的模組分由于user所申請的權限通常涉及多個模組﹐這就需要多個模組的MIS共同合作設定user的權限﹐這時先按第二條執行,由ID所屬模組MIS接受申請﹐并從始至終跟進。然后具體的權限屬于哪個模組就由那個模組的MIS作設定。但無論如何﹐作為跟進的MIS都是負主要責任的。權限設定的操作上面說過﹐權限的大架構由UserID,Role,Profile三層組成﹐那么﹐權限的設定自然也會有三層。但由于sap4.6是Profile與Role是捆綁在一起的﹐所以在建立Role的時候﹐Profile是會自動創建的（具體見后文）。而UserID的建立比較簡單。所以﹐我將主要說明Role的部分。USERID的建立TCODE﹕SU01單擊建立圖標2輸入要創建的UserID1USERID的建立填好這些欄位USERID的建立設定組別﹐這對MIS非常重要﹐MIS能否管理此UserID就看這里設定初始密碼有效期一般不設定USERID的建立按圖設定（印表機按實際設定）USERID的建立接著按save﹐就把USERID創建好了USERID創建好了﹐但這時這個ID沒有賦予(Assign)任何權限﹐是什么都不能做的。USER得到這樣的帳號沒有任何意義。如何Assign權限給一個帳號﹖主要就是Assign一個Role給這個帳號了。下面我們看看如何建Role和給權限。Role的建立新創建Role主要有三種方式。TCODE﹕PFCG1.由始至終新建;可以對應所有新建Role。主要對應例外權限Z+USERID+EXCEPTION2.繼承;主要對應設定Z+USERID+職能名稱3.復制（COPY）﹔主要對應設定Z+USERID+職能名稱-1Role的建立—完全新建我們假設有一個帳號“FORTEST”,他申請了例外權限VA01和YF30。下面我將會一步一步向大家說明操作的步驟和應該注意的地方。看到PFCG的畫面了嗎﹖沒有﹖哦﹐在下一頁。Role的建立—完全新建輸入Rolename注意選第二項Role的建立—完全新建描述一般與Rolename一致記錄此Role的創建者記錄此Role的最后修改者把描述填好后﹐按save然后點擊menu頁簽Role的建立—完全新建建立新目錄修改TEXT項目下移項目上移刪除項目手動增加Tcode從SAPMenu中增加Tcode從其他Role中CopyMenu這些是常用的功能Menu頁簽定義的是USERMENU（個人化菜單）的內容。Role的建立—完全新建請大家按圖所示建立目錄﹐第一層是職能﹐這里是EXCEPTION﹐下面分“標准”(Standark)和“外挂”(AddOn)兩個目錄。讓菜單保持清晰﹐可以令User的個人菜單清楚﹐不混亂。我們MIS檢查權限也比較方便。Role的建立—完全新建大家可以對比下面兩個USER的個人化菜單﹐左邊職能清晰﹐右邊非常混亂﹐同名的目錄大量出現﹐但里面的內容又不盡相同﹐這對依賴路徑執行指令的user是很麻煩的。Role的建立—完全新建菜單的殼子有了﹐如何往里面添加內容呢﹖比較常見的是﹕從SAP菜單添加和直接添加TCODE。從SAP菜單添加﹕所有標准的TCODE和沒有TCODE的標準程式都可以用這種方法添加。好處是可以尋找﹐可以一次添加標准菜單的一個目錄﹐Tcode在標准菜單中的位置也可以顯示出來。缺點是很浪費時間﹐而且外挂的程式無法添加。Role的建立—完全新建直接添加﹕所有TCODE(包括外挂）和沒有TCODE的標準程式都可以用這種方法添加。好處是比較快缺點是必須知道Tcode﹐不能帶出路徑。Role的建立—完全新建從SAP菜單添加Role的建立—完全新建Role的建立—完全新建Role的建立—完全新建Role的建立—完全新建OBJECT完全沒有給值OBJECT只有部分給值OBJECT已經全部有值請注意﹕綠燈只是表示全部有值而已﹐但不一定就是我們所需要的值這時﹐標准Tcode所需要的Object﹐系統會自動帶出來。Role的建立—完全新建這個Object是任何權限設定文件中都應該有的﹐這是給予啟動Tcode的權限﹐如果Tcode沒有出現在這個列表中﹐user連這個指令的畫面都無法進入Role的建立—完全新建在這里﹐需要向大家介紹一個很重要的概念﹕Org.level.在權限設定中﹐有許多地方的控制點是一致的﹐sap公司為了方便權限的設定﹐把這些地方設計為與全局變數關聯。當改變全局變數時﹐這些地方就可以全部改變過來。這個全局的變數就是﹕Org.levelRole的建立—完全新建當Org.Level給值后﹐相應的Objectvalue的值也變了Role的建立—完全新建對Org.Level都給值之后﹐會發現相當一部分的Objectvalue都已經給值了﹐但還有一些Object是紅燈或者是黃燈﹐這些Object是要單獨給值的。Role的建立—完全新建按一下標志﹐就可以輸入值﹐按保存在這里介紹一下的作用﹐點擊它﹐就相當於給這個Object一個“*”(star)﹐“*”的意義是AllAuthorization﹐不卡任何權限。Object給值后﹐就變成綠色﹐不能點擊了。Role的建立—完全新建如果是外挂的Tcode﹐就只能用“直接添加”的方式加入到菜單中﹐需要注意的是﹐外挂的Tcode的Object不會自動帶出來﹐需要自己手工添加。按﹐點擊Y-AUTH-PRT前的Role的建立—完全新建變為后﹐按屏幕上方的﹐插入Object.注意﹕外挂的Tcode﹐除了前面所說的列表中要有外﹐這里框住的地方要給Tcode﹐否則user還是不會有權限Role的建立—完全新建都給好值后﹐按保存﹐按“勾”。然后按激活。退出。Role的建立—完全新建Authorization已經變成綠燈﹐這表示權限的設定已經可用了。點擊USER,AssignUSERID給這個RoleRole的建立—完全新建點擊USERCOMPARE﹐再點擊Completecompare﹐就完成了COMPARE。至此﹐此權限已經Assign完畢﹐FORTEST這個帳號已經具有VA01和YF30的權限Role的建立—繼承所謂“繼承”,是指兩個Role形成這樣的母子關系﹕子Role的所有Menu,Authorization（Org.level除外)都源于母Role,并與母Role保持一致。母Role與子Role是1對多的。Role的建立—繼承下面﹐我們來學習用“繼承”方式建立Role.我們假設有一個帳號“FORTEST”,他申請了職能“AP立帳員”﹐“AP立帳員”的TemplateRole是“G+CO-AP”。我們先來按命名規則Create一個新Role。Role的建立—繼承大家注意這個地方﹐建立“繼承”關系就是靠這里了Role的建立—繼承填