第Page1页SAP系统权限培训文档2014年4月15日第Page2页目录二、SAP系统的环境三、权限的基本概念四、用户和角色的创建五、权限设置的注意事项一、权限的重要性第Page3页权限的重要性在SAP系统中,业务人员是否能够行使该业务范围的操作是由权限来实现的。权限工作的好坏是系统能否成功上线的基础之一。最终用户是权限的直接使用者,权限设计的好坏会直接影响到最终用户对使用ERP系统的信心。第Page4页权限的重要性权限实施工作的重要性权限实施是ERP系统上线的必备条件之一,权限设计的合理性、实施的准确性和测试的精准度是系统能否成功上线的基础之一。在权限设计、实施和测试全过程,由于地区公司人员最了解其自身业务,因此由地区公司权限组全程参与权限设计和实施工作,将从ERP技术角度和地区公司业务角度双重保障权限实施的质量,进而保证ERP项目的顺利上线。第Page5页权限的重要性权限运维工作的重要性在项目上线及运维阶段,系统处于稳定运行状态,权限变更安全合理才能防止越权和误操作发生,从而保证系统数据安全。通过ERP项目权限组和地区公司权限组在权限设计实施期间的相互配合,提高了地区公司权限组的问题处理能力,将在项目进入上线支持及运维期后,有效保证了权限变更工作的顺利进行。5第Page6页日期Date:目录一、权限的重要性三、权限的基本概念四、用户和角色的创建五、权限设置的注意事项二、SAP系统的环境第Page7页RPetroChinaSystemLandscape开发系统测试系统生产系统SAP系统采用SAP4SystemsLandscape架构,此架构中包含三套SAP系统:开发系统、测试系统、生产系统、生产支持系统。它们的作用分别如下。所有的开发和配置工作都应在开发系统中进行,修改的对象在开发系统上进行初步的测试后可以将其传送到测试系统上。在测试系统中对新开发的内容进行全面的测试,由于是独立的系统,这些测试都可以在不影响生产下进行。需要传输的对象在通过测试后才可以传输到生产系统。生产支持系统环境同步传输路径第Page8页RPetroChinaSystemLandscape开发系统测试系统生产系统开发系统Development(DEV)SAP项目的实施系统,各种业务模块的客户化工作、相关的应用开发等在该系统中进行。并提供进行单元测试的环境。生产支持系统环境同步传输路径第Page9页RPetroChinaSystemLandscape开发系统测试系统生产系统测试系统QualityAssurance(QAS)为各种客户化和开发工作提供完整测试的系统,其中存有企业实际业务数据,用以验证客户化和开发的正确性。同时,此系统亦用于关键用户及最终用户的培训。生产支持系统环境同步传输路径第Page10页RPetroChinaSystemLandscape开发系统测试系统生产系统生产系统Production(PRD)企业日常运转实际使用的系统,其中存有企业的完整业务数据,生产系统中不允许直接做客户化或开发。生产支持系统环境同步传输路径第Page11页RPetroChinaSystemLandscape开发系统测试系统生产系统生产支持系统如果最终用户在使用ERP系统过程中,遇到系统问题。需要运行支持人员在系统中重现其问题,并加以解决。通过定期将生产系统的数据复制到生产支持系统,可以完整模拟生产系统的数据。同时,生产支持环境可以模拟对生产系统进行系统压力测试。生产支持系统环境同步传输路径第Page12页日期Date:目录一、权限的重要性二、SAP系统的环境四、用户和角色的创建五、权限设置的注意事项三、权限的基本概念第Page13页权限的基本概念名词解释:Useraccount﹕就是我们平常说“USERID”(注意用户类型)dialog用户权限:它允许或禁止用户在系统中进行操作和处理事务,一般以角色分配给用户角色(Role)﹕权限的集合,基于业务要求创建所谓的“角色”﹐是sap4.0才开始有的概念﹐其实就是对user的需求进行归类﹐使权限的设定更方便。分为singlerole和compositerole两种﹐后者是前者的集合,我们需要创建的是singlerole。Profile:真正记录权限的设定的文件,和角色绑定在一起,一个角色生成一个PROFILE。权限对象:被授权的业务对象,由字段值和参数组成。第Page14页日期Date:SPEXSAPR/3ProjectVersion1.0AuthorizationConcept授权就是给个人(或组)一个方式或权力来行使一些特殊的职责用SAP的语言来说….它允许或禁止用户在系统中进行操作和处理事务权限的概念—授权第Page15页日期Date:授权级别图第Page16页权限的概念-授权对象授权对象=运行事务的权限=没有授权对象没有事务权限第Page17页日期Date:SPEXSAPR/3ProjectVersion1.0AuthorizationConcept进入一个SAP事务代码就好象….从一扇门进入一个房间授权对象就是开门的钥匙授权对象权限的概念-授权对象第Page18页日期Date:SPEXSAPR/3ProjectVersion1.0AuthorizationConcept即使只缺少一个对象,用户都不能够运行事务代码运行事务代码需要先具备所有的授权对象!(即整套钥匙)授权对象1授权对象2授权对象3授权对象4授权对象5权限的概念-授权对象第Page19页用户是由几个角色组成的第Page20页角色下包括一些事务代码角色下包括的事务代码第Page21页权限的概念-授权ProfileProfile:真正记录权限设定的文件Profile与Role是捆绑在一起的。在建立Role的时候﹐Profile是会自动创建的,(有弊端),我们根据每个项目每个模块的不同,根据需求表对每个角色定义一个profile。AuthorizationProfile第Page22页Objectclass权限对象(Authorizationobject)参数权限的概念-权限对象第Page23页业务、岗位及用户之间的关系•用户:基于业务要求而赋予岗位相适合的角色,用户和角色一对多的关系•角色:执行相关业务所需要的权限集合。业务关键点业务关键点业务关键点角色A角色B角色C用户1用户2业务流程岗位用户第Page24页日期Date:目录一、权限的重要性二、SAP系统的环境三、权限的基本概念五、权限设置的注意事项四、用户和角色的创建第Page25页日期Date:USERID的命名规则SAP系统分为门户和后台两类系统,后台系统包括ECC和BI系统。在所有SAP系统中,同一用户的ID是唯一的,用户ID最长不超过12位。ERP用户ID以中石油邮箱用户名为准,要求不超过11位(预留出一位做为区分cnpc与petrochina邮箱)。如果没有邮件地址,必须申请一个不大于11位的邮箱地址。有邮件地址的用户,取邮件地址的用户名为用户ID;如果用户名超过11位,应另外申请一个不大于11位的邮箱地址;举例如下:正常用户名:zhangxing@cnpc.com.cn,ID:ZHANGXING超长用户名:zhangxingyuan@cnpc.com.cn,重新申请:ZHANGXINGY注:保留一位是为区分CNPC和PetroChina不同邮箱,如果产生冲突,则在用户名前加前缀,集团ERP用户ID前加前缀V,股份ERP用户ID前加前缀U。举例如下:CNPC:zhangxing@cnpc.com.cn,ID:VZHANGXINGPetroChina:zhangxing@petrochina.com.cn,ID:UZHANGXING第Page26页日期Date:相关事务代码SU01-用户维护PFCG-角色维护SU24-维护事务权限对象的分配SU3-维护用户参数文件SU53-显示用户的权限数据SUGR-维护用户组SUIM-用户信息系统SU10-用户批维护第Page27页日期Date:USERID的建立T_code﹕SU01SU01SU01第Page28页日期Date:USERID的建立输入要创建的UserID1单击建立图标2第Page29页日期Date:USERID的建立填好这些字段注:1、“姓”为必填项2、通讯方法选择:INTE-mail3、如果输入座机号,分机号必须填写00第Page30页USERID的建立选择“对话”类型设定初始密码用户组选择此用户对应的组,地区二级管理员管理第Page31页USERID的建立这些都是必填项第Page32页USERID的建立用户组要与前面设置相同,这个用户组是总部技术组管理用户用的第Page33页USERID的建立点击SAVE,这个用户就创建好了第Page34页帐号的批维护有时我们需要对账户进行批量维护,例如:当公司地址变了,需要变更所有用户的公司地址。月结时,需要将除了月结人员外,其它的所有用户暂时锁定。T_CODE:SU10第Page35页USERID批量修改全选用户后,点击transfer可以批量修改“新疆油田咨询顾问”的前台信息,包括添加角色、锁定用户等第Page36页创建用户组•T_CODE:SUGR例如:创建勘探与生产项目大港油田顾问用户组EDGYTZXGW业务板块缩写项目名称缩写咨询顾问第Page37页ROLE的建立•T_CODE:PFCGUSERID创建好了﹐但这时这个USERID没有任何权限﹐是什么都不能做的。USER得到这样的帐号没有任何意义。如何分配权限给用户﹖主要是分配Role给这个帐号。下面我们看看如何建Role和分配权限。第Page38页ROLE的建立创建Role主要有三种方式:1.新建2.继承3.复制(COPY)第Page39页根角色的创建输入role的角色描述须能表示Role的内容及属性第Page40页根角色的创建点击“事务”添加tcode按照profile命名规则进行命名第Page41页根角色的创建标准T-code所需要的Object,系统会自动列出来组织级别没有维护OBJECT只有部分维护OBJECT已经全部维护请注意﹕绿灯只是表示全部维护﹐但不一定就是我们所需要的值。第Page42页根角色的创建第Page43页根角色的创建在这里介绍一下的作用﹐点击它﹐就相当于给这个Object一个“*”(star)﹐“*”的意义是AllAuthorization﹐不卡任何权限。第Page44页根角色的创建然后按激活,退出已经变成绿灯﹐这表示权限的设定已经可用了点击,再点击此权限已经分配完毕,test001这个帐号已经具有了主数据维护的权限第Page45页派生角色的定义所谓派生角色,是指根Role和派生Role形成这样的母子关系﹕派生Role的所有权限、权限对象(组织级别值除外)都源于根Role,并与根Role保持一致。根Role与派生Role是一对多的。第Page46页根角色与派生角色之间的关系公司组织机构地区公司1地区公司3员工1地区公司2根角色A角色派生角色A1地区公司1地区公司2地区公司3地区公司1地区公司2地区公司3根角色B根角色C根据根据岗位分配按限制范围派生出不同的子角色员工2员工3员工1员工2员工3员工1员工2员工3派生角色A1派生角色A1派生角色B1派生角色B1派生角色B1第Page47页派生角色的创建根据公司代码派生的,创建好后点击“创建角色”组织级别代码字典表第Page48页派生角色的创建角色继承就是通过这第Page49页派生角色的创建这时候的派生角色还没有完全继承,要返回根角色里点击生成派生角色这时候一个派生角色就创建完成了第Page50页角色的复制输入角色,点击copy复制角色这时候一个角色就复制完成了第Page51页角色的创建-继承与复制小结﹕用继承的方式建立新Role,继承后,只需维护好组织级别﹐Object就全部是绿灯了。用复制的方式﹐全