SAP权限审计的一点想法
随着SAP的深入应用,我们几乎可以在所有使用了SAP管理软件的企业中找到这样一个共同的现象:在上线之后随着公司业务的不断重组、用户工作岗位的频繁变动、岗位职责的扩大与组合等都需要对用户的权限做出调整,这时候权限管理人员的疑问就出来了,这个用户本身有哪些权限?这个权限用户可以申请吗?因此权限管理变得更加重要与迫切。
直观的说,权限就是“某人能干某事”与“某人不能干某事”之和。然而,尤其在用户量大的集团企业,哪些用户拥有关键事务或敏感权限(SAT)?哪些用户拥有的TCODE存在权责互斥(SOD)?哪些用户拥有超级权限?哪些用户拥有跨公司权限?
在没有管理系统的情况下,只能靠关键用户(内部顾问)的经验判断,可有时并不是那么可靠。在严格的管理要求和法律环境情况下,对SAP系统的应用带来风险,给用户的权限管理带来困惑,而给每年的404审计更是带来麻烦。
依据SAP GRC的权限管理理念,我们认为权限审计管理系统:其主要功能是事前及事后的合规性检查。比如:哪些用户拥有敏感权限(SAT);哪些用户存在权责互斥(SOD);哪些用户拥有跨公司权限等。PCAOB发布的指引和声明强调,基于系统的控制比手工控制更可靠。
有些东西可以让用户动态配置:一旦可配置的应用系统控制被设定为基线,同样的控制就不必每年都进行测试了。以后的重心可以放在日常审计管理方面,比如管理设置业务敏感权限(SAT),公司基本信息等。
●基本授权可配置:授权字段是SAP权限系统中最底层的元素,授权字段是授权对象的组成元素,一组授权对象决定了一个TCODE的真实权限。比如同一个TCODE---V A02,在B_USERSTAT授权对象的授权字段BERSL(权限码),赋予不同的值,操作的范围就不同,一般情况下,V A02是维护销售订单,可是在授权字段BERSL里赋予审批权限,就可以审批销售文档;同样的TCODE---V A02,授权字段的值不同,他所拥有的权限也就不同;
●SAT可配置:SAT就是关键事务。企业不同,对关键事务的要求也不同。可以根据企业实际需求进行动态配置,便于查询企业中哪些用户拥有这些关键事务;
●SOD可配置:权责互斥,可以根据企业要求或者审计要求,动态配置同时拥有哪些事务算是权责互斥;
●公司基本信息可配置:配置公司代码,工厂,采购组织,成本中心等,用于判断用户跨公司或者越权信息;
可以将SAP中与权限有关的表(USR02,AGR_1251等)进行处理;
基础配制可以设计成这样
⑴数据的初始化:将R3中与权限有关的实体表数据,导入本地数据库。
⑵关联配置:维护TCODE---授权对象---授权字段之间的关系;定义一个真实的业务行为。
⑶公司基础信息配置:维护各分子公司(部门)相关组织机构的检验字段值;用于判断跨公司(部门)权限。
⑷SAT配置:配置敏感权限,配置公司(或审计)认为的重要敏感权限(业务行为)。
⑸SOD配置:配置权责互斥清单。
以上配置均可动态维护,可根据实际业务及管理需求进行配置管理,以支持SAP权限的日常审阅。
审计管理模块:
审计管理模块包括事前审计和事后审计,事前审计就是用户权限变更完成,但还没有传入生产系统(PRD系统)之前,进行检查审计;事后审计就是对已经传入生产系统(PRD系统)的权限进行管理审计。
事前审计:在没有传入生产系统(PRD系统)之前,进行合规性检查审计。
选中需要检查的传输请求号,点击,可以模拟传入生产系统(PRD系统)之后的权
限变化。比如修改某个角色之后,可能会影响所有拥有这个角色的用户权限,是否有了SOD变化,SAT变化等。
点击模拟SAT审计,可以查看SAT的审计结果:
选中某行,点击,可以详细查看SAT所定义的角色---授权对象---授权字段---字段值的关系,很清淅地看到用户拥有这样权限的原因。
依此方法,还可以确认是否存在SOD(权责分离),跨公司权限等问题。
事后审计:对生产系统(PRD系统)中已存在的权限进行审计管理。
⑴SAT审计结果,也就是哪些用户拥有我们所定义的敏感权限。
的关系,很清淅地看到用户拥有这样权限的原因。
SOD配置中所配置的业务。
选中某行,点击,可以详细查看SOD所定义的角色---授权对象---授权字段---字段值的关系,很清淅地看到用户拥有这样权限的原因。
⑶跨公司权限:哪些用户拥有跨公司(部门)的权限。
⑷同名多账号:一个用户拥有多个账号。
用户授权管理模块:
超级权限检查:哪些用户在生产系统中拥有SAPALL权限或者SAP_NEW参数文件的用户;或者授权对象为S_TCODE,字段TCD值为‘*’的用户。
数据查询模块:
⑴根据角色查用户:针对某个(或某些)角色,查询哪些用户拥有这些角色。
⑵根据用户查角色:一个用户拥有哪些角色。
用提供一点思路。
SAP用户权限管理配置及操作手册
SAP用户权限管理配置及操作手册 SAP用户权限管理配置及操作手册 SAP用户权限管理配置及操作手册 Overview 业务说明 Overview SAP的每个用户能够拥有的角色是有数量限制的,大概是300多点,具体不记得了。 如果只在S_TCODE和菜单中设置了某个事务代码,而没有设置权限对象,此时将不能真正拥有执行该事务代码的权限。 SAP的权限检查机制: SAP进入一个t-code,要检查两个东西 1)S_TCODE 2) 表TSTCA 里面和这个T-cdoe相对应的object。有些tcode在tstca里面没有对应的object,就会导致直接往S_TCODE中加事务代码不能使用的情况。 SAP权限架构 概念 权限对象Authorization object SAP在事务码(T-code)的基础上通过权限对象对权限进行进一步的细分,例如用户有创建供应商的权限,但是创建供应商的事务码中有单独的权限对象,那么就可以通过权限对象设置不同的用户可以操作不同的供应商数据。 角色-Role 同类的USER使用SAP的目的和常用的功能都是类似的﹐例如业务一定需要用到开S/O的权限。当我们把某类USER需要的权限都归到一个集合中﹐这个集合就是“职能”(Role)。 所谓的“角色”或者“职能”﹐是sap4.0才开始有的概念﹐其实就是对user的需求进行归类﹐使权限的设定更方便。(面向对象的权限!!) 分为single role 和composite role两种﹐后者其实是前者的集合。
角色模板-Template Role Role的模板﹐一般是single role.但这个模板具有一个强大的功能﹐能通过更改模板而更改所有应用(sap称为Derive“继承”)此模板的Role(sap称之为adjust) 参数文件-Profile 参数文件相当于指定对应的权限数据及权限组的定义。 每个角色下会产生一个附属的参数文件。 真正记录权限的设定的文件﹐从sap4.0开始是与Role绑定在一起的。虽然在sap4.6c还可以单独存在﹐但按sap的行为推测﹐以后将不能“一个人活着” 用户-User 就是通常说的账号(User ID)。 通常的用户类型有 a.dialog (就是正常的用户) https://www.wendangku.net/doc/3f1796270.html,munication c.system d.service e.reference. Table No. Table name Short Description Memo USR01 User master record (runtime data) USR02 Logon Data (Kernel-Side Use) 用户的登录信息 USR03 User address data USR05 User Master Parameter ID USR06 Additional Data per User USR07 Object/values of last authorization check that failed USR08 Table for user menu entries
sap角色权限设置手册V1.0
SAP角色权限设置及测试手册 (一)从Source Role拷贝生成Common Role (2) (二)直接创建生成Common Role (2) (三)创建/调整Common Role所授权的事务代码 (3) (四)从Common Role继承生成Local Role (4) (五)创建/调整授权范围 (5) (六)创建用户 (9) (七)对用户授权 (11) (八)SU53问题权限问题查看 (13)
(一)从Source Role拷贝生成Common Role 1.PFCG进入权限角色维护界面,输入Source Role名称,点击复制按钮 2.将到角色中输入Common Role名称,点击复制所有 (二)直接创建生成Common Role 1.PFCG进入权限角色维护界面,输入Common Role名称,点击创建角色按钮 2.输入角色名称,并保存
1.PFCG进入权限角色维护界面,点击修改按钮 配,即完成对事务代码的授权调整
1.PFCG进入权限角色维护界面,输入Local Role名称,点击创建角色按钮 说明:继承得到的Local Role,其事务代码必与其Common Role一致
(五)创建/调整授权范围 1.PFCG进入权限角色维护界面后,切换到权限页面,点击更改授权数据 在新弹出页面点击是以确定
2.点击组织级别,修改组织级别数据为本经营单元相关组织ID并保存 新增一行:选中需新增的行所在的位置,可点击右侧 删除一行:选中该行,可点击下方 说明: 对应Common Role,为保证该Role只用于本经营单元,请务必保证: SD按公司代码+销售组织做了对应组织级别授权(如本例,要操作混凝土下所有销售数据,则须授权1100混凝土公司+1100混凝土国内销售组织、1120混凝土海 外销售组织) MM按公司代码+工厂+采购组织+采购组做了对应组织级别授权 PP按公司代码+工厂做了对应组织级别授权 FI按公司代码做了对应组织级别授权 CO按公司代码+成本中心+内部订单做了对应组织级别授权 3.修改已有权限对象、权限字段的值 点击待修改权限字段前的修改图标,在新弹出窗口中修改赋值,保存即可
sap权限设定(完整版)
权限设定操作手册 权限维护
1.注意 1.1.用户、角色、事务代码、授权对象的关系 -用户:由几个角色组成 -角色:由一系列事务代码搭建 -事务代码:需要系统规定的必要授权对象才能运行 -授权对象:由它的参数来定义 1.2.权限设定须谨慎 -权限设定非常重要,并且权限的排错查询非常繁琐、耗时,因此在做权限设定时一定要谨慎,每次更改都要记录。 1.3.测试环境下修改 -除非特殊情况,权限设定不允许在正式环境直接更改。 -一般都是在测试环境修改、测试成功后,再传到正式环境。 1.4.拒绝不合理权限要求 -Basis不是决定用户权限范围的人,而是实际管理中大大小小业务流的管理者。 -所以,变更权限设定,务必要求用户提供经过领导签核的申请表。 -对于用户不合理的权限要求,顾问有责任拒绝。
2.角色维护 2.1.作业说明 -基本 由权限的大架构有User ID(用户),Role(角色),Profile(权限参数文件)三层,可知权限的设定也会有相应的三层。 -目的 SAP中的权限管理可以通过建立若干角色的方式进行,角色的定义为SAP中单个或者多个事务代码(T-Code)组成的一个角色定位。 角色是指在业务中事先定义的执行特殊职能的工作。 可以为单个的用户的需求去创建角色,也可以通过事务代码创建角色,然后分配给各个需要这些角色的用户。 -创建角色主要有三种方式: 手工创建。适合所有新建角色的需求,主要对应权限追加; 继承。主要对应设定派生角色; 复制。主要对应设定基本的角色。 -继承与复制创建角色的区别: 用继承的方式建立新角色,继承后,只需要填写Org.level,Object就全部标识为绿灯。 用复制的方式建立新角色,需要在Object里填入值,Object才能全部标识为绿灯。 以上是两者操作上最大的区别。
SAP快速创建用户(拥有全部权限)
如何快速创建一个拥有全部权限的SAP用户 一.说明 当SAP系统安装完成,初始的用户(User)只有SAP*和DDIC,而这两个用户是不能进行配置的。创建具有配置权限的用户,需用SAP*或DDIC登录到指定的Client,创建并赋予SAP_ALL的权限。 维护用户的事物码是SU01,具有创建、复制、修改、删除用户的功能,并能进行解锁及初始化密码。本示例演示最简单的用户维护过程——创建并赋予SAP_ALL和SAP_NEW的权限。其中SAP_ALL是全部权限,而SAP_NEW则是新生成对象的全部授权。 与维护一般用户不同,全部权限的用户只需维护参数文件,而一般用户则需要维护角色。二.数据说明 (R/O列:R必输;O选输。) 三.操作 在前台输入事物码SU01进入用户维护的操作。
初始屏幕 用户维护的初台屏幕,按表1输入用户名(”FZDQ”)(此屏幕还可以输入别名Alias)。输入正确后按回车键或创建按钮()进入维护细节界面。 地址标签页 用户的维护细节由多个标签页组成,本示例只在几个此示例必输的标签页输入数据。首
先在地址标签页按示例输入人员数据(标题、姓、名)。底部的公司栏显示人员所属公司,并显示地址相关信息,如系统中无公司地址维护则会弹出对话框要求新建一个,此处维护参见《定义公司地址(Company Address)》。 登录数据标签页 登录数据标签页,选择用户类型为A(对话型),SAP设定的用户类型有多种,对话型是最常用的,它需要用户初次登录时修改初始密码。口令栏输入初始口令及重复口令。 默认标签页
默认标签页是设定显示的格式,有多个设定项。本示例只修改小数点、日期、时间格式。由于产品及版本不同,在不同的SAP系统中此界面会有所不同(如无时间格式)。 参数文件标签页 参数文件标签页,分配全部权限给用户则只要在此标签页中输入“SAP_ALL”和“SAP_NEW”(注意这两个值的输入时必须全部大写,顺序也最好遵循一下);这与赋予一般用户权限不同,一般用户是在角色标签页选择相关角色来实现的。 全部维护完成后,按保存按钮 ()保存,如无误用户创建成功底部状态栏显 示 。返回键()退出。 以上操作完成后,新建的用户(FZDQ)就可以在此SAP系统指定的Client登录,登录密码就是本示例的初始密码,它具有SAP_ALL的权限,能够使用TCODE:SPRO在后台进行配置 在这里(参数文件页)依次大写输入SAP_ALL和SAP_NEW即可 达到赋予给用户所有权限的目的。
SAP BI用户权限管理手册
SAP培训:https://www.wendangku.net/doc/3f1796270.html, SAP BI用户权限管理手册 V1.0
SAP培训:https://www.wendangku.net/doc/3f1796270.html, 1目录 SAP BI用户权限管理手册 (1) 1简介 (2) 2BI后台权限管理 (2) 2.1建立权限对象 (2) 2.2创建角色并分配权限 (6) 2.3角色分配给用户 (8) 3EP权限管理 (11) 3.1创建角色 (11) 3.2添加Query (15) 3.3创建用户及映射 (17) 4测试 (19) 5结束语 (23)
SAP培训:https://www.wendangku.net/doc/3f1796270.html, 1简介 SAP BI是一个庞大而复杂的系统,它包括有企业数据仓库,商务智能平台,业务浏览器套件等主要模块。同时还提供了系统的管理和维护功能。在整个SAP商务智能系统中,有数据收集用户,有分析和使用数据的用户,有查询和读取报表的用户等,不同的用户所授予的权限是不同的,这就要求有灵活的权限控制方法。 本文主要结合陕西电网ERP项目开发实例,阐述了BI中用户权限设置方面的内容。从BI后台对权限对象的划分,创建角色,权限分配给用户,到EP(Enterprise Portal 企业级门户)中创建相应的角色,添加Query,创建用户及映射做了大致的过程描述。 本文所有实例都在BI 7.0下完成,并测试通过。 2BI后台权限管理 在整个BI后台权限管理中,可以大致分为3个步骤,1.建立权限对象,2.创建角色并分配权限,3.将角色分配给用户,通过这3个步骤,可以将需求中所要求的不同用户所具有的相应权限设置出来,从而达到权限设置的目的。 2.1建立权限对象 1. 首先启动SAP的登陆客户端,输入账号和密码。“客户端”一栏显示为“200”,这个数字代表现在的登陆的是开发系统,如下图所示。
SAP角色权限设置
SAP角色权限设置 一、MM模块角色规范要求 (2) 二、角色建立 (2) 1、新角色新建 (2) 2、新角色复制 (8) 3、角色批量比较 (10) 三、角色传输 (11) 四、角色维护注意点 (15) 1、主数据 (15) 2、采购管理 (16) 3、库存管理 (17) 4、用户权限查看 (19)
一、MM模块角色规范要求 角色名规范:MM_WERKS_FUNC_ACTVT。如:MM_SBSX_PO_MATN。 角色描述规范:MM WERKS FUNC作业描述。如:MM SBSX PO维护。 作业缩写规范:维护MA TN—包含了创建与更改权限。创建CREA,更改为CHANGE,显示DISP,审批REL。 建议在角色进行用户分配时,如果有创建、更改、审批权限时,就不需要再分配显示权限,一般在设置时,创建、更改或审批权限都包含有显示权限。在设置审批权限时需要给对应的更改权限,否则单独把该权限分配给用户,用户是无法正常操作的。 二、角色建立 使用事务码PFCG进入操作界面 1、新角色新建 输入需要新建的角色
点按钮, 输入规范的角色描述后,进入菜单屏幕,
从选择角色需要的路径, 选择相应的维护路径后,点左下角的返回到菜单界面, 然后进入权限界面,进行权限参数维护,权限参数名建议点键自动生成,
然后点进入具体参数设置,首先维护组织级别, 然后点左下角保存按钮,可先打开技术名称, 对需要人工添加的授权对象,点,然后维护授权对象名称,
系统将在相应的路径下添加该对象, 对于不需要的路径,点该路径右边,该路径将变为未激活。 在所有路径进行相应维护后,点保存,然后再点, 点,参数文件已生成,返回到原始界面,至此角色已维护好,最后一步工作是进行用户分配,
SAPBW配置及操作手册
SAPBW配置及操作手册 SAP BW配置及操作手册 概述 业务说明 基于SAP ECC6 使用RSA3 0TCT_DS01数据源能够查看对BW数据的读取情形。 为了从EP中链接到SAP系统,需要配置单点登录,另外需要用户在ECC中拥有RSRR_WEB 的权限 差不多原理 以下是基于文件的BW设置的差不多原理,也能够说是一个差不多的操作过程。 1.设置一个源系统,用于确定数据从哪里来。 2.创建一个Datasource,用于存放抽取过来的数据。现在的抽取式通过InfoPackage实现的。 3.创建一个DataStore Object对象,用于存放处理后的数据。Datasource和DataStore Object 之间通过Transformation(转换规则)进行关联,同时需要创建一个Transfer Process用于数据的抽取处理。每个DataStore Object是属于一个InfoArea,也确实是说一个Info Area下能够依照需要按照不同的规则更新出不同DataStore Object。 4.在Explorer中创建一个查询,查询需要的数据,设计查询时能够设置一个过滤器进行必要的选择。 Table RSIDOCSA VE
相关概念 BI(Business Intelligence,商务智能) SAP BI(SAP Business Information Warehouse)DW(Data Warehouse,数据仓库) DM (Data Mining,数据挖掘) OL TP(Online Transaction Process,在线事务处理)OLAP(Online Analysis Process,在线分析处理) 逻辑视图 概念(BW) 信息区域(Info Area)
SAP权限设置
SAP的权限设计思路,首先了解下几个Tcode和权限相关表格。 常用权限相关Tcode . (一)Role(角色)相关T-code: PFCG 创建 ROLE_CMP 角色比较 SUPC 批量建立角色profile (二)建立用户 SU01 建立用户 SU01D 显示用户 SU2|SU3| SU50|SU51|SU52 改变/显示用户个人参数 SU10|SU12 批量维护用户 SUCOMP维护用户公司地址 SUIM 用户信息系统(强调一下) (三)建立用户组 SUGR| SUGRD_NA V 维护用户组 SUGRD| SUGR_NAV 显示用户组 (四)维护检查授权 SU20|SU21自定义授权字段和授权对象 SU53 当出现权限问题可使用它检测未授权对象. SU56:分析authoraztion data buffers. 常用权限相关表格: TOBJ : All avaiable authorization objects.(ERP系统默认的所有授权对象) USR12: 用户级authorization值 USR02:User Logon Data(包括用户名称密码,是否锁住等字段) USR03:User address data USR05:User Master Parameter ID(Tcode SU3可查看用户参数文件的参数ID默认值) USR41:当前用户(即Tcode SM04看到的所有当前活动用户,包括各种对话系统通信类用户) USRBF2:记录当前用户所有的授权objects UST04:User Profile master(用户主数据中对应的权限参数文件名) UST10S: Single profiles(授权文件,权限参数和授权对象对应表) UST12 : Authorizations(具体授权细节) 重点提示: USR02/USRBF2/UST10S/UST12四个表包含的信息就是ERP权限控制的关键,前者是用户主数据表,后三者和用户授权紧密相关。 我现在来举一个MM01建立物料主数据的实例来说明ERP的权限控制设计思路,步骤如下:第一步:建立角色(Tcode:PFCG)
SAP 权限检查管理系统
背景: 随着SAP的深入应用,我们几乎可以在所有使用了SAP管理软件的企业中找到这样一个共同的现象:在上线之后随着公司业务的不断重组、用户工作岗位的频繁变动、岗位职责的扩大与组合等都需要相应的对相应用户的SAP权限做出调整,这时候权限管理人员的疑问就出来了,这个用户本身有哪些权限?这个权限用户可以申请吗?因此权限管理变得更加重要与迫切,直观的说,权限就是“某人能干某事”与“某人不能干某事”之和,然而,尤其在用户量大的集团企业,哪些用户拥有关键事务或敏感权限(SAT),哪些用户拥有TCODE存在权责互斥(SOD),在没有管理系统的情况下,只能靠关键用户(内部顾问)的经验判断,可有时并不是那么可靠,在管理要求和法律环境严格的情况下,对SAP系统的应用带来风险,给用户的权限管理带来困惑,而给每年的404审计更是带来麻烦; 系统概述: 依据SAP GRC的权限管理理念,我们开发的权限检查管理系统;其主要功能是事后的合规性检查,比如:哪些用户拥有有敏感权限(SAT);哪些用户存在权责互斥(SOD);哪些用户拥有跨公司权限等;PCAOB发布的指引和声明强调,基于系统的控制比手工控制更可靠,现在我们简要介绍一下这个产品: 产品最大的特点就是可配置:一旦可配置的应用系统控制被设定为基线,同样的控制就不必每年都被再测试了。以后的重心可以放在安全管理方面,比如设置哪些业务是敏感权限,公司基本信息配制管理; ●基本授权可配置:授权字段是权限系统中最底层的元素,授权字段是授权对象的组成元素,一组授权对象决定了一个TCODE的真实权限;比如同一个TCODE---V A02,在B_USERSTAT授权对象的授权字段BERSL(权限码),赋予不同的值,操作的范围就不同,一般情况下,V A02是维护销售订单;可是要在BERSL里赋予审批权限,就可以审批销售文档;同样是TCODE:V A02,授权字段的值不同,他所拥有的权限就不同;
sap权限设定完整版定稿版
s a p权限设定完整版精 编W O R D版 IBM system office room 【A0816H-A0912AAAHH-GX8Q8-GNTHHJ8】
权限设定操作手册 权限维护
1.注意 1.1.用户、角色、事务代码、授权对象的关系 用户:由几个角色组成 角色:由一系列事务代码搭建 事务代码:需要系统规定的必要授权对象才能运行 授权对象:由它的参数来定义 1.2.权限设定须谨慎 权限设定非常重要,并且权限的排错查询非常繁琐、耗时,因此在做权限设定时一定要谨慎,每次更改都要记录。 1.3.测试环境下修改 除非特殊情况,权限设定不允许在正式环境直接更改。 一般都是在测试环境修改、测试成功后,再传到正式环境。 1.4.拒绝不合理权限要求 Basis不是决定用户权限范围的人,而是实际管理中大大小小业务流的管理者。 所以,变更权限设定,务必要求用户提供经过领导签核的申请表。 对于用户不合理的权限要求,顾问有责任拒绝。
2.角色维护 2.1.作业说明 基本 由权限的大架构有User ID(用户),Role(角色),Profile(权限参数文件)三层,可知权限的设定也会有相应的三层。 目的 SAP中的权限管理可以通过建立若干角色的方式进行,角色的定义为SAP中单个或者多个事务代码(T-Code)组成的一个角色定位。 角色是指在业务中事先定义的执行特殊职能的工作。 可以为单个的用户的需求去创建角色,也可以通过事务代码创建角色,然后分配给各个需要这些角色的用户。 创建角色主要有三种方式: 手工创建。适合所有新建角色的需求,主要对应权限追加; 继承。主要对应设定派生角色; 复制。主要对应设定基本的角色。 继承与复制创建角色的区别:
SAP用户权限控制设置及开发
SAP 用户权限控制设置及开发 (2012-09-03 16:03:31) 转载▼ 标签: 分类:ABAP 权限 用户的权限菜单是通过分配具体角色来实现的. 1. 创建角色 PFCG 输入角色名并点击Single Role 为角色分配权限菜单. 为角色配置权限数据
维护完菜单后, 仅实现在用户菜单中能看到相关的事务, 要具有此事务权限还待设置具体的权限数据. SAP程式在执行中会通过读取该参数文件的数据来进行用户权限的检查及管控. 在SAP实际应用中, 用户所直接操作的是屏幕及屏幕所对应的字段, 而这些具体的字段都是由权限对象进行控制, 包括该字段所允许的操作及允许的值.
* 表示为该字段分配完全权限.
通过状态灯图标来表示各权限对象的维护状态, 绿灯代表激活, 黄色代表未激活, 红色代表未给权限字段分配值, 单击权限字段前的铅笔图标可以定义该字段的授权值. 一些常用的权限字段: ACTVT: 该字段存放的就是允许操作的代码, 例如 01 代表创建,02 代表修改,03代表显示等; TCD: 存放该权限角色所包含的事务代码; 该图说明允许该角色的用户能查看和更改物料的Status. 权限对象维护完成后,点Generate 将该权限数据激活. 将角色分配给用户: 进行用户比较, 只有单击"完成比较"按钮,该用户所对应的权限角色才将正式生效.
自定义权限对象:
1. 权限字段的维护: SU20 创建权限字段. 2. 对象类及权限对象的维护 SU21 对象类是多个权限对象的集合, 而一个权限对象下又可分配多个权限字段, 新增的用户自定义权限对象, 需要单击工具栏中的"Regenerate SAP_ALL" 按钮才会把新增的权限对象赋值给SAP_ALL这个权限参数文件. 3. 权限对象的分配. SU22 把权限对象(Authorization Object)分配给事务代码. 有个奇怪的问题是: 我用SU22给自己的事务码分配了自定义的 Authorization Object 后, 为什么在用 PFCG 增加权限的时候这个 Authorization Object 不能自动带过来, 而系统自身的 Tcode 却能带过已经分配给它的Authorization Object. 有知道的同学们请告知一声. 可加 QQ 群: 262131634 或QQ: 115023071 权限对象在 ABAP 程序中的调用. For Example 1. 对Parameters输入的检查: ------------------------------------------------------- REPORT z_af_034. TABLES: marc. PARAMETERS: s_werks LIKE marc-werks DEFAULT '1000'. AT SELECTION-SCREEN. AUTHORITY-CHECK OBJECT 'ZS002'
SAP用户权限管理维护手册
SAP用户权限管理维护手册
目录 1.SAP系统权限设置 (3) 维护角色 (3) 授权管理工具 (14) 2.用户授权设置 (16) 创建新用户 (17) 修改用户 (18) 显示用户 (18) 复制新用户 (18) 锁定/解锁用户 (19) 修改密码 (19) 3.权限管理流程及用户授权策略 (20) SAP系统安全管理流程 (20) 用户授权策略 (20) 4.附录 (21) 附录A 修改请求(Change request)管理文档 (21) 附录B 权限修改请求表管理文档 (22) 附录C 权限管理常用事务代码 (23)
1.SAP系统权限设置 权限角色是SAP系统的重要的一个环节,权限角色可以控制用户登录SAP系统后对SAP操作的各种权限,所以要严格设置. 用户对SAP系统权限进行申请时(指对在生产系统上的权限配置,对非生产系统,一般有各模块负责人审批就行了),必须走公司规定流程,得到各级部门审批后,BASIS方给予进行处理. 进行权限设置时,先在开发系统DEV系统进行配置,配置时严格按照用户或模块顾问提供的权限文档来进行(有不明白的地方应该马上与顾问或用户取得联系,并确认),设置确认无误后,对所设置的权限角色生成CHANGE REQUEST,释放后在测试系统里提供给用户或顾问进行测试,测试正确后,才正式同步传输到生产系统,然后用邮件或电话的方式通知用户。 维护角色 通过调用事务代码t-code:PFCG调用,或者是 工具-> 系统管理-> 用户维护-> 角色管理-> 角色 角色代表一个特殊的任务或交易处理或功能:
(1)创建单一角色 T-CODE:pfcg进入角色维护界面,根据权限模版填写角色名称 分配事务代码,选择菜单--事务--分配交易
SAP权限设置介绍
ERP权限控制 在这一节,介绍一下ERP的权限设计,了解权限设计的逻辑。 一个特别是适合大集团业务的ERP系统,应该提供一个非常完善的权限控制机制,甚至允许将权限控制字段细到字段级别, 举例: Select 用户名 From 用户表 where 用户名='butcher' (得到用户名) select权限组ID From 权限表 where 用户名='butcher' (得到用户对应的权限组ID)select * From 权限控制列表 where权限组ID = ‘*****’(得到没个权限组ID对应的明 细权限列表也就是用户的明细权 限) 注意: 在此我们可看到诸如用户名表,角色表,权限组表和对应业务操作的权限详细控制列表诸如此 类的表格。 现在来看看ERP的权限设计思路,首先了解下几个Tcode和权限相关表格。 常用权限相关Tcode . (一)Role(角色)相关T-code: PFCG 创建 ROLE_CMP 角色比较 SUPC 批量建立角色profile (二)建立用户 SU01 建立用户 SU01D 显示用户 SU2|SU3| SU50|SU51|SU52 改变/显示用户个人参数 SU10|SU12 批量维护用户 SUCOMP维护用户公司地址 SUIM 用户信息系统(强调一下) (三)建立用户组 SUGR| SUGRD_NA V 维护用户组 SUGRD| SUGR_NAV 显示用户组 (四)维护检查授权 SU20|SU21自定义授权字段和授权对象 SU53 当出现权限问题可使用它检测未授权对象. SU56:分析authoraztion data buffers. 常用权限相关表格: TOBJ : All avaiable authorization objects.(ERP系统默认的所有授权对象) USR12: 用户级authorization值 USR02:User Logon Data(包括用户名称密码,是否锁住等字段) USR03:User address data USR05:User Master Parameter ID(Tcode SU3可查看用户参数文件的参数ID默认值) USR41:当前用户(即Tcode SM04看到的所有当前活动用户,包括各种对话系统通信类用户) USRBF2:记录当前用户所有的授权objects UST04:User Profile master(用户主数据中对应的权限参数文件名)
SAP用户和权限维护技能指引
.WORD文档下载可编辑. SAP用户及权限维护技能指引 一.用户及其权限管理 (1) (一)用户及权限管理日常操作 (1) 1、创建SAP用户账号 (1) 2、锁定SAP用户账号 (1) 3、重置SAP用户账号密码 (2) 4、删除SAP用户账号 (2) 5、新建角色 (2) 6、有关MM相关角色的特殊处理 (3) 7、以角色方式给SAP用户账号授权 (4) 8、以授权参数文件方式给SAP用户账号授权 (4) (二)SAP License统计 (4) 1、SAP License统计的范围和对象 (4) 2、如何进行SAP License统计 (5)
一.用户及其权限管理 (一)用户及权限管理日常操作 1、创建SAP用户账号 操作方法: (1)用SAPGUI登陆SAP系统。 (2)运行SU01。 (3)在‘User’后输入要创建的用户的账号,如‘6789’。 (4)单击‘新建’按钮。 (5)在‘Logon data’下面的‘User Type’下选择‘Dialog’用户类型。 (6)‘Default’标签下有几个重要的设置如下: ,, (7)其它的如用户性别,姓名等据实际情况输入即可。 (8)最后保存退出。 备注: (1)本小节介绍了Dialog用户的创建方法,其它类型用户的创建与此操作类似。 (2)可以采用复制用户的方法创建用户,较为简单,但注意授权不要一同复制。 (3)Valid Period可以控制用户账号的有效期,在远程访问接入时常常采用。 2、锁定SAP用户账号 操作方法: (1)用SAPGUI登陆SAP系统。 (2)运行SU01。 (3)在‘User’后输入要锁定的用户账号,如‘6789’。 (4)单击‘锁定’按钮即可。
sap角色权限设置手册
角色设置 一、MM模块角色规范要求 (2) 二、角色建立 (2) 1、新角色新建 (2) 2、新角色复制 (8) 3、角色批量比较 (10) 三、角色传输 (11) 四、角色维护注意点 (15) 1、主数据 (15) 2、采购管理 (16) 3、库存管理 (17) 4、用户权限查看 (19)
一、MM模块角色规范要求 角色名规范:MM_WERKS_FUNC_ACTVT。如:MM_SBSX_PO_MATN。 角色描述规范:MM WERKS FUNC作业描述。如:MM SBSX PO维护。 作业缩写规范:维护MATN—包含了创建与更改权限。创建CREA,更改为CHANGE,显示DISP,审批REL。 建议在角色进行用户分配时,如果有创建、更改、审批权限时,就不需要再分配显示权限,一般在设置时,创建、更改或审批权限都包含有显示权限。在设置审批权限时需要给对应的更改权限,否则单独把该权限分配给用户,用户是无法正常操作的。 二、角色建立 使用事务码PFCG进入操作界面 1、新角色新建 输入需要新建的角色
点按钮, 输入规范的角色描述后,进入菜单屏幕,
从选择角色需要的路径, 选择相应的维护路径后,点左下角的返回到菜单界面, 然后进入权限界面,进行权限参数维护,权限参数名建议点键自动生成,
然后点进入具体参数设置,首先维护组织级别, 然后点左下角保存按钮,可先打开技术名称, 对需要人工添加的授权对象,点,然后维护授权对象名称,
系统将在相应的路径下添加该对象, 对于不需要的路径,点该路径右边,该路径将变为未激活。 在所有路径进行相应维护后,点保存,然后再点, 点,参数文件已生成,返回到原始界面,至此角色已维护好,最后一步工作是进行用户分配,
SAP Portal(EP)的菜单和权限配置及操作手册
SAP Portal(EP)的菜单和权限配置及操作手册 SAP Portal(EP)的菜单和权限配置及操作手册 Overview 业务说明 BW的权限分为菜单的权限和每个菜单打开后的每个组件的权限。 每个iview相当于GUI中的一个菜单,通过iView可以连接到每个WAD的技术名称。在iView 的属性中需要设置iView显示。 在iView设置中可以设置菜单的组和每个菜单。 接下来分配iView给角色,再将角色分配给用户。 RSECADMIN(用来管理针对BW的角色设置) 管理每个iView的组件的权限。 可以查看每个用户执行过程中权限缺少的错误日志。 在RSECADMIN中的权限结构中,指定的字符为在BW中定义的信息对象(InfoObject) 在RSECADMIN中创建的角色同样需要在su01中分配给角色。 在信息对象中可以设置信息对象是否同权限相关,如果设置为同权限相关,那么在RSECADMIN中就需要设置该信息对象对应的权限对象的属性。 配置 登录系统 首先登录到portal,使用管理员的用户账号登陆。
浏览中显示的树状文件夹可以自由配置,从便于系统管理的角度即可。例如将所有的iView 放到一个文件夹下,将所有的角色放到一个文件夹下。 需要说明的是,在此处定义的针对iView的文件夹并不能带到角色中,在角色中需要单独创建文件夹。 创建iView的菜单的文件夹 进入门户内容管理界面。
在一个选定的文件夹上右键,选择创建文件夹。 为文件夹指定名称和编码。执行完成后,系统提示下一步操作,选择关闭向导即可。
创建iView菜单 直接默认即可。
SAP系统权限详细操作手册
SAP权限系统手册 文档作者:Wellen.King 创建日期:2013.5.10 修改日期:2013.5.29 确认日期:2013.5.13 控制编码: 当前版本:V1.0 2013年07月日定稿 2013年07月日打印 确认:
目录 一、权限系统概述 (3) 二、系统设计 (3) 2.1 用户命名规则 (3) 2.2角色命名规则 (3) 2.3权限维护原则 (3) 三、系统实现 (3) 四、系统维护 (4) 4.1用户维护 (4) 4.1.1新建用户 (5) 4.1.2用户修改 (6) 4.1.3用户复制 (8) 4.1.4用户删除 (9) 4.1.5用户显示 (10) 4.2角色维护 (10) 4.2.1新建角色 (10) 4.2.2修改角色 (11) 4.2.3复制角色 (15) 4.2.4删除角色 (17) 4.2.5角色下载 (17) 4.2.6角色上载 (18)
一、概述 SAP是企业业务管理的关键应用,而权限系统的设计、实施和维护是SAP系统实施的重要环节。一个理想的权限系统是应该在合理设计的基础上实施、并在后期的维护中遵守建立、测试、使用的原则。 合理的权限系统设计会使权限系统有良好的可读性和可维护性,便于后期系统的使用和维护。严谨的维护习惯将保证系统数据的安全。 二、系统设计 2.1用户命名规则 为清楚的显示用户所属的组织,建议使用组织编码+用户名的方式来命名用户。2.2 角色命名规则 为易于辨识角色所属的模块和组织,建议使用模块名称+组织编码+角色顺序码的方式来命名角色。 2.3 权限维护原则 岗位和JOB相结合的原则,将每一个岗位根据职能性质分成几个主要的工作包,每个工作包做成一个角色。当岗位的职责发生变化的时候,增加或减少相应的角色既可以实现岗位职能的变化。 三、系统实现