SAP權限設計培訓課件

1SAP權限概念1SAP權限概念12授權就是給個人（或組）一個方式或權力來行使一些的職責用

SAP

的語言來說….它允許或禁止用戶在系統(tǒng)中進行操作和處理事務權限的概念什么是授權2授權就是給個人（或組）一個方式或權力來行使一些的職責用S23SAP授權概念在缺省狀態(tài)下，所有用戶最初是沒有執(zhí)行任何事務的權限的通過各種授權賦予執(zhí)行事務的權限一個用戶可以執(zhí)行的事務數(shù)量反映出其授權的大小權限的概念3SAP授權概念在缺省狀態(tài)下，所有用戶最初是沒有執(zhí)行任何事34事務基于“角色”進行分組角色是指在業(yè)務中事先定義的執(zhí)行特殊職能的工作例如，在下面的事務中有兩個角色

：

物料主數(shù)據(jù)管理員角色事務:MM01 MM02 MM03 MM06 MM60物料管理經(jīng)理角色事務:XK05 XK04 MB53 MB24權限的概念－角色4事務基于“角色”進行分組權限的概念－角色45李四角色:

會計師

經(jīng)理張三角色:

會計師

倉庫檢驗員

WO創(chuàng)建者用戶ID基于崗位業(yè)務要求而被分配給各適合的角色例如:TCODE1TCODE2TCODE3TCODE4TCODE5TCODE6TCODE7TCODE8TCODE9TCODE1TCODE2TCODE3TCODE10TCODE11TCODE12TCODE13TCODE14TCODE15用戶可以運行他們所屬角色中的各種事務代碼權限的概念－用戶5李四張三用戶ID基于崗位業(yè)務要求而被分配給各適合的角56進入一個

SAP事務代碼

就好象….從z間Transaction授權對象

就是開門的

鑰匙授權對象權限的概念－授權對象6進入一個SAP事務代碼就好象….67即使只缺少一個對象，用戶都不能夠運行事務代碼運行事務代碼需要先具備所有的授權對象!

(即整套鑰匙)授權對象1授權對象2授權對象3授權對象4授權對象5權限的概念－授權對象7即使只缺少一個對象，用戶都不能夠運行事務代碼運行事務代碼78可以對授權對象進行更詳細的參數(shù)限制，有兩種類型的參數(shù):組織數(shù)值，例如公司代碼帳目類型銷售組織約束值，例如行為授權組合購買憑證類型權限的概念－對象參數(shù)8可以對授權對象進行更詳細的參數(shù)限制，有兩種類型的參數(shù):組織89

SPEXSAPR/3ProjectVersion1.0AuthorizationConcept 例如:

事務MIRO–發(fā)票憑證用戶必須具有下列對象才能夠運行事務代碼….

這些對象是進入并運行事務代碼必需的鑰匙權限的概念－授權對象9SPEXSAPR/3Project910“參數(shù)”=特征例如:會計帳目:帳目類型的授權有兩個參數(shù)12權限概念－對象參數(shù)10“參數(shù)”=特征例如:12權限概念－對象參數(shù)1011

SPEXSAPR/3ProjectVersion1.0AuthorizationConcept 在這個例子中，有兩個對象參數(shù)…對象參數(shù)決定了用戶在事務代碼中操作的特殊Objectparametersdeterminethespecificpermissionsausercanperforminatransaction.…問題:ThisusercanperformWHAT

ACTIVITIEStoWHICHACCOUNTTYPES?權限概念－對象參數(shù)11SPEXSAPR/3Project1112參數(shù)參數(shù)參數(shù)授權對象授權對象授權對象授權對象事務代碼事務代碼事務代碼授權對象角色角色角色角色角色用戶

是由幾個

角色組成的實際工作崗位可能對應于系統(tǒng)中的幾個角色的集合角色是一系列

事務代碼事務代碼需要一些

授權對象來運行授權對象

由它的參數(shù)（組織架構(gòu)，約束值等）來定義用戶授權級別圖表工作崗位1工作崗位212參數(shù)參數(shù)參數(shù)授權對象授權對象授權對象授權對象事務代碼事務122022/12/913每一位系統(tǒng)操作人員對應有一個系統(tǒng)用戶；每個系統(tǒng)用戶對應多個復合角色以滿足一人對應企業(yè)中多個崗位的要求；單一角色為定義一個業(yè)務操作單位的最小單元；每個單一角色下可以對應多個事務代碼；授權的概念-權限的組成UserCo.RoleCo.RoleRoleRoleRoleTcodeTcodeTcodeTcodeTcodeTcode…IPSystemnumberClientObjecttypeObjectfieldProfile2022/12/813每一位系統(tǒng)操作人員對應有一個系統(tǒng)用戶；132022/12/914總體設計對SAPR3開發(fā)、測試、質(zhì)量保證、生產(chǎn)系統(tǒng)進行不同權限配置，以完成相應的功能；SAP可以透過對用戶幾個維度的管理來達到權限管理的目的：組織架構(gòu)（如公司代碼、倉庫、。。。）在系統(tǒng)中可以操作的業(yè)務（如執(zhí)行交易、查詢數(shù)據(jù)、更改數(shù)據(jù)、審批數(shù)據(jù)等）的事務碼授權對象（如授與用戶A總賬科目展示,創(chuàng)建,刪除權限）SAP中的用戶權限完全由分配給他的權限參數(shù)文件決定，分配到的權限參數(shù)文件越大、越多，其可以執(zhí)行的操作也越多2022/12/814總體設計對SAPR3開發(fā)、測試、質(zhì)量142022/12/915授權的原則2022/12/815授權的原則1516崗位MRO-P04-S02-E01發(fā)料流程需用單位倉庫保管員流程開始查詢庫存物資需求情況(MD04)確認發(fā)貨需求及數(shù)量創(chuàng)建預留根據(jù)預留、工單提出發(fā)貨請求打印發(fā)貨單發(fā)貨(MB1A)結(jié)束移動類型：241：從倉庫發(fā)貨到資產(chǎn)(項目類物資)

ZB1：發(fā)料到成本中心(營業(yè)費用)

ZB3：發(fā)料到成本中心(管理費用)

ZB5：發(fā)料到成本中心(生產(chǎn)成本)

ZB7：發(fā)料到成本中心(長期待攤物資)簽字確認業(yè)務科室專業(yè)計劃員是否工單發(fā)貨（MB1A)是否此處的崗位在系統(tǒng)中叫角色，不等于我們實際工作中的崗位16崗位MRO-P04-S02-E01發(fā)料流程需用單位倉1617通用角色創(chuàng)建—PFCG事務碼：PFCG17通用角色創(chuàng)建—PFCG事務碼：PFCG1718通用角色—角色描述此處輸入角色描述點擊菜單并保存18通用角色—角色描述此處輸入角色描述點擊菜單1819通用角色—添加事務碼點擊事務按鈕，添加此角色所需的事務碼19通用角色—添加事務碼點擊事務按鈕，添加此角色所需的事務碼1920通用角色—生成參數(shù)文件點擊權限進一步維護此角色的詳細參數(shù)20通用角色—生成參數(shù)文件點擊權限進一步維護此角色的詳細參數(shù)2021通用角色—生成參數(shù)文件點擊更改授權數(shù)據(jù)來維護此角色的詳細參數(shù)此處暫無參數(shù)名稱21通用角色—生成參數(shù)文件點擊更改授權數(shù)據(jù)來維護此角色的詳細2122通用角色—組織級別特別注意：紅燈表示組織級別尚未維護，只能點擊組織級別按鈕進去維護，切勿在此處直接維護此處維護組織級別，通用角色的組織級別僅用來測試22通用角色—組織級別特別注意：紅燈表示組織級別尚未維護，只2223通用角色—對象參數(shù)在此頁維護：行為：創(chuàng)建、顯示等憑證類型授權組合此處的選擇決定了此角色可以維護哪些物料主數(shù)據(jù)視圖23通用角色—對象參數(shù)在此頁維護：此處的選擇決定了此角色可以2324通用角色—激活參數(shù)憑證類型點擊激活按鈕，即可生成參數(shù)文件無需修改參數(shù)文件名稱24通用角色—激活參數(shù)憑證類型點擊激活按鈕，即可生成參數(shù)文件2425通用角色—查看參數(shù)文件返回到前一屏幕即可看到參數(shù)文件25通用角色—查看參數(shù)文件返回到前一屏幕即可看到參數(shù)文件2526本地角色—創(chuàng)建事務碼：PFCG輸入本地角色名稱26本地角色—創(chuàng)建事務碼：PFCG輸入本地角色名稱2627本地角色—維護繼承關系在此處維護繼承的通用角色確認后本地角色即創(chuàng)建完成，還需再集中生成參數(shù)文件27本地角色—維護繼承關系在此處維護繼承的通用角色確認后本地2728本地角色—復制點擊復制按鈕，即可參照已有的本地角色復制新本地角色事務碼：PFCG28本地角色—復制點擊復制按鈕，即可參照已有的本地角色復制新2829本地角色—復制選項確認后本地角色即復制完成，還需再集中生成參數(shù)文件29本地角色—復制選項確認后本地角色即復制完成，還需再集中生2930本地角色—繼承關系被復制注意：繼承關系也同時被復制30本地角色—繼承關系被復制注意：3031本地角色—集中生成通過修改通用角色而集中生成本地角色31本地角色—集中生成通過修改通用角色而集中生成本地角色3132本地角色—集中生成1.點擊菜單：權限—調(diào)整派生—生成派生的角色2.將把通用角色的參數(shù)值復制到所有他的本地角色3.并同時生成本地角色的參數(shù)文件4.需要為本地角色重新維護組織級別5.以后再作派生是通用角色不再覆蓋本地角色32本地角色—集中生成1.點擊菜單：權限—調(diào)整派生—生成派生3233本地角色—維護特定組織級別運行PFCG，修改本地角色，如：Z：MPMM00100133本地角色—維護特定組織級別運行PFCG，修改本地角色，如3334本地角色—維護特定組織級別輸入本地角色的組織級別34本地角色—維護特定組織級別輸入本地角色的組織級別3435本地角色—重新激活35本地角色—重新激活3536通用角色和本地角色通用角色采購管理員北京基地采購管理員天津基地采購管理員本地角色繼承36通用角色和本地角色通用角色采購管理員北京基地采購管理員天36用戶的維護(SU01)用戶維護事務代碼：SU01用戶的維護(SU01)用戶維護事務代碼：SU0137權限的管理主要使用到了下面的事務代碼：SE43、SU03、SU02、SE93、SUIMSU53、SU20、SU21、SU22、SU24、SU10/SU12權限的管理主要使用到了下面的事務代碼：38程序中權限的檢查在用戶能在系統(tǒng)中進行某項操作之前，需要進行適當?shù)氖跈?。登錄到R/3系統(tǒng)后，系統(tǒng)在用戶主記錄進行檢查，看看有權使用哪些事務。每個敏感事務都要實施授權檢查。如果要保護某項事務操作，則必須實施授權檢查。這意味著必須：

在事務定義中分配授權對象；

對AUTHORITY-CHECK進行編程。

AUTHORITY-CHECKOBJECT<authorizationobject>

ID<authority-field1>FIELD<field-value1>

ID<authority-field2>FIELD<field-value2>

ID<authority-fieldn>FIELD<field-valuen>.

其中：OBJECT參數(shù)指定授權對象。

ID參數(shù)指定授權字段。

FIELD參數(shù)指定授權字段的值。程序中權限的檢查在用戶能在系統(tǒng)中進行某項操作之39例子例：

AUTHORITY-CHECKOBJECT'S_TABU_DIS'

ID'ACTVT'

FIELD'02'

ID'DICBERCLS'

FIELD'05'.

IFSY-SUBRC=0.

......

ENDIF.例子例：

AUTHORITY-CHECKOB4041SAP權限概念1SAP權限概念4142授權就是給個人（或組）一個方式或權力來行使一些的職責用

SAP

的語言來說….它允許或禁止用戶在系統(tǒng)中進行操作和處理事務權限的概念什么是授權2授權就是給個人（或組）一個方式或權力來行使一些的職責用S4243SAP授權概念在缺省狀態(tài)下，所有用戶最初是沒有執(zhí)行任何事務的權限的通過各種授權賦予執(zhí)行事務的權限一個用戶可以執(zhí)行的事務數(shù)量反映出其授權的大小權限的概念3SAP授權概念在缺省狀態(tài)下，所有用戶最初是沒有執(zhí)行任何事4344事務基于“角色”進行分組角色是指在業(yè)務中事先定義的執(zhí)行特殊職能的工作例如，在下面的事務中有兩個角色

：

物料主數(shù)據(jù)管理員角色事務:MM01 MM02 MM03 MM06 MM60物料管理經(jīng)理角色事務:XK05 XK04 MB53 MB24權限的概念－角色4事務基于“角色”進行分組權限的概念－角色4445李四角色:

會計師

經(jīng)理張三角色:

會計師

倉庫檢驗員

WO創(chuàng)建者用戶ID基于崗位業(yè)務要求而被分配給各適合的角色例如:TCODE1TCODE2TCODE3TCODE4TCODE5TCODE6TCODE7TCODE8TCODE9TCODE1TCODE2TCODE3TCODE10TCODE11TCODE12TCODE13TCODE14TCODE15用戶可以運行他們所屬角色中的各種事務代碼權限的概念－用戶5李四張三用戶ID基于崗位業(yè)務要求而被分配給各適合的角4546進入一個

SAP事務代碼

就好象….從z間Transaction授權對象

就是開門的

鑰匙授權對象權限的概念－授權對象6進入一個SAP事務代碼就好象….4647即使只缺少一個對象，用戶都不能夠運行事務代碼運行事務代碼需要先具備所有的授權對象!

(即整套鑰匙)授權對象1授權對象2授權對象3授權對象4授權對象5權限的概念－授權對象7即使只缺少一個對象，用戶都不能夠運行事務代碼運行事務代碼4748可以對授權對象進行更詳細的參數(shù)限制，有兩種類型的參數(shù):組織數(shù)值，例如公司代碼帳目類型銷售組織約束值，例如行為授權組合購買憑證類型權限的概念－對象參數(shù)8可以對授權對象進行更詳細的參數(shù)限制，有兩種類型的參數(shù):組織4849

SPEXSAPR/3ProjectVersion1.0AuthorizationConcept 例如:

事務MIRO–發(fā)票憑證用戶必須具有下列對象才能夠運行事務代碼….

這些對象是進入并運行事務代碼必需的鑰匙權限的概念－授權對象9SPEXSAPR/3Project4950“參數(shù)”=特征例如:會計帳目:帳目類型的授權有兩個參數(shù)12權限概念－對象參數(shù)10“參數(shù)”=特征例如:12權限概念－對象參數(shù)5051

SPEXSAPR/3ProjectVersion1.0AuthorizationConcept 在這個例子中，有兩個對象參數(shù)…對象參數(shù)決定了用戶在事務代碼中操作的特殊Objectparametersdeterminethespecificpermissionsausercanperforminatransaction.…問題:ThisusercanperformWHAT

ACTIVITIEStoWHICHACCOUNTTYPES?權限概念－對象參數(shù)11SPEXSAPR/3Project5152參數(shù)參數(shù)參數(shù)授權對象授權對象授權對象授權對象事務代碼事務代碼事務代碼授權對象角色角色角色角色角色用戶

是由幾個

角色組成的實際工作崗位可能對應于系統(tǒng)中的幾個角色的集合角色是一系列

事務代碼事務代碼需要一些

授權對象來運行授權對象

由它的參數(shù)（組織架構(gòu)，約束值等）來定義用戶授權級別圖表工作崗位1工作崗位212參數(shù)參數(shù)參數(shù)授權對象授權對象授權對象授權對象事務代碼事務522022/12/953每一位系統(tǒng)操作人員對應有一個系統(tǒng)用戶；每個系統(tǒng)用戶對應多個復合角色以滿足一人對應企業(yè)中多個崗位的要求；單一角色為定義一個業(yè)務操作單位的最小單元；每個單一角色下可以對應多個事務代碼；授權的概念-權限的組成UserCo.RoleCo.RoleRoleRoleRoleTcodeTcodeTcodeTcodeTcodeTcode…IPSystemnumberClientObjecttypeObjectfieldProfile2022/12/813每一位系統(tǒng)操作人員對應有一個系統(tǒng)用戶；532022/12/954總體設計對SAPR3開發(fā)、測試、質(zhì)量保證、生產(chǎn)系統(tǒng)進行不同權限配置，以完成相應的功能；SAP可以透過對用戶幾個維度的管理來達到權限管理的目的：組織架構(gòu)（如公司代碼、倉庫、。。。）在系統(tǒng)中可以操作的業(yè)務（如執(zhí)行交易、查詢數(shù)據(jù)、更改數(shù)據(jù)、審批數(shù)據(jù)等）的事務碼授權對象（如授與用戶A總賬科目展示,創(chuàng)建,刪除權限）SAP中的用戶權限完全由分配給他的權限參數(shù)文件決定，分配到的權限參數(shù)文件越大、越多，其可以執(zhí)行的操作也越多2022/12/814總體設計對SAPR3開發(fā)、測試、質(zhì)量542022/12/955授權的原則2022/12/815授權的原則5556崗位MRO-P04-S02-E01發(fā)料流程需用單位倉庫保管員流程開始查詢庫存物資需求情況(MD04)確認發(fā)貨需求及數(shù)量創(chuàng)建預留根據(jù)預留、工單提出發(fā)貨請求打印發(fā)貨單發(fā)貨(MB1A)結(jié)束移動類型：241：從倉庫發(fā)貨到資產(chǎn)(項目類物資)

ZB1：發(fā)料到成本中心(營業(yè)費用)

ZB3：發(fā)料到成本中心(管理費用)

ZB5：發(fā)料到成本中心(生產(chǎn)成本)

ZB7：發(fā)料到成本中心(長期待攤物資)簽字確認業(yè)務科室專業(yè)計劃員是否工單發(fā)貨（MB1A)是否此處的崗位在系統(tǒng)中叫角色，不等于我們實際工作中的崗位16崗位MRO-P04-S02-E01發(fā)料流程需用單位倉5657通用角色創(chuàng)建—PFCG事務碼：PFCG17通用角色創(chuàng)建—PFCG事務碼：PFCG5758通用角色—角色描述此處輸入角色描述點擊菜單并保存18通用角色—角色描述此處輸入角色描述點擊菜單5859通用角色—添加事務碼點擊事務按鈕，添加此角色所需的事務碼19通用角色—添加事務碼點擊事務按鈕，添加此角色所需的事務碼5960通用角色—生成參數(shù)文件點擊權限進一步維護此角色的詳細參數(shù)20通用角色—生成參數(shù)文件點擊權限進一步維護此角色的詳細參數(shù)6061通用角色—生成參數(shù)文件點擊更改授權數(shù)據(jù)來維護此角色的詳細參數(shù)此處暫無參數(shù)名稱21通用角色—生成參數(shù)文件點擊更改授權數(shù)據(jù)來維護此角色的詳細6162通用角色—組織級別特別注意：紅燈表示組織級別尚未維護，只能點擊組織級別按鈕進去維護，切勿在此處直接維護此處維護組織級別，通用角色的組織級別僅用來測試22通用角色—組織級別特別注意：紅燈表示組織級別尚未維護，只6263通用角色—對象參數(shù)在此頁維護：行為：創(chuàng)建、顯示等憑證類型授權組合此處的選擇決定了此角色可以維護哪些物料主數(shù)據(jù)視圖23通用角色—對象參數(shù)在此頁維護：此處的選擇決定了此角色可以6364通用角色—激活參數(shù)憑證類型點擊激活按鈕，即可生成參數(shù)文件無需修改參數(shù)文件名稱24通用角色—激活參數(shù)憑證類型點擊激活按鈕，即可生成參數(shù)文件6465通用角色—查看參數(shù)文件返回到前一屏幕即可看到參數(shù)文件25通用角色—查看參數(shù)文件返回到前一屏幕即可看到參數(shù)文件6566本地角色—創(chuàng)建事務碼：PFCG輸入本地角色名稱26本地角色—創(chuàng)建事務碼：PFCG輸入本地角色名稱6667本地角色—維護繼承關系在此處維護繼承的通用角色確認后本地角色即創(chuàng)建完成，還需再集中生成參數(shù)文件27本地角色—維護繼承關系在此處維護繼承的通用角色確認后本地6768本地角色—復制點擊復制按鈕，即可參照已有的本地角色復制新本地角色事務碼：PFCG28本地角色—復制點擊復制按鈕，即可參照已有的本地角色復制新6869本地角色—復制選項確認后本地角色即復制完成，還需再集中生成參數(shù)文件29本地角色—復制選項確認后本地角色即復制完成，還需再集中生6970本地角色—繼承關系被復制注意：繼承關系也同時被復制30本地角色—繼承關系被復制注意：7071本地角色—集中生成通過修改通用角色而集中生成本地角色31本地角色—集中生成通過修改通用角色而集中生成本地角色7172本地角色—集中生成1.點擊菜單：權限—調(diào)整派生—生成派生的角色2.將把通用角色的參數(shù)值復制到所有他的本地角色3.并同時生成本地角色的參數(shù)文件4.需要為本地角色重新維護組織級別5.以后再作派生是通用角色不再覆蓋本地角色32本地角色—集中生成1.點擊菜單：權限—調(diào)整派生—生成派生7273本地角色—維護特定組織級別運行PFCG，修改本地角色，如：Z：MPMM00100133本地角色—維護特定組織級別運行PFCG，修改本地角色，如7374本地角色—維護特定組織級別輸入本地角色的