SAP權(quán)限設(shè)計培訓(xùn).ppt

1、1,SAP 權(quán)限概念,2,用 SAP 的語言來說.,權(quán)限的概念,什么是授權(quán),3,SAP 授權(quán)概念,在缺省狀態(tài)下，所有用戶最初是沒有執(zhí)行任何事務(wù)的權(quán)限的 通過各種授權(quán)賦予執(zhí)行事務(wù)的權(quán)限 一個用戶可以執(zhí)行的事務(wù)數(shù)量反映出其授權(quán)的大小,權(quán)限的概念,4,事務(wù)基于“角色”進(jìn)行分組 角色是指在業(yè)務(wù)中事先定義的執(zhí)行特殊職能的工作 例如，在下面的事務(wù)中有兩個角色 ：,權(quán)限的概念角色,5,權(quán)限的概念用戶,6,進(jìn)入一個 SAP 事務(wù)代碼 就好象.,權(quán)限的概念授權(quán)對象,7,即使只缺少一個對象 ，用戶都不能夠運行事務(wù)代碼,權(quán)限的概念授權(quán)對象,8,可以對授權(quán)對象進(jìn)行更詳細(xì)的參數(shù)限制，有兩種類型的參數(shù):,組織數(shù)值，例如

2、公司代碼 帳目類型 銷售組織,約束值，例如 行為 授權(quán)組合 購買憑證類型,權(quán)限的概念對象參數(shù),9,SPEX SAP R/3 Project Version 1.0 Authorization Concept,例如: 事務(wù) MIRO 發(fā)票憑證,用戶必須具有下列對象才能夠運行事務(wù)代碼.,這些對象是進(jìn)入并運行事務(wù)代碼必需的鑰匙,權(quán)限的概念授權(quán)對象,10,“參數(shù)” = 特征,例如: 會計帳目: 帳目類型的授權(quán)有兩個參數(shù),權(quán)限概念對象參數(shù),11,SPEX SAP R/3 Project Version 1.0 Authorization Concept,對象參數(shù)決定了用戶在事務(wù)代碼中操作的特殊Objec

3、t parameters determine the specific permissions a user can perform in a transaction.,問題: This user can perform WHAT ACTIVITIES to WHICH ACCOUNT TYPES?,權(quán)限概念對象參數(shù),12,用戶 是由幾個 角色 組成的 實際工作崗位可能對應(yīng)于系統(tǒng)中的幾個角色的集合 角色 是一系列 事務(wù)代碼 事務(wù)代碼 需要一些 授權(quán)對象 來運行 授權(quán)對象 由它的參數(shù)（組織架構(gòu)，約束值等）來定義,用戶,授權(quán)級別圖表,工作崗位1,工作崗位2,2020年9月23日星期三,13,每一位

4、系統(tǒng)操作人員對應(yīng)有一個系統(tǒng)用戶； 每個系統(tǒng)用戶對應(yīng)多個復(fù)合角色以滿足一人對應(yīng)企業(yè)中多個崗位的要求； 單一角色為定義一個業(yè)務(wù)操作單位的最小單元；每個單一角色下可以對應(yīng)多個事務(wù)代碼；,授權(quán)的概念 - 權(quán)限的組成,User,Co. Role,Co. Role,Role,Role,Role,Tcode,Tcode,Tcode,Tcode,Tcode,Tcode,IP System number Client,Object type Object field,Profile,2020年9月23日星期三,14,總體設(shè)計,對SAP R3開發(fā)、測試、質(zhì)量保證、生產(chǎn)系統(tǒng)進(jìn)行不同權(quán)限配置，以完成相應(yīng)的功能； SA

5、P可以透過對用戶幾個維度的管理來達(dá)到權(quán)限管理的目的： 組織架構(gòu)（如公司代碼、倉庫、。） 在系統(tǒng)中可以操作的業(yè)務(wù)（如執(zhí)行交易、查詢數(shù)據(jù)、更改數(shù)據(jù)、審批數(shù)據(jù)等）的事務(wù)碼 授權(quán)對象（如授與用戶A總賬科目展示, 創(chuàng)建, 刪除權(quán)限） SAP中的用戶權(quán)限完全由分配給他的權(quán)限參數(shù)文件決定，分配到的權(quán)限參數(shù)文件越大、越多，其可以執(zhí)行的操作也越多,2020年9月23日星期三,15,授權(quán)的原則,16,崗位,MRO-P04-S02-E01 發(fā)料流程,需用單位,倉庫保管員,流程開始,查詢庫存物資 需求情況 (MD04),確認(rèn)發(fā)貨 需求及數(shù)量 創(chuàng)建預(yù)留,根據(jù)預(yù)留、工單 提出發(fā)貨請求,打印發(fā)貨單,發(fā)貨 (MB1A),結(jié)束

6、,移動類型： 241：從倉庫發(fā)貨到資產(chǎn)(項目類物資)ZB1：發(fā)料到成本中心(營業(yè)費用)ZB3：發(fā)料到成本中心(管理費用)ZB5：發(fā)料到成本中心(生產(chǎn)成本)ZB7：發(fā)料到成本中心(長期待攤物資),簽字確認(rèn),業(yè)務(wù)科室 專業(yè)計劃員,是否工單,發(fā)貨 （MB1A),是,否,此處的崗位在系統(tǒng)中叫角色，不等于我們實際工作中的崗位,17,通用角色創(chuàng)建PFCG,事務(wù)碼：PFCG,18,通用角色角色描述,此處輸入角色描述,點擊菜單 并保存,19,通用角色添加事務(wù)碼,點擊事務(wù)按鈕，添加此角色所需的事務(wù)碼,20,通用角色生成參數(shù)文件,點擊權(quán)限進(jìn)一步維護(hù)此角色的詳細(xì)參數(shù),21,通用角色生成參數(shù)文件,點擊更改授權(quán)數(shù)據(jù)來維

7、護(hù)此角色的詳細(xì)參數(shù),此處暫無參數(shù)名稱,22,通用角色組織級別,特別注意：紅燈表示組織級別尚未維護(hù)，只能點擊組織級別按鈕進(jìn)去維護(hù)，切勿在此處直接維護(hù),此處維護(hù)組織級別， 通用角色的組織級別 僅用來測試,23,通用角色對象參數(shù),在此頁維護(hù)： 行為： 創(chuàng)建、顯示等 憑證類型 授權(quán)組合,此處的選擇決定了此角色可以維護(hù)哪些物料主數(shù)據(jù)視圖,24,通用角色激活參數(shù),憑證類型,點擊激活按鈕，即可生成參數(shù)文件,無需修改參數(shù)文件名稱,25,通用角色查看參數(shù)文件,返回到前一屏幕即可看到參數(shù)文件,26,本地角色創(chuàng)建,事務(wù)碼：PFCG,輸入本地角色名稱,27,本地角色維護(hù)繼承關(guān)系,在此處維護(hù)繼承的通用角色,確認(rèn)后本地角

8、色即創(chuàng)建完成，還需再集中生成參數(shù)文件,28,本地角色復(fù)制,點擊復(fù)制按鈕，即可參照已有的本地角色復(fù)制新本地角色,事務(wù)碼：PFCG,29,本地角色復(fù)制選項,確認(rèn)后本地角色即復(fù)制完成，還需再集中生成參數(shù)文件,30,本地角色繼承關(guān)系被復(fù)制,注意： 繼承關(guān)系也同時被復(fù)制,31,本地角色集中生成,通過修改通用角色而集中生成本地角色,32,本地角色集中生成,1.點擊菜單：權(quán)限調(diào)整派生生成派生的角色 2.將把通用角色的參數(shù)值復(fù)制到所有他的本地角色 3.并同時生成本地角色的參數(shù)文件 4.需要為本地角色重新維護(hù)組織級別 5.以后再作派生是通用角色不再覆蓋本地角色,33,本地角色維護(hù)特定組織級別,運行PFCG，修改

9、本地角色，如：Z：MPMM001001,34,本地角色維護(hù)特定組織級別,輸入本地角色的組織級別,35,本地角色重新激活,36,通用角色和本地角色,通用角色,采購管理員,北京基地采購管理員,天津基地采購管理員,本地角色,繼承,用戶的維護(hù)(SU01),用戶維護(hù)事務(wù)代碼：SU01,權(quán)限的管理,主要使用到了下面的事務(wù)代碼： SE43、SU03、SU02、SE93、SUIM SU53、SU20、SU21、SU22、SU24、SU10/SU12,程序中權(quán)限的檢查,在用戶能在系統(tǒng)中進(jìn)行 某項操作之前，需要進(jìn)行適當(dāng)?shù)氖跈?quán)。登錄到 R/3 系統(tǒng)后，系統(tǒng)在用戶主記錄進(jìn)行檢查，看看有權(quán)使用哪些事務(wù)。每個敏感事務(wù)都要實施授權(quán)檢查。如果要保護(hù)某項事務(wù)操作，則必須實施授權(quán)檢查。這意味著必須： 在事務(wù)定義中分配授權(quán)對象； 對 AUTHORITY-CHECK 進(jìn)行編程。 AUTHORITY-CHECK OBJECT ID FIELD ID FIELD ID FIELD . 其中：OBJEC