sap权限设定完整版文档格式.docx
《sap权限设定完整版文档格式.docx》由会员分享,可在线阅读,更多相关《sap权限设定完整版文档格式.docx(178页珍藏版)》请在冰豆网上搜索。
1.3.测试环境下修改
除非特殊情况,权限设定不允许在正式环境直接更改。
一般都是在测试环境修改、测试成功后,再传到正式环境。
1.4.拒绝不合理权限要求
Basis不是决定用户权限范围的人,而是实际管理中大大小小业务流的管理者。
所以,变更权限设定,务必要求用户提供经过领导签核的申请表。
对于用户不合理的权限要求,顾问有责任拒绝。
2.角色维护
2.1.作业说明
基本
由权限的大架构有UserID(用户),Role(角色),Profile(权限参数文件)三层,可知权限的设定也会有相应的三层。
目的
SAP中的权限管理可以通过建立若干角色的方式进行,角色的定义为SAP中单个或者多个事务代码(T-Code)组成的一个角色定位。
角色是指在业务中事先定义的执行特殊职能的工作。
可以为单个的用户的需求去创建角色,也可以通过事务代码创建角色,然后分配给各个需要这些角色的用户。
创建角色主要有三种方式:
手工创建。
适合所有新建角色的需求,主要对应权限追加;
继承。
主要对应设定派生角色;
复制。
主要对应设定基本的角色。
继承与复制创建角色的区别:
用继承的方式建立新角色,继承后,只需要填写Org.level,Object就全部标识为绿灯。
用复制的方式建立新角色,需要在Object里填入值,Object才能全部标识为绿灯。
以上是两者操作上最大的区别。
2.2.创建单一角色
事务代码与菜单路径
PFCG–工具->
管理->
用户维护->
角色管理->
角色
菜单
此为事务代码输入栏
后续作业
工具列图示/其它说明
备注
输入事务代码
可于命令栏输入[事务代码]并按ENTER键,执行程序
鼠标双击
(或)将鼠标光标停在欲执行对象,并双击鼠标左键。
(或)将鼠标点击按钮
字段说明
字段名称
必要
输入
Role
√
角色的名称
显示
显示该角色的内容
更改
更改该角色的内容
创建
创建角色
创建组件角色
创建带有其他角色的角色
点击,进入下一个画面
角色
说明
角色的描述
空白处
角色的详细备注等
点击,选择“保存”后,保存该角色名称。
进入菜单标签
点击可进行事务代码的手动添加
点击可进行报表程序代码的添加
点击可进行其他方式的添加
点击可从SAPMenu中选择事务代码添加
从其他角色中CopyMenu
点击可建立菜单新目录结构
点击进入单个事务代码的顺序手动添加
由于SAP的角色内容可以用多种方法进行选择,如根据SAP的菜单、SAP的报表程序、以及其他角色等等。
此处以单个事务代码为例。
此处填入选择的SAP事务代码
点击分配事务代码
此栏位处,显示已经分配给该角色的事务代码清单
点击进入“权限”标签
此栏位为建立角色必须产生的参数文件名称
此栏位为建立角色产生的参数文件的描述
点击生成角色参数文件,也可手动按自定义规则填写
删除已授权的参数文件信息
更改菜单以后,必须点击此处重新激活角色的参数文件。
系统重新读取角色的菜单,按菜单的变化变更Object对象,具有一定的智能,但会把已经Merge(合并)的Item弹开,造成设定者的混乱。
不反对使用
包含“更改授权数据”的功能,但保留原有的可用设定,可以看到变化前的参数文件。
即使新的权限没设定好,还有原有的权限可用。
推荐使用
点击,进入角色参数文件的激活界面
点击保存之前的数据,进入激活界面
系统中设置的标准事务代码所需要的Object,系统会自动带出来
因为,这里是根角色的设置,所以不分配组织级别的value值,点击退出,进入激活界面
Object已经全部给值
注意:
只代表全部给值而已,但不一定是权限需要的符合系统逻辑关系的值
Object只有部分给值
Object完全没有给值
点击和,查看并激活所有需要被激活的相关其他连接的功能,组织级别相关给值设置为未激活,使其变成绿灯
通过上一步操作,可以看到设置行项目的左端有此按钮。
点击,将和组织级别给值相关的设置转为未激活,尽可能使其变成绿灯
适当考虑后,有些授权,可通过点击此按钮,给全值。
手动赋值过的设置,是不能再通过此操作给全值的。
类似于下图:
如果,需要维护组织级别value,可以在分配组织级别value时不退出,直接如下图定义:
组织级别
选择该角色范围在组织架构中的职权范围
维护计划工厂
选择该角色适用的维护计划工厂范围
维护工厂
选择该角色适用的维护工厂范围
工厂
选择该角色适用的工厂范围
德文,英译“Org.level”
权限设定中许多地方的控制点是一致的,SAP为了方便权限的设定,把这些地方设计为与全局变量关联。
当改变全局变量时,这些地方就可以全部关联更改。
这个全局变量就是:
Org.level
当给Org.level赋值后,其对应的ObjectValue的值也会改变
对Org.Level赋值之后,会发现相当一部分的Objectvalue都已经被联动赋值,但还有一些Object依旧标识为红灯或者黄灯。
这些Object是要单独被赋值的。
点击,保存输入的数据,进入激活界面。
点击,激活需要被激活的相关其他连接的功能,给对应的Object赋值
点击,相当于给这个Object一个“*”(star);
“*”表示AllAuthorization的含义,不卡任何权限;
Object给值后,就变成绿色,不能再被点击
红框中标注的行对象,是每个权限参数文件中都应该有的。
如果添加的事务代码没有出现在这个行对象列表中,那么用户可能不能进入事务代码控制的视图。
点击生成激活程序,保存该角色参数文件。
激活该角色的参数文件,完成创建
表示该角色的参数文件已被创建
表示该角色的参数文件已经被创建
点击,退出角色参数文件维护界面
绿灯,表示该角色的参数文件已经被激活
点击进入“用户”标签,进行权限授权
授权就是给个人(或组)一个方式或权力来行使一些特殊的职责。
它允许或禁止用户在系统中进行操作和处理事务。
在缺省状态下,所有用户最初是没有执行任何事务的权限的;
通过各种授权赋予执行事务的权限;
一个用户可以执行的事务数量反映出其授权的大小。
表示该角色被分配的用户名清单
表示该角色对该用户的有效时限
点击进行用户名和角色功能比较检查
点击,完全比较,显示下一个页面
点击“是”,保存该角色的用户分配信息
此作业结束
2.3.创建复合角色
(或)将鼠标光标停在欲执行对象,并双击鼠标左
升级会员 