SAP用户权限管理维护手册Word文档格式.docx
《SAP用户权限管理维护手册Word文档格式.docx》由会员分享,可在线阅读,更多相关《SAP用户权限管理维护手册Word文档格式.docx(18页珍藏版)》请在冰豆网上搜索。
如果第一次生成该权限,系统会提示会生成所有显示的组织层次。
该值用于生成该权限。
如果所有显示区域由配置生成器填充(特别的,如果该区域仅包括组织层次需求),系统会为该权限显示绿灯。
如果有权限的区域还没有输入值,系统会显示黄灯。
只有当用户为该区域输入值以后,系统才会显示绿灯。
通过选择工具显示技术名称,我们可以显示每个授权对象的技术名称。
如果我们想删除一个独立的权限对象,我们需要通过点击
将它de-active,然后该权限对象将会用红色列出未被激活状态。
点击
按钮我们可以将它再激活,或者通过点击
将它从配置文件中删除。
可以手工添加权限对象。
修改完成后,点击生成或shift+F5激活,退出该界面。
在用户栏进行用户分配,注意用户比较。
角色直接赋值给用户可以在用户页实现。
完成赋值后,需要做“UserCompare”,而UMR(用户主数据)将相应的更新。
标志从红色变成绿色代表UMR成功更新。
(2)创建复合角色
pfcg进入角色维护界面,复合角色即组件角色,由多个单一角色组成。
填写角色名称保存
菜单栏选择读菜单,刷新角色。
最后根据用户分配,输入用户ID保存。
授权管理工具
有些情况下,授权可能会出现错误,特别是用户被限制不能使用某些功能。
在这种情况下,事务代码SU53可以帮助我们跟踪哪个授权对象有用但是在这个配置文件中丢失。
事务代码SUIM推荐使用与授权报告。
SUIM集成的授权报告包括任何选择标准。
例如:
选择所有拥有“S_USER_PRO(用户主记录维护:
授权配置文件)”对象。
2.用户授权设置
配置文件生成器可以通过调用事务代码SU01调用,或者是工具->
用户。
其功能包括:
创建新用户、修改用户信息和权限、删除用户、复制、锁定/解锁、修改用户口令。
创建新用户
在“用户”中输入需要创建的用户名称,如:
test
在菜单选取:
用户名->
创建
地址:
必须维护的字段为“姓”;
登录数据:
必须维护的字段为“口令”;
角色:
需要付给的权限角色;
修改用户
在“用户”中输入需要修改的用户名称,如:
修改
显示用户
显示
复制新用户
此功能的作用是以现有的用户做模板来创建新用户,新创建的用户具有原模办用户相同的权限和基本信息。
在“用户”中输入的模板用户名称,如:
template
复制
锁定/解锁用户
在“用户”中输入需要锁定或解锁的用户名称,如:
锁定或解锁
修改密码
在“用户”中输入需要修改密码的用户名称,如:
修改密码
3.权限管理流程及用户授权策略
SAP系统安全管理流程
系统安全管理策略的另一个重要方面是制定标准的规范流程来管理用户对权限变动的申请。
在项目的进行中,东软项目小组会结合客户的实际特点,制定系统安全管理流程。
用户授权策略
授权防止用户获取认证的SAP数据。
授权管理包括许多步骤与参与者。
定义功能(角色矩阵)在这个周期中特别重要。
这个框架的质量将会决定一个好的功能和安全授权实施的成功。
PG(参数文件生成器)是事项授权的最有用的工具。
SAP主要通过ROLE,PROFILE两种方式来进行权限的管理控制,其中系统在安装初始阶段就已经包括了一些已经被系统定义好的重要的角色与参数文件,这些角色与参数文件一旦被分配,所持有者就可以对系统内部作出相应的管理操作,当然就会对整个系统产生非常大危险性,故此我们一定要在开始就得慎用,并且设定符合自身的管理规则。
在SAP安装完毕后,也会有几个特殊的用户,在系统安装设置阶段,都要完成特殊的功用,那么我们在设置阶段结束后,一定要妥善的管理者几个用户:
1)SAP*-----系统初始用户,拥有系统所有权限
2)DDIC----系统初始化进行配置使用的用户,拥有系统所有权限
3)SAPCPIC----系统通讯用途的超级用户
4)EarlyWatch-----用来做系统分析的超级用户
控制策略:
1)通过设定参数login/no_automatic_usr_sapstar=0
此时运用SE38运行程序RSUSR003查看上述用户的初始密码,更改所有密码
2)通过SUIM审核是否CCA存在,去掉不必要的职责不相容,严格遵从权限分离制度
3)设置一定的密码规则
对于简单通用密码可以使用SE16运行表USR40查看,通知用户及时更改
通过以下参数设置可以制定用户密码策略
1)login/min_password_lng-----定义密码最小允许长度
2)login/password_expiration_time---定义密码过期时间
3)login/fails_to_user_lock---密码登陆错误次数
4)login/failed_user_auto_unlock----晚上密码自动解锁
5)login/fails_to_session_end-----超过制定错误登陆数后,结束所有用户进程
6)login/disable_multiple_gui_login-----拒绝多用户使用单一用户名登陆
7)login/multi_login_users-----允许多用户使用相同用户名登陆
8)login/min_password_diff----定义新旧密码重复使用次数
9)login/password_max_new_valid---定义对新建用户的密码有效期
10)login/password_max_reset_valid---定义密码重置有效期
11)login/min_password_digits/_letters/_specials----定义特殊字符密码规则
12)login/disable_password_logon&
login/password_logon_usergroup
控制被撤销密码的登陆
13)login/disable_cpic-----拒绝cpic通讯接入
14)rdisp/gui_auto_logout----定义系统自动空置时间
15)login/no_automatic_user_sapstar-----控制sap系统用户
4.附录
附录A修改请求(Changerequest)管理文档
传输类型:
ABAP程序配置数据SAPScriptReportpaint主数据
源系统:
DEV(开发系统)QAS(测试系统)PRD(生产系统)
状态:
¨
批准¨
拒绝¨
已传输
NO.
修改请求描述
修改请求号
目标系统
开发测试系统
生产系统
100
200
300
700
800
1
2
3
4
5
6
7
签名:
申请人:
顾问批准人:
操作者:
.
项目经理:
附录B权限修改请求表管理文档
修改权限类型:
事物码添加¨
增加角色¨
增加权限¨
其他
修改权限原因:
拒绝
增加描述权限
日期:
以下项目组填写:
角色名称:
限制条件:
其它:
备注:
是否涉及价格等公司机密
部门经理:
.批准人:
操作者:
时间:
项目经理:
_______________
附录C权限管理常用事务代码
事务代码
菜单路径
描述
PFCG
工具系统管理用户维护角色管理角色
MaintainRoles(ProfileGenerator)
SU01
工具系统管理用户维护用户
MaintainActivityGroups(ProfileGenerator)
SU02
工具系统管理用户维护权限和参数文件维护手工编辑参数文件
MaintainAuthorizationProfiles
SU03
工具系统管理用户维护权限和参数文件维护手工编辑权限文件
MaintainAuthorizations
SU53
Tracewhichauthorizationismissed.
ST01
工具系统管理监视器跟踪系统轨迹
SystemTraceincludingauthorization.
SU24
Maintaincheckindicatorsfortransactioncodes
SU25
InstallingandupgradingtheProfileGenerator
SUIM/SARP
InfosystemAuthorizations
SESS
SessionManager
SU10
工具系统管理用户维护用户批维护
MassChangestoUserMasterRecords
PPOC
人力资源组织管理专家模式简单维护创建
CreateOrganizationalplan
PPOM
人力资源组织管理专家模式简单维护修改
MaintainOrganizationalPlan
SUPC
工具系统管理用户维护角色管理生成角色参数文件
Roles:
massgenerationofprofiles
PFUD
工具系统管理用户维护角色管理用户主数据统驭
UserMasterDataReconciliation
升级会员 