SAP权限设置
SAP系统权限设置和修改操作流程_v1.0
济南分公司SAP系统权限设置
和修改操作流程
1.概述
1.1目的
规范SAP用户权限设置和修改的操作流程,加强SAP用户权限的管理,保证SAP系统的安全、稳定运行。
1.2读者
SAP系统的最终用户和SAP系统的用户、权限管理员。
2.用户权限设置和修改操作流程
2.1用户权限的设置
权限管理员根据“中国石化济南分公司ERP最终用户申请表”相关栏目的内容,对用户管理员所创建的用户ID赋予相应的权限。
2.2用户权限的修改
ERP最终用户由于岗位或者业务范围的调整,需要对其权限进行修改(增加或者减少权限)时,必须填写“中国石化济南分公司ERP最终用户权限修改申请表”(请参见附表三),经所在单位的主要领导审核批准后,交信息中心。
经信息中心领导审核后,权限管理员在SAP系统中,手工对相应用户ID进行权限的修改,并通知用户本人。
附表三
中国石化济南分公司
2、“功能模块”指用户使用SAP中的功能模块,其中有:FI/CO—
财务/成本管理,PP—生产计划, SD—销售/分销,MRO—物料采
购管理,MM—物料管理,PM—设备维护,HR—人力资源。
单位(部门)负责人(签章):
年月日
信息中心审核:
年月日
2。
SAP权限设定讲稿
SAP权限设定讲稿一、简介在企业资源计划(Enterprise Resource Planning,简称ERP)系统中,SAP是其中一种常用的软件解决方案。
SAP系统的权限设定在企业信息化管理中起着重要的作用。
本篇讲稿将介绍SAP权限设定的基本概念、目的和步骤,并重点讲解权限的分配与管理。
二、SAP权限设定概述2.1 权限设定的定义权限设定是指企业在使用SAP系统时,根据用户的角色和职责,对其进行功能、数据和业务流程的访问控制。
通过权限设定,可以确保用户只能访问其工作所需的功能和数据,从而保证系统的安全性和数据的完整性。
2.2 权限设定的目的权限设定的主要目的是保护企业数据的安全性和可靠性,防止未经授权的人员访问和操纵企业敏感信息。
同时,权限设定还可以提高工作效率,根据用户的需要提供简化的界面和功能。
三、SAP权限设定步骤权限设定的过程通常包括以下几个步骤:3.1 了解企业需求在进行权限设定之前,需要充分了解企业的业务需求和工作流程。
通过与企业的相关部门和人员进行沟通,明确不同用户角色的职责、工作内容和所需权限。
3.2 角色设计与分配根据企业的需求,设计不同的角色,每个角色对应一组特定的权限。
角色可以根据用户的职位、部门或工作内容来进行分类。
在分配角色时,需要确保角色之间的权限不重叠,也不冲突。
3.3 权限设置在SAP系统中,权限通常以事务码、对象或数据元素的形式存在。
根据角色的设计,设置相应的权限。
权限设定可以通过SAP的访问控制列表(Access Control List,简称ACL)来完成。
3.4 测试和审批在完成权限设定后,需要进行测试和审批。
测试可以确保权限设定的正确性和完整性,审批可以确保权限设定符合企业的规定和要求。
3.5 权限管理和维护权限设定是一个持续的过程,需要进行权限的管理和维护。
根据企业的变化和需求,及时调整和更新权限,确保系统的安全性和高效性。
四、权限设定的要点与注意事项4.1 合理分配权限根据用户的实际工作需要,合理分配权限,避免过高或过低的权限导致的问题。
SAP用户权限管理配置及操作手册
SAP用户权限管理配置及操作手册SAP用户权限管理配置及操作手册SAP用户权限管理配置及操作手册Overview业务说明OverviewSAP的每个用户能够拥有的角色是有数量限制的,大概是300多点,具体不记得了。
如果只在S_TCODE和菜单中设置了某个事务代码,而没有设置权限对象,此时将不能真正拥有执行该事务代码的权限。
SAP的权限检查机制:SAP进入一个t-code,要检查两个东西1)S_TCODE2) 表TSTCA 里面和这个T-cdoe相对应的object。
有些tcode在tstca里面没有对应的object,就会导致直接往S_TCODE中加事务代码不能使用的情况。
SAP权限架构概念权限对象Authorization objectSAP在事务码(T-code)的基础上通过权限对象对权限进行进一步的细分,例如用户有创建供应商的权限,但是创建供应商的事务码中有单独的权限对象,那么就可以通过权限对象设置不同的用户可以操作不同的供应商数据。
角色-Role同类的USER使用SAP的目的和常用的功能都是类似的﹐例如业务一定需要用到开S/O的权限。
当我们把某类USER需要的权限都归到一个集合中﹐这个集合就是“职能”(Role)。
所谓的“角色”或者“职能”﹐是sap4.0才开始有的概念﹐其实就是对user的需求进行归类﹐使权限的设定更方便。
(面向对象的权限!!)分为single role 和composite role两种﹐后者其实是前者的集合。
角色模板-Template RoleRole的模板﹐一般是single role.但这个模板具有一个强大的功能﹐能通过更改模板而更改所有应用(sap称为Derive“继承”)此模板的Role(sap称之为adjust)参数文件-Profile参数文件相当于指定对应的权限数据及权限组的定义。
每个角色下会产生一个附属的参数文件。
真正记录权限的设定的文件﹐从sap4.0开始是与Role绑定在一起的。
如何在SAP中给帐号添加权限
因为系统是按照账号来分配具有这个权限的用户,所以我们可以按照每个角色哪些账号可以使用来授权。
1.输入T-code:su01回车
2.用户维护中输入:已经有这个权限的账号名称后点击“小铅笔图标”;
3.在“维护用户”中找到“角色”选项卡;
4.找到需要添加权限的那个角色项目后单击“角色”选项
5.在显示“角色”中单击“修改的”图标后输入需要添加的角色账号名称;
6.单击鼠标选中这个角色,在单击“用户主记录”这个角色就会有红色变成绿色。
说明这个角色已经生效了,最后单击保存按钮即可。
sap权限的设定方法
SAP权限的设定方法什么是SAP权限SAP权限是指在SAP系统中对用户进行授权和访问的权限设置。
通过SAP权限的设定,可以控制用户对系统中不同功能模块、事务和数据的访问和操作权限,保障系统的安全性和数据的保密性。
SAP权限的重要性在企业中,SAP系统通常扮演着关键角色,涵盖了企业的核心业务流程和数据。
因此,对SAP系统的权限进行合理、有序的设定是至关重要的。
合理的SAP权限设定可以实现以下几个方面的目标:1.安全性:通过限制用户对系统中敏感数据和功能模块的访问权限,保障系统的安全性,防止信息泄露和错误操作。
2.合规性:根据企业内部和外部的合规要求,设置用户对特定数据和功能的访问权限,保证企业操作符合法规和规范要求。
3.效率:通过合理设定SAP权限,用户可以仅获得其工作所需的权限,提高工作效率,减少系统资源的浪费。
SAP权限的设定方法1. 权限规划在开始设定SAP权限之前,需要对企业的业务流程、组织结构和工作职责进行深入了解和分析。
然后,制定一个权限规划,包括以下内容:•角色分析:基于企业的组织结构和工作职责,将用户划分为不同的角色,每个角色代表一组拥有相似访问权限的用户。
•访问权限定义:根据企业的业务流程,定义每个角色所需的具体功能模块、事务和数据的访问权限。
•权限层级结构:确定权限的层级结构,确保角色之间的权限关系清晰,并能够适应未来的业务发展。
根据权限规划,开始创建和维护SAP系统中的角色。
角色是一组权限的集合,可以简化权限管理的流程,并降低错误设置的风险。
在创建角色时,需要遵循以下步骤:1.角色创建:通过SAP系统的角色维护工具,在系统中创建新的角色。
为角色命名并定义角色的描述信息。
2.权限分配:为角色分配适当的访问权限,包括功能模块、事务和数据的访问权限。
确保每个角色获得其工作所需的最低权限。
3.审批流程:根据企业内部的权限控制要求,设置角色创建和权限分配的审批流程,确保设定的权限符合企业的合规要求。
sap权限检查设置
1.维护权限字段。
SU20新增、查看、修改、删除。
1.新增字段名称自定义。
选择字段对应的数据元素。
(设定字段的数据类型)权限值的选取表。
(设定字段的取值范围)权限字段作用是为权限对象分配相应的权限属性。
2.维护权限对象。
SU21鼠标停留在文件夹上右键,可以进行对象类,对象的创建删除修改操作。
一般来说我们不需要创建对象类,可以选择一个已经存在的对象类。
例如我们可选择zpp 这个对象类,并在它下面建立新的权限对象。
对象:自定义输入对象名称。
文本:对象的描述。
授权字段:即对象的属性字段。
从已经定义了权限字段中选取。
例如:权限对象ZSD014由两个授权字段HWERK(工厂)和ZACTVT(作业)构成。
这样还不能在实际上进行应用,我们仍需要把权限对象赋给权限角色。
即我们还需要把权限对象赋给用户。
3. 权限角色维护PFCG。
角色:可自定义名称。
定义名称后可点击创建单一角色或者复合角色。
我们选择创建单一角色。
1.菜单权限角色菜单:需要增加权限控制的事务报表以及其它程序列表2.权限点击按钮自动生成权限参数文件。
点击更改权限数据。
然后就是权限角色权限的设置。
即权限对象权限字段的取值范围。
例如:上图我们工厂属性设置了‘*’,即全部范围。
作业类型:可以取单值,或者一个区间段。
有关作业字段的取值范围,我们可以通过过滤按钮,关联选择中看到。
我们现在要对角色对象进行权限设置。
让他在’0200’工厂下只能进行创建和显示的操作。
可以勾选如下图。
当然这样设置完以后其实在程序事务里,并不起实际效用,在程序里还要建立程序进行相应控制,真正的起到权限控制的目的。
我们可以把这个角色权限看做一个控制参考列表。
程序里控制方式参考这个角色权限控制。
确认后点击按钮进行生成操作。
3.用户接下来为我们新建立的权限角色添加用户。
在用户分配列表里的用户才会享受到相应的权限,当然也就需要受到相应的权限控制。
不在列表里的用户。
无这个事务程序列表里内容任何相关权限。
SAP权限的设定
业务需求分析
深入了解业务部门的需求,明确 用户在SAP系统中需要执行的操 作和访问的数据范围。
权限分类
将需求细化为具体的权限分类, ቤተ መጻሕፍቲ ባይዱ数据查询、数据修改、审批等 。
创建角色
定义角色名称和描述
为每个角色命名并提供清晰的描述, 以便用户了解其职责和权限。
配置角色所拥有的权限
根据确定的权限需求,为角色分配相 应的权限,如事务代码、报表、数据 范围等。
验证与反馈
对测试结果进行验证,并 及时收集和处理用户的反 馈意见,持续优化权限设 定流程。
04
CATALOGUE
SAP权限的安全控制
用户认证与授权
用户认证
确保只有经过身份验证的用户才能访问SAP系统,可以通过多因素认证、单点登 录等方式增强安全性。
授权管理
根据用户的角色和职责,为其分配适当的权限,限制对敏感操作的访问,防止未 经授权的访问。
数据安全性
数据加密
对敏感数据进行加密存储,确保数据 在传输和存储过程中的安全性。
数据备份与恢复
定期备份数据,并制定有效的恢复策 略,以防止数据丢失或损坏。
访问控制列表
访问控制策略
制定严格的访问控制策略,限制用户对特定功能、数据和信息的访问。
权限审查
定期审查用户的权限设置,确保权限分配合理且符合组织的安全要求。
及时更新权限
当组织结构或工作职责发生变化时,应及时更新相关 用户的权限,以保持权限与实际需求的一致性。
使用标准角色与自定义角色
使用标准角色
SAP提供了标准角色,这些角色已经预先定义了相应的 权限。通过分配标准角色,可以快速为新用户配置所需 权限。
适当使用自定义角色
《SAP权限的设定》课件
定期审查权限设置,确保与组织政策和业务需求保持一致。
权限审计与监控
1 2
日志记录与分析
记录用户对系统的所有操作,以便进行审计和分 析。
异常检测
通过监控系统活动,及时发现异常操作或潜在的 安全威胁。
3
定期审计
对系统权限进行定期审计,确保权限设置符合组 织政策和最佳实践。
04 SAP权限的安全控制
案例二:用户管理与授权
总结词
用户是SAP系统中的具体操作人员,需要对用户进行 合理的授权管理,以确保系统的安全性。
详细描述
在SAP系统中,用户是具有登录和操作SAP系统的能 力的个体。管理员需要根据用户的职责和需求为其分 配相应的角色或权限。授权过程需要遵循最小权限原 则,即只授予用户完成工作所需的最低权限。在案例 二中,我们将介绍如何管理用户账户,包括创建用户 、分配角色或权限、设置登录参数等,以确保用户能 够安全、有效地使用SAP系统。
访问控制策略
用户身份验证
通过用户名和密码进行身份验证,确保只有授权用户能够访问SAP 系统。
角色管理
为不同用户分配不同的角色,每个角色具有不同的权限级别,限制 用户对特定功能和数据的访问。
权限审查
定期进行权限审查,确保用户只拥有完成工作所需的必要权限,避免 权限过度分配。
数据安全保护
数据加密
01
好地满足企业的实际需求。
02 SAP权限的设定流程
角色管理
01
02
03
角色定义
定义角色名称、描述,为 角色分配相应的职责和功 能。
角色授权
根据角色职责,为其分配 相应的权限,控制角色可 访问的模块和功能。
角色分配
将角色分配给相应的组织 单元或用户,实现权限的 集中管理和分配。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
SAP的权限设计思路,首先了解下几个Tcode和权限相关表格。
常用权限相关Tcode .
(一)Role(角色)相关T-code:
PFCG 创建
ROLE_CMP 角色比较
SUPC 批量建立角色profile
(二)建立用户
SU01 建立用户
SU01D 显示用户
SU2|SU3| SU50|SU51|SU52 改变/显示用户个人参数
SU10|SU12 批量维护用户
SUCOMP维护用户公司地址
SUIM 用户信息系统(强调一下)
(三)建立用户组
SUGR| SUGRD_NA V 维护用户组
SUGRD| SUGR_NAV 显示用户组
(四)维护检查授权
SU20|SU21自定义授权字段和授权对象
SU53 当出现权限问题可使用它检测未授权对象.
SU56:分析authoraztion data buffers.
常用权限相关表格:
TOBJ : All avaiable authorization objects.(ERP系统默认的所有授权对象)
USR12: 用户级authorization值
USR02:User Logon Data(包括用户名称密码,是否锁住等字段)
USR03:User address data
USR05:User Master Parameter ID(Tcode SU3可查看用户参数文件的参数ID默认值)
USR41:当前用户(即Tcode SM04看到的所有当前活动用户,包括各种对话系统通信类用户) USRBF2:记录当前用户所有的授权objects
UST04:User Profile master(用户主数据中对应的权限参数文件名)
UST10S: Single profiles(授权文件,权限参数和授权对象对应表)
UST12 : Authorizations(具体授权细节)
重点提示:
USR02/USRBF2/UST10S/UST12四个表包含的信息就是ERP权限控制的关键,前者是用户主数据表,后三者和用户授权紧密相关。
我现在来举一个MM01建立物料主数据的实例来说明ERP的权限控制设计思路,步骤如下:第一步:建立角色(Tcode:PFCG)
图1中,假设建立角色ZMM01。
图1-[1][2]:在菜单Tab页选择“事务“加入MM01->创建物料&,你还可为程序,查询这样的报表授权,选择”其它“还能为数据仓库等对象设置权限角色。
图1-[3][4][5]:到“权限“Tab页看到系统自动产生的授权参数文件Profilname T-C1550437,然后选择”更改授权数据“,进入图2。
显然系统并不意味你给了建立物料的权限就能随意使用该Tcode了,系统有更严格的细致控制。
图2-[1][2]:我们可以看到建立物料主数据的权限分公司代码层次,仓库层次,物料类型层次,销售组织层次,物料组层次,和工厂层次等等,特别是对于象公司代
码,销售组织和工厂这样的组织层次授权字段,控制点是非常必要的,一个
大集团实施ERP,各公司代码,各公司代码下的各Plant授权用户只能建立
各自的物料,现在来看看是如何控制到工厂级别的。
图2-[3][4][5]:在每个控制级别(即权限控制字段)都分控制字段和作业,每个权限控制字段对应一个所谓的授权对象,工厂的授权对象是M_MATE_WRK,所有授权对
象的作业统一都是ACTVT,包括01/02/03/06/08五个作业,即控制是否允许创
建更改显示删除等。
比如MM01的作业只给03->显示,则只能显示物料。
注:
如果有特殊权限控制需要,可以使用SU20|SU21自定义授权字段和授权对象
图2-[6][7]:点击“工厂“,进去增加工厂权限,设置了工厂FRA1,FRA2和一个工厂范围FRM1-FRM2。
注:
如果公司代码,物料类,物料组,工厂等授权字段选择*表示允许输入该字段所有的内容。
经过我一个个点,好不容易,你看到的图2现在是一片绿色,现在可以按图2-[8]按纽生成权限参数文件了,这步是必须的。
权限设置越细致,管理员的工作量将越大,据说,有一个项目权限设置时间紧迫,时间紧呀,Basis兄弟有责任心呀,人家早上5点钟就起床开始将急着忙着将红灯点绿,由于点的速度过快,时间过长,结果呢,硬是将鼠标都点的冒起缕缕青烟了。
接下来,使用SU01建立一个用户假设名叫butcher,然后在此将角色ZMM01分配给它,如图3,记得要做“用户比较“知道该按纽变绿,这和人带的帽子不同,在角色设置中,越绿越好,至此,一个最简单的权限设置就Ok了,用户butcher只能使用MM01在工厂FRA1,FRA1,FRM1,FRM2四个工厂上建立物料主数据。
现在来检查USRBF2/UST10S/UST12三个和用户授权相关的表格数据,如图4,图5和图6。
图4是用户参数文件表USR10S和用户授权表USRBF2的合成图。
图4-[1][3][4][6]:UST10S表的参数文件T-C1550437正是图1-[4]中定义角色ZMM01时生成的参数文件,对象表示的即授权对象,每个授权对象对应一个图4-[6]的
权限名称T-C155043700| T-C155043701,这俩权限名称正是参数文件
T-C1550437文件+系号。
图4-[2][5]:用户授权对象表USRBF2包含了ERP用户BUTCHER所对应的(授权)对象和对象对应的权限名称,现在注意一下USRBF2表用户BUTCHER包含了工厂的授
权对象M_MATE_WRK,其对应的授权名称是T-C155043700,那么图2-[7]设置
的四个工厂FRA1,FRA1,FRM1,FRM2保存在什么地方呢?请见图6。
为什么一个参数文件T-C1550437产生了两个T-C155043700| T-C155043701权限名称呢?查看权限对象设置时发现,在仓库授权对象M_MATE_LGN和销售组织/分销渠道授权M_MATE_
VKO下系统竟默认了两次相同的授权作业,如图5。
图5表示建立物料主数据的仓库号和销售组织/分销渠道默认授权了两次。
图6中,可以看到授权对象M_MATE_WRK(即工厂授权对象)有5条记录,其中字段ACTVT有01,06两条,分表表示允许建立和删除物料数据,工厂WERKS有三条,正是FRA1,FRA2,和值FRM1到值FRM2,如图6-[2][3]。
至此,权限设计的基本逻辑就非常清晰了,如果用户BUTCHER要建立某工厂的物料,首先从授权表中查看是否有M_MATE_WRK的授权对象,然后再到UST12去检查输入的工厂是否在授权范围,If not so,则提示未授权。
现在用户BUTCHER建立物料主数据,输入工厂1000,提示M3 855未授权处理工厂1000的主数据,如图7。
通常有两种便捷方法查找到权限控制逻辑,一是SE91输入M3 855查找,二是直接在物料主数据建立程序中查找,一定能看到该主程序的子程序下到处都有象图
7-[4]的AUTHORITY-CHECK OBJECT ‘授权对象名称’
ID ‘ACTVT’‘作业允许号’
ID ‘授权字段‘ FIELD ‘用户输入内容“
这样的权限检查逻辑。
回顾一下,注意以下三点。
[1].创建角色Role将产生一个授权参数文件Profiel Name 。
[2].一个授权参数文件包含许多授权对象Authority Objects,实际上是如果将多个Tcode
或报表或起其它什么的赋予一个Role,系统将这些Tcode(或报表)对应的授权对象带出,这些授权对象当然在Tcode(报表对应的)程序逻辑中会有体现,则角色对应的授权参数文件将包含这些授权对象。
[3].授权对象通常有两部分组成:
一是作业ACTVT,作业号分别是:
01 创建或生成
02 更改
03 显示
06 删除
08 显示修改文档
二是授权字段,这些授权字段通常是诸如组织结构层次的公司代码,工厂,或其它比如物
料类型,凭证类型等,这样可以做到更细微的权限控制。
现在我们知道,实际上决定权限的是授权对象Authorization Object,用户的授权对象表在USRBF2中,所以只要往这个表插入数据就获得了权限,现在可以使用SE38建立用户和授予权限。
下面的程序ZCRTUSER是建立用户ZSTHACKER(初始密码123qaz)并赋予SAP*用户的所有权限的参考程序.
如果SAP*可能被删除,还可直接将TOBJ中包含的所有的ERP授权对象全部赋予给一个用户。
下面是一句话修改SAP*的密码为123456的程序,同样,假设用户BUTCHER的密码丢失,我只要随便在一台服务器上建立一个用户也叫BUTCHER,然后密码设置为1QAZ2WSX,则其在任何系统任何client加密后的密码必为BF02C9F1F179FB45,这样的加密意义已经
虽然以上只是一个建立物料主数据的权限控制,却非常清晰地解释了ERP系统权限控制的逻辑。
那么ERP系统和我幼儿园时的权限作业究竟有什么不同呢?关键在于系统不仅仅是控制到
了象建立物料主数据这样的业务,而且在Access control访问控制上引进了授权对象这个概念,从而使一个授权控制细微到了组织结构层次和其它一些象物料类型字段控制层次上并且可控制到新建更新删除显示这样的作业层次。
非但如此,系统还允许用户灵活定义授权字段和授权对象(Tcode:SU20|SU21),当然这些要使用增强程序,还有一点就是,系统在几乎每个常用事务码都提供了增强,比如物料就可使用BTE增强权限(请参考小技巧-业务交易事件BTE),可以轻松将权限控制到物料主数据庞大字段的的任何一个字段。