[點晴模切ERP]揭秘SAP系統(tǒng)里的權(quán)限可以控制到什么程度,結(jié)果超乎想象!
當(dāng)前位置:點晴教程→點晴ERP企業(yè)管理信息系統(tǒng)
→『 經(jīng)驗分享&操作答疑 』
權(quán)限管理 在SAP系統(tǒng)中,權(quán)限管理是確保數(shù)據(jù)安全、保護(hù)業(yè)務(wù)流程和遵守合規(guī)要求的核心機(jī)制。它不僅涉及用戶訪問控制的基本設(shè)置,而且隨著業(yè)務(wù)需求的演變,權(quán)限管理也在不斷地進(jìn)化以適應(yīng)更復(fù)雜的業(yè)務(wù)場景。 用戶管理 用戶管理是SAP權(quán)限系統(tǒng)中最為基本的部分,所有對SAP系統(tǒng)的訪問都始于一個用戶。創(chuàng)建一個新用戶涉及定義其屬性,包括但不限于用戶ID、姓名、語言、電子郵件地址等。用戶配置可能還包括更高級的設(shè)置,如用戶組成員身份、登錄數(shù)據(jù)和用戶特定的配置文件。 在創(chuàng)建用戶時,需要遵循特定的命名規(guī)則和維護(hù)最佳實踐。例如,用戶ID可能由部門縮寫和員工編號組成以保持唯一性和可識別性。用戶配置文件則定義了用戶的系統(tǒng)訪問限制,如登錄次數(shù)限制、密碼策略等。 角色的定義 在SAP系統(tǒng)中,角色是權(quán)限的集合。將角色分配給用戶,而不是單獨分配權(quán)限,可以簡化權(quán)限的管理過程。角色定義了用戶可以執(zhí)行的特定業(yè)務(wù)任務(wù)。通過定義角色,可以更容易地實施職責(zé)分離和訪問控制。 角色的創(chuàng)建涉及指定一個角色名稱、描述和模板。模板是已有的角色,可以基于該模板創(chuàng)建新角色,也可以從零開始創(chuàng)建一個新角色。創(chuàng)建好角色后,需要將權(quán)限對象、事務(wù)碼和其他角色等分配給該角色。 在角色創(chuàng)建界面中,可以為角色添加描述,選擇模板以及分配權(quán)限。權(quán)限的分配可以細(xì)化到操作級別的細(xì)節(jié),確保角色具有所需但不超出的權(quán)限。 角色創(chuàng)建完成后,可以將角色分配給一個或多個用戶。通過這種方式,SAP系統(tǒng)中的用戶可以集中地獲得執(zhí)行其工作所需的權(quán)限集合。 權(quán)限對象 SAP權(quán)限對象是權(quán)限管理的基礎(chǔ)構(gòu)建塊。一個權(quán)限對象代表了一個特定的業(yè)務(wù)功能或數(shù)據(jù)訪問點,如查看特定類型的文檔或執(zhí)行特定的事務(wù)。權(quán)限對象由對象類(class)和對象編號(number)唯一標(biāo)識,通常還會有不同的字段值(fields values)來進(jìn)一步細(xì)化權(quán)限控制。 理解權(quán)限對象的構(gòu)成對于設(shè)計有效的權(quán)限模型至關(guān)重要。每個權(quán)限對象都有一個或多個字段,這些字段可以有特定的值,或者可以通過值的范圍來定義。 當(dāng)用戶執(zhí)行一個操作時,SAP系統(tǒng)將進(jìn)行權(quán)限檢查以確定用戶是否有權(quán)執(zhí)行該操作。這個過程涉及對用戶的角色、分配給這些角色的權(quán)限對象、以及權(quán)限對象的具體字段值進(jìn)行檢查。 由于之前講解了一篇權(quán)限設(shè)置的很細(xì)的一個細(xì)節(jié)淺析SAP系統(tǒng)的授權(quán)機(jī)制,如何在SAP系統(tǒng)精準(zhǔn)分配權(quán)限?,就想到了,如果要是自建程序這種,系統(tǒng)里權(quán)限能控制到多細(xì)呢,于是,以前的一個需求想要控制好某些數(shù)據(jù)顯示的問題,就可以實現(xiàn)了。在SAP系統(tǒng)里權(quán)限和系統(tǒng)參數(shù)是很復(fù)雜的存在,就比方前面講到的修改了SAP系統(tǒng)里的這些參數(shù),簡單說一下我淺顯的理解,下面就按照之前的需求來實現(xiàn)一下。 實現(xiàn)過程 今天做了一個特別的權(quán)限檢查的內(nèi)容,就是做一組按照設(shè)計好的數(shù)據(jù)來檢查權(quán)限,首先,先創(chuàng)建一個權(quán)限檢查的表,并在表里插入一些數(shù)據(jù),如下圖所示:
下面就要開始從創(chuàng)建權(quán)限對象開始,使分配這個權(quán)限的用戶只能操作部門編號(edept)為 ‘10’ 的數(shù)據(jù)。如果選擇其他數(shù)據(jù),就要給出錯誤提示消息。 第一步、創(chuàng)建自己的權(quán)限字段。事務(wù)碼:SU20,進(jìn)行權(quán)限字段創(chuàng)建。
第二步、創(chuàng)建自己的權(quán)限對象。事務(wù)碼:SU21,進(jìn)行權(quán)限對象創(chuàng)建。 首先,創(chuàng)建對象類,輸入對象類名稱(ZEM1)、文本(FOR TEST),點擊“保存”。 然后,找到之前創(chuàng)建的對象類,可以鼠標(biāo)右鍵創(chuàng)建權(quán)限對象。
事務(wù)碼:SU02,創(chuàng)建參數(shù)文件,輸入相關(guān)信息,然后激活。 對象輸入:ZEMPOBJ00 權(quán)限輸入:ZDEPT,并雙擊它新建一個權(quán)限。
具體的權(quán)限值(點擊“維護(hù)值”)進(jìn)行維護(hù)。
一定要記得激活(很重要)! 該授權(quán)對象包含兩個字段,可以在第一個字段 EMPDEPT中輸入一 般值'10',第二個字段 ACTVT中,在創(chuàng)建(01)、更改(02)和顯示(03)之間進(jìn)行選擇,也就是說,分配這個參數(shù)文件的用戶,只能對 '10' 部門的數(shù)據(jù)進(jìn)行01、02、03操作。也可以設(shè)置為“*”這樣任何操作都可以通過。 事務(wù)碼:SU01,進(jìn)入‘參數(shù)文件’選項卡,添加參數(shù)文件:ZEMPRF00,保存后權(quán)限即可生效,對用戶分配權(quán)限還可以通過創(chuàng)建角色的方式實現(xiàn)。 注意:有兩種方式,創(chuàng)建角色分配給用戶,或者直接將參數(shù)文件分配給用戶,角色是從業(yè)務(wù)層面的維度來管理權(quán)限,但實質(zhì)上的功能還是由profile 來完成的。 原來SAP的權(quán)限是沒有角色這個概念的。全部是由profile/object 的方式來實現(xiàn)的,但這樣的方式要求對權(quán)限底層的具體細(xì)節(jié)非常了解才行,嚴(yán)重影響的工作效率,而且不利于只懂業(yè)務(wù)的人進(jìn)行權(quán)限管理和設(shè)計。 所以SAP后來引入了角色這樣一個概念,試圖通過自頂向下的方式讓用戶來管理權(quán)限。通過事務(wù)碼:PFCG可以維護(hù)角色。 第四步、創(chuàng)建role將權(quán)限分配給用戶 首先,事務(wù)碼:PFCG 創(chuàng)建角色:ZEMPR00,輸入描述文本,點擊創(chuàng)建,點擊“權(quán)限”選項卡,參數(shù)文件名稱:點擊(系統(tǒng)建議的),點‘更改授權(quán)數(shù)據(jù)’->‘手動,輸入授權(quán)對象:ZEMPOBJ00,回車,保存,然后指定權(quán)限的值。
然后,進(jìn)入‘用戶’選項卡,輸入用戶名為自己的用戶名;記得‘用戶比較'(用戶比較,完成權(quán)限修改后與用戶的權(quán)限保持一致)到此為止,權(quán)限的設(shè)計全部完成,下面我們通過一段程序來驗證權(quán)限的有效性。
權(quán)限列表中有兩個權(quán)限,一個是系統(tǒng)通過創(chuàng)建角色生成的,一個是我們手動創(chuàng)建的。 第五步、創(chuàng)建ABAP程序,來驗證權(quán)限對象的有效性
如果存在刪除操作,在刪除前,檢查用戶的權(quán)限,可以將actvt的值改為06進(jìn)行測試。 actvt的所有值儲存在表TACT中。 注意:
sy-subrc 一些重要返回值如下:
以上就是本篇文章的全部內(nèi)容,有什么建議和意見歡迎留言。 閱讀原文:原文鏈接 點晴模切ERP更多信息:http://moqie.clicksun.cn,聯(lián)系電話:4001861886 該文章在 2025/4/24 10:03:55 編輯過 |
關(guān)鍵字查詢
相關(guān)文章
正在查詢... 
|
400 186 1886
