首先介紹一下SAP權限的幾個基本概念:
* SAP系統權限:某SAP操作用戶能在SAP系統中做哪些操作。比如(大致概念)用戶XX-A只能查看物料信息,在SAP系統中就分配事物碼MM03給XX-A。SAP的權限控制是控制到字段級的,換句話說,其權限控制機制可以檢查你是否有權限維護某張透明表的某一個字段。
*
用戶(User):具體操作SAP系統的用戶,即登陸SAP Logon輸入的用戶。使用事物碼SU01創建一個新的用戶ID,默認的權限是空白的,不允許任何操作。
*
單一角色(Single Role):簡單的說就是一個事物碼的集合。其中包含了控制事物碼操作的“權限對象”、“權限字段”以及允許的操作及允許的值。用事物碼PFCG維護。單一角色是相對應復合角色而言的。
*
復合角色(Comp. Role):又叫通用角色,即是多個單一角色的集合。復合角色中可以包含多個單一角色,此復合角色包含了這多個單一角色所控制的權限。復合角色還可以維護具體的“權限對象”、“權限字段”以及允許的字段值及字段操作。用事物碼PFCG維護。
*
單一角色和復合角色:單一角色好比“IT部員”,復合角色好比“IT經理”,每個IT部員所操作的權限范圍不同,而IT經理可以具備多有部員的權限,IT經理的權限就是多位IT部員的權限的一個集合,即在IT經理的權限中添加多為IT部員的權限即可。就是將多個單一角色分配在一個復合角色當中,取並集。
*
權限對象(Authorization Object),權限字段(Authorization Field),允許的操作(Activity),允許的值(Field Value)
角色包含了若干權限對象,在透明表AGR_1250中有存儲二者之間的關系;權限對象包含了若干權限字段、允許的操作和允許的值,在透明表 AGR_1251中體現了ROLE/Object/Field/Value之間的關系;有一個特殊的權限對象用來包含了若干事務碼。這個權限對象叫 “S_TCODE”,該權限對象的權限字段叫“TCD”,該字段允許的值(Field Value)存放的就是事務代碼;有一種特殊的權限字段用來表示可以針對該權限對象做哪些操作,是允許創建、修改、顯示、刪除或者其他呢。該權限字段叫 “ACTVT”,該字段允許的值(Field Value)存放的就是允許操作的代碼,01代表創建、02代表修改、03代表顯示等;SAP 系統自帶了若干權限對象、默認控制了若干權限字段(對應到透明表的某些字段)。可以用事務碼SU20來查看系統有哪些權限字段,用SU21來查看系統有哪些默認的權限對象。於是我們知道了事務代碼與權限對象的區別。從權限控制的范疇來看,事務代碼屬於一種特殊的權限對象;一個事務代碼在執行過程中,為了判斷某個ID是否有權限執行此事務代碼,還可能檢查其他若干普通的權限對象。使用SU22來查看某個事務代碼包含了哪些權限對象。在透明表USOBX中,存放了事務碼與權限對象的對應關系。
如果大家理解了上面的概念(不理解也沒關系,因為我也一開始也沒懂),我們開始用實例來講解如何維護一個用戶的權限。
SAP權限設置常用的事物碼:
* SU01:創建用戶
* SU22:查看事物碼中的權限對象
* PFCG:創建角色
* SU53:權限測試
1.創建用戶
事物碼SU01,輸入新建用戶名:SAPMOON_01
2.創建單一角色ZR_SAPMOON_01,事物碼:PFCG。有三種方法:
(1)手工創建
(2)復制創建
(3)繼承創建:輸入要繼承的角色
*繼承與復制的區別:
復制:A復制B,A創建好后與B沒有聯系,A可以自由維護添加事物碼
繼承:A繼承B,B變更后,A也相應變更,A中不能添加事物碼,可以刪除繼承關系后單獨添加。
(4)維護菜單:此處添加允許操作的事物碼,報表或其他功能
(5)維護權限,生產權限參數文件。
這里我們維護的是“菜單”頁中事物所控制的權限字段
維護權限字段值(紅燈變綠的),點擊生成參數文件,保存。
(6)可將單一角色直接分配給用戶,分配用戶,進行用戶比較
(7)保存退出,單一角色ZR_SAPMOON_01創建完畢
3.創建復合角色
(1)創建復合角色ZC_SAPMOON_01,事物碼同樣是PFCG。
(2)復合角色中分配單一角色,不能添加事物碼
(3)點擊“讀菜單”,讀取單一角色的菜單。
(4)將復合角色分配給用戶,用戶比較。
(5)保存退出,創建復合角色成功。
4.SU22:維護事物碼所控制的權限對象及權限字段
(1)SU22,輸入事物碼,F8運行。
(2)左邊為CO01所有可控制的權限對象。兩種狀態:YES、NO
YES:運行CO01時,程序檢查此權限對象,判斷用戶是否可操作。
NO:運行CO01時,程序不檢查此權限字段
(3)維護權限字段檢查狀態及權限字段值。變更后會產生請求號。
5.SU53:權限測試
6.SUIM:權限報表
可以更加各種條件查詢用戶權限信息
SE93 查詢所有TCODE
或者 table: tstc
SE16 display
SUIM 查詢用戶信息的報表們
技術流
http://blog.sina.com.cn/s/blog_7be3b457010145ny.html
SAP常用的TCODE---BASIS
事務碼 描述 ( 中英文 )
SBIT Menu 菜單
SBTA Test background processing 后台處理測試
SBTU Background processing for user 對用戶的后台處理
SM36 Define Background Job 定義后台作業
SM37 Background Job Overview 后台作業概覽
SM39 Job Analysis 作業分析
SM49 Execute external OS commands 執行外部 OS 命令
SM61 Menu 菜單
SM62 Menu 菜單
SM63 Display/Maintain Operating Mode Sets 顯示 / 保持操作方式設置
SM64 Release of an Event 事件的釋放
SM65 Background Processing Analysis Tool 后台處理分析工具
SM67 Job Scheduling 作業調度
SM68 Job Administration 作業管理
SM69 Maintain external OS commands 維護外部 OS 命令
SMX Display Own Jobs 顯示自己的作業
SPBM Monitoring parallel background tasks 監控類似的后台任務
SPBT Test: Parallel background tasks 文本 : 匹配后台任務
DB16 DB system check (trigger/browse) DB system check (trigger/browse)
DB17 DB system check (configure) DB system check (configure)
DB20 No.of table tupels acc. to stat. No.of table tupels acc. to stat.
DB21 Maintenance control table DBSTATC Maintenance control table DBSTATC
RZ01 Job Scheduling Monitor 作業計划監視器
RZ02 Network Graphics for SAP Instances 網絡圖 SAP
RZ04 Maintain SAP Instances 保持 SAP 實例
RZ06 Alerts Thresholds Maintenance 警報門限維護
RZ08 SAP Alert Monitor SAP 報警監視器
RZ12 Maintain RFC server group assignment 維護 RFC 指定服務器組
SM66 Systemwide Work Process Overview 系統工作過程概述
SMLG Maintain Logon Group 維護登錄組
SRZL Menu 菜單
SM02 System Messages 系統消息
SM04 User Overview 用戶概覽
SM13 Display Update Records 顯示更新記錄
SM50 Work Process Overview 工作進程概述
SM51 List of SAP Servers SAP 服務器的清單
SM54 TXCOM maintenance TXCOM 維護
SM55 THOST Maintenance THOST 維持
SM56 Number Range Buffer 數字范圍緩沖區
SMGW Gateway Monitor 網關監控器
ST07 Application monitor 應用程序監視器
AL01 SAP Alert Monitor SAP 報警監視器
AL02 Database alert monitor 數據庫警報監測器
AL03 Operating system alert monitor 操作系統警告監視器
AL04 Monitor call distribution 監視呼叫分配
AL05 Monitor current workload 監視當前的工作負荷
AL06 Performance: Upload/Download 執行 : 上載 / 下裝
AL07 EarlyWatch Report 初期察看報告
AL08 Users Logged On 登錄的用戶
AL09 Data for database expertise 專家數據庫的數據
AL10 Download to Early Watch 下載早觀察
AL11 Display SAP Directories 顯示 SAP 目錄
AL12 Display table buffer (Exp. session) 顯示表緩沖
AL13 Display Shared Memory (Expert mode) 顯示共享內存 ( 輸出方式 )
AL15 Customize SAPOSCOL destination 自定義 SAPOSCOL 目的地
AL16 Local Alert Monitor for Operat.Syst. 操作系統的本地報警監視器
AL17 Remote Alert Monitor f.Operat. Syst. 操作系統的遠程報警監視器
AL18 Local File System Monitor 本地的文件系統監視器
AL19 Remote File System Monitor 遠程文件系統監視器
AL20 EarlyWatch Data Collector List EarlyWatch 數據收集器清單
AL21 ABAP Program analysis ABAP Program analysis
AL22 Dependent objects display Dependent objects display
DB01 Analyze exclusive lockwaits 分析互斥鎖定等待
DB02 Analyze tables and indexes 分析表和索引
DB03 Parameter changes in database 在數據庫中參數改變
DB05 Analysis of a table acc. to index Analysis of a table acc. to index
DB11 Early Watch Profile Maintenance 初期察看描述文件維護
DB12 Overview of Backup Logs 備份日志的概觀
DB13 Database administration calendar 數據庫管理日歷
DB14 Show SAPDBA Action Logs 顯示 SAPDBA 行為記錄
DB15 CCMS - Document archiving CCMS - Document archiving
OS01 LAN check with ping 通過 ping 檢查 LAN
OS02 Operating system configuration 操作系統配置
OS03 O/S Parameter changes O/S 參數更改
OS04 Local System Configuration 本地的系統配置
OS05 Remote System Cconfiguration 遠程系統配置
OS06 Local Operating System Activity 本地的操作系統作業
OS07 Remote Operating System Activity 遠程操作系統活動性
OSS1 Logon to Online Service System 注冊到聯機服務系統
SDBE Explain an SQL statement 匹配碼對象(測試)
ST02 Setups/Tune Buffers 設置 / 調諧緩沖
ST03 Performance,SAP Statistics, Workload 性能 ,SAP 統計 , 工作負荷
ST04 Select DB activities 選定數據庫中的活動
ST05 Trace for SQL, Enqueue, RFC, Memory SQL 跟蹤
ST06 Operating System Monitor 操作系統監視器
ST08 Network Monitor 網絡器
ST09 Network Alert Monitor 網絡敬報器
ST10 Table call statistics 表調用統計
ST4A Database: Shared cursor cache (ST04) Database: Shared cursor cache (ST04)
STAT Local transaction statistics 本地事務統計
STP4 Select DB activities Select DB activities
STUN Menu Performance Monitor 菜單性能監視器
TKOF Turn off Oracle trace 關閉 Oracle 跟蹤
TKON Turn off Oracle trace 關閉 Oracle 跟蹤
TKPR Display trace file 顯示跟蹤文件
TU01 Call Statistics 調用統計
TU02 Parameter changes 參數改變
SP00 Spool and related areas 假脫機及相關區域
SP01 Output Controller 輸出控制
SP02 Display Output Requests 顯示輸出請求
SP03 Spool: Load Formats 假脫機 : 載入格式
SP1T Output Control (Test) 輸出控制(測試)
SPAD Spool Administration 假脫機管理
SPAT Spool Administration (Test) 假脫機管理(測試)
SPCC Spool consistency check 假脫機一致性檢查
SPIC Spool installation check 假脫機安裝檢查
SPTP Text elem. maint. for print formats 用於打印格式的文本元素維護
SP11 TemSe directory TemSe 目錄
SP12 TemSe Administration TemSe 管理
SE92 Maintain System Log Messages 維護系統日志消息
SM20 System Audit Log 系統審計日志
SM21 System Log 系統日志
S001 CASE 工具菜單 CASE 工具菜單
S002 Menu Administration 菜單管理
SDW0 ABAP/4 Development WB Initial Screen ABAP/4 開發工作台初始屏幕
SYST Menu 菜單
SDMO Dynamic Menu (old) 動態菜單 ( 舊 )
SMEN Session Manager Menus 會話管理菜單
SU55 Call the Session Manager menus 調用會話管理菜單
RE_GGREPO1 Test report 1 測試報表 1
RE_GGREPO2 Test report 1 測試報表 1
SU24 Auth. obj. check under transactions 事務中權限對象檢查
SU25 Upgrade Tool for Profile Generator 配置文件生成器的升級工具
SU26 Upgrade tool for Profile Generator 配置文件生成器的升級工具
SUPC Profiles for activity groups 作業組的參數文件
SUPN Number range maint.: PROF_VARIS 編碼范圍維護 : PROF_VARIS
SUPO Maintain org. levels 維護初始級別
SM0 Work Process Overview 工作處理概述
SU02 Maintain Authorization Profiles 維護權限參數文件
SU03 Maintain Authorizations 維護權限
SU10 Mass Changes to User Master Records 對用戶主記錄的大量修改
SU12 Mass Changes to User Master Records 用戶主記錄的大量修改
SU2 Maintain user parameter 維護用戶參數
SU20 Maintain Authorization Fields 維護權限字段
SU21 Maintain Authorization Objects 維護權限對象
SU22 Auth. Object Usage in Transactions 事務中權限對象的用法
SU23 Load Tables in TAUTL 在 TAUTL 中裝入表
SU52 Maintain User Parameters 維護用戶參數
SU53 Display Check Values 顯示檢查值
SU54 Session Manager 會話管理器
SU56 Analyze User Buffer 分析用戶緩沖區
SU80 Archive user change documents 存檔用戶更改文檔
SU81 Archive user password change doc. 歸檔用戶口令更改文檔
SU82 Archive profile documents 檔案參數文件文檔
SU83 Archive authorization docs. 存檔授權文檔
SU84 Read archived user change documents 閱讀已存檔的用戶修改文檔
SU85 Read archived password change doc. 閱讀已存檔的口令修改文檔
SU86 Read profile change documents 讀參數文件更改文檔
SU87 Read authorization change documents 讀授權更改文檔
SU96 Table maint.: Change SUKRIA 表維護:修改 SUKRIA
SU97 Table maint.: Display SUKRIA 表維護:顯示 SUKRIA
SU98 Call report RSUSR008 調用報表 RSUSR008
SU99 Call report RSUSR008 調用報表 RSUSR008
SUIM Call AUTH reporting tree (info sys.) 調用 AUTH 報表樹(信息系統)
SU01 User Maintenance 用戶維護
SU01_NAV User maint. to include in navigation 包含在導航中的用戶維護
SU01D User Display 用戶顯示
SU3 Maintain Users Own Data 維護用戶自己的數據
SE01 Transport Organizer 傳送組織者
SE03 Workbench Organizer: Tools 工作台組織器:工具
SE06 Set Up Workbench Organizer 設置工作台組織器
SE07 Transport System Status Display 傳輸系統狀態顯示
SE09 Workbench Organizer 工作平台組織者
SE10 Customizing Organizer 自定義組織者
SE17 General Table Display 通用表顯示
STDR TADIR consistency check TADIR 一致性檢查
通常basis會使用PFCG做權限管理,時你保存時會產生一個系統外的profile name,
記得SU01時用戶有profile 和role兩欄位嗎?它們的關系如何呢?
首先明白幾個概念.
1.activity
這樣說吧,我們從activity談起,activity是什么意思這個你查下
字典也就知道了,對就是規定可做什么動作,比如說不能吸煙只能喝酒,不能多於2兩,
不對,這是我老婆講的,SAP不是這樣子的,是只能insert, update,display什么的.
這些東西當年德國佬是寫在tobj表中的.
activity 也是可分activity group的.
2.activity category &Authorization group
Role Vs Profile
你看看表T020就知道了,就是什么K,D, A, M什么的.
profile是什么呢?實際上可以理解為所有的authorization data(有很多authorization group--{你可使用OBA7填寫,權限太細也不是好事^_^}和activity組成)的一個集合的名字,通常一個自定義的role產
生一個profile,SAP權限控制是根據profile里的authorization data(objects)來控制的.
role又是什么呢?role只是一個名字而已,然后將profile賦予給它, 比如你SU01建立一個
用戶,我沒有任何role,但是加如SAP_All profile也是可做任何事情.
SAP本身有很多default role & profile.
3.最常用的PFCG->authorizations->change authorization data->
進入后選取selection criteria 可看到所有的authorization object
manually可手工加authorization object,比如你使用某個t-code權限出錯誤,abap使用SU53檢查就
知道缺少哪個authorization objec,然后手工加入就可以.
你選去authorization levels就可by account type再細分權限.
有些甚至直接到表字段.而且你甚至可給一個object分配緩存buffer.
那么SAP是如何做到權限控制的呢,屠夫就用刀小宰一下.
4.關於權限方面的幾個t-code.
(一)Role(角色)相關T-code:
PFAC 標准
PFAC_CHG 改變
PFAC_DEL 刪除
PFAC_DIS 顯示
PFAC_INS 新建
PFAC_STR
PFCG 創建
ROLE_CMP 比較
SUPC 批量建立角色profile
SWUJ 測試
SU03 檢測authorzation data
SU25, SU26 檢查updated profile
(二)建立用戶相關T-code:
SU0
SU01
SU01D
SU01_NAV
SU05
SU50, Su51, SU52
SU1
SU10 批量
SU12 批量
SUCOMP:維護用戶公司地址
SU2 change用戶參數
SUIM 用戶信息系統
用戶組
SUGR:維護
SUGRD:顯示
SUGRD_NAV:還是維護
SUGR_NAV:還是顯示
(三)關於profile&Authoraztion Data
SU02:直接創建profile不用role
SU20:細分Authorization Fields
SU21(SU03):****維護Authorization Objects(TOBJ,USR12).
對於憑證你可細分到:
F_BKPF_BED: Accounting Document: Account Authorization for Customers
F_BKPF_BEK: Accounting Document: Account Authorization for Vendors
F_BKPF_BES: Accounting Document: Account Authorization for G/L Accounts
F_BKPF_BLA: Accounting Document: Authorization for Document Types
F_BKPF_BUK: Accounting Document: Authorization for Company Codes
F_BKPF_BUP: Accounting Document: Authorization for Posting Periods
F_BKPF_GSB: Accounting Document: Authorization for Business Areas
F_BKPF_KOA: Accounting Document: Authorization for Account Types
F_BKPF_VW : Accounting Document: Change Default Values for Doc.Type/PsKy
然后你進去還可細分,這些個東西是save在USR12表中的. 在DB層是UTAB.
對具體transaction code細分:
SU22,SU24
SU53:*** 就是你出錯用來檢查沒有那些authoraztion objects.
SU56:分析authoraztion data buffers.
SU87:用來檢查用戶改變產生的history
SU96,SU97,SU98,SU99:干啥的?
SUPC:批量產生role
DB和logical層:
SUKRI:Transaction Combinations Critical for Security
tables:
TOBJ : All avaiable authorzation objects.(全在此)
USR12: 用戶級authoraztion值
-----------------------------
USR01:主數據
USR02:密碼在此
USR04:授權在此
USR03:User address data
USR05:User Master Parameter ID
USR06:Additional Data per User
USR07:Object/values of last authorization check that failed
USR08:Table for user menu entries
USR09:Entries for user menus (work areas)
USR10:User master authorization profiles
USR11:User Master Texts for Profiles (USR10)
USR12:User master authorization values
USR13:Short Texts for Authorizations
USR14:Surchargeable Language Versions per User
USR15:External User Name
USR16:Values for Variables for User Authorizations
USR20:Date of last user master reorganization
USR21:Assign user name address key
USR22:Logon data without kernel access
USR30:Additional Information for User Menu
USR40:Table for illegal passwords
USR41:當前用戶
USREFUS:
USRBF2
USRBF3
UST04:User Profile在此
UST10C: Composite profiles
UST10S: Single profiles (角色對應的
UST12 : Authorizations..............................