SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310
一、 权限概念介绍
用户主数据(user master record):在 R3 系统中,对于每个 client 中的每个用户,系统
都会在对应的 client 内生产一个用户主数据。用户主数据可以包括多个 profile,每个
profile 可以包含多个权限,每个权限限定了用户可以使用哪些特定的 T-Code、报表或
者数据。对于每个用户请求的操作,系统都会进行一次权限检查,以检查改用户是否有
执行该操作的权限。
角色(role):角色是一个中间产物,因为它并不对权限检查起直接作用,权限检查看
的是参数文件的内容。但角色和权限密不可分,角色会把该角色所包含的权限自动转化
为一个或多个参数文件,而我们通过修改角色进而达到修改参数文件的目的。在实际使
用中,我们会先把 T-Code 分配给角色,然后角色会自动带出这些 T-Code 所涉及的权限
对象,然后我们对这些权限对象进行赋值,形成具体一个个权限,最后将所有这些权限
打包,生产一个参数文件。
参数文件(profile):每个参数文件里写入了多个授权对象以及授权对象下的权限,用
来控制每个用户实际的操作许可。
授权对象(Authorization object): 授权对象是建立权限的
模板
个人简介word模板免费下载关于员工迟到处罚通告模板康奈尔office模板下载康奈尔 笔记本 模板 下载软件方案模板免费下载
,它限定了每个权限有
哪些权限字段。授权对象就是一个权限的结构。
权限(Authorization):每个权限都是它所对应的授权对象的一个实例。它为该授权对
象的每个权限字段提供了具体的值。
权限类(Object class):将同一类的授权对象进行划分,形成权限类。
权限字段(Authorization field):每个权限对象都会对应 1 个到 10 个左右的权限字段,
权限字读用来控制用户具体可以对哪些对象进行哪些操作。
图解各概念间的关系:
应用举例
每个用户会有数个参数文件来控制权限,但在实际中我们是通过创建角色来创建适合我
们应用的参数文件,所以,一个用户至少要有一个角色,而这个角色至少会自动生成 1
到 N 个参数文件,视这个角色所包含的权限多少而定。
E-Mail\QQ\MSN:mengzhewei@hotmail.com 1
SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310
而这个角色对应的参数文件是 T-Q1970004
每个角色包含了允许使用的TCODE和这些TCODE自动带出来的授权对象和一些默认
的权限值,如下图:
E-Mail\QQ\MSN:mengzhewei@hotmail.com 2
SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310
下图展示了该角色所包含的 TCODE 所涉及的权限类和权限值:
由于结构很庞大,所以我们只点开了一部分用来展示:
根据图例,我们拿权限类: “基本:管理(BC_A)”下的授权对象“存档(S_ARCHIVE)”
来说明(S_ARCHIVE是在角色中加入TCODE SM36和 SM37后自动带出来的授权对象):
E-Mail\QQ\MSN:mengzhewei@hotmail.com 3
SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310
在上图中,我们看到授权对象“存档(S_ARCHIVE)”的结构是由三个权限字段构成,
分别是:
作业(ACTVT)
应用区域(APPLIC)
存档对象(ARCH_OBJ)
这个授权对象下面有 2个权限,分别是 T-Q197000400 和 T-Q197000401,所以该授
权对象实际对应的权限应该是 T-Q197000400 加 T-Q197000401,T-Q197000400 表示对所
有应用区域的所有存档对象有可读的操作,T-Q197000401 表示所有应用区域的所有存档
对象有可写的操作。那么上图给我们限定的权限是对所有应用区域的所有存档对象有可
读可写的操作。
最后角色会自动把这些权限转化到一个或者数个参数文件中,以供权限检查,在参
数文件 T-Q1970004 中会有相应的一行来表示我们角色中的权限,如下图:
当我们使用该角色运行 TCODE SM36 时,一旦我们做到归档的操作,系统就会读取
profile T-Q1970004,察看我们是否对我们需要操作的归档对象有合适的操作权限。
二、 用户维护
创建用户:
输入事务代码:SU01,回车,在用户栏里输入需要创建的 ID,点击 :
E-Mail\QQ\MSN:mengzhewei@hotmail.com 4
SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310
在地址页签中,输入标题、姓名、联系电话、再点击建筑物:
选择国家:
E-Mail\QQ\MSN:mengzhewei@hotmail.com 5
SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310
点击“登录数据”页签,设置初始密码,还可以设置该用户是否为激活状态:
在“角色”页签中,选择需要添加的角色:
E-Mail\QQ\MSN:mengzhewei@hotmail.com 6
SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310
在“组”页签中,选择所对应的组:
维护各页签数据后,点击 保存,该用户创建完毕;
在用户维护初始屏幕,输入已创建的用户 ID 后,点击 可以修改用户的信息;
在用户维护初始屏幕,输入已创建的用户 ID 后,点击 可以显示用户的信息;
删除用户:
如果需要删除用户,用户事务代码:SU01 进去,在用户初始屏幕中输入要删除的用户 ID,
点击 ,出现如下图,点击“是”即可删除。批量删除可以使用 SU10 进行操作。
E-Mail\QQ\MSN:mengzhewei@hotmail.com 7
SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310
修改密码:
如果需要修改用户密码,用事务代码:SU01 进入,在用户维护初始屏幕输入用户 ID,点击
,出现如下界面,连续两次输入新密码,点击 即可更改用户密码。(注:重置用户
密码可以将用户从不激活状态转换为激活状态)
解锁用户:
如果用户被锁,用事务代码:SU01 进去,在用户维护初始屏幕中输入用户 ID,点击 ,
出现如下界面,点击 解锁。
批量维护用户:
用户事务代码:SU10 进入系统中,出现如下界面,分别输入需要创建的用户 ID,再选中需
要创建的 ID,最后点击创建。
E-Mail\QQ\MSN:mengzhewei@hotmail.com 8
SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310
点击创建进去之后,选择“登录数据”页签,填写用户组,设置用户的有效周期:
选择“角色”页签,填写相应的角色:
E-Mail\QQ\MSN:mengzhewei@hotmail.com 9
SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310
维护完成点击 保存,选择“是”:
需要修改、删除、解锁用户,用事务代码:SU01 进去,点击 、 、 进行维护。
查看用户信息:
在用户维护时,需要查看系统中用户、角色、权限、参数文件、等一些状态信息,可以用事
务代码:SUIM 进行查询:
E-Mail\QQ\MSN:mengzhewei@hotmail.com 10
SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310
比如要查看用户的修改记录,可点击 :
输入需要查询的用户 ID,点击 :
E-Mail\QQ\MSN:mengzhewei@hotmail.com 11
SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310
执行后,点击修改文档:
用户修改信息:
E-Mail\QQ\MSN:mengzhewei@hotmail.com 12
SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310
导出用户及其本地角色对应表:
当需要导出用户及其本地角色对应表时,可以执行事务代码:SE16,输入表 agr_users,再点击
图标 :
输入用户名,清除最大命中数量,点击 执行:
E-Mail\QQ\MSN:mengzhewei@hotmail.com 13
SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310
选中角色,在标题栏“编辑”-“下载”:
三、 角色设计
创建通用角色:
使用事务代码:PFCG 进入系统,输入角色名称(Role),点击 创建。
E-Mail\QQ\MSN:mengzhewei@hotmail.com 14
SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310
点击创建角色之后,输入角色描述,点击“菜单”页签:
点击菜单后,选择保存,然后输入需要添加的事务代码,再点击分配交易:
E-Mail\QQ\MSN:mengzhewei@hotmail.com 15
SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310
点击“权限”页签,选择更改授权数据:
维护角色中组织级别的值,保存:
E-Mail\QQ\MSN:mengzhewei@hotmail.com 16
SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310
选择生成参数文件按钮,点击生成:
为参数文件分配参数文件名称,保存退出,通用角色创建完毕:
E-Mail\QQ\MSN:mengzhewei@hotmail.com 17
SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310
创建本地角色:
使用事务代码:PFCG 进入系统,通过继承通用角色,然后再根据提交的本地角色设计,对
相应的组织级别、权限对象进行赋值,完成之后生产参数文件。
选择更改授权数据:
E-Mail\QQ\MSN:mengzhewei@hotmail.com 18
SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310
维护角色中组织级别的值,点击保存:
生成参数文件,保存退出,本地角色创建完毕:
E-Mail\QQ\MSN:mengzhewei@hotmail.com 19
SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310
更改角色:
使用事务代码:PFCG,选择修改角色,点击 修改,然后选择“权限”页签,点击“更改
授权数据”,然后对需要更改的值进行维护,重新生成参数文件。
删除角色:
选择需要删除的角色,点击删除:
E-Mail\QQ\MSN:mengzhewei@hotmail.com 20
SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310
角色的传输:
使用 CR 进行传输,选择 Utilities-大量传输,填写需要传输的角色名称,执行:
创建一个请求,然后输入需要传输的描述,再安装传输流程,选择要传到的目标系统,如果
这些角色在源系统中已经生成参数文件,传输完成后,传入目标系统的角色无需再进行参数
文件的生成。
E-Mail\QQ\MSN:mengzhewei@hotmail.com 21
SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310
角色的上传下载:
如果有大量的角色需要进行传输的时候,CR 在释放的时候有可能会报一个 ABAP 运行超时
的错误,这时我们可以用上传下载的
方法
快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载
来传输大量的角色。
角色的下载:
在源系统中使用事务代码:PFCG,然后选择 Utilities-成批下载,再选择需要下载的角色,点
击执行:
选择一个下载路径,文件类型一般保存为 TXT 格式:
E-Mail\QQ\MSN:mengzhewei@hotmail.com 22
SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310
角色的上传:
登录到目标系统,使用事务代码:PFCG,然后选择角色-上载,选择要上传的文件。上载之
前系统会提示目标系统中已经存在的角色,选择继续,会覆盖掉系统中已经存在的、上载
文件中的角色:
注意:上载的角色必须进行参数文件的生成,或者该角色在系统中不可用。
添加用户角色:
手工给用户添加角色,使用事务代码:SU01,输入用户点击修改角色:
E-Mail\QQ\MSN:mengzhewei@hotmail.com 23
SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310
加入需要添加的角色,点击保存即可:
注:对于角色或用户量过大,可以通过 ECATT 进行角色的添加操作
删除用户角色:
删除单个用户的角色:
使用事务代码 SU01,输入用户名,点击修改角色,找到需要删除的角色直接删除即可。
E-Mail\QQ\MSN:mengzhewei@hotmail.com 24
SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310
批量删除用户角色:
使用事务代码:SU10,输入要删除角色的用户,点击修改:
选择“参数文件”页签,然后选中“删除用户”:
E-Mail\QQ\MSN:mengzhewei@hotmail.com 25
SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310
然后再选择“角色”页签,然后选中“删除用户”。目的是让参数文件和角色同步删除,否
则操作不成功。
四、 权限测试
权限测试步骤:
1.使用事务代码:PFCG 进入系统,首先选择需要测试的角色,然后点击 复制,再修改复
制过来的角色,最好点击复制所有。
E-Mail\QQ\MSN:mengzhewei@hotmail.com 26
SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310
2.复制完角色后,首先要生产参数文件。
3.选择“权限”页签,点击更改授权数据。
E-Mail\QQ\MSN:mengzhewei@hotmail.com 27
SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310
4.点击 生成参数文件,选择生成。
5.确认生产参数文件的文件名。
E-Mail\QQ\MSN:mengzhewei@hotmail.com 28
SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310
6.确认完参数文件后,点击返回,“权限”页签变为绿色。
7.选择“用户”页签,添加需要增加的角色的用户,点击 ,再点击
完成比较。
E-Mail\QQ\MSN:mengzhewei@hotmail.com 29
SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310
8.比较完用户后,点击保存退出。
9.至此,需要测试角色已经分配给测试的用户,然后开始测试业务,测试中发现权限缺失,
可以运行事务代码:SU53,检查缺失哪些权限,然后进行添加。
E-Mail\QQ\MSN:mengzhewei@hotmail.com 30
SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310
10.发现缺失权限,通过事务代码:PFCG,选择修改参数文件。
11.在实用程序中,选择显示技术名称。
E-Mail\QQ\MSN:mengzhewei@hotmail.com 31
SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310
12.打开技术名称后,根据 SU53 跟踪的权限类,找到缺失的权限对象,然后复制权限。
13.两颗权限树
E-Mail\QQ\MSN:mengzhewei@hotmail.com 32
SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310
14.根据 SU53 跟踪缺失的权限对象值,进行添加。
15.添加后点击保存,再点击 ,生成参数文件。
E-Mail\QQ\MSN:mengzhewei@hotmail.com 33
SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310
16.生产参数文件后,退出权限修改界面,进入用户维护界面,进行用户比较。
17.修改完成后,继续测试业务,发现缺失权限,按照上述方法进行修改、测试。当全部业
务测试完毕,需将测试用户删除,然后再比较用户一下,保存,至此,权限测试全部完成。
E-Mail\QQ\MSN:mengzhewei@hotmail.com 34
SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310
E-Mail\QQ\MSN:mengzhewei@hotmail.com 35