SAP权限概念%2B用户维护%2B角色设计及权限测试_MZW_20100310

SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310 一、 权限概念介绍  用户主数据（user master record）：在 R3 系统中，对于每个 client 中的每个用户，系统 都会在对应的 client 内生产一个用户主数据。用户主数据可以包括多个 profile，每个 profile 可以包含多个权限，每个权限限定了用户可以使用哪些特定的 T-Code、报表或 者数据。对于每个用户请求的操作，系统都会进行一次权限检查，以检查改用户是否有 执行该操作的权限。  角色（role）：角色是一个中间产物，因为它并不对权限检查起直接作用，权限检查看 的是参数文件的内容。但角色和权限密不可分，角色会把该角色所包含的权限自动转化 为一个或多个参数文件，而我们通过修改角色进而达到修改参数文件的目的。在实际使 用中，我们会先把 T-Code 分配给角色，然后角色会自动带出这些 T-Code 所涉及的权限 对象，然后我们对这些权限对象进行赋值，形成具体一个个权限，最后将所有这些权限 打包，生产一个参数文件。  参数文件（profile）：每个参数文件里写入了多个授权对象以及授权对象下的权限，用 来控制每个用户实际的操作许可。  授权对象（Authorization object）: 授权对象是建立权限的 模板 个人简介word模板免费下载关于员工迟到处罚通告模板康奈尔office模板下载康奈尔 笔记本 模板 下载软件方案模板免费下载 ，它限定了每个权限有 哪些权限字段。授权对象就是一个权限的结构。  权限（Authorization）：每个权限都是它所对应的授权对象的一个实例。它为该授权对 象的每个权限字段提供了具体的值。  权限类（Object class）：将同一类的授权对象进行划分，形成权限类。  权限字段（Authorization field）:每个权限对象都会对应 1 个到 10 个左右的权限字段， 权限字读用来控制用户具体可以对哪些对象进行哪些操作。 图解各概念间的关系： 应用举例  每个用户会有数个参数文件来控制权限，但在实际中我们是通过创建角色来创建适合我 们应用的参数文件，所以，一个用户至少要有一个角色，而这个角色至少会自动生成 1 到 N 个参数文件，视这个角色所包含的权限多少而定。 E-Mail\QQ\MSN:mengzhewei@hotmail.com 1 SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310  而这个角色对应的参数文件是 T-Q1970004  每个角色包含了允许使用的TCODE和这些TCODE自动带出来的授权对象和一些默认 的权限值，如下图： E-Mail\QQ\MSN:mengzhewei@hotmail.com 2 SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310  下图展示了该角色所包含的 TCODE 所涉及的权限类和权限值：  由于结构很庞大，所以我们只点开了一部分用来展示：  根据图例，我们拿权限类： “基本：管理（BC_A）”下的授权对象“存档（S_ARCHIVE）” 来说明(S_ARCHIVE是在角色中加入TCODE SM36和 SM37后自动带出来的授权对象)： E-Mail\QQ\MSN:mengzhewei@hotmail.com 3 SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310 在上图中，我们看到授权对象“存档（S_ARCHIVE）”的结构是由三个权限字段构成， 分别是： 作业（ACTVT） 应用区域（APPLIC） 存档对象（ARCH_OBJ） 这个授权对象下面有 2个权限，分别是 T-Q197000400 和 T-Q197000401，所以该授 权对象实际对应的权限应该是 T-Q197000400 加 T-Q197000401，T-Q197000400 表示对所 有应用区域的所有存档对象有可读的操作，T-Q197000401 表示所有应用区域的所有存档 对象有可写的操作。那么上图给我们限定的权限是对所有应用区域的所有存档对象有可 读可写的操作。  最后角色会自动把这些权限转化到一个或者数个参数文件中，以供权限检查，在参 数文件 T-Q1970004 中会有相应的一行来表示我们角色中的权限，如下图： 当我们使用该角色运行 TCODE SM36 时，一旦我们做到归档的操作，系统就会读取 profile T-Q1970004,察看我们是否对我们需要操作的归档对象有合适的操作权限。 二、 用户维护  创建用户： 输入事务代码：SU01，回车，在用户栏里输入需要创建的 ID，点击 ： E-Mail\QQ\MSN:mengzhewei@hotmail.com 4 SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310 在地址页签中，输入标题、姓名、联系电话、再点击建筑物： 选择国家： E-Mail\QQ\MSN:mengzhewei@hotmail.com 5 SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310 点击“登录数据”页签，设置初始密码，还可以设置该用户是否为激活状态： 在“角色”页签中，选择需要添加的角色： E-Mail\QQ\MSN:mengzhewei@hotmail.com 6 SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310 在“组”页签中，选择所对应的组： 维护各页签数据后，点击 保存，该用户创建完毕； 在用户维护初始屏幕，输入已创建的用户 ID 后，点击 可以修改用户的信息； 在用户维护初始屏幕，输入已创建的用户 ID 后，点击 可以显示用户的信息；  删除用户： 如果需要删除用户，用户事务代码：SU01 进去，在用户初始屏幕中输入要删除的用户 ID， 点击 ，出现如下图，点击“是”即可删除。批量删除可以使用 SU10 进行操作。 E-Mail\QQ\MSN:mengzhewei@hotmail.com 7 SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310  修改密码： 如果需要修改用户密码，用事务代码：SU01 进入，在用户维护初始屏幕输入用户 ID，点击 ，出现如下界面，连续两次输入新密码，点击 即可更改用户密码。（注：重置用户 密码可以将用户从不激活状态转换为激活状态）  解锁用户： 如果用户被锁，用事务代码：SU01 进去，在用户维护初始屏幕中输入用户 ID，点击 ， 出现如下界面，点击 解锁。  批量维护用户： 用户事务代码：SU10 进入系统中，出现如下界面,分别输入需要创建的用户 ID，再选中需 要创建的 ID，最后点击创建。 E-Mail\QQ\MSN:mengzhewei@hotmail.com 8 SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310 点击创建进去之后，选择“登录数据”页签，填写用户组，设置用户的有效周期： 选择“角色”页签，填写相应的角色： E-Mail\QQ\MSN:mengzhewei@hotmail.com 9 SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310 维护完成点击 保存，选择“是”： 需要修改、删除、解锁用户，用事务代码：SU01 进去，点击 、 、 进行维护。  查看用户信息： 在用户维护时，需要查看系统中用户、角色、权限、参数文件、等一些状态信息，可以用事 务代码：SUIM 进行查询： E-Mail\QQ\MSN:mengzhewei@hotmail.com 10 SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310 比如要查看用户的修改记录，可点击 ： 输入需要查询的用户 ID，点击 ： E-Mail\QQ\MSN:mengzhewei@hotmail.com 11 SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310 执行后，点击修改文档： 用户修改信息： E-Mail\QQ\MSN:mengzhewei@hotmail.com 12 SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310  导出用户及其本地角色对应表： 当需要导出用户及其本地角色对应表时，可以执行事务代码：SE16,输入表 agr_users,再点击 图标 ： 输入用户名，清除最大命中数量，点击 执行： E-Mail\QQ\MSN:mengzhewei@hotmail.com 13 SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310 选中角色，在标题栏“编辑”-“下载”： 三、 角色设计  创建通用角色： 使用事务代码:PFCG 进入系统，输入角色名称（Role），点击 创建。 E-Mail\QQ\MSN:mengzhewei@hotmail.com 14 SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310 点击创建角色之后，输入角色描述，点击“菜单”页签： 点击菜单后，选择保存，然后输入需要添加的事务代码，再点击分配交易： E-Mail\QQ\MSN:mengzhewei@hotmail.com 15 SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310 点击“权限”页签，选择更改授权数据： 维护角色中组织级别的值，保存： E-Mail\QQ\MSN:mengzhewei@hotmail.com 16 SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310 选择生成参数文件按钮，点击生成： 为参数文件分配参数文件名称，保存退出，通用角色创建完毕： E-Mail\QQ\MSN:mengzhewei@hotmail.com 17 SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310  创建本地角色： 使用事务代码：PFCG 进入系统，通过继承通用角色，然后再根据提交的本地角色设计，对 相应的组织级别、权限对象进行赋值，完成之后生产参数文件。 选择更改授权数据： E-Mail\QQ\MSN:mengzhewei@hotmail.com 18 SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310 维护角色中组织级别的值，点击保存： 生成参数文件，保存退出，本地角色创建完毕： E-Mail\QQ\MSN:mengzhewei@hotmail.com 19 SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310  更改角色： 使用事务代码:PFCG，选择修改角色，点击 修改，然后选择“权限”页签，点击“更改 授权数据”，然后对需要更改的值进行维护，重新生成参数文件。  删除角色： 选择需要删除的角色，点击删除： E-Mail\QQ\MSN:mengzhewei@hotmail.com 20 SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310  角色的传输： 使用 CR 进行传输，选择 Utilities-大量传输，填写需要传输的角色名称，执行： 创建一个请求，然后输入需要传输的描述，再安装传输流程，选择要传到的目标系统，如果 这些角色在源系统中已经生成参数文件，传输完成后，传入目标系统的角色无需再进行参数 文件的生成。 E-Mail\QQ\MSN:mengzhewei@hotmail.com 21 SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310  角色的上传下载： 如果有大量的角色需要进行传输的时候，CR 在释放的时候有可能会报一个 ABAP 运行超时 的错误，这时我们可以用上传下载的 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 来传输大量的角色。 角色的下载： 在源系统中使用事务代码:PFCG，然后选择 Utilities-成批下载，再选择需要下载的角色，点 击执行： 选择一个下载路径，文件类型一般保存为 TXT 格式： E-Mail\QQ\MSN:mengzhewei@hotmail.com 22 SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310 角色的上传： 登录到目标系统，使用事务代码：PFCG，然后选择角色-上载，选择要上传的文件。上载之 前系统会提示目标系统中已经存在的角色，选择继续，会覆盖掉系统中已经存在的、上载 文件中的角色： 注意：上载的角色必须进行参数文件的生成，或者该角色在系统中不可用。  添加用户角色： 手工给用户添加角色，使用事务代码：SU01，输入用户点击修改角色： E-Mail\QQ\MSN:mengzhewei@hotmail.com 23 SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310 加入需要添加的角色，点击保存即可： 注：对于角色或用户量过大，可以通过 ECATT 进行角色的添加操作  删除用户角色： 删除单个用户的角色： 使用事务代码 SU01，输入用户名，点击修改角色，找到需要删除的角色直接删除即可。 E-Mail\QQ\MSN:mengzhewei@hotmail.com 24 SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310 批量删除用户角色： 使用事务代码：SU10,输入要删除角色的用户，点击修改： 选择“参数文件”页签，然后选中“删除用户”： E-Mail\QQ\MSN:mengzhewei@hotmail.com 25 SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310 然后再选择“角色”页签，然后选中“删除用户”。目的是让参数文件和角色同步删除，否 则操作不成功。 四、 权限测试 权限测试步骤： 1.使用事务代码：PFCG 进入系统，首先选择需要测试的角色，然后点击 复制，再修改复 制过来的角色，最好点击复制所有。 E-Mail\QQ\MSN:mengzhewei@hotmail.com 26 SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310 2.复制完角色后，首先要生产参数文件。 3.选择“权限”页签，点击更改授权数据。 E-Mail\QQ\MSN:mengzhewei@hotmail.com 27 SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310 4.点击 生成参数文件，选择生成。 5.确认生产参数文件的文件名。 E-Mail\QQ\MSN:mengzhewei@hotmail.com 28 SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310 6.确认完参数文件后，点击返回，“权限”页签变为绿色。 7.选择“用户”页签，添加需要增加的角色的用户，点击 ，再点击 完成比较。 E-Mail\QQ\MSN:mengzhewei@hotmail.com 29 SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310 8.比较完用户后，点击保存退出。 9.至此，需要测试角色已经分配给测试的用户，然后开始测试业务，测试中发现权限缺失， 可以运行事务代码：SU53,检查缺失哪些权限，然后进行添加。 E-Mail\QQ\MSN:mengzhewei@hotmail.com 30 SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310 10.发现缺失权限，通过事务代码：PFCG，选择修改参数文件。 11.在实用程序中，选择显示技术名称。 E-Mail\QQ\MSN:mengzhewei@hotmail.com 31 SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310 12.打开技术名称后，根据 SU53 跟踪的权限类，找到缺失的权限对象，然后复制权限。 13.两颗权限树 E-Mail\QQ\MSN:mengzhewei@hotmail.com 32 SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310 14.根据 SU53 跟踪缺失的权限对象值，进行添加。 15.添加后点击保存，再点击 ，生成参数文件。 E-Mail\QQ\MSN:mengzhewei@hotmail.com 33 SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310 16.生产参数文件后，退出权限修改界面，进入用户维护界面，进行用户比较。 17.修改完成后，继续测试业务，发现缺失权限，按照上述方法进行修改、测试。当全部业 务测试完毕，需将测试用户删除，然后再比较用户一下，保存，至此，权限测试全部完成。 E-Mail\QQ\MSN:mengzhewei@hotmail.com 34 SAP 权限概念 用户维护 角色设计及权限测试_MZW_20100310 E-Mail\QQ\MSN:mengzhewei@hotmail.com 35