權限管理
在SAP系統(tǒng)中,權限管理是確保數據安全�、保護業(yè)務流程和遵守合規(guī)要求的核心機制���。它不僅涉及用戶訪問控制的基本設置���,而且隨著業(yè)務需求的演變���,權限管理也在不斷地進化以適應更復雜的業(yè)務場景�。
用戶管理
用戶管理是SAP權限系統(tǒng)中最為基本的部分,所有對SAP系統(tǒng)的訪問都始于一個用戶���。創(chuàng)建一個新用戶涉及定義其屬性,包括但不限于用戶ID�����、姓名�����、語言�����、電子郵件地址等。用戶配置可能還包括更高級的設置���,如用戶組成員身份、登錄數據和用戶特定的配置文件�����。
在創(chuàng)建用戶時���,需要遵循特定的命名規(guī)則和維護最佳實踐���。例如�,用戶ID可能由部門縮寫和員工編號組成以保持唯一性和可識別性���。用戶配置文件則定義了用戶的系統(tǒng)訪問限制�,如登錄次數限制、密碼策略等。
角色的定義
在SAP系統(tǒng)中,角色是權限的集合�。將角色分配給用戶�,而不是單獨分配權限���,可以簡化權限的管理過程���。角色定義了用戶可以執(zhí)行的特定業(yè)務任務�����。通過定義角色���,可以更容易地實施職責分離和訪問控制���。
角色的創(chuàng)建涉及指定一個角色名稱���、描述和模板�。模板是已有的角色�����,可以基于該模板創(chuàng)建新角色,也可以從零開始創(chuàng)建一個新角色�����。創(chuàng)建好角色后�,需要將權限對象、事務碼和其他角色等分配給該角色�����。
在角色創(chuàng)建界面中�����,可以為角色添加描述�,選擇模板以及分配權限�。權限的分配可以細化到操作級別的細節(jié),確保角色具有所需但不超出的權限���。
角色創(chuàng)建完成后�����,可以將角色分配給一個或多個用戶。通過這種方式,SAP系統(tǒng)中的用戶可以集中地獲得執(zhí)行其工作所需的權限集合。
權限對象
SAP權限對象是權限管理的基礎構建塊���。一個權限對象代表了一個特定的業(yè)務功能或數據訪問點,如查看特定類型的文檔或執(zhí)行特定的事務。權限對象由對象類(class)和對象編號(number)唯一標識�,通常還會有不同的字段值(fields values)來進一步細化權限控制���。
理解權限對象的構成對于設計有效的權限模型至關重要���。每個權限對象都有一個或多個字段���,這些字段可以有特定的值,或者可以通過值的范圍來定義���。
當用戶執(zhí)行一個操作時,SAP系統(tǒng)將進行權限檢查以確定用戶是否有權執(zhí)行該操作�。這個過程涉及對用戶的角色�����、分配給這些角色的權限對象、以及權限對象的具體字段值進行檢查���。
由于之前講解了一篇權限設置的很細的一個細節(jié)淺析SAP系統(tǒng)的授權機制���,如何在SAP系統(tǒng)精準分配權限?,就想到了���,如果要是自建程序這種,系統(tǒng)里權限能控制到多細呢�����,于是�,以前的一個需求想要控制好某些數據顯示的問題,就可以實現了�����。在SAP系統(tǒng)里權限和系統(tǒng)參數是很復雜的存在�����,就比方前面講到的修改了SAP系統(tǒng)里的這些參數�����,簡單說一下我淺顯的理解,下面就按照之前的需求來實現一下。
實現過程
今天做了一個特別的權限檢查的內容���,就是做一組按照設計好的數據來檢查權限,首先,先創(chuàng)建一個權限檢查的表,并在表里插入一些數據�����,如下圖所示:
下面就要開始從創(chuàng)建權限對象開始�,使分配這個權限的用戶只能操作部門編號(edept)為 ‘10’ 的數據。如果選擇其他數據�,就要給出錯誤提示消息���。
第一步�����、創(chuàng)建自己的權限字段。事務碼:SU20�����,進行權限字段創(chuàng)建���。
第二步、創(chuàng)建自己的權限對象���。事務碼:SU21,進行權限對象創(chuàng)建�。
首先�,創(chuàng)建對象類�,輸入對象類名稱(ZEM1)、文本(FOR TEST)�,點擊“保存”�。
然后�����,找到之前創(chuàng)建的對象類,可以鼠標右鍵創(chuàng)建權限對象。
事務碼:SU02���,創(chuàng)建參數文件,輸入相關信息���,然后激活。
對象輸入:ZEMPOBJ00
權限輸入:ZDEPT�,并雙擊它新建一個權限�����。
具體的權限值(點擊“維護值”)進行維護。
一定要記得激活(很重要)!
該授權對象包含兩個字段���,可以在第一個字段 EMPDEPT中輸入一 般值'10',第二個字段 ACTVT中,在創(chuàng)建(01)�����、更改(02)和顯示(03)之間進行選擇�,也就是說,分配這個參數文件的用戶,只能對 '10' 部門的數據進行01���、02、03操作。也可以設置為“*”這樣任何操作都可以通過���。
事務碼:SU01,進入‘參數文件’選項卡,添加參數文件:ZEMPRF00�,保存后權限即可生效�����,對用戶分配權限還可以通過創(chuàng)建角色的方式實現。
注意:有兩種方式,創(chuàng)建角色分配給用戶�����,或者直接將參數文件分配給用戶�����,角色是從業(yè)務層面的維度來管理權限,但實質上的功能還是由profile 來完成的�。 原來SAP的權限是沒有角色這個概念的���。全部是由profile/object 的方式來實現的���,但這樣的方式要求對權限底層的具體細節(jié)非常了解才行�,嚴重影響的工作效率�,而且不利于只懂業(yè)務的人進行權限管理和設計。 所以SAP后來引入了角色這樣一個概念�����,試圖通過自頂向下的方式讓用戶來管理權限�。通過事務碼:PFCG可以維護角色。
第四步�、創(chuàng)建role將權限分配給用戶
首先�����,事務碼:PFCG 創(chuàng)建角色:ZEMPR00,輸入描述文本���,點擊創(chuàng)建,點擊“權限”選項卡���,參數文件名稱:點擊(系統(tǒng)建議的),點‘更改授權數據’->‘手動�����,輸入授權對象:ZEMPOBJ00,回車,保存,然后指定權限的值�。
然后,進入‘用戶’選項卡���,輸入用戶名為自己的用戶名;記得‘用戶比較'(用戶比較�,完成權限修改后與用戶的權限保持一致)到此為止�,權限的設計全部完成�,下面我們通過一段程序來驗證權限的有效性。
權限列表中有兩個權限�����,一個是系統(tǒng)通過創(chuàng)建角色生成的���,一個是我們手動創(chuàng)建的�。
第五步、創(chuàng)建ABAP程序���,來驗證權限對象的有效性
REPORT ZHAIM_TEST01 NO STANDARD PAGE HEADING.TABLES ZEMP_TEST.DATA: IT_ZEMP TYPE STANDARD TABLE OF ZEMP_TEST, IW_ZEMP TYPE ZEMP_TEST.PARAMETERS P_DEPT TYPE ZEMP_TEST-EDEPT.START-OF-SELECTION.AUTHORITY-CHECK OBJECT 'ZEMPOBJ00' ID 'ZEMPDEPT' FIELD P_DEPT ID 'ACTVT' FIELD '03'."用戶使用程序,想要查詢部門的員工信息���,"通過authority-check object 來進行權限檢查,ID是字段名���,field是要檢查的"'actvt': 01 創(chuàng)建,02更改�,03查詢�,06刪除IF SY-SUBRC <> 0. MESSAGE S001(00) WITH '您沒有權限查看此數據' DISPLAY LIKE 'E'.ELSE. SELECT * FROM ZEMP_TEST INTO TABLE IT_ZEMP WHERE EDEPT = P_DEPT. LOOP AT IT_ZEMP INTO IW_ZEMP. WRITE / IW_ZEMP. ENDLOOP.ENDIF.
在界面輸入數字20�,然后執(zhí)行查看結果:
如果存在刪除操作���,在刪除前,檢查用戶的權限�,可以將actvt的值改為06進行測試���。
actvt的所有值儲存在表TACT中���。
注意:
AUTHORITY-CHECK OBJECT 'ZEMPOBJ00' ID 'ZEMPDEPT' FIELD P_DEPT ID 'ACTVT' FIELD '03'.
sy-subrc
一些重要返回值如下:
0: 用戶權限檢查通過. 4: 用戶權限不足. 8: 參數的數量不正確. 12: 權限對象不存在.
以上就是本篇文章的全部內容�,有什么建議和意見歡迎留言�。
閱讀原文:原文鏈接
點晴模切ERP更多信息:http://moqie.clicksun.cn�,聯(lián)系電話:4001861886
該文章在 2025/4/24 10:03:55 編輯過
400 186 1886
