權限管理
在SAP系統中,權限管理是確保數據安全、保護業務流程和遵守合規要求的核心機制。它不僅涉及用戶訪問控制的基本設置,而且隨著業務需求的演變,權限管理也在不斷地進化以適應更復雜的業務場景�。
用戶管理
用戶管理是SAP權限系統中最為基本的部分����,所有對SAP系統的訪問都始于一個用戶�。創建一個新用戶涉及定義其屬性,包括但不限于用戶ID���、姓名、語言、電子郵件地址等����。用戶配置可能還包括更高級的設置,如用戶組成員身份���、登錄數據和用戶特定的配置文件。
在創建用戶時����,需要遵循特定的命名規則和維護最佳實踐����。例如����,用戶ID可能由部門縮寫和員工編號組成以保持唯一性和可識別性。用戶配置文件則定義了用戶的系統訪問限制����,如登錄次數限制���、密碼策略等��。
角色的定義
在SAP系統中,角色是權限的集合���。將角色分配給用戶����,而不是單獨分配權限�,可以簡化權限的管理過程。角色定義了用戶可以執行的特定業務任務。通過定義角色��,可以更容易地實施職責分離和訪問控制�����。
角色的創建涉及指定一個角色名稱、描述和模板��。模板是已有的角色��,可以基于該模板創建新角色�����,也可以從零開始創建一個新角色。創建好角色后�,需要將權限對象�����、事務碼和其他角色等分配給該角色。
在角色創建界面中�,可以為角色添加描述���,選擇模板以及分配權限���。權限的分配可以細化到操作級別的細節����,確保角色具有所需但不超出的權限���。
角色創建完成后�,可以將角色分配給一個或多個用戶。通過這種方式�,SAP系統中的用戶可以集中地獲得執行其工作所需的權限集合����。
權限對象
SAP權限對象是權限管理的基礎構建塊�。一個權限對象代表了一個特定的業務功能或數據訪問點,如查看特定類型的文檔或執行特定的事務����。權限對象由對象類(class)和對象編號(number)唯一標識,通常還會有不同的字段值(fields values)來進一步細化權限控制。
理解權限對象的構成對于設計有效的權限模型至關重要。每個權限對象都有一個或多個字段,這些字段可以有特定的值,或者可以通過值的范圍來定義����。
當用戶執行一個操作時��,SAP系統將進行權限檢查以確定用戶是否有權執行該操作。這個過程涉及對用戶的角色、分配給這些角色的權限對象��、以及權限對象的具體字段值進行檢查���。
由于之前講解了一篇權限設置的很細的一個細節淺析SAP系統的授權機制����,如何在SAP系統精準分配權限?��,就想到了���,如果要是自建程序這種��,系統里權限能控制到多細呢,于是���,以前的一個需求想要控制好某些數據顯示的問題,就可以實現了�����。在SAP系統里權限和系統參數是很復雜的存在,就比方前面講到的修改了SAP系統里的這些參數�,簡單說一下我淺顯的理解���,下面就按照之前的需求來實現一下���。
實現過程
今天做了一個特別的權限檢查的內容���,就是做一組按照設計好的數據來檢查權限��,首先����,先創建一個權限檢查的表�����,并在表里插入一些數據��,如下圖所示:
下面就要開始從創建權限對象開始,使分配這個權限的用戶只能操作部門編號(edept)為 ‘10’ 的數據。如果選擇其他數據��,就要給出錯誤提示消息����。
第一步、創建自己的權限字段。事務碼:SU20�����,進行權限字段創建��。
第二步����、創建自己的權限對象�。事務碼:SU21���,進行權限對象創建���。
首先���,創建對象類�,輸入對象類名稱(ZEM1)、文本(FOR TEST)����,點擊“保存”�。
然后�,找到之前創建的對象類,可以鼠標右鍵創建權限對象���。
事務碼:SU02,創建參數文件�,輸入相關信息����,然后激活�。
對象輸入:ZEMPOBJ00
權限輸入:ZDEPT,并雙擊它新建一個權限�����。
具體的權限值(點擊“維護值”)進行維護�����。
一定要記得激活(很重要)���!
該授權對象包含兩個字段,可以在第一個字段 EMPDEPT中輸入一 般值'10',第二個字段 ACTVT中����,在創建(01)�、更改(02)和顯示(03)之間進行選擇,也就是說����,分配這個參數文件的用戶�,只能對 '10' 部門的數據進行01�����、02��、03操作。也可以設置為“*”這樣任何操作都可以通過���。
事務碼:SU01,進入‘參數文件’選項卡����,添加參數文件:ZEMPRF00���,保存后權限即可生效��,對用戶分配權限還可以通過創建角色的方式實現。
注意:有兩種方式�����,創建角色分配給用戶�����,或者直接將參數文件分配給用戶,角色是從業務層面的維度來管理權限,但實質上的功能還是由profile 來完成的�。 原來SAP的權限是沒有角色這個概念的��。全部是由profile/object 的方式來實現的,但這樣的方式要求對權限底層的具體細節非常了解才行�����,嚴重影響的工作效率��,而且不利于只懂業務的人進行權限管理和設計�。 所以SAP后來引入了角色這樣一個概念����,試圖通過自頂向下的方式讓用戶來管理權限。通過事務碼:PFCG可以維護角色��。
第四步�、創建role將權限分配給用戶
首先,事務碼:PFCG 創建角色:ZEMPR00,輸入描述文本,點擊創建����,點擊“權限”選項卡���,參數文件名稱:點擊(系統建議的)��,點‘更改授權數據’->‘手動,輸入授權對象:ZEMPOBJ00,回車��,保存���,然后指定權限的值��。
然后���,進入‘用戶’選項卡���,輸入用戶名為自己的用戶名;記得‘用戶比較'(用戶比較,完成權限修改后與用戶的權限保持一致)到此為止,權限的設計全部完成�,下面我們通過一段程序來驗證權限的有效性�����。
權限列表中有兩個權限,一個是系統通過創建角色生成的�,一個是我們手動創建的�����。
第五步��、創建ABAP程序,來驗證權限對象的有效性
REPORT ZHAIM_TEST01 NO STANDARD PAGE HEADING.TABLES ZEMP_TEST.DATA: IT_ZEMP TYPE STANDARD TABLE OF ZEMP_TEST, IW_ZEMP TYPE ZEMP_TEST.PARAMETERS P_DEPT TYPE ZEMP_TEST-EDEPT.START-OF-SELECTION.AUTHORITY-CHECK OBJECT 'ZEMPOBJ00' ID 'ZEMPDEPT' FIELD P_DEPT ID 'ACTVT' FIELD '03'."用戶使用程序,想要查詢部門的員工信息���,"通過authority-check object 來進行權限檢查,ID是字段名,field是要檢查的"'actvt': 01 創建,02更改��,03查詢���,06刪除IF SY-SUBRC <> 0. MESSAGE S001(00) WITH '您沒有權限查看此數據' DISPLAY LIKE 'E'.ELSE. SELECT * FROM ZEMP_TEST INTO TABLE IT_ZEMP WHERE EDEPT = P_DEPT. LOOP AT IT_ZEMP INTO IW_ZEMP. WRITE / IW_ZEMP. ENDLOOP.ENDIF.
如果存在刪除操作���,在刪除前��,檢查用戶的權限�����,可以將actvt的值改為06進行測試�����。
actvt的所有值儲存在表TACT中����。
注意:
AUTHORITY-CHECK OBJECT 'ZEMPOBJ00' ID 'ZEMPDEPT' FIELD P_DEPT ID 'ACTVT' FIELD '03'.
sy-subrc
一些重要返回值如下:
0: 用戶權限檢查通過. 4: 用戶權限不足. 8: 參數的數量不正確. 12: 權限對象不存在.
以上就是本篇文章的全部內容����,有什么建議和意見歡迎留言。
閱讀原文:原文鏈接
點晴模切ERP更多信息:http://moqie.clicksun.cn�,聯系電話:4001861886
該文章在 2025/4/24 10:03:55 編輯過
400 186 1886
