`
wbl313
  • 浏览: 31072 次
  • 性别: Icon_minigender_1
  • 来自: 银河系
最近访客 更多访客>>
社区版块
存档分类
最新评论

SAP进阶:再论SAP权限

    博客分类:
  • SAP
 
阅读更多
网上有不少关于权限的文章,多是转来转去,COPY的台湾某个人N年前的PPT。这里用平实的语言另启一个版本。

直观的说,权限就是“某人能干某事”和“某人不能干某事”之合。在SAP系统中,用事务码(也称交易代码、或者TCODE、或者Transaction Code)表示一个用户能干的事情。比如MM01这个TCODE是用来维护物料数据的、MIGO是用来收货的、FS00是用来维护会计科目的等。

  用SU01新建一个ID时,默认的权限是空白,即这个新建的ID不能做任何事情,不能使用任何事务代码。这样只需要为相应的ID赋上相应的TCODE,即可实现“某人能干某事”了,其补集,则是“某人不能干的某些事”。

  但是我们不能直接在SU01里面给某个ID赋上TCODE,要通过ROLE中转一下。即:一堆TCODE组成了一个ROLE,然后把这个ROLE分给某个ID,然后这个ID就得到一堆TCODE了。

  上面这些,仅仅是SAP权限控制的初级概念,要理解SAP权限控制的全部,必须还要明白下面的概念。

  1、角色(ROLE)、通用角色(Common Role)、本地角色(Local Role)

  上面讲了,角色,即ROLE,是一堆TCODE的集合,当然还包含有TCODE必备的“权限对象”、“权限字段”、“允许的操作”及“允许的值”等。我们使用PFCG来维护角色。

  为了系统的测试与SAP实施项目的阶段性需要,进一步将角色分为“通用角色”和“本地角色”。

  举个例子便于理解:通用角色好比“生产订单制单员”,本地角色对应就是“长城国际组装一分厂生产订单制单员”。所以,本地角色较之通用角色的区别就是,在同样的操作权限(事务代码们)情况下,前者多了具体的限制值。这个限制值可能是组织架构限制,也可能是其他业务的限制。如,一分厂的制单员不能维护二分厂的制单员;一分厂的制单员甲只能维护类型为A的单据,而不能维护类型为B的单据,诸如此类。

  具体请看下面的概念。

  2、权限对象(Authorization Object)、权限字段(Authorization Field)、允许的操作(Activity)、允许的值(Field Value)

  上文粗略说了构成ROLE的是若干TCODE。其实,在ROLE和TCODE之间,还有一个中间概念“权限对象”:

  角色包含了若干权限对象,在透明表AGR_1250中有存储二者之间的关系;

  权限对象包含了若干权限字段、允许的操作和允许的值,在透明表AGR_1251中体现了ROLE/Object/Field/Value之间的关系;

  有一个特殊的权限对象用来包含了若干事务码。这个权限对象叫“S_TCODE”,该权限对象的权限字段叫“TCD”,该字段允许的值(Field Value)存放的就是事务代码;

  有一种特殊的权限字段用来表示可以针对该权限对象做哪些操作,是允许创建、修改、显示、删除或者其他呢。该权限字段叫“ACTVT”,该字段允许的值(Field Value)存放的就是允许操作的代码,01代表创建、02代表修改、03代表显示等;

  SAP的权限控制是控制到字段级的,换句话说,其权限控制机制可以检查你是否有权限维护某张透明表的某一个字段。

  SAP系统自带了若干权限对象、默认控制了若干权限字段(对应到透明表的某些字段)。可以用事务码SU20来查看系统有哪些权限字段,用SU21来查看系统有哪些默认的权限对象。

  于是我们知道了事务代码与权限对象的区别。从权限控制的范畴来看,事务代码属于一种特殊的权限对象;一个事务代码在执行过程中,为了判断某个ID是否有权限执行此事务代码,还可能检查其他若干普通的权限对象。使用SU22来查看某个事务代码包含了哪些权限对象。在透明表USOBX中,存放了事务码与权限对象的对应关系。

  3、自定义权限对象

  上文所说的系统自带权限对象与权限字段仅能满足有限的需要,其权限审核的逻辑也是系统硬编码了的,我们能做的只是是否启用某项权限对象的检查(使用SU22)。如果需要自定义,通过SU20、SU21定义即可。调用的时候在程序中加入类似代码:

  AUTHORITY-CHECK OBJECT 'Z_VKORG' ID 'VKORG' FIELD 'REC_VKORG-VKORG'.
  IF SY-SUBRC <> 0.
  MESSAGE 'No Authorization!' TYPE 'E'.
  ENDIF.

  结语:

  本文仅对系统本身做了技术性叙述,并未结合业务实际,但是我们有勾勒出了一个大致的权限矩阵,纵向是操作人(ID),横向是某些权限对象,权限对象再细分成若干事务代码、允许动作、权限字段及其允许的值等。

  而实际业务中是否需要将权限划分的如此细致,完全取决于某领导的喜好、跳不过的律法、和企业内部的规章制度。



分享到:
评论

相关推荐

    sap进阶系列32第一篇财务总览之全面预算管理1.pdf

    SAP 进阶系列 32 第一篇财务总览之全面预算管理 1 本文主要介绍 SAP 进阶系列中的全面预算管理模块,该模块是公司总部战略管理(SEM)的主要组件之一。全面预算管理也称为业务计划和模拟(BPS),是一种架构在业务...

    100小时学会SAP客户端安装及登陆步骤.rar

    100小时的学习计划可能涵盖从基础操作到进阶技巧的全面内容,包括SAP GUI的个性化设置、常用交易代码的使用、数据查询和分析、错误排查等。此外,还可能涉及到SAP的最佳实践、安全管理和权限控制等知识。 总之,SAP...

    sap入门资料适用于初学者

    SAP,全称为Systems, Applications...通过深入学习上述知识点,初学者可以建立起对SAP系统的基本理解,并为后续的进阶学习打下坚实基础。在实践中不断探索和应用,将有助于快速提升SAP技能,从而在企业中发挥关键作用。

    入门培训SAP操作手册

    《入门培训SAP操作手册》是一...随着学习的深入,你将逐渐具备独立处理日常业务的能力,并为进一步的SAP进阶学习打下坚实基础。记住,实践是掌握任何技能的关键,因此,多动手操作、多尝试,是成为SAP高手的不二法门。

    SAP基础操作培训手册

    通过上述内容的学习,初学者可以系统地了解SAP的基础操作和一些进阶技巧,从而更好地利用SAP系统提高工作效率。需要注意的是,实际操作过程中可能会遇到更多具体问题,建议结合实际工作场景灵活运用所学知识,并参考...

    sap bo 水晶易表案例和经典教程

    5. **报表发布与权限管理**:在SAP BO平台上,用户可以将水晶报表发布到Web Intelligence、Crystal Dashboard等组件,同时学习如何设置用户访问权限和报告订阅。 6. **项目案例**:压缩包中的项目实例可能涵盖了...

    SAP HANA Studio开发人员手册.pdf

    "Getting Started"章节则详细列出了开始开发前的准备工作,可能包括安装SAP HANA Studio,设置开发环境,获取SAP HANA访问权限,以及理解SAP HANA的开发工具和工作流程。 总的来说,这份SAP HANA Developer Guide是...

    sap开发者指导--一二.pdf

    作者AnBoShi分享了个人在SAP开发与维护的经验,整理了从基础到进阶的各个知识点,以实例为基础,帮助读者系统地学习SAP开发。 1. **创建数据元素(Data Elements)**: - 数据元素是SAP中描述基本类型和非结构化...

    ABAP 开发 sap erp mes 信息化

    SAP系统通过角色和权限来控制用户的访问权限。开发者需要了解如何在程序中检查用户的授权信息,以确保数据的安全性。 ##### 2.12 调用外部程序与程序动态生成 在某些情况下,可能需要从ABAP程序中调用外部程序或者...

    mysap学习资料.rar

    9. 安全与权限管理:理解SAP的授权机制,确保系统安全和合规性。 10. 业务流程整合:学习如何利用mysap将不同部门的业务流程进行集成,提高效率。 11. 案例研究:通过实际案例学习mysap在不同行业的应用,加深理论...

    sap开发者指导--一二[归纳].pdf

    此外,文档还计划覆盖创建消息、函数、报表实例、报表开发、Quick Viewer、打印配置、事务程序实例、事务开发、实例开发过程、Smart Forms、创建权限对象、BAPI的使用、分配事务代码、自定义菜单以及修改SAP标准程序...

    ABAP三月通

    SAP系统通过用户授权控制对不同资源的访问权限,ABAP程序需要根据用户授权进行权限检查,确保数据安全。 **14. 调用外部程序和程序动态生产** ABAP支持调用外部程序,如操作系统命令或第三方应用程序,也支持动态...

    BW学习思路及经验总结

    3. **ERP与BW结合**:了解权限分配、ECC与BW的集成,以及处理链的创建,这些都是实际项目中必不可少的部分。 **业务体系:** 1. **理解业务**:在技术知识基础上,学习业务背景,尤其是HR以外的领域,这将帮助你更...

    生产机800到开发机200集团拷贝操作.docx

    #### 进阶注意事项 - 在进行数据迁移时,应确保源系统和目标系统之间的兼容性,包括但不限于版本号和补丁级别等。 - 数据导出和导入过程中,应密切关注任何错误或警告消息,以便及时解决潜在问题。 - 在实际操作前...

    第05章 标准列表和选择屏幕.rar_ABAP列表_ABAP选择屏幕_hide

    在选择屏幕中,可以使用HIDE关键字来隐藏不需要的输入字段,或者根据用户权限或其他条件动态控制元素的可见性。在标准列表中,可能需要隐藏某些列或者行,以简化界面或保护敏感信息。实现这一功能通常涉及到处理事件...

    powerbuilder简单学生成绩管理系统

    PowerBuilder由Sybase公司(现被SAP收购)开发,主要基于面向对象编程,提供了一个图形化的用户界面(GUI),使得开发者能够通过拖拽方式快速创建用户界面,极大地提高了开发效率。其核心组件包括DataWindow、...

    水晶报表中文手册

    水晶报表是一款广泛应用于商业智能和数据可视化领域的报表工具,由Business Objects公司(现为SAP的一部分)开发。这款软件能够帮助开发者创建复杂、交互式的报表,以满足各种业务需求。本中文手册旨在提供全面的...

    PowerBuilder.9.0.与系统开发

    PowerBuilder 9.0 是一款由 Sybase 公司(现已被 SAP 收购)推出的强大的可视化应用程序开发工具,尤其适合于构建企业级数据库应用。该版本在之前的版本基础上进行了多项改进和增强,提供了更丰富的功能,提升了开发...

Global site tag (gtag.js) - Google Analytics