1、2023年1月14日星期六SAP系统权限培训文档系统权限培训文档目录目录 二、二、SAP系统的环境系统的环境 三、三、权限的基本概念权限的基本概念 四、四、用户和角色的创建用户和角色的创建 五、五、权限设置的注意事项权限设置的注意事项 一、权限的重要性一、权限的重要性权限的重要性权限的重要性 在SAP系统中,业务人员是否能够行使该业务范围的操作是由权限来实现的。权限工作的好坏是系统能否成功上线的基础之一。最终用户是权限的直接使用者,权限设计的好坏会直接影响到最终用户对使用ERP系统的信心。权限的重要性权限的重要性 权限实施工作的重要性权限实施工作的重要性权限实施是ERP系统上线的必备条件之一,
2、权限设计的合理性、实施的准确性和测试的精准度是系统能否成功上线的基础之一。在权限设计、实施和测试全过程,由于地区公司人员最了解其自身业务,因此由地区公司权限组地区公司权限组全程参与权限设计和实施工作,将从ERP技术角度和地区公司业务角度双重保障权限实施的质量,进而保证ERPERP项目的顺利上线。权限的重要性权限的重要性 权限运维工作的重要性权限运维工作的重要性 在项目上线及运维阶段,系统处于稳定运行状态,权限变更安全合理才能防止越权和误操作发生,从而保证系统数据安全。通过ERPERP项目权限组项目权限组和地区公司权限组地区公司权限组在权限设计实施期间的相互配合,提高了地区公司权限组地区公司权限
3、组的问题处理能力,将在项目进入上线支持及运维期后,有效保证了权限变更工作的顺利进行。5日期Date:目录目录 一、权限的重要性一、权限的重要性 三、三、权限的基本概念权限的基本概念 四、四、用户和角色的创建用户和角色的创建 五、五、权限设置的注意事项权限设置的注意事项 二、二、SAP SAP系统的环境系统的环境RSAP 系统环境系统环境PetroChinaSystem Landscape开发系统开发系统测试系统测试系统生产系统生产系统SAP系统采用系统采用SAP 4 Systems Landscape架构架构,此架构中包含三套此架构中包含三套SAP系统:开发系系统:开发系统、测试系统、生产系统
4、、生产支持系统。统、测试系统、生产系统、生产支持系统。它们的作用分别如下。它们的作用分别如下。所有的开发和配置工作都应在开发系统中进行,修改的对象在开发系统上进行初步的测试后可以将其传送到测试系统上。在测试系统中对新开发的内容进行全面的测试,由于是独立的系统,这些测试都可以在不影响生产下进行。需要传输的对象在通过测试后才可以传输到生产系统。生产支持系统生产支持系统环境同步传输路径RPetroChinaSystem Landscape开发系统开发系统测试系统测试系统生产系统生产系统开发系统开发系统 Development(DEV)SAP项目的实施系统,各种业务模块的客户化工作、相关的应用开发等在
5、该系统中进行。并提供进行单元测试的环境。生产支持系统生产支持系统环境同步传输路径SAP 系统环境系统环境RPetroChinaSystem Landscape开发系统开发系统测试系统测试系统生产系统生产系统测试系统测试系统 Quality Assurance(QAS)为各种客户化和开发工作提供完整测试的系统,其中存有企业实际业务数据,用以验证客户化和开发的正确性。同时,此系统亦用于关键用户及最终用户的培训。生产支持系统生产支持系统环境同步传输路径SAP 系统环境系统环境RPetroChinaSystem Landscape开发系统开发系统测试系统测试系统生产系统生产系统生产系统生产系统 Pro
6、duction(PRD)企业日常运转实际使用的系统,其中存有企业的完整业务数据,生产系统中不允许直接做客户化或开发。生产支持系统生产支持系统环境同步传输路径SAP 系统环境系统环境RPetroChinaSystem Landscape开发系统开发系统测试系统测试系统生产系统生产系统生产支持系统生产支持系统如果最终用户在使用ERP系统过程中,遇到系统问题。需要运行支持人员在系统中重现其问题,并加以解决。通过定期将生产系统的数据复制到生产支持系统,可以完整模拟生产系统的数据。同时,生产支持环境可以模拟对生产系统进行系统压力测试。生产支持系统生产支持系统环境同步传输路径SAP 系统环境系统环境日期D
7、ate:目录目录 一、权限的重要性一、权限的重要性 二、二、SAPSAP系统的环境系统的环境 四、四、用户和角色的创建用户和角色的创建 五、五、权限设置的注意事项权限设置的注意事项 三、权限的基本概念三、权限的基本概念权限的基本概念权限的基本概念名词解释:名词解释:User accountUser account就是我们平常说“USER ID”(注意用户类型)dialog用户 权限:权限:它允许或禁止用户在系统中进行操作和处理事务,一般以角色分配给用户 角色(角色(RoleRole)权限的集合,基于业务要求创建 所谓的“角色”是sap4.0才开始有的概念其实就是对user的需求进行归类使权限的
8、设定更方便。分为single role 和 composite role两种后者是前者的集合,我们需要创建的是single role。Profile:Profile:真正记录权限的设定的文件,和角色绑定在一起,一个角色生成一个PROFILE。权限对象:权限对象:被授权的业务对象,由字段值和参数组成。SPEX SAP R/3 Project Version 1.0 Authorization Concept 授权就是给个人(或组)一个授权就是给个人(或组)一个方式方式或或权权力力来来行使一些特殊的职责行使一些特殊的职责用用 SAP 的语言来说的语言来说.权限的概念权限的概念授权授权授权级别图授权
9、级别图日期Date:权限的概念授权对象权限的概念授权对象日期Date:SPEX SAP R/3 Project Version 1.0 Authorization Concept 进入一个进入一个 就好象就好象.从一扇从一扇 进入一个房间进入一个房间TransactionTransaction 就是开门的就是开门的 权限的概念授权对象权限的概念授权对象日期Date:SPEX SAP R/3 Project Version 1.0 Authorization Concept 即使即使,用户都,用户都运行事运行事务代码务代码运行事务代码需要先具运行事务代码需要先具备备授权对象授权对象!(即整套钥匙
10、)权限的概念授权对象权限的概念授权对象用户是由几个角色组成的用户是由几个角色组成的角色下包括一些事务代码角色下包括一些事务代码角色下包括角色下包括的事务代码的事务代码权限的概念授权权限的概念授权ProfileProfile:Profile:真正记录权真正记录权限设定的文件限设定的文件ProfileProfile与与RoleRole是捆绑是捆绑在一起的。在一起的。在建立在建立RoleRole的时候的时候 ProfileProfile是会自动创建的,是会自动创建的,(有弊端),我们根据每(有弊端),我们根据每个项目每个模块的不同,个项目每个模块的不同,根据需求表对每个角色定根据需求表对每个角色定义
11、一个义一个profileprofile。Authorization ProfileObject Object classclass权限对象(权限对象(Authorization Authorization objectobject)参参 数数权限的概念权限对象权限的概念权限对象业务、岗位及用户之间的关系业务、岗位及用户之间的关系业务业务关键点关键点业务业务关键点关键点业务业务关键点关键点角色角色A A角色角色B B角色角色C C用户用户1 1用户用户2 2业务流程业务流程岗岗 位位用用 户户日期Date:目录目录 一、一、权限的重要性权限的重要性 二、二、SAP SAP系统的环境系统的环境 三
12、、三、权限的基本概念权限的基本概念 五、五、权限设置的注意事项权限设置的注意事项 四、四、用户和角色的创建用户和角色的创建USER ID 的命名规则的命名规则 SAP系统分为门户和后台两类系统,后台系统包括ECC和BI系统。在所有SAP系统中,同一用户的ID是唯一的,用户ID最长不超过12位。ERP用户ID以中石油邮箱用户名为准,要求不超过11位(预留出一位做为区分cnpc与petrochina邮箱)。如果没有邮件地址,必须申请一个不大于11位的邮箱地址。有邮件地址的用户,取邮件地址的用户名为用户ID;如果用户名超过11位,应另外申请一个不大于11位的邮箱地址;举例如下:正常用户名:正常用户名
13、:,ID:ZHANGXING 超长用户名:超长用户名:,重新申请:ZHANGXINGY 注注:保留一位是为区分CNPC和PetroChina不同邮箱,如果产生冲突,则在用户名前加前缀,集团ERP用户ID前加前缀V,股份ERP用户ID前加前缀U。举例如下:CNPCCNPC:,ID:VZHANGXING PetroChinaPetroChina:,ID:UZHANGXING日期Date:日期Date:相关事务代码相关事务代码SU01用户维护 PFCG角色维护 SU24维护事务权限对象的分配 SU3维护用户参数文件 SU53显示用户的权限数据 SUGR 维护用户组 SUIM用户信息系统 SU10用户
14、批维护日期Date:USER ID 的建立的建立T_code T_code SU01 SU01SU01SU01USER ID 的建立的建立输入要创建的User ID1单击建立图标2日期Date:日期Date:USER ID 的建立的建立填好这些字段填好这些字段注:注:1、“姓姓”为必填项为必填项2、通讯方法选择:、通讯方法选择:INT E-mail3、如果输入座机号、如果输入座机号,分机号必须填写,分机号必须填写00USER ID 的建立的建立选择选择“对话对话”类型类型设定初始密码设定初始密码用户组选择此用用户组选择此用户对应的组,地区户对应的组,地区二级管理员管理二级管理员管理USER I
15、D 的建立的建立这些都是必这些都是必填项填项USER ID 的建立的建立用户组要与前面设用户组要与前面设置相同,这个用户组置相同,这个用户组是总部技术组管理用是总部技术组管理用户用的户用的USER ID 的建立的建立点击点击SAVE,这个,这个用户就创建好了用户就创建好了帐号的批维护帐号的批维护 有时我们需要对账户有时我们需要对账户进行批量维护进行批量维护,例如:例如:当公司地址变了,需要变更所有用户的公司地址。月结时,需要将除了月结人员外,其它的所有用户暂时锁定。T_CODET_CODE:SU10SU10USER ID批量修改批量修改全选用户后,点击全选用户后,点击transfer可以批量修
16、改可以批量修改“新疆油田新疆油田咨询顾问咨询顾问”的前台信息,包的前台信息,包括添加角色、锁定用户等括添加角色、锁定用户等创建用户组创建用户组 T_CODET_CODE:SUGRSUGR 例如:例如:创建勘探与生产项目大港油田顾问用户组 EDGYTZXGW业务板业务板块缩写块缩写项目名项目名称缩写称缩写咨询顾问咨询顾问ROLE 的建立的建立 T_CODET_CODE:PFCGPFCG USER ID创建好了但这时这个USER ID没有任何权限是什么都不能做的。USER得到这样的帐号没有任何意义。如何分配权限给用户主要是分配 Role 给这个帐号。下面我们看看如何建Role和分配权限。ROLE
17、ROLE 的建立的建立 创建创建RoleRole主要有三种方式:主要有三种方式:1.新建 2.继承 3.复制(COPY)根角色的创建根角色的创建输入输入role的角色的角色描述须能表示描述须能表示RoleRole的内容及属性的内容及属性根角色的创建根角色的创建点击点击“事务事务”添添加加tcode按照按照profile命名命名规则进行命名规则进行命名根角色的创建根角色的创建标准标准T-codeT-code所需要的所需要的Object,Object,系统会自动列出来系统会自动列出来组织级别没有维护组织级别没有维护OBJECTOBJECT只有部分维护只有部分维护OBJECTOBJECT已经全部维护
18、已经全部维护请注意绿灯只是表示请注意绿灯只是表示全部维护但不一定就全部维护但不一定就是我们所需要的值。是我们所需要的值。根角色的创建根角色的创建根角色的创建根角色的创建在这里介绍一下在这里介绍一下 的作用点击它就相当于给这个的作用点击它就相当于给这个ObjectObject一个一个“*”(star)”(star)“*”的意义是的意义是All All AuthorizationAuthorization不卡任何权限。不卡任何权限。根角色的创建根角色的创建然后按 激活,退出已经变成绿已经变成绿灯这表示权灯这表示权限的设定已经限的设定已经可用了可用了点击点击 ,再点击,再点击 此权限已经分配此权限已
19、经分配完毕,完毕,test001test001这这个帐号已经具有了个帐号已经具有了主数据维护的权限主数据维护的权限派生角色的定义派生角色的定义所谓派生角色所谓派生角色,是指根是指根RoleRole和派生和派生RoleRole形成这形成这样的母子关系派生样的母子关系派生RoleRole的所有权限、权限的所有权限、权限对象(组织级别值除外对象(组织级别值除外)都源于根都源于根Role,Role,并与并与根根RoleRole保持一致。保持一致。根根RoleRole与派生与派生RoleRole是是一对多的。一对多的。根角色与派生角色之间的关系根角色与派生角色之间的关系公司公司组织机构组织机构地区公司地
20、区公司1 1地区公司地区公司3 3员员工工1 1地区公司地区公司2 2根角色根角色A A角色角色派派生生角角色色A1A1地地区区公公司司1 1地地区区公公司司2 2地地区区公公司司3 3地地区区公公司司1 1地地区区公公司司2 2地地区区公公司司3 3根角色根角色B B根角色根角色C C根据根据岗位分配根据根据岗位分配员员工工2 2员员工工3 3员员工工1 1员员工工2 2员员工工3 3员员工工1 1员员工工2 2员员工工3 3派派生生角角色色A1A1派派生生角角色色A1A1派派生生角角色色B1B1派派生生角角色色B1B1派派生生角角色色B1B1派生角色的创建派生角色的创建根据公司代码派根据公
21、司代码派生的,创建好后点生的,创建好后点击击“创建角色创建角色”组织级别组织级别代码字典表代码字典表派生角色的创建派生角色的创建角色继承角色继承就是通过这就是通过这派生角色的创建派生角色的创建这时候的派生这时候的派生角色还没有完角色还没有完全继承,要返全继承,要返回根角色里点回根角色里点击击 生成派生成派生角色生角色这时候一个派生角色就创建完成了这时候一个派生角色就创建完成了角色的复制角色的复制输入角色输入角色,点击,点击copy复制复制角色角色这时候一个角色就复制完成了这时候一个角色就复制完成了角色的创建角色的创建-继承与复制继承与复制 小结小结 用继承的方式建立新Role,继承后,只需维护
22、好组织级别Object就全部是绿灯了。用复制的方式全部是绿灯。这是两者操作操作上的最大区别。角色的修改角色的修改对Role的修改最常见的就是T-code的新增/删除,这种改动一般是从菜单开始(派生角色不能修改T-code)。添加添加VF01VF01(创建客户(创建客户发票)发票)角色的修改角色的修改角色的修改角色的修改当当Role所包含的T-code经过修改后可能含有多个同样的Object其Value可能互相包含。这时可以通过合并的动作使同一个Object内Value相同或者互相包含的项合并起来使权限的条目更清晰。Debug/Debug/查看查看有一些工具对权限的问题处理很有帮助 1.SU53
23、2.SUIM 3.SU24Debug/Debug/查看查看-SU53-SU53 当一个帐号反映没有某个应有的权限时我们可以在系统出现没有权限的信息时马上输入“/NSU53”Debug/Debug/查看查看-SU53-SU53但是请注意但是请注意SU53SU53给出的信息并不详细大部分情给出的信息并不详细大部分情况只能作为一个大方向的参考有时还可能指示不出况只能作为一个大方向的参考有时还可能指示不出来问题所在来问题所在。Debug/Debug/查看查看-SUIM-SUIM SUIM其实就是Information 系统的一个集合界面。我们最常用的功能是已知某个T-code查找含有这个T-code的
24、Role。Debug/Debug/查看查看-SU24-SU24查看查看XD01XD01含有含有哪些权限对象,哪些权限对象,哪些是需要检查哪些是需要检查的的Debug/Debug/查看查看-SU24-SU24查看查看F_KNA1_BEDF_KNA1_BED检检查哪些查哪些TcodeTcode几点需要注意的地方几点需要注意的地方权限设定非常重要而且一旦出现问题,排错非常繁琐、耗時,所以请大家设定时一定要非常谨慎,每次更改都要记录。权限设定不允许在测试、生产系统更改必须在开发系统修改好传到测试、生产系统。决定user权限的人不是IT人员而是team leader所以要变更用户权限务必要求用户提供经过
25、审核的申请表。对于user不合理的权限要求IT人员有责任退回。日期Date:日期Date:目录目录 一、一、权限的重要性权限的重要性 二、二、SAP SAP系统的环境系统的环境 三、三、权限的基本概念权限的基本概念 四、四、用户和角色的创建及命名规则用户和角色的创建及命名规则 五、五、权限设置的注意事项权限设置的注意事项第一轮权限测试要做细第一轮权限测试要做细在权限测试过程中,最少应进行两轮测试,第一轮测试需对每个模块抽取一一个种子角色进行测试,这个测试过程非常重要,在以后的角色创建过程中,都将会对这个角色进行复制工作。因此第一轮测试应该安排的时间最长,做的最完善,以免以后造成重复工作。在做第一轮测试时应注意如下事项:日期Date:权限测试注意事项权限测试注意事项 权限测试要重视,要指派专门的业务人员与权限管理员共同完成整个测试过程。每个事务代码都要测试,避免发成遗漏的现象。根角色中的权限对象要避免重复,对于重复的权限对象要对其进行合并,在角色中避免出现红色OBJECT值的现象。修改authorizition object时要注意能否继续派生。在做权限过程中,注意更新文档,与系统保持同步。日期Date:
