关于Authority-check

原创 2013年12月05日 20:04:08

以下是以前关于Authority-check的一份总结,现重新编译并通过,在这里记录一下以防遗忘。

1. Authority-check介绍

在ABAP中,我们经常会使用到Authority-check,其中想必遇到最多的就是activity的authority check,如01代表create、02代表change、03代表display。

Authority-check在ABAP中的调用语法是:

AUTHORITY-CHECK OBJECT object
ID name1 FIELD f1
ID name2 FIELD f2

ID name10 FIELD f10.

从这里可以看出,它的意思就是说:对于权限对象object下面的不同的ID(我们一般称为authority fields)进行不同的权限(这里的权限就是通过f1所指定的,如这里可以为01,02,03等等)检查.

在ABAP中,如果这个object包含多个ID,需要在这里全部指定出来。这里,如果不想进行某一个ID的检查,那么可以使用field DUMMY进行ommit掉。

另外这个authority-check后的SY-SUBRC返回值的不同也代表着不同的意思,这里稍微归总一下:

0

权限check成功

4

用户无这样的权限

8

在写ABAP authority-check时,指定太多的ID(最多只能有10个)

12

用户信息中不存在这样的authority object

16

用户信息中不存在这样的profile

24

指定的fild名字与authority-object中ID需要的field不匹配

28

用户信息不正确

32

用户信息不正确

36

用户信息不正确

举一个被经常举的简单的例子.

例如,在系统中,目前该用户具有以下的authority(已经通过profile以及role)。

Authority object: M_EINF_WRK_BERECH1
Authority ID: ACTVT

Fields: 01-03
Authority ID: WERKS

Fields:0001-0003 .

那么该用户通过以下的ABAP可以通过权限检查:

AUTHORITY-CHECK OBJECT ‘M_EINF_WRK’

ID ‘WERKS’ FIELD ‘0002′

ID ‘ACTVT’ FIELD ‘02′.

AUTHORITY-CHECK OBJECT ‘M_EINF_WRK’

ID ‘WERKS’ DUMMY

ID ‘ACTVT’ FIELD ‘01′:

而下面的ABAP check则不能通过:

AUTHORITY-CHECK OBJECT ‘M_EINF_WRK’

ID ‘WERKS’ FIELD ‘0005′

ID ‘ACTVT’ FIELD ‘04′.

另外在标准的SAP中,如tcode的打开、program的执行等,都是有权限check的。可以查阅:

http://help.sap.com/saphelp_nw04/helpdata/en/52/67129f439b11d1896f0000e8322d00/content.htm

http://help.sap.com/saphelp_nw04s/helpdata/en/52/67167f439b11d1896f0000e8322d00/content.htm

2. Authority-check的应用实例

现在我们自己开发authority-check object并应用到ABAP中去。

在这个例程中,我将使用3个authority check object,2个来源于自己开发,一个来源于系统标准的activity的check(这个也是我们经常使用的).同时自己开发的2个object一个带有field(也就是可以指定它可以具有哪些权限),另一个不需要指定具有哪些权限。

(1)创建Authority Fields需要用的Data element

这里为什么需要data element呢?这个可以通过SU20(Authority fields list)中查看得出,authority field是建立在data element上的。

创建需要指定具有哪些权限的Field:table à data element à Domain

Domain:

1

另外该domin具有value table:

2

Data element:

3

Table:

4

同时,我们指定该table具有的值:

5

创建不需要指定具有哪些权限的Field: data element –》 Domain

Domain:

6

Data element:

7

(2)创建Authority Fields

这里为什么需要Authority field呢?这是因为我们最终authority object包含的最多10的authority field。

Tcode: SU20 Authority fields list

这里list出来了目前所有的authority fields。

点击create,创建我们自己的authority field:

创建需要指定具有哪些权限的Field:ZAUTH_FD_1

8

需要指定data element

这里指定maintence dialog for authorization values,这里我指定了前面创建的value table(ZAUTH_1);但是可以发现,这里还可以使用domain value table以及domain自己的value list等。

同时,现在因为是新创建,下面的use in authorization objects是空的,等完成后面的步骤后,这里会List出来所有使用该authorization field的authority object。


创建不需要指定具有哪些权限的Field:ZAUTH_FD_2

32


步骤同前一个field。只是这里不指定authorization value.

最后我们可以在SU20中的这个List中找到刚创建的authority fields:

10

(3)创建Authority Object

因为在SAP中,所有的authority object都是以authority class组合在一起的。所以,这里我们先创建属于我们自己的autority class。

Tcode: SU21 list of object class

点击create:

11

点击save,然后在SU21中的list中就会多了一条刚创建的这个calss。

选中该ZAUT的class,双击进入:

33

可以发现,目前这个class里还不包含任何的authority object。

点击create创建authority object:

13

其中authorization fields就是在第二步所创建的authorization fields(注意,这里并没有对zauto_fd_1指定其Permit value).

另外,还添加了一个acivt的系统标准的authority field,并指定它:

14

然后再进入该authority class,刚创建authority object就存在了。

15

(4)创建Profile

Tcode: SU01 user management

Enviroment à Maintain Profile

16

进入:(这里我们创建simple profile.关于profile可以查阅更多资料)17

点击create work area for profiles:

18

现在暂时还没有Profile,点击create:

19

进入:

20

输入我们刚创建的authority object,同时,在上面的authorizatio里,输入一个新的ZAUTHO,然后双击创建:21

进入:

22

选中activity点击Maintain Values..

这里我们选中所有(也就是我们在上面定义的permitted value)

23

同理为下面两个authorityp fields:都使用from * to *

最后激活该value :

34

同时激活该Profile。

(5)为user添加Profile

Tcode: SU01 user management

将刚创建的profile添加给该user.

35

(6)创建role

Tcode: PFCG Role maintanance

创建一个新的role,点击create role:

26

建一个新的role,点击create role:

27

在Authorization中指定我们刚创建的profile.

28

而在user中添加需要指定的user.

(7)指定user的role

Tcode: SU01 user management

将刚创建的role赋给该user.

29

至此,关于authority-check所需要的对象都已创建完毕。

(8)程序中使用Authority check

测试程序:

*&———————————————————————*

*& Report ZTEST_AUTHORITY *

*& *

*&———————————————————————*

*& Using Authority Check *

*& *

*&———————————————————————*

REPORT ZTEST_AUTHORITY no standard page heading .

* data

data:

au_fd_1(2) type c value ‘01′,

au_fd_2(20) type c value ‘fd2′,

au_fd_3(2) type c value ‘02′.

write:/ ‘User Name:’, sy-uname.

uline /(120).

skip 1.

* 1st time: Authority-check:: check all authority-fields.

AUTHORITY-CHECK OBJECT ‘ZAU_OBJ’

ID ‘ZAUTH_FD_1′ FIELD au_fd_1

ID ‘ZAUTH_FD_2′ FIELD au_fd_2

ID ‘ACTVT’ FIELD au_fd_3.

write:/ ‘1st time: Authority-check:: check all authority-fields:’, 100 sy-subrc.

* 2nd time: Authority-check: check only part of authority-fields.

AUTHORITY-CHECK OBJECT ‘ZAU_OBJ’

ID ‘ACTVT’ FIELD au_fd_3.

write:/ ‘2nd time: Authority-check: check only part of authority-fields:’, 100 sy-subrc.

* 3rd time: Authority-check:: igor all authority-fields.

AUTHORITY-CHECK OBJECT ‘ZAU_OBJ’

ID ‘ZAUTH_FD_1′ dummy

ID ‘ZAUTH_FD_2′ dummy

ID ‘ACTVT’ dummy.

write:/ ‘3rd time: Authority-check:: igor all authority-fields:’, 100 sy-subrc.

* 4th time: Authority-check:: if one authority-field check failed.

AUTHORITY-CHECK OBJECT ‘ZAU_OBJ’

ID ‘ZAUTH_FD_1′ FIELD au_fd_1

ID ‘ZAUTH_FD_2′ FIELD au_fd_2

ID ‘ACTVT’ FIELD ‘01′.

write:/ ‘4th time: Authority-check:: if one authority-field check failed:’, 100 sy-subrc.

* 5th time: Authority-check:: if authority-field name is wrong.

AUTHORITY-CHECK OBJECT ‘ZAU_OBJ’

ID ‘ZAUTH_FD_X’ FIELD au_fd_1

ID ‘ZAUTH_FD_2′ FIELD au_fd_2

ID ‘ACTVT’ FIELD ‘03′.

write:/ ‘5th time: Authority-check:: if authority-field name is wrong:’, 100 sy-subrc.

这里因为我们上面在创建profile时指定的ZAUTH_FD_1ZAUTH_FD_2的范围是*。所以任意的值(当然能与domain中定义的type相匹配)OK的。而ACTVT则不同,我们只允许其0203.


如果我们以非EDISON_TC3运行30

而以EDISON_TC运行:

31

3. Authority-check附加

在我的这个实例中,我虽然为第一个authority check field指定了value(Domain有value table),但是并没有像使用标准的activity的authority check field那样指定permitted value(或value range)。

另外,关于user profile以及role的创建等工作,作为Developer可以查阅相关资料更深入的学习



http://scnblogs.techweb.com.cn/tcsapbw/archives/951.html

相关文章推荐

SAP中AUTHORITY-CHECK 的使用

  • starshus
  • starshus
  • 2008年01月10日 00:03
  • 10998

Authority-check基础知识

1、检查用户是否具有某个TCODE的权限 AUTHORITY-CHECK OBJECT 'S_CODE' ID 'TCD' FIELD .IF SY-SUBRC MESSAGE '没有使用权限' .L...

AUTHORITY-CHECK

  • 2008年08月07日 15:24
  • 29KB
  • 下载

SAP中AUTHORITY-CHECK 的使用 .

一直对SAP ABAP里的Authority不是很重视,所以对它也似乎不大熟悉,无赖现实企业中权限是很重要的,所以花了一点时间专研了一下,小有收获,顺带也学了点BASIS的知识,不敢独享,发在blog...

User Authority Check... .

User Authority Check --- About Authorty Common T-Code: SU01:Assign profile=>就是创建用户然后分配权限的profile ...

SAP中AUTHORITY-CHECK 的使用

创建Data Element 创建Data Element为Z_EMP_ID00创建一个Domain 创建Authorization Fields创建Authorization Object ...

【转载】SAP ABAP中自定义权限对象(AUTHORITY-CHECK)

SAP系统自带了很多的权限对象,每一个运行画面都有非常多的权限用到。不过标准的权限对象并不一定适合于用在客户自己开发的程序里面,所以每个ABAPer都应该会自己开发一套权限对象,并引用在程序代码里面。...

AUTHORITY-CHECK

作为一个开发人员而言,能够学会查找权限的object id,以及profile是很重要的。现在就总结一下经常用的事务代码吧,放在这里以备以后使用。     SU01:Assign profile...

Asp.Net中用户NT AUTHORITY\NETWORK SERVICE 登录失败(SQL2005/2008设置的解决方法)

用户 NT AUTHORITY\NETWORK SERVICE 登录失败 解决方法 (MS SQL 2005) Windows server 2003,2008 Web.Config 配...
  • dxnn520
  • dxnn520
  • 2012年12月03日 21:57
  • 2875
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:关于Authority-check
举报原因:
原因补充:

(最多只允许输入30个字)