用户分权管理 - SAP S/4 Basis Tips

最新推荐文章于 2022-05-21 23:11:05 发布
最新推荐文章于 2022-05-21 23:11:05 发布
阅读量1.9k 收藏 12
点赞数
分类专栏: SAP Basis Tips
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lostworld_gy/article/details/86512792
版权

本文在 SAP S/4 HANA 1709 下测试通过

概述

在SAP的日常运维工作中,用户管理(账号创建\解锁\重置密码\删除) 和 权限管理(授权\收权) 往往占据了很大一块工作量,且Basis团队往往并不清楚能否进行这些用户和权限操作,需要进行大量的邮件沟通工作或复杂的OA审批流程才能予以确认;为此,Basis团队可考虑将这些工作移交给各模块或分子公司的关键用户或行政人员,从而减少用户沟通成本,避免basis团队不合理的授权,且能大幅减少basis团队不必要的工作量,将更多精力用于系统管理上。

本文仅介绍进行分权管理的技术配置方法,至于如何把这些工作成功的交给各模块/公司,由于各公司的文化氛围和甩锅技巧的差距很大,请根据各自公司的实际情况灵活处理,建议在上线前将工作职责分配清楚。

本文的方法为SAP Help Portal 推荐方法,具体参考:SAP Help Portal: User and Role Administration of Application Server ABAP -> ABAP Authorization Concept -> Organizing Authorization Administration) (https://help.sap.com/viewer/c6e6d078ab99452db94ed7b3b7bbcccf/1709%20000/en-US/4f49ac8f67502893e10000000a42189b.html)

 

 

以下配置,以按模块分权管理为例,各模块的管理员可对本模块下的最终用户进行信息修改、密码重置、解锁等工作(账号的新增和删除因涉及License费用,建议仍由信息部门的basis团队统一管理);且可以将本模块下的角色授给任意需要的用户,或从任意用户处收回;各位可以举一反三,使用此方法实现按 分子公司\工厂 的分权管理;

 

准备和前提

1. 业务角色编码规范:为了方便限制不同的用户管理员,仅能授予该模块的角色权限,因此在本地角色命名时,一定要符合一定规范,本例中,所有的FICO角色均以 ZL_FICO_**** 开头,所有的MM模块的角色均以 ZL_MM_****开头,诸如此类,示例如下:

2.设置用户组:为了限制不同模块的用户管理员,仅能管理本模块下的用户,因此我们需要用事务码 SUGR 建立分权所需的用户组,本文示例如下(OP 表示 Operator):

3.将每个用户分配给用户组:使用 SU01SU10,将每个用户分配给不同的用户组,

  1)  特别注意:如果某个用户未分配给任何用户组,那么所有的用户管理员均可管理此用户;

  3)  建议将系统用户、Basis相关用户、各模块用户管理员均设置到SUPER用户组,这样能避免管理员解锁这些账号/重置密码,造成系统问题或安全风险;

  2)  建议在上线批导用户时,将用户组分配好,可以使用 SUIM 中的相关工具查看用户组整体分配情况;

 

建立模块管理员角色

使用 PFCG 建立一个单一角色,本例为  ZL_BASIS_0002_FICO:用户管理员(FICO模块),然后直接编辑参数文件:

从弹出的标准模板选择窗口中,选择SAP的标准模板:SAP_ADM_US:User Administrator,这个模板会提供用户管理所需的常用功能;

在 组织级别中,我将 Plan Version 将其设置为"*",虽然我也不知道这东西时干嘛的。。有知道的同学还请解释下

 

然后我们手工设置BC_A下的一些权限对象,具体如下图所示,解释如下:

1)  S_USER_AGR -> ACT_GROUP:允许操作的角色,此处我设置为 ZL_FICO_* (FICO相关角色)和 ZL_COMMON_*(所有用户均可开通的权限);

2)  S_USER_GRP -> CLASS:允许修改哪些用户组的用户信息,此处我设置为 OP-FICO;

3)  S_USER_GRP -> ACTVT:允许修改用户的哪些信息,我去掉了 Add or Create 和 Delete,避免模块管理员增删用户;

4)  S_USER_PRO -> PROFILE:设置为T*,避免模块管理员将SAP_ALL之类的系统profile授权给用户;

5)  S_USER_SAS -> CLASS:设置可以给哪些用户组下的用户授权,我设置为*,这样可以给任意用户授权;

6)  S_USER_SAS -> ACT_GROUP:可以给用户授予哪些角色,设置和第一条保持一致。

 

保存该角色,然后将其授权给FICO模块的用户管理员,这样该管理员即可对OP-FICO用户组下的用户进行解锁、重置密码、信息修改操作,且可以将ZL_FICO_开头的角色授权给所有的用户

 

后记

使用此方法,配合恰当的甩锅策略,我们可以将大多数的权限和用户管理工作分给各模块/分子公司/跨国集团的各国总部,只需在需要新建/删除账号时,收取License费用并建立账号即可(删除账号其实也可以甩出去)。至于如何设置分权计划,如何成功的将锅甩出去,还是取决于各位的basis非技术能力。

 

高原gy
关注
  • 0
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SAP-BASIS08-全部权限
yanzibing99的博客
06-06 98
SAP-BASIS06-定义用户组USER GROUPS
最新发布
yanzibing99的博客
06-06 141
sap basis 权限分配步骤
07-24
sap basis 管理权限分配步骤 一步一步教你设置权限 对初学者很有用
sap 用户权限表_系统管理BASIS)之 SAP用户权限介绍
weixin_26808023的博客
12-23 771
原标题:系统管理(BASIS)之 SAP用户权限介绍BASIS系统管理主要是负责SAP系统的。而在系统管理方面肯定会遇到关于SAP用户权限的问题。以下是关于SAP系统用户权限详细介绍。记得SU01时用户有profile 和role两栏位吗?它们的关系如何呢? 首先明白几个概念.1.activity这样说吧,我们从activity谈起,activity是什么意思这个你查下字典也就知道了,对就是规定...
Mysql 创建用户分权
qq_34810558的博客
12-08 315
1、创建用户; sql 语句为:CREATE USER ‘your_user_name’@’%’ IDENTIFIED BY ‘your_passwd’; (其中:your_user_name 指的是你创建的用户名称,your_passwd 指的是你创建的用户密码 ) 2、用户授权;sql 语句为: GRANT ALL PRIVILEGES ON . TO ‘your_user_name@’%’...
SAP BasisSAP用户账号管理
XLevon的博客
05-21 6128
SAP Basis 用户管理
宝能汽车ERP系统SAP BASIS基础管理指南
刘欣的CSDN博客
10-25 1677
今天大明问到宝能项目的架构,放一份吧,留一个纪念。 2019~2021 宝能汽车ERP项目 BASIS模块 《系统基础管理指南》(S4 HANA 1809) ...
跨国企业的集权与分权管理-以世邦魏理仕为例.pdf
11-18
【跨国企业集权与分权管理】 在企业管理中,集权和分权是两种重要的组织管理模式,对于跨国企业而言,如何有效地平衡这两种模式对于公司的运营效率、决策速度以及员工积极性有着重大影响。以世邦魏理仕(CB Richard...
管理学--集权与分权讲义.pptx
10-11
【集权与分权在企业管理中的应用】 集权与分权是企业管理中两种重要的组织结构模式,它们分别代表了权力分配的不同方式。集权是指企业的决策权力集中在高层管理者手中,而分权则允许较低级别的管理层拥有更多的决策...
1990-2021年地级市财政分权计算-支出分权收入分权原始数据+计算结果+do代码
04-08
1990-2021年地级市财政分权计算-支出分权收入分权原始数据+计算结果+do 代码 世界上大多数国家的政府层级不是单一的而是多层次的,中央政府 希望通过权力分配以达到区域经济协调发展的目标,往往这种权力的分配不...
2014 SAP_BASIS_PA教材及视频下载地址
08-22
2014 SAP_BASIS_PA教材及视频下载地址
SAP BASIS PA资料第一部
07-03
SAP BASIS 的PA教材,这是第一部分,应该会和许多需要的人应对,不用客气,尽管下载吧
管理学03-6.4 组织设计中的集权与分权--课件_33.pptx
11-27
在组织管理中,集权与分权是两个关键的概念,它们直接影响着企业的运营效率和决策效果。集权是指决策权集中在组织的高层,而分权则是指决策权分散到各个部门或层级。这两种策略各有其优缺点,并且受到多种因素的影响...
sap权限管理
sap basis的blog
10-08 2328
一直想自己这半年来做sap basis的经历和问题写下来。先从自己找问题,第一:自己太懒,第二:一直都是跟ac的basis顾问给的文档走,没有难度,第三:遇见问题,找资料照着做,不知所以然。不过blog还是要坚持了。今天是关于sap权限管理的一些思考。 今天abap突然下来好多功能需求:abap开发的程序需要做权限检查,因为这些程序以前开发并且已经传到测试 现在重新修改,测试
SAP权限管理,我的理解
热门推荐
刘欣的CSDN博客
10-10 1万+
 本人2001年至今一直从事basis工作,曾经是erphome-basis版主之一,管理过多个500人以上的sap系统N年,创有 BASIS终极授权の内部顾问参数文件的产生: https://github.com/basis100/SAPauthor 获得事务代码分段,完成关键用户参数权限: https://blog.csdn.net/ot512csdn/article/deta...
BW:Business Information Warehouse(Authorization Object: RS)
关耳山石的技术栈
02-10 2551
项目上要限制生产机修改报表,工作簿和进程链的操作,所以呢,简单说说相应的Authorization Objects           上面是SAP提供的Reporting Basic权限    首先,S_RFC和S_TCODE是Analyzer所必须的 然后,R_RS_COMP这个看到的都懂,就是可以限制Query的种种 R_RS_COMP1这个其实就是多了一层,可以限制Query的Owner,也就是创建人    PS:我测试了下,COMP比COMP1优先
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值