Role and Authorization with SAP 【sap中的角色和授权】

最新推荐文章于 2024-07-25 10:36:02 发布

若陀

最新推荐文章于 2024-07-25 10:36:02 发布

阅读量1.2k

点赞数

文章标签： sap Authorization Role

Role and Authorization with SAP

sap中的角色和授权

角色和授权允许用户以安全的方式访问SAP标准和自定义事务,SAP为不同的模块和不同的场景提供了特定的通用标准角色集,我们还可以根据项目场景定义用户定义的角色。

为了简化角色的管理,我们可以理解为基本上有两种角色:
主角色（Master Roles）：事务、授权对象和所有组织级别的管理。
派生角色（Derived Roles）：使用从主角色复制的组织级管理和事务以及授权对象。

角色的组成部分（The components of a role）

主角色或派生角色包含以下组件:
事务代码（Transaction Codes）
Transaction Codes：SAP交易代码(标准或定制)
配置文件（Profile）
Profile：实际存储授权数据的对象，角色是包含概要文件授权数据的容器。
授权的对象（Authorization Objects）
Authorization Objects:定义不同字段之间的关系并帮助限制/允许特定字段的值的对象。
授权对象实际上是在为任何特定事务执行的程序中定义的。我们还可以为任何特定事务(通常是自定义事务)创建自定义授权对象。
【例如:授权对象I_VORG_ORD: PM:订单的业务操作，包含字段之间的关系:AUFART =订单类型和背判org业务事务。】
组织层（Organization level）
这实际上定义了SAP中的组织元素，例如:公司代码、工厂、计划工厂、采购组织、销售组织、工作中心等。

举例说明:
假设我们以在特定行业中为负责不同维护工厂的维护费用角色创建一个示例。考虑以下情况:
公司= C1，维修工厂= M1, M2, M3, M4(假设有4个In-charges)。
如前所述，负责维修的主管有权进行下列交易——IW22、IW23、IW28、IW29、IW31、IW32、IW38和IW39，但他无权发布维修指令。
考虑到上述情况,我们将创建一个公用的主角色（common Master role）来维护这4个In-charges：ZMPM_MAIN_IN_CHARGE_ROLE，从角色名称ZMPM我们可以理解，它是一个为维护工厂而自建的主角色（Z Master Role），具有上述所提到的所有权限（value “*”）,但仅限于发布维护秩序的帮助下使用权限对象I_VORG_ORD和删除值:BFRE和字段（field）：BETRVORG；但所有相同水准的组织层都会被分配（比如工厂）

现在，基于这个主角色，我们必须为这4个In-charges单独创建派生角色，例如，对于第一个In-charges，我们创建了一个派生角色ZDPM_MAIN_IN_CHARGE_ROLE_MI1，它引用了上面的主role（ZMPM_MAIN_IN_CHARGE_ROLE）。
这将从主角色（ Master Role ）复制所有事务和权限对象，但不会复制我们在主角色中分配的组织层作业（organizational level assignments），因此，我们需要维护派生角色的组织层（organizational level）【比如Plant P1】。
在这里，一旦我们保存(或生成)主角色以及派生角色，我们就可以将此角色分配给负责指定的用户ID。

详请参考原文链接

SAP权限的几个基本概念：

SAP系统权限：某SAP操作用户能在SAP系统中做哪些操作。比如（大致概念）用户XX-A只能查看物料信息，在SAP系统中就分配事物码MM03给XX-A。SAP的权限控制是控制到字段级的，换句话说，其权限控制机制可以检查你是否有权限维护某张透明表的某一个字段。
（User）：具体操作SAP系统的用户，即登陆SAP Logon输入的用户。使用事物码SU01创建一个新的用户ID，默认的权限是空白的，不允许任何操作。
角色（Single Role）：简单的说就是一个事物码的集合。其中包含了控制事物码操作的“权限对象”、“权限字段”以及允许的操作及允许的值。用事物码PFCG维护。单一角色是相对应复合角色而言的。
角色（Comp. Role）：又叫通用角色，即是多个单一角色的集合。复合角色中可以包含多个单一角色，此复合角色包含了这多个单一角色所控制的权限。复合角色还可以维护具体的“权限对象”、“权限字段”以及允许的字段值及字段操作。用事物码PFCG维护。
角色和复合角色：单一角色好比“IT部员”，复合角色好比“IT经理”，每个IT部员所操作的权限范围不同，而IT经理可以具备多有部员的权限，IT经理的权限就是多位IT部员的权限的一个集合，即在IT经理的权限中添加多为IT部员的权限即可。就是将多个单一角色分配在一个复合角色当中，取并集。
对象（Authorization Object），权限字段（Authorization Field），允许的操作（Activity），允许的值（Field Value）
角色包含了若干权限对象，在透明表AGR_1250中有存储二者之间的关系；权限对象包含了若干权限字段、允许的操作和允许的值，在透明表 AGR_1251中体现了ROLE/Object/Field/Value之间的关系；有一个特殊的权限对象用来包含了若干事务码。这个权限对象叫 “S_TCODE”，该权限对象的权限字段叫“TCD”，该字段允许的值（Field Value）存放的就是事务代码；有一种特殊的权限字段用来表示可以针对该权限对象做哪些操作，是允许创建、修改、显示、删除或者其他呢。该权限字段叫 “ACTVT”，该字段允许的值（Field Value）存放的就是允许操作的代码，01代表创建、02代表修改、03代表显示等；
从权限控制的范畴来看，事务代码属于一种特殊的权限对象；一个事务代码在执行过程中，为了判断某个ID是否有权限执行此事务代码，还可能检查其他若干普通的权限对象。使用SU22来查看某个事务代码包含了哪些权限对象。在透明表USOBX中，存放了事务码与权限对象的对应关系。