关于SAP权限对象的一些总结

已于 2024-07-22 14:55:17 修改
阅读量2.9k 收藏 39
点赞数 25
分类专栏: SAP 文章标签: 服务器 数据库 运维开发
于 2024-07-22 14:43:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45727515/article/details/140601480
版权

目录

权限对象的理解

简单来说就是,用户A能不能做某件事。
这件事可能是程序的使用,报表的查询等等。
SAP通过权限对象、权限字段、操作、组织级别等信息来控制。
例如,用户A想通过事务码VA01来创建1001公司(销售组织)的Z001类型的订单。
首先,系统会检查A有没有T-code = VA01 的权限;
其次,在输入1001和Z001后点击执行,这里会检查权限字段Object = V_VBAK_VKO,ID = VKORG,是否允许值为1001;以及V_VBAK_AAT的AUART是否允许Z001。

如果某个程序里设置了诸如“修改”、“查看”等按钮,可以在权限Activity里对应为具体操作,从而实现:用户A只能查看,而不能修改。
权限里最重要的就是权限对象。

相关的底表

对顾问而言,通常用Users表查看user下的role,然后去1251表根据Role = XXX and Field name = TCD,检索出事务码,最终得到用户——事务码的关系。
AGR_1250,Authorization data for the activity group
1250表
AGR_1251,Authorization data for the activity group
1251表
AGR_USERS,Assignment of roles to users
user表

如何找到权限对象

有时需要精确的定位到权限对象、权限字段来检查,这就需要找到对应的权限对象。
如果不清楚前台某个字段对应的权限字段,
1.可以SU24按事务码去查所有的对象,然后自己进行判断,哪个字段是想要的。
2.可以在SU21按表来搜索,比如销售订单检查的字段,可以输入VBAK来查找,得到V_VBAK_VKO这个字段,会检查销售范围。
在不清楚具体控制点时,最好是顾问和开发共同确认。

按事务码

T-code = SU24,
不止可以用事务码来查找,但大多数情况下是按照事务码。
SU24界面

按类/对象

T-code = SU21,进来后长这样
SU21界面
下图是举例说明查找销售订单上的检查字段,用VBAK来查找,发现会检查这个Object。
SU21查找样例
另外,如果需要自开发权限对象,可以用“Create”按钮创建,把权限字段包在对象类文件下面。

权限对象的使用-顾问

对顾问而言,需要清楚知道自己的程序要如何检查权限,并写进FS里。
需要注意的是,有些自开发程序,很多顾问完全不设置权限检查,仅仅在PFCG里给上事务码的权限就结束了。
这种做法很不合理,也会导致许多问题。正确的做法是顾问要根据实际业务来精确的控制好权限,确保程序与数据的隐私性、安全性。这就需要合理的使用权限字段。

权限对象的使用-开发

作为开发,按照给出的FS进行编写即可。
一般的检查代码:
AUTHORITY-CHECK OBJECT 'V_VBAK_VKO' ID 'VKORG' FIELD GT_001
如果程序里有穿透功能,不要忘记和顾问一起关注穿透部分的权限。

PFCG与权限对象

实施项目时,90%的情况是在PFCG的菜单里加上事务码,然后去生成参数文件即可。
实际上,只要在参数文件有的事务码(下图红色圈出),都可以使用,而如何把事务维护到文件里,目前我知道的有三种。
1.正常通过PFCG的菜单去添加,如下图SE38、ZSD301;
2.参数文件里手动添加,如下图ZSD311;
3.权限对象里通过S_TCODE挂上事务码,如下图VA01-VA01(这里是我维护的范围form VA01 to VA01,可以单值也可以维护范围,自由选择),是挂在ZSD301的权限对象下的。
参数文件
因此,在菜单界面只会看到SE38和ZSD301,但拥有该角色的用户是可以使用VA01与ZSD311的。
菜单界面
小结
强烈建议用第一种方法,也就是从菜单里添加。
第二种手动添加相当于在走后门,尽可能不要使用这个方法,因为在菜单里看不到。
第三种在S_TCODE里挂事务码也尽量不要用,有些事务码不被允许这样做,即便这样做了也不好用,特别是带有组织级别的事务码,在这里无法分配到,也不会有任何提示。导致用户可能难以发现问题。
如果你非常清楚某个事务的权限控制逻辑,可以用第三种方式,但最佳的还是方法一。

S_TCODE权限对象

最后介绍一下S_TCODE这个权限字段。
标准功能的事务码都会包含这个对象,但Proposal是No。
可以手动改成Yes,双击该行就可以对他进行赋值了,Field Name = TCD,按需挂上自己想要的事务码就可以了。
挂上后在PFCG就会显示为上面讲到的“VA01-VA01”
SU24维护S_TCODE
要注意的是,
1.这个地方不会检查组织级别,如果实际上是有限制组织级别的(如MMBE要求输入工厂),在这里添加上也没有作用,分配给角色、用户也用不了。
2.如果你先在PFCG做好了角色,又去S_TCODE改值,那么PFCG不会同步,也不会异常,但现有的参数文件里不存在你后改的值,需要用专家模式重新生成一次。
用专家模式重新生成PFCG

SAP-ABAP:SAP 权限对象与角色详解
baidu_35680696的博客
03-14 489
SAP权限管理通过权限对象定义访问规则,角色整合这些规则并分配给用户,参数文件则是权限的最终载体。合理配置角色和权限对象是确保系统安全与合规的关键。定期审计和遵循最小权限原则能有效降低安全风险。Q:权限冲突如何解决?
SAP-ABAP:SAP 权限对象创建详解
最新发布
baidu_35680696的博客
03-14 938
创建SAP权限对象需通过SU21定义对象结构,SU20维护字段,SU24关联事务代码,最终在PFCG角色中分配权限值。在SAP中,权限对象(Authorization Object) 是权限控制的核心单元,用于定义用户执行操作或访问数据的具体条件。• Object Name:输入自定义权限对象名称(以 Z 或 Y 开头,如 Z_MAT_EDIT)。• Existing Fields:选择已存在的权限字段(如 ACTVT)。将权限对象分配给事务代码,确保在角色维护(PFCG)时自动建议权限
sap权限对象的创建和使用
12-30
这是一篇sap权限对象的创建、设置的文档,同时伴有abap使用权限对象的代码,说明权限对象的使用方法。
ABAP开发-权限控制
weixin_52203666的博客
12-24 1193
SAP系统权限:某SAP操作用户能在SAP系统中做哪些操作通俗来讲就是,用户A只能查看物料信息,在SAP系统中就分配事务码MM03给A,SAP权限控制是控制到字段级的,即:其权限控制机制可以检查你是否有权限维护某张透明表的某一个字段用户User:具体操作SAP系统的用户,使用事务码SU01创建新的用户ID,默认的权限是空白的,不允许任何操作角色:权限管理系统中的一个中间层,用于将用户与权限关联起来。角色通常代表了一组具有相同职责和权限的用户集合。
SAP 权限对象
qq_36952606的博客
05-30 4102
SE38创建权限检查程序或者SM30创建维护视图——SE93创建对应程序或者视图的事务代码。授权对象层次关系:授权对象分类—授权对象—授权对象字段。如果单据因ACE权限未查询到则先查看T-CODE——ACE_RUNTIME是否有权限。无组织架构权限的单据类型:AT_ACE1_OBF_FILTER。查看ACE权限控制程序内容:ZCL_LES_ACE_AF*点开用户——再点击更新所选用户的上下文(对象、类)同样点中回复对象的单据——点击更新所选用户的上下文。—分配角色到用户——AGR_TEXTS—角色描述。
SAP自定义权限对象
weixin_33827731的博客
11-08 804
      SAP系统自带了很多的权限对象,每一个运行画面都有非常多的权限用到。不过标准的权限对象并不一定适合于用在客户自己开发的程序里面,所以每个ABAPer都应该会自己开发一套权限对象,并引用在程序代码里面。一旦有账号需要赋予权限,直接用SAP系统标准的角色权限配置就可以了。       SAP权限对象一整套流程如下: SE11:创建Domain/数据类型 SU20:创建权限字段(非...
SAP进阶:再论SAP权限
xiang37的专栏
11-11 293
直观的说,权限就是“某人能干某事”和“某人不能干某事”之合。在SAP系统中,用事务码(也称交易代码、或者TCODE、或者Transaction Code)表示一个用户能干的事情。比如MM01这个TCODE是用来维护物料数据的、MIGO是用来收货的、FS00是用来维护会计科目的等。   用SU01新建一个ID时,默认的权限是空白,即这个新建的ID不能做任何事情,不能使用任何事务代码。这样只需...
SAP权限对象的校验
weixin_33755847的博客
03-25 1733
什么是权限对象?还是直接打开SAP用事务码SU21看看权限对象长什么样子使用事务码SU21可以查看SAP系统中所有的(系统自带的or自定义的)权限对象,【权限对象】中配置了【权限字段】现在我们看到了权限对象是什么东东,那么,我们如何在代码中对权限对象进行检验,从而做到对不同的权限,进行不同的编码呢?第一、我们SAP系统中有2个用户,用户名分别是TEST0...
SAP 权限对象的学习总结
m0_45846097的博客
06-03 668
SAP 权限对象的学习总结
SAP权限对象运作及机制
06-16
SAP权限对象运作及机制 从建立Domain,Data Element到权限字段,权限对象,交易代码及程序协作
sap新建权限对象操作手册
08-31
总结来说,创建SAP自定义权限对象的过程涉及多个步骤,包括定义域和数据类型、创建权限字段、创建权限对象、在程序中应用权限对象、创建事务代码、分配权限对象以及维护权限值。通过这个流程,你可以为自定义的ABAP...
SAP 自定义权限对象
难得糊涂
11-22 1055
SAP 自定义权限对象 SU20 SU21 PFCG SUIM...
SAP权限对象相关知识详解(表USOBT & TSTAVT)<转载>
qq_55488207的博客
07-19 1227
权限允许您使用SAP系统中的某些功能。每个权限都与权限对象相关,并为权限对象中包含的每个权限字段定义一个或多个值。权限被分为在用户主数据中维护的参数文件。提供要检查的一个或多个事务代码。下面的示例为ME21N。如何仅通过SAP中任何事物的名称来了解其权限对象?如何在SAP中查找与事务代码相关联的权限对象?后面省略了,直接看原文章吧(懒了。如何在SAP中按流程范围获取权限对象?如何获取SAP所有作业的权限对象?如何查找权限对象的不同作业类型?什么是SAP权限对象?本文将讨论以下内容。
SAP权限对象的使用
document_hk的博客
11-21 1193
SAP在创建完或者直接使用系统存在的权限对象,下面介绍下使用的方法: 在程序中点击“模式” 将权限对象输入到文本框里面之后执行 这里需要注意的是,图片的权限对象的字段判断的是前台选择屏幕的值,因为前台的值是区间,并不是单值,所以需要LOOP循环来进行判断内表的每一项的数据是否有权限。如果说有不需要验证的权限对象字段的话,要使用“DUMMY”来进行“绕过”,避免需要验证。 ...
SAP 新建权限对象
谁的博客来着?
10-11 2996
选择屏幕上有三个字段,业务需要使用自定义权限对象将同一个选择屏幕的不同功能分配给用户
SAP权限对象设计与权限检查
qq_36296311的博客
01-31 2406
SAP权限对象设计与权限检查
SAP权限创建指南:ABAP报表中的权限判断与对象设置
SAP环境中,权限管理是至关重要的一个环节,尤其是在ABAP...对于复杂的权限需求,可能还需要结合SAP权限管理系统(如角色、权限集等)进行深入配置。掌握这些基本操作,能够提升SAP环境中的权限管理效率和精确度。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值