SAP系统内的权限管理是以“角色/Role”这一概念展开的,一个“角色/Role”上分配了体现权限的一组“事务代码/T-Code”和体现限制的授权“参数文件/profile”。
用户的权限是指用户能够访问哪些资源或执行哪些任务(或功能)的范围,从控制的角度考虑用户在SAP系统中所拥有的权限是否超出了其工作需要;日常工作中对用户账号进行授权时,应依据需求导向及最小授权原则,对于用户的权限,以其实际工作需要为依据且仅应当授予其能够完成工作任务的最小权限。
1. SAP权限控制的分类
SAP的权限控制可以从逻辑上定义为“功能权限控制”和“数据权限控制”。
1.1 功能权限控制
功能权限可以理解为赋予用户某个角色“ 角色->事务代码->授权字段->值(创建、删除、显示等)”,用户可以访问而且只能访问自己被授权的功能。
【场景举例】
给 USER01 赋予“人力资源经理”角色,“人力资源经理”具有“查询员工”、“添加员工”、“修改员工”和“删除员工”权限。此时 USER01 能够进入SAP系统进行HR模块的这些操作;如果 USER01 没有被授予“人力资源经理”角色,此时就不能进行这些操作。
1.