课程:授权概念
课程概述
在本课中,术语授权对象、授权配置文件、授权检查和角色将在一个通用上下文中进行讨论。这里的重点是角色维护;也就是说,关于创建一个角色。
课程目标
完成本课程后,您将能够:
• 复制、创建和维护角色
• 维护角色和用户的分配
• 描述工作中心角色的概念
业务示例
用户的授权是使用角色和配置文件创建的。管理员创建角色,系统支持他们创建关联的授权。
授权对象和授权检查
要了解 ABAP 授权概念,您必须对用户主记录中的角色和授权配置文件有所了解。本课程为您提供了创建自己的角色和授权所需的知识。
图 66:授权对象
在基于 ABAP 的 SAP 系统中,操作和对数据的访问受到授权对象的保护。授权对象由 SAP 交付并位于 SAP 系统中。为了提供更好的概述,授权对象被划分为各种对象类。
授权对象允许涉及允许用户执行操作的多个条件的复杂检查。条件在授权对象的授权字段中指定,并为检查进行 AND 链接。授权对象及其字段具有描述性和技术性名称。图中示例中,授权对象User master maintenance:User Groups(技术名称:S_USER_GRP)包含“Activity”(技术名称:ACTVT)和“User Master Record中的User Group”(技术名称:CLASS)两个字段.授权对象 S_USER_GRP 保护用户主记录。一个授权对象最多可以包含十个授权字段。
授权总是与一个授权对象相关联,并且包含授权对象的字段值。授权是在 SAP 系统中执行特定操作的权限。该操作是根据授权对象的各个字段的值定义的。例如:授权对象 S_USER_GRP 的图形中的授权 B 允许显示所有未分配给用户组 SUPER 的用户主记录。但是,授权 A 允许显示该用户组的记录。
一个授权对象可以有多个授权。一些授权由 SAP 提供,但大多数授权是专门为满足客户要求而创建的。
图 67:授权检查
当用户登录到 SAP 系统的客户端时,他或她的授权将加载到用户上下文中。用户上下文位于应用服务器的用户缓冲区(在主内存中,使用事务 SU56 进行查询)。
当用户调用事务时,系统会检查用户是否在用户上下文中具有允许他或她调用所选事务的权限。授权检查使用用户上下文中的授权。如果您为用户分配新的授权,则该用户可能需要再次登录 SAP 系统才能使用这些新授权(有关详细信息,请参阅 SAP Note 452904 和参数 auth/new_buffering 的文档)。
如果调用交易的授权检查成功,系统将显示交易的初始屏幕。根据交易,用户可以创建数据或选择操作。当用户完成他或她的对话步骤时,数据被发送到调度器,调度器将其传递给对话工作流程进行处理。 ABAP 开发人员将在工作过程中在运行时检查的权限检查 (AUTHORITY-CHECK) 内置到要保护的数据和操作的编码中。如果用户上下文包含检查所需的所有授权(返回代码 = 0),则处理数据和操作,并显示下一个屏幕。如果缺少一项授权,则不会处理数据和操作,并且用户会收到他或她的授权不足的消息。这由返回代码的评估控制。在这种情况下,它不等于 0。
所有的授权都是权限。没有禁止的授权。没有明确允许的一切都是禁止的。您可以将其描述为“积极授权概念”。
角色维护:菜单和授权
图 68:角色维护
角色维护(事务 PFCG,以前也称为配置文件生成器或活动组)简化了授权的创建及其对用户的分配。在角色维护中,选择从公司角度来看属于一起的事务。角色维护为在选定事务中检查的授权对象创建具有必填字段值的授权。
一个角色可以分配给不同的用户。因此,对角色的更改会对多个用户产生影响。可以为用户分配各种角色。
用户菜单包括角色菜单并包含通过角色分配给用户的条目(事务、URL、报告等)。
图 69:菜单布局
您可以使用事务 PFCG 或通过选择工具 → 管理 → 用户维护 → 角色管理 → 角色来访问角色维护。输入角色的名称并选择创建或更改图标。选择菜单标签页。
选择和更改功能:可以根据需要为各个角色调整菜单树。
您可以在树结构中插入或删除事务。
通过选择报告按钮,您可以集成报告。在这种情况下,角色维护创建可以调用报告的事务代码(如果它们不存在)。
通过选择“其他”按钮,您可以添加 Internet 地址或文件链接(例如表格或文本文件)。集成文件时,您必须使用存储路径而不是 URL。您还可以指定 BW WebReports,以及到外部邮件系统和知识仓库的链接。
更改菜单:您可以根据需要创建、移动、删除和重命名目录和子目录。您可以在角色维护中使用拖放功能。
图 70:生成授权配置文件
角色维护自动创建与菜单树中指定的事务相关联的授权。但是,如果需要,必须根据实际要求和权限手动检查和调整所有权限值。系统管理员与相应的用户部门一起负责此任务。使用组织级别时,您不会直接在现场进行维护,而是通过 Org.级别...按钮 (Ctrl+F8)。
选择“授权”选项卡页,然后选择“显示授权数据”或“更改授权数据”,具体取决于维护模式。检查授权的范围和内容。
如果系统提出了这些建议,则授权概览中的绿色交通灯表示角色维护已为每个授权字段提供了至少一个建议。黄色交通灯表示授权必须在创建后手动维护。角色维护不提供授权的默认值。此示例处理对文件的访问。角色维护无法猜测数据访问应该只是读访问,还是应该是读写访问。
一些字段出现在许多授权中。因此,许多重要领域被合并到组织级别,例如公司代码。如果您使用“Organizational levels..”按钮维护组织级别的条目,则可以一次性维护那里出现的所有字段。因此,红色红绿灯表示未维护的组织级别。
根据需要维护所有授权后,可以通过选择生成来生成授权配置文件。重要提示:配置文件名称的第二个字符不能是下划线 (“_”)(请参阅 SAP Note 16466)。创建后,此名称无法更改。权限组合在配置文件中。这必须在用户主记录中输入配置文件(通过角色维护),授权才能对用户生效。这称为用户主记录比较。
用户和角色
将用户分配给角色是在角色维护事务(事务 PFCG)或用户维护事务(事务 SU01)中执行的。选择“用户”选项卡页和要在其中维护的用户 ID。选择用户 ID 时,系统使用当前日期作为分配有效期的开始日期;它将 31.12.9999 设置为结束日期。您可以更改这两个值。
图 71:为用户分配角色
用户可以链接到多个角色。如果要跨角色允许某些活动(例如打印),这可能很有用。
为用户分配角色不会自动授予用户相应的权限。要分配权限,您必须首先执行用户主记录比较,在此期间将角色的配置文件输入到用户主记录中。
图 72:用户主记录比较
用户主记录比较根据当前用户的角色分配确定是否应向当前用户添加或删除授权配置文件。在比较期间,由于已添加角色,配置文件被添加到用户主记录。如果手动删除角色分配或根据时间删除角色分配,则会从用户主记录中删除相应的授权配置文件。
可以对每个角色单独进行比较。在角色维护中选择角色。选择用户标签页,然后选择用户比较。在系统弹出的对话框中,选择“完成比较”。
如果要更新多个角色分配,您可以在角色维护中通过选择实用程序→批量比较(事务PFUD)进行相应的比较。 您可以单独指定所需的角色,或通过输入星号 (*) 字符来更新所有分配。
您还可以通过选择实用程序 → 批量比较来激活角色维护中的定期用户主记录比较。选择选项计划或检查作业以进行完全协调。然后系统显示后台作业 PFCG_TIME_DEPENDENCY 的搜索窗口。如果它没有找到相应的工作,你可以创建一个新的。默认值是每天比较一次所有用户主记录。
附录:Solution Manager 环境中的特殊角色
正如在 SAP 解决方案管理器的管理中心课程中所解释的,在 SAP 解决方案管理器系统中使用了一个额外的角色概念,工作中心角色。这显示在工作中心。
但什么是工作中心角色或工作中心本身?
• 在之前的授权概念中,标准角色是在事务 PFCG 中创建的。这是为了让管理员更容易维护,同时也为最终用户捆绑日常任务。这意味着例如用户的仓库活动所需的所有交易都已经捆绑在一起,并且具有逻辑结构。该结构称为角色菜单。如果将角色分配给用户,他或她可以查看用户菜单中的内容(所有角色菜单的捆绑)。
• 如果我们现在将其与工作中心角色进行比较,概念几乎相同。在这种情况下,还为用户捆绑了需求和主题领域。工作中心角色的菜单也可以在用户菜单中查看;但这不用于导航。通过 Web 用户界面 (Web UI) 中的中央应用程序调用该菜单,即工作中心。用户界面在事务 SOLMAN_WORKCENTER 中调用。分配的工作中心角色的内容控制显示(通常,这些是 web dynpro 应用程序)。每个在 UI 中都有一个单独的标签页。只需点击标签页中的相关区域即可调用标签页的内容。
在 SAP 解决方案管理器系统中,工作中心自 SAP NetWeaver 7.0 SPS 15 版起作为一项功能提供。在此支持包级别之前,所需的功能和程序是通过 SAP 或用户菜单直接调用(而不是通过 Web dynpro 用户界面)。 SAP 为工作中心提供的角色很容易通过命名约定“SAP_SMWORK*”来识别。
SAP Note 834534 是对该主题的一个很好的介绍。该说明包括附件,例如 ZIP 文件,以及角色定义示例等。在很多情况下,相关注释列表也非常有用。
解决方案 12:使用角色
任务 1:复制角色模板
复制角色模板并将其分配给用户。
1. 选择已交付的单个角色 SAP_BC_ENDUSER,并将其完全复制到您自己的角色 BC_ENDUSER<##>。
a) 启动事务 PFCG。将光标放在角色的输入字段上。使用 F4 帮助选择提供的单个角色 SAP_BC_ENDUSER。选择复制角色按钮。在出现的对话框中,在 to role 字段中输入 BC_ENDUSER<##>,然后选择 Copy all。
2. 检查分配给具有该角色的用户菜单的事务。
a) 在事务 PFCG 的初始屏幕中,从角色 BC_ENDUSER<##> 的菜单中选择更改按钮或角色 → 更改。切换到菜单标签页。显示交易代码(选择放大镜按钮,打开技术名称)并打开 Basis Functions 文件夹。
3. 检查角色的权限,必要时保持开放的权限。
a) 选择授权标签页,然后选择更改授权数据。检查角色的授权并在必要时保持开放的授权,例如通过单击顶部的黄色交通灯图标并确认系统查询是否应使用 Execute 分配完全授权。通过选择生成来生成并保存您的配置文件设置。在此过程中接受建议的配置文件名称。通过选择返回离开 Change Roles: Authorizations 屏幕。
4. 将角色分配给用户 ADMIN<##> 并保存您的设置。
a) 选择用户标签页并在用户 ID 字段中输入 ADMIN<##>。保存您的设置。但是,尚未执行用户主比较(下一个子任务)。
如果用户 ADMIN<##> 不存在,请在新会话的事务 SU01 中创建一个具有此名称的用户。
5. 执行用户比较。
a) 选择用户比较,然后选择完整比较。返回 PFCG 的初始屏幕并保存仍需要的所有数据。
任务 2:(可选)创建您自己的角色
创建自己的角色。
1. 为角色分配名称 MONITORING<##>。
a) 启动事务 PFCG。在角色的输入字段中输入 MONITORING<##>,然后选择 Create Single Role。
2. 为角色菜单选择事务 SM50、SM51 和 SM04。
a) 选择菜单标签页。选择事务按钮并输入事务 SM50、SM51 和 SM04。然后选择分配事务。
3. 检查角色的权限,必要时保持开放的权限。
a) 选择授权标签页,然后选择更改授权数据。检查角色的授权并在必要时保持开放的授权,例如通过单击顶部的黄色交通灯图标并确认系统查询是否应使用 Execute 分配完全授权。以与上一个任务相同的方式生成配置文件,并在此处也接受建议的配置文件名称。通过选择返回(左侧的绿色箭头图标)保存并退出更改角色:授权屏幕。
4. 将角色分配给用户 ADMIN<##>。
a) 选择用户标签页并在用户 ID 字段中输入 ADMIN<##>。
5. 执行用户比较。
a) 选择用户比较,然后选择完整比较。
任务 3:使用事务 SU01 分配角色
在事务 SU01 中为用户分配角色。
1. 检查用户主记录 ADMIN<##> 分配了哪些角色和配置文件。
a) 开始事务 SU01。在用户字段中输入名称 ADMIN<##>,然后选择更改按钮。选择 Roles 选项卡页并检查是否输入了角色 BC_ENDUSER<##>(这是在本练习的任务 1 中完成的)。选择 Profiles 标签页,检查是否输入了对应的 Profile。
2. 使用事务 SU01 将角色 ZPFUD 分配给用户 ADMIN<##>。只有在用户主记录中处于更改模式时才能执行此操作。
a) 选择 Roles 选项卡页并在 Role 字段中输入 ZPFUD 并按 ENTER 确认。保存您的条目。
3. 在主记录中,输入您在用户管理基础课程中创建的用户组 ADMINTEAM-##。这个设置有什么作用?
a) 登录数据标签页:
在用户组下输入 ADMINTEAM-##,然后保存。此设置意味着主数据只能由具有用户组必要权限的用户访问。
任务 4:检查用户
检查用户 ADMIN<##>。
1. 使用用户 ADMIN<##> 和您选择的密码登录 SAP 系统,并检查该用户是否可以执行您分配的事务。
a) 使用您的 ADMIN<##> 用户登录到 SAP 系统。切换到用户菜单并执行一些分配的事务。
原文下载:
1170
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
