• 用户ID共享控制
• 在一个共享组中，挑选出一个用户ID负责人 • 当一个用户ID共享组中某个用户离开系统时，用户ID的负责
人必须立即申请重新设定密码 • 权限管理员应该对于生产系统中的用户进行定期的检查，对
部门职责 ➢ 业务部门：
负责指定本部门的权限规范者，权限审批者； 负责填写，规范和审核《SAP权限申请表》 对权限申请后形成的业务结果负责 ➢IT系统部门： 负责制定R/3系统系列管理规范 负责对新增用户的审批，从而管理控制系统中的用户数量 负责提供对业务部门权限规范者的咨询、支持和培训 负责对业务部门权限规范者提供的规范结果进行技术审查，并完成R/3系统内的权限 配置工作 负责对系统中用户及用户权限定期进行审核 对R/3系统的数据安全、系统安全负责
SAPERP权限管理[1]
用户权限管理—职责与流程
➢权限审批 权限审批者接到权限规范者递交的《SAP用户权限申请表》，从全局考虑，把握业务需求的 正确性，对本部门的业务需求及权限规范结果进行签字认可 如果需要申请非本部门的操作或查询权限，权限规范者需将经本部门权限规范者审批通过的 《SAP用户权限申请表》，送交数据所属部门的权限规范者，由数据所属部门的权限审批者 进行审批 如果为新增用户，要由IT部门负责人进行审批
SAPERP权限管理[1]
用户权限管理—职责与流程
用户管理维护流程
➢权限确认及反馈： 权限规范者在接到权限配置完成的信息后，应及时通知相关用户，并督促用户在3个工作日 之内测试申请的权限，如有问题，由权限规范者统一反馈给权限接口人。 如在3个工作日之内无问题反馈，权限管理员则视此权限设置正确，如以后再发现此问题 将需要重新递交权限申请。
SAPERP权限管理[1]
用户权限管理—职责与流程
R/3系统权限申请流程 ➢需求提出：
业务部门根据实际业务需要，需要增加、修改或者减少R/3系统用户的权限时， 即可提出R/3系统权限申请 ➢填写申请： 申请者根据实际业务需求，在权限需求栏详细填写《SAP用户权限申请表》， 向本部门的权限规范者提出申请 ➢权限规范：
权限的概念---用户
用户 IDs基于业务要求而被分配给各适合的角色 用户可以运行他们所属角色中的各种事务代码
例如:
张三 角色: 会计
仓库保管员员
TCODE1 TCODE2 TCODE3
TCODE4 TCODE5
李四 角色: 会计
经理
TCODE1 TCODE2 TCODE3
TCODE10 TCODE11 TCODE12 TCODE13 TCODE14 TCODE15
用户ID共享 创建用户ID 用户密码重设 用户ID的锁定及解锁
SAPERP权限管理[1]
用户权限管理
第1-2位 常数 JT
数字
用户ID命名规则 第3-10位
保留
SAPERP权限管理[1]
用户权限管理—用户主数据
• 用户主数据用于存储用户地址信息、登陆数据以及权限数据。 最终用户应该用事务代码su01在系统中维护相关的信息： 如地址、通讯方式等关键信息将用于用户的分类、识别以及便于实现如查
它允许或禁止用户在系统中进行操作 和处理事务
SAPERP权限管理[1]
权限的概念
SAP 授权概念
在缺省状态下，所有用户最初是没有执行 任何事务的权限的
通过各种授权赋予执行事务的权限 一个用户可以执行的事务数量反映出其授
权的大小
SAPERP权限管理[1]
权限的概念
SAPERP权限管理[1]
权限的概念
权限规范者接到本部门用户的《SAP用户权限申请表》，与申请者及相关人员 进行必要沟通专业术语，准确描述本部门的权限需求，在《SAP用 户权限申请表》中“权限规范者填写部分”填写，完成权限规范，并送交本部门 的权限审批者进行审批
SAPERP权限管理[1]
用户权限管理---基本角色描述
• 权限管理员
• 授权管理
• 权限参数文件及角色的增加和修改 • 对已分配给用户的权限与所批准的权限是否一致进行周期性审
查 • 向用户主数据分配SAP角色
• 用户账户管理
• 受理用户ID申请 • 增加和修改用户主数据 • 终止用户ID
SAPERP权限管理[1]
SAPERP权限管理[1]
权限的概念----授权对象
SAPERP权限管理[1]
权限的概念----授权对象
例如: 事务 MIRO – 发票凭证
用户必须具有下列对象才能够运行事务代码….
这些对象是进入并运行事务代码必需 的钥匙
SAPERP权限管理[1]
权限的概念----对象参数
对象参数
SAPERP权限管理[1]
➢文档维护： IT部门权限管理员完成权限设置以后，应该同时维护相关权限文档。
用户审核流程 各部门权限规范者应在一年中对于本部门的系统用户进行两次的审核，审核内容包括： 每个用户的权限是否有所变化，是否有已经离职或停用的用。 各个部门的权限规范者将本部门变动的情况提交给IT部门，由IT部门进行系统内的变动 调整。
用户权限管理—用户ID管理注意事项
• 终止用户ID有时十分敏感， 因此在实施前，应先实施相应安全措施，以避免 系统遇到潜在威胁。
• 终止用户ID的流程需要多个用户组的协调工作 • 用于用户主数据模板的用户ID将被保存，以用于简化将来的用户管理流程。 • 用户SM37负责检查用户ID是否有进行后台工作 • 用户ID终止的3种情况
SAPERP权限管理[1]
用户权限管理—职责与流程
权限规范者应具备三方面的基本条件： ➢熟悉本部门业务相关的流程、术语 ➢熟悉权限规范的工作流程 ➢认真负责，能够坚持原则 权限规范者的基本职责： ➢负责并管理本部门的操作用户和查询用户 ➢能够及时调整新到岗人员系统用户权限的增减及离岗人员用户的删除 ➢严格控制本部门R3用户查询及操作系统中数据的范围，从而保证系统的安全性 ➢按照系统用户管理规范的要求，定期对本部门的用户个数和各用户的权限进行审核
找、修改、报告等功能的用户管理。 • 系统管理员应该统一用户界面，以便最终用户使用
• 登录语言: ZH • 日期格式: YYYY/MM/DD • 十进制符号: 1234567.89 • 输出设备: 根据实施地点预先设定 • 开始菜单: 遵从角色菜单，同时多余菜单应删除 • 参数: 根据每个功能的要求预先设定主要组织参数，以便于业务
流程运行
• 对于临时用户，系统管理员应根据用户类型设定用户主数据有效期
SAPERP权限管理[1]
用户权限管理—用户主数据
用户组-最终用户在登陆时，选择自己所在的用户组，也方便系统管 理员的管理。
用户组也可以用作查找标准，以便于用户管理。例如：查找财物功能 组，使用“财务”组；查找已锁定的用户ID， 使用“临时雇员”组 。
进入一个 SAP 事务代码 就好象….
从一扇 门 进入一个房
间
Transaction
授权对象
授权对象 就是开门的 钥匙
SAPERP权限管理[1]
权限的概念----授权对象
运行事务代码需要先具
备所有的授权对象! (即整套钥匙)
授权对象1
授权对象3
授权对象2
授权对象5
授权对象4
即使只缺少一个对象
，用户都不能够运行 事务代码
SAPERP权限管理[1]
用户权限管理—职责与流程
开始
业务人员 权限申请
权限规范者 接受申请
内部顾问
规范者规范
权限申请报告 审 批 通 过
递交业务人员
所属部门
IT负责人 对申请 进行审批
权限管理员在系统中 配置权限
业务人员： 权限申请者
反馈给权限 规范者
审批未通过
审批者 审批
不批准增加用户
SAPERP权限管理[1]
权限设置
权限设置
SAPERP权限管理[1]
内容
1 权限概念 2 权限设置 3 权限特殊功能技巧介绍 4 用户权限管理
SAPERP权限管理[1]
权限特殊功能技巧介绍
SU01－用户维护 SU02－参数文件 SU24－维护事务权限对象的分配 SU3－维护用户参数文件 SUPC－参数文件的批量生成 SU53－显示用户的权限数据 ST01－系统轨迹跟踪 PFCG－职责维护
➢递交申请 权限规范者将经过审批后的《SAP用户权限申请表》，统一递交IT部门权限管理员。 权限管理员只受理业务部门指定权限规范者递交的、并经权限审批者批准的《SAP用户 权限申请表》的文件
➢权限配置 IT部门权限管理员接到《SAP用户权限申请表》，并确认无误后，在三个工作日内完成 权限设置，并通知权限规范者检查使用
SAPERP权限管理
2020/10/31
SAPERP权限管理[1]
内容
1 权限概念 2 权限设置 3 权限特殊功能技巧介绍 4 用户权限管理
SAPERP权限管理[1]
目标
• 掌握R3系统权限的概念 • 掌握系统中权限的设置 • 掌握和权限相关的事务代码 • 了解用户权限的管理 • 掌握用户申请权限的流程和处理方式
SAPERP权限管理[1]
权限的概念
SAPERP权限管理[1]
权限的概念---角色
事务基于“角色”进行分组
角色是指在业务中事先定义的执行特殊职能的工作
例如，在下面的事务中有两个角色 ：
总账会计角色
事务:
MMRV
MMPV
ZOB52
物料管理员角色
事务:
MM01
MM02
MM03
MM60
SAPERP权限管理[1]
用户权限管理---基本角色描述
• 系统维护人员
配置人员 在开发系统中，进行配置调整工作； 在测试系统中，进行测试工作； 在生产系统中，进行查看数据工作；