SAP权限的架构
• 例外权限﹕这是公司创造的名词。当一 个USER除了其职位一般所需的权限外﹐ 还需要一些的权限﹐我们把这些权限称 之为这特殊个USER的例外权限。 例如开工单对主管来是其职能应有的 权限﹐但对仓库来说就是例外权限。
Role的命名和分类
Role的命名规则和分类如下: 以“G+”开头的都是Template Role(模板)﹐都 不会直接assign给userid。
Role的建立—完全新建
在这里﹐需要向大家介绍一个很重要的概念﹕Org.level. 在权限设定中﹐有许多地方的控制点是一致的﹐sap公司 为了方便权限的设定﹐把这些地方设计为与全局变数关 联。当改变全局变数时﹐这些地方就可以全部改变过来。 这个全局的变数就是﹕Org.level
Role的建立—完全新建
Role的建立—完全新建
直接添加﹕ 所有T CODE(包括外挂）和没有T CODE的标 准程式都可以用这种方法添加。好处是 比较快 缺点是必须知道T code﹐不能带出路径。
Role的建立—完全新建
从SAP菜单添加
Role的建立—完全新建
Role的建立—完全新建
Role的建立—完全新建
Role的建立—完全新建

以“Y+”开头都是Basis Role,直接assign给 user id。

Y+职能名称
:全球共同Basis Role
Role的命名和分类
附件是一张/Rolename对照表 我们以其中一个职能“AR作业人员”做解 释。
A/R 作业人员 CO-AR G+CO-AR G+CO-AR-1 Y+CO-AR
Role的建立
新创建Role主要有三种方式。T CODE ﹕PFCG 1.由始至终新建; 可以对应所有新建Role。主要对应例外权限 Z+USERID+EXCEPTION 2.继承; 主要对应设定Z+USERID+职能名称 3.复制（COPY）﹔ 主要对应设定Z+USERID+职能名称-1
Role的建立—完全新建
SAP权限的架构
SAP User account -Address -Logon data -Group ............ Assign to Role template -Description -Menu -Authorizations …………… Bind with
这是SAP权限的架构 图﹐大家也接触过。 请大家记住它们之 间的关系。
我们假设有一个账号 “FORTEST”, 他申请了例外权限 VA01和YF30。 下面我将会一步一步向大家说明操作 的步然和应该注意的地方。 看到PFCG的画面了吗﹖没有﹖ 哦﹐在下一页。
Role的建立—完全新建
输入Role name
注意选第二项
Role的建立—完全新建
描述一般与Role name一致
Role的命名和分类
User Role﹕是指根据每个user的具体需求 进行设定的权限Role.

命名特征是﹕
“Z+”USER ID开头（东莞﹑台湾地区） “W+” USER ID开头（吴江地区）

例如“Z+PSC1-ACT01+CO-CO”
全球共同Basis Role﹕是指此职能关系到 整个系统的安全的那部分权限的Role.
G+职能名称 G+职能名称-1

﹕全球共同Template Role ﹕地区Template Role
以“Z+”开头都是User Role,直接assign给user id。
Z+User ID+职能名称 :继承全球共同Template Role Z+User ID+职能名称-1:继承地区Template Role Z+User ID+Exception :没有继承任何Role,例外权限
权限设定者分工
二.以USER ID分 从USER ID可以区分出这个ID所属的厂别和 模组。 例如﹕PSC1-ENG01这是PSC1厂的帐号﹐属 于PP模组﹐所以这个帐号申请的权限将 由东莞PP模组的MIS主要负责和监督。
权限设定者分工
三.以所申请的权限归属的模组分 由于user所申请的权限通常涉及多个 模组﹐这就需要多个模组的MIS共同合作 设定user的权限﹐这时先按第二条执行, 由ID所属模组MIS接受申请﹐并从始至终 跟进。然后具体的权限属于哪个模组就 由那个模组的MIS作设定。 但无论如何﹐作为跟进的MIS都是负 主要责任的。
点击USER,Assign USER ID给这个Role
当 Org.Level 给值后﹐ 相应的 Object value的值 也变了
Role的建立—完全新建
对Org.Level都给值之后﹐会发现相当一部分 的Object value都已经给值了﹐但还有一些 Object是红灯或者是黄灯﹐这些Object是要单 独给值的。
Role的建立—完全新建
按一下 存 标志﹐就可以输入值﹐按 保
Role的建立—完全新建
变为 后﹐按屏幕上方的﹐插入Object. 注意﹕外挂的T code﹐除了前面所说的 列表中要有外﹐这里框住的地方要给T code﹐否则user还是不会有权限
Role的建立—完全新建
都给好值后﹐按 保存﹐按“勾”。
然后按
激活。退出。
Role的建立—完全新建
Authorization已经变成绿灯﹐这表示权限 的设定已经可用了。
SAP权限的架构
• Profile: 真正记录权限的设定的文件﹐从 sap4.0开始是与Role绑定在一起的。虽然在 sap4.6c还可以单独存在﹐但按sap的行为推 测﹐以后将不可能“一个人活着”。 • Template Role:Role的模板﹐一般是single role.但这个模板有一个强大的功能﹐能通过 更改模板而更改所有的应用。(sap称为 Derive“继承”）此模板的 ROLE(sap称之为 adjust)
USER ID 的建立
T CODE ﹕ SU01
1 2
输入要创建的User ID 单击建立图标
USER ID 的建立
填好这些栏位
USER ID 的建立
设定初始密码 设定组别﹐这对MIS非常重 要﹐MIS能否管理此User ID就看这里
有效期一般不设定
USER ID 的建立
按图设定（印表机按实际设定）
职能中文名称 职能英文名称 全球共同Template Role 地区Template Role 全球共同Basis Role
Role的命名和分类
全球共同Template Role ﹕是指职能在任何一个地区都一致的那部分权限 的模板。 命名特征是以 “G +”开头﹐非“-1”结尾。 例如 “G + CO – CO ” 地区Template Role ﹕是指此职能根据不同地区而不同的那部分权限 的模板 命名特征是 “G+”开头﹐“-1”结尾。 例如 “G + CO – CO – 1 ”
Role的建立—完全新建
请大家按图所示建立目录 ﹐第一层是职能﹐这里是 EXCEPTION﹐下面分“标准”(Standark)和 “外挂” (Add On) 两个目录 。 让菜单保持清晰﹐可以令User的个人菜单清楚﹐不混乱。 我们MIS检查权限也比较方便。
Role的建立—完全新建
大家可以对比 下面两个USER 的个人化菜 单﹐左边职能 清晰﹐右边非 常混乱﹐同名 的目录 大量出 现﹐但里面的 內容又不尽相 同﹐这对依赖 路径执行指令 的user是很麻 烦的。

命名特征是 “Y+” 开头 例如 “ Y + CO – CO ”
权限设定者分工
一.以Role类型分 1.Template Role 即“G”开头的: 台北本部的AP MIS er Role: 以Z开头的:东莞AP MIS 以W开头的:吴江AP MIS 3.Basis Role: 即以Y开头的:台北和东莞Basis MIS
记录此Role的创建者
记录此Role的最后修改者
把描述填好后﹐按save
然后点击menu页签
Role的建立—完全新建
Menu页签定义的是USER MENU（个人化菜单）的內容。
建立新目录 修改TEXT 项目下移 项目上移 删除项目
这些是常用的功能
手动增加T code 从SAPMenu中增加T code 从其他Role中Copy Menu
SAP 权限的设定
QiQi V
张颖棋
内部教材 CONFIDENTIAL
目录
1.总述 2.职能/Template Role/设定的分工 3.三种不同的常规权限的设
总述
1.在开始学习之前 2.SAP权限的架构
在开始学习之前
在开始了解权限前,有几点是要大家注意的： 1.权限设定非常重要﹐而且权限的DEBUG操作非 常繁锁,耗时,所以请大家设定时一定要非常谨 慎,每次更改都要记录。 2.权限设定除非特殊情况﹐不允许在正式环境直 接修改﹐请在测试环境修改好再传到正式环境。 3.MIS不是决定user权限的人﹐而是user大大小 小的leader﹐所以﹐要变更权限设定﹐务必要 求user提供经过申核的申请表。（当然﹐对 user不合理的权限要求﹐MIS也有责任退回） 4.权限的设定,是MIS的工作.（废话）所以﹐本 教材是MIS內部教材﹐请不要随便泄露。
在这里介绍一下 的作用﹐点击它﹐就相当于 给这个Object一个 “*”(star)﹐“*”的意义是 All Authorization﹐不卡任何权限。Object给值 后﹐就变成绿色 ﹐不能点击了。
Role的建立—完全新建
如果是外挂的T code﹐就只能用“直 接添加”的方式加入到菜单中﹐需要注 意的是﹐外挂的T code的Object不会自 动带出来﹐需要自己手工添加。 按 ﹐点击Y-AUTH-PRT前的