2018 08 02 許可權管理筆記

首先介紹一下sap許可權的幾個基本概念：

* sap系統許可權：某sap操作使用者能在sap系統中做哪些操作。比如（大致概念）使用者xx-a只能檢視物料資訊，在sap系統中就分配事物碼mm03給xx-a。sap的許可權控制是控制到字段級的，換句話說，其許可權控制機制可以檢查你是否有許可權維護某張透明表的某乙個字段。

*使用者（user）：具體操作sap系統的使用者，即登陸sap logon輸入的使用者。使用事物碼su01建立乙個新的使用者id，預設的許可權是空白的，不允許任何操作。

單一角色（single role）：簡單的說就是乙個事物碼的集合。其中包含了控制事物碼操作的「許可權物件」、「許可權字段」以及允許的操作及允許的值。用事物碼pfcg維護。單一角色是相對應復合角色而言的。

*復合角色（comp. role）：又叫通用角色，即是多個單一角色的集合。復合角色中可以包含多個單一角色，此復合角色包含了這多個單一角色所控制的許可權。復合角色還可以維護具體的「許可權物件」、「許可權字段」以及允許的字段值及字段操作。用事物碼pfcg維護。

單一角色和復合角色：單一角色好比「it部員」，復合角色好比「it經理」，每個it部員所操作的許可權範圍不同，而it經理可以具備多有部員的許可權，it經理的許可權就是多位it部員的許可權的乙個集合，即在it經理的許可權中新增多為it部員的許可權即可。就是將多個單一角色分配在乙個復合角色當中，取並集。

許可權物件（authorization object），許可權字段（authorization field），允許的操作（activity），允許的值（field value）

角色包含了若干許可權物件，在透明表agr_1250中有儲存二者之間的關係；許可權物件包含了若干許可權字段、允許的操作和允許的值，在透明表 agr_1251中體現了role/object/field/value之間的關係；有乙個特殊的許可權物件用來包含了若干事務碼。這個許可權物件叫「s_tcode」，該許可權物件的許可權欄位叫「tcd」，該欄位允許的值（field value）存放的就是事務**；有一種特殊的許可權字段用來表示可以針對該許可權物件做哪些操作，是允許建立、修改、顯示、刪除或者其他呢。該許可權欄位叫「actvt」，該欄位允許的值（field value）存放的就是允許操作的**，01代表建立、02代表修改、03代表顯示等；sap 系統自帶了若干許可權物件、預設控制了若干許可權字段（對應到透明表的某些字段）。可以用事務碼su20來檢視系統有哪些許可權字段，用su21來檢視系統有哪些預設的許可權物件。於是我們知道了事務**與許可權物件的區別。從許可權控制的範疇來看，事務**屬於一種特殊的許可權物件；乙個事務**在執行過程中，為了判斷某個id是否有許可權執行此事務**，還可能檢查其他若干普通的許可權物件。使用su22來檢視某個事務**包含了哪些許可權物件。在透明表usobx中，存放了事務碼與許可權物件的對應關係。

如果大家理解了上面的概念（不理解也沒關係，因為我也一開始也沒懂），我們開始用例項來講解如何維護乙個使用者的許可權。

sap許可權設定常用的事物碼：

* su01：建立使用者

* su22：檢視事物碼中的許可權物件

* pfcg：建立角色

* su53：許可權測試

建立單一角色zr_sap_test_01，事物碼：pfcg。有三種方法：

（1）手工建立

（2）複製建立

（3）繼承建立：

繼承建立時，z_mcn1_menu_all 一旦放生改變，則zr_sap_test_01也會發生改變

（4）維護選單

在選單欄可以對該許可權物件新增事務報表等多種許可權

（5）維護許可權引數檔案

點選更改許可權資料對許可權資料進行更改

將行展開後，可以在如上圖所示的地方看到可以維護的（產品組，銷售組織，分銷渠道）的選項雙擊上方的工具欄可以對許可權物件單獨增加減少操作

雙擊之後，可以填入許可權允許的值，若點選完全授權則是該許可權字段所有值都被允許

將許可權物件字段值全部維護成綠色的，點選如上圖按鈕生成引數檔案，儲存

返回上乙個介面後，可以在使用者標籤欄中填入使用者按回車

然後點選使用者比較，完全比較來同步許可權引數

2018 08 02 許可權管理筆記

Linux許可權管理（筆記）

Oracle筆記之許可權管理

Oracle筆記之許可權管理

2018 08 02 許可權管理 筆記

Linux許可權管理（筆記）

Oracle筆記之許可權管理

Oracle筆記之許可權管理

相關推薦

2018 08 02 許可權管理筆記