SAP 用户权限控制设置及开发
(2012-09-03 16:03:31)
转载▼
标签:
分类:ABAP
权限
用户的权限菜单是通过分配具体角色来实现的.
1. 创建角色
PFCG
输入角色名并点击Single Role
为角色分配权限菜单.
为角色配置权限数据
维护完菜单后, 仅实现在用户菜单中能看到相关的事务, 要具有此事务权限还待设置具体的权限数据.
SAP程式在执行中会通过读取该参数文件的数据来进行用户权限的检查及管控.
在SAP实际应用中, 用户所直接操作的是屏幕及屏幕所对应的字段, 而这些具体的字段都是由权限对象进行控制, 包括该字段所允许的操作及允许的值.
* 表示为该字段分配完全权限.
通过状态灯图标来表示各权限对象的维护状态, 绿灯代表激活, 黄色代表未激活, 红色代表未给权限字段分配值, 单击权限字段前的铅笔图标可以定义该字段的授权值.
一些常用的权限字段:
ACTVT: 该字段存放的就是允许操作的代码, 例如 01 代表创建,02 代表修改,03代表显示等;
TCD: 存放该权限角色所包含的事务代码;
该图说明允许该角色的用户能查看和更改物料的Status.
权限对象维护完成后,点Generate 将该权限数据激活.
将角色分配给用户:
进行用户比较, 只有单击"完成比较"按钮,该用户所对应的权限角色才将正式生效.
自定义权限对象:
1. 权限字段的维护:
SU20
创建权限字段.
2. 对象类及权限对象的维护
SU21
对象类是多个权限对象的集合, 而一个权限对象下又可分配多个权限字段, 新增的用户自定义权限对象, 需要单击工具栏中的"Regenerate SAP_ALL" 按钮才会把新增的权限对象赋值给SAP_ALL这个权限参数文件.
3. 权限对象的分配.
SU22
把权限对象(Authorization Object)分配给事务代码.
有个奇怪的问题是: 我用SU22给自己的事务码分配了自定义的 Authorization Object 后, 为什么在用 PFCG 增加权限的时候这个 Authorization Object 不能自动带过来, 而系统自身的 Tcode 却能带过已经分配给它的Authorization Object. 有知道的同学们请告知一声. 可加 QQ 群: 262131634 或QQ: 115023071
权限对象在 ABAP 程序中的调用.
For Example 1.
对Parameters输入的检查:
-------------------------------------------------------
REPORT z_af_034.
TABLES: marc.
PARAMETERS: s_werks LIKE marc-werks DEFAULT '1000'.
AT SELECTION-SCREEN.
AUTHORITY-CHECK OBJECT 'ZS002'
ID 'ZWERKS' FIELD s_werks.
IF sy-subrc <> 0.
MESSAGE '权限检查失败' TYPE 'E'.
ENDIF.
START-OF-SELECTION.
--------------------------------------------------------
For Example 2.
对 select-options 数据的权限检查:
--------------------------------------------------------
REPORT z_af_034.
TABLES: marc.
DATA: errstr TYPE string.
SELECT-OPTIONS: s_werks FOR marc-werks.
START-OF-SELECTION.
LOOP AT s_werks.
IF NOT s_werks IS INITIAL.
AUTHORITY-CHECK OBJECT 'ZS002'
ID 'ZWERKS' FIELD s_werks-low.
CONCATENATE 'Plant ' s_werks-low ' No Authorization' INTO errstr.
MESSAGE errstr TYPE 'E'.
EXIT.
ENDIF.
IF NOT s_werks IS INITIAL.
AUTHORITY-CHECK OBJECT 'ZS002'
ID 'ZWERKS' FIELD s_werks-high.
CONCATENATE 'Plant ' s_werks-high ' No Authorization' INTO errstr.
MESSAGE errstr TYPE 'E'.
EXIT.
ENDIF.
ENDLOOP.
--------------------------------------------------------------
可通过 Function GET_AUTH_VALUES 获取权限对象的权限值.
用户权限缺失的检查.
SU53
1).检查操作用户是否被授权能操作所执行的事务.
2).检查操作用户被授权的权限角色里面是否包含程序所调用的权限对象.
3).检查操作用户的权限检查字段输入值是否包含在权限字段.
在用户执行某个程式权限检查失败后, 输入 SU53 就能看到权限评估检查报表.如下图所示:
查找权限角色:
如何知道某个 Tcode 分配给了哪些 Role?
SUIM
sap中的组织架构 1. 深入了解采购、销售、仓存组织的内部架构及应用场景;采购、销售、仓存以及财务组织之间的相互关系。 A、销售组织 销售组织下包括分销渠道和产品组。 销售区域是销售组织、分销渠道、产品组的组合。客户必须建立/管理在销售区域 销售区域下分为销售办公室、销售组和销售代表 B、采购组织 采购组织下包括采购组 C、销售/采购组织可以定义在不同的组织层次,如集团、公司代码和工厂。由于公司代码与财务有关。自然也就建立了他们之间的关系 2. 采购/销售/库存组织架构中的组织单元是否要和行政组织单元建立影射关系?如果要建立如何建立?如果不要,为什么不要建立? 应该是不需要的,销售/采购/库存组织是一个系统定义的组织,它可以与行政组织有一定的关系,也有可能关系不确定,也有可能没有关系。这样可以满足不同企业的需要,可以将这些组织放置在不同的层别、与不同的单位建立不同的关系,实现系统灵活的组织架构能力。 3. 控制采购组织的采购控制范围是在库存组织层面还是在仓库层面,如何控制? 4. 控制销售组织的销售控制范围是在库存组织层面还是在仓库层面,如何控制? 5. 请深入说明SAP中工厂、库存地点、库存种类、特殊库存、仓库、存储类型、仓位等的关系和在采购、销售/分销、配送/运输中的应用 A、一个工厂可以包含几个库存地。一个库存地只能属于一个工厂 B、几个库存地可以属于一个仓库(同工厂内)。 C、通过存储类型来区分不同的区域,比如接收区、出库区、捡配区等 D、 E、在采购、销售/分销、配送/运输中跟仓库管理没有关系,发生关系的是工厂和仓库地,输入库存管理。 6. SAP中销售组织、销售渠道、产品组、销售办公司、销售组等对产品、客户、价格等基础数据有何具体影响,跟组织架构相关的产品和客户的分组方式有哪些,分别有什么控制点? A、产品(物料)是按照销售组织、销售渠道定义各自不同的销售数据
一、SAP相关概念 (一)财务会计的概念 1、集团(client)的概念 它是SAP系统中的最高等级,每一集团建立主数据库,一个完整的数据库,包括建立一个完全集成的系统所必须的所有表格,相当于EAS的数据中心 2、『公司』(company) 它是能够产生合法财务报表的最小组织单元 财务报表是在公司的级别上建立合并的 一个公司可以包含一个或多个公司代码 相当于EAS的虚体财务组织(集团级) 3、公司代码(companycode) 公司代码是最小的独立会计实体。 对应于集团下法人公司或分公司,自备完整的会计帐簿 资产负债表和损益表是建立在公司代码级别上的。(货币、语言、会计科目表、会计年度结构) 4、业务范围(businessarea) 用于做内部报表,内部资产负债表和内部损益表的一个内部组织结构,可用于所有的公司代码。必须在所有的公司代码中有相同的含义,根据业务范围,更新总帐平衡余额,可设置与事业部对应。 (二)管理会计概念: 1、经营组织(operatingconcern) 是获利能力分析中的核心组织要素,控制区域应对应到唯一一个经营组织,用于内部管理的盈利分析报告。 是管理会计的组织结构单元,一个经营组织可有多个成本控制范围,一个成本控制范围只能指派给一个经营组织。 业务关联区是获利能力分析中的核心组织结构,用来监控及分析该业务关联区内各“获利段”的运作情况和获利能力。“获利段”可以是销售地区、产品、客户等属性的灵活组合。因此可以按照各获利段为依据生成获利分析报表,考核其获利能力。 2、控制范围(controlarea) 它是一个用来定义公司的成本/管理会计行为的结构组织单元;
SAP用户权限管理配置及操作手册 SAP用户权限管理配置及操作手册 SAP用户权限管理配置及操作手册 Overview 业务说明 Overview SAP的每个用户能够拥有的角色是有数量限制的,大概是300多点,具体不记得了。 如果只在S_TCODE和菜单中设置了某个事务代码,而没有设置权限对象,此时将不能真正拥有执行该事务代码的权限。 SAP的权限检查机制: SAP进入一个t-code,要检查两个东西 1)S_TCODE 2) 表TSTCA 里面和这个T-cdoe相对应的object。有些tcode在tstca里面没有对应的object,就会导致直接往S_TCODE中加事务代码不能使用的情况。 SAP权限架构 概念 权限对象Authorization object SAP在事务码(T-code)的基础上通过权限对象对权限进行进一步的细分,例如用户有创建供应商的权限,但是创建供应商的事务码中有单独的权限对象,那么就可以通过权限对象设置不同的用户可以操作不同的供应商数据。 角色-Role 同类的USER使用SAP的目的和常用的功能都是类似的﹐例如业务一定需要用到开S/O的权限。当我们把某类USER需要的权限都归到一个集合中﹐这个集合就是“职能”(Role)。 所谓的“角色”或者“职能”﹐是sap4.0才开始有的概念﹐其实就是对user的需求进行归类﹐使权限的设定更方便。(面向对象的权限!!) 分为single role 和composite role两种﹐后者其实是前者的集合。
角色模板-Template Role Role的模板﹐一般是single role.但这个模板具有一个强大的功能﹐能通过更改模板而更改所有应用(sap称为Derive“继承”)此模板的Role(sap称之为adjust) 参数文件-Profile 参数文件相当于指定对应的权限数据及权限组的定义。 每个角色下会产生一个附属的参数文件。 真正记录权限的设定的文件﹐从sap4.0开始是与Role绑定在一起的。虽然在sap4.6c还可以单独存在﹐但按sap的行为推测﹐以后将不能“一个人活着” 用户-User 就是通常说的账号(User ID)。 通常的用户类型有 a.dialog (就是正常的用户) https://www.doczj.com/doc/bc7411127.html,munication c.system d.service e.reference. Table No. Table name Short Description Memo USR01 User master record (runtime data) USR02 Logon Data (Kernel-Side Use) 用户的登录信息 USR03 User address data USR05 User Master Parameter ID USR06 Additional Data per User USR07 Object/values of last authorization check that failed USR08 Table for user menu entries
SAP角色权限设置及测试手册 (一)从Source Role拷贝生成Common Role (2) (二)直接创建生成Common Role (2) (三)创建/调整Common Role所授权的事务代码 (3) (四)从Common Role继承生成Local Role (4) (五)创建/调整授权范围 (5) (六)创建用户 (9) (七)对用户授权 (11) (八)SU53问题权限问题查看 (13)
(一)从Source Role拷贝生成Common Role 1.PFCG进入权限角色维护界面,输入Source Role名称,点击复制按钮 2.将到角色中输入Common Role名称,点击复制所有 (二)直接创建生成Common Role 1.PFCG进入权限角色维护界面,输入Common Role名称,点击创建角色按钮 2.输入角色名称,并保存
1.PFCG进入权限角色维护界面,点击修改按钮 配,即完成对事务代码的授权调整
1.PFCG进入权限角色维护界面,输入Local Role名称,点击创建角色按钮 说明:继承得到的Local Role,其事务代码必与其Common Role一致
(五)创建/调整授权范围 1.PFCG进入权限角色维护界面后,切换到权限页面,点击更改授权数据 在新弹出页面点击是以确定
2.点击组织级别,修改组织级别数据为本经营单元相关组织ID并保存 新增一行:选中需新增的行所在的位置,可点击右侧 删除一行:选中该行,可点击下方 说明: 对应Common Role,为保证该Role只用于本经营单元,请务必保证: SD按公司代码+销售组织做了对应组织级别授权(如本例,要操作混凝土下所有销售数据,则须授权1100混凝土公司+1100混凝土国内销售组织、1120混凝土海 外销售组织) MM按公司代码+工厂+采购组织+采购组做了对应组织级别授权 PP按公司代码+工厂做了对应组织级别授权 FI按公司代码做了对应组织级别授权 CO按公司代码+成本中心+内部订单做了对应组织级别授权 3.修改已有权限对象、权限字段的值 点击待修改权限字段前的修改图标,在新弹出窗口中修改赋值,保存即可
1. 深入了解采购、销售、仓存组织的内部架构及应用场景;采购、销售、仓存以及财务组织之间的相互关系。 A、销售组织 销售组织下包括分销渠道和产品组。 销售区域是销售组织、分销渠道、产品组的组合。客户必须建立/管理在销售区域 销售区域下分为销售办公室、销售组和销售代表 B、采购组织 采购组织下包括采购组 C、销售/采购组织可以定义在不同的组织层次,如集团、公司代码和工厂。由于公司代码与财务有关。自然也就建立了他们之间的关系 2. 采购/销售/库存组织架构中的组织单元是否要和行政组织单元建立影射关系?如果要建立如何建立?如果不要,为什么不要建立? 应该是不需要的,销售/采购/库存组织是一个系统定义的组织,它可以与行政组织有一定的关系,也有可能关系不确定,也有可能没有关系。这样可以满足不同企业的需要,可以将这些组织放置在不同的层别、与不同的单位建立不同的关系,实现系统灵活的组织架构能力。 3. 控制采购组织的采购控制范围是在库存组织层面还是在仓库层面,如何控制? 4. 控制销售组织的销售控制范围是在库存组织层面还是在仓库层面,如何控制? 5. 请深入说明SAP中工厂、库存地点、库存种类、特殊库存、仓库、存储类型、仓位等的关系和在采购、销售/分销、配送/运输中的应用 A、一个工厂可以包含几个库存地。一个库存地只能属于一个工厂 B、几个库存地可以属于一个仓库(同工厂内)。 C、通过存储类型来区分不同的区域,比如接收区、出库区、捡配区等 D、 E、在采购、销售/分销、配送/运输中跟仓库管理没有关系,发生关系的是工厂和仓库地,输入库存管理。 6. SAP中销售组织、销售渠道、产品组、销售办公司、销售组等对产品、客户、价格等基础数据有何具体影响,跟组织架构相关的产品和客户的分组方式有哪些,分别有什么控制
权限设定操作手册 权限维护
1.注意 1.1.用户、角色、事务代码、授权对象的关系 -用户:由几个角色组成 -角色:由一系列事务代码搭建 -事务代码:需要系统规定的必要授权对象才能运行 -授权对象:由它的参数来定义 1.2.权限设定须谨慎 -权限设定非常重要,并且权限的排错查询非常繁琐、耗时,因此在做权限设定时一定要谨慎,每次更改都要记录。 1.3.测试环境下修改 -除非特殊情况,权限设定不允许在正式环境直接更改。 -一般都是在测试环境修改、测试成功后,再传到正式环境。 1.4.拒绝不合理权限要求 -Basis不是决定用户权限范围的人,而是实际管理中大大小小业务流的管理者。 -所以,变更权限设定,务必要求用户提供经过领导签核的申请表。 -对于用户不合理的权限要求,顾问有责任拒绝。
2.角色维护 2.1.作业说明 -基本 由权限的大架构有User ID(用户),Role(角色),Profile(权限参数文件)三层,可知权限的设定也会有相应的三层。 -目的 SAP中的权限管理可以通过建立若干角色的方式进行,角色的定义为SAP中单个或者多个事务代码(T-Code)组成的一个角色定位。 角色是指在业务中事先定义的执行特殊职能的工作。 可以为单个的用户的需求去创建角色,也可以通过事务代码创建角色,然后分配给各个需要这些角色的用户。 -创建角色主要有三种方式: 手工创建。适合所有新建角色的需求,主要对应权限追加; 继承。主要对应设定派生角色; 复制。主要对应设定基本的角色。 -继承与复制创建角色的区别: 用继承的方式建立新角色,继承后,只需要填写Org.level,Object就全部标识为绿灯。 用复制的方式建立新角色,需要在Object里填入值,Object才能全部标识为绿灯。 以上是两者操作上最大的区别。
如何快速创建一个拥有全部权限的SAP用户 一.说明 当SAP系统安装完成,初始的用户(User)只有SAP*和DDIC,而这两个用户是不能进行配置的。创建具有配置权限的用户,需用SAP*或DDIC登录到指定的Client,创建并赋予SAP_ALL的权限。 维护用户的事物码是SU01,具有创建、复制、修改、删除用户的功能,并能进行解锁及初始化密码。本示例演示最简单的用户维护过程——创建并赋予SAP_ALL和SAP_NEW的权限。其中SAP_ALL是全部权限,而SAP_NEW则是新生成对象的全部授权。 与维护一般用户不同,全部权限的用户只需维护参数文件,而一般用户则需要维护角色。二.数据说明 (R/O列:R必输;O选输。) 三.操作 在前台输入事物码SU01进入用户维护的操作。
初始屏幕 用户维护的初台屏幕,按表1输入用户名(”FZDQ”)(此屏幕还可以输入别名Alias)。输入正确后按回车键或创建按钮()进入维护细节界面。 地址标签页 用户的维护细节由多个标签页组成,本示例只在几个此示例必输的标签页输入数据。首
先在地址标签页按示例输入人员数据(标题、姓、名)。底部的公司栏显示人员所属公司,并显示地址相关信息,如系统中无公司地址维护则会弹出对话框要求新建一个,此处维护参见《定义公司地址(Company Address)》。 登录数据标签页 登录数据标签页,选择用户类型为A(对话型),SAP设定的用户类型有多种,对话型是最常用的,它需要用户初次登录时修改初始密码。口令栏输入初始口令及重复口令。 默认标签页
默认标签页是设定显示的格式,有多个设定项。本示例只修改小数点、日期、时间格式。由于产品及版本不同,在不同的SAP系统中此界面会有所不同(如无时间格式)。 参数文件标签页 参数文件标签页,分配全部权限给用户则只要在此标签页中输入“SAP_ALL”和“SAP_NEW”(注意这两个值的输入时必须全部大写,顺序也最好遵循一下);这与赋予一般用户权限不同,一般用户是在角色标签页选择相关角色来实现的。 全部维护完成后,按保存按钮 ()保存,如无误用户创建成功底部状态栏显 示 。返回键()退出。 以上操作完成后,新建的用户(FZDQ)就可以在此SAP系统指定的Client登录,登录密码就是本示例的初始密码,它具有SAP_ALL的权限,能够使用TCODE:SPRO在后台进行配置 在这里(参数文件页)依次大写输入SAP_ALL和SAP_NEW即可 达到赋予给用户所有权限的目的。
SAP角色权限设置 一、MM模块角色规范要求 (2) 二、角色建立 (2) 1、新角色新建 (2) 2、新角色复制 (8) 3、角色批量比较 (10) 三、角色传输 (11) 四、角色维护注意点 (15) 1、主数据 (15) 2、采购管理 (16) 3、库存管理 (17) 4、用户权限查看 (19)
一、MM模块角色规范要求 角色名规范:MM_WERKS_FUNC_ACTVT。如:MM_SBSX_PO_MATN。 角色描述规范:MM WERKS FUNC作业描述。如:MM SBSX PO维护。 作业缩写规范:维护MA TN—包含了创建与更改权限。创建CREA,更改为CHANGE,显示DISP,审批REL。 建议在角色进行用户分配时,如果有创建、更改、审批权限时,就不需要再分配显示权限,一般在设置时,创建、更改或审批权限都包含有显示权限。在设置审批权限时需要给对应的更改权限,否则单独把该权限分配给用户,用户是无法正常操作的。 二、角色建立 使用事务码PFCG进入操作界面 1、新角色新建 输入需要新建的角色
点按钮, 输入规范的角色描述后,进入菜单屏幕,
从选择角色需要的路径, 选择相应的维护路径后,点左下角的返回到菜单界面, 然后进入权限界面,进行权限参数维护,权限参数名建议点键自动生成,
然后点进入具体参数设置,首先维护组织级别, 然后点左下角保存按钮,可先打开技术名称, 对需要人工添加的授权对象,点,然后维护授权对象名称,
系统将在相应的路径下添加该对象, 对于不需要的路径,点该路径右边,该路径将变为未激活。 在所有路径进行相应维护后,点保存,然后再点, 点,参数文件已生成,返回到原始界面,至此角色已维护好,最后一步工作是进行用户分配,
SAP-FICO的组织结构 SAP-FICO根据会计核算需求,对应企业不同维度的经营组织架构,划分为不同的数据计算维度,每一个维度都有不同的逻辑组织(可以层状,树状等),这样就可以为客户提供不同的财务分析维度,为客户提供不同的报表,每一报表不同维度,方便、零活。 下面综合分析SAP-FICO不同维度的组织结构及其逻辑关系,同时加以简单说明。
财务会计的概念 集团(client)的概念 它是SAP系统中的最高等级,每一集团建立主数据库,一个完整的数据库,包括建立一个完全集成的系统所必须的所有表格,相当于EAS的数据中心 『公司』(company) 它是能够产生合法财务报表的最小组织单元财务报表是在公司的级别上建立合并的一个公司可以包含一个或多个公司代码相当于EAS的虚体财务组织(集团级) 公司代码(company code) 公司代码是最小的独立会计实体。对应于集团下法人公司或分公司,自备完整的会计帐簿资产负债表和损益表是建立在公司代码级别上的。(货币、语言、会计科目表、会计年度结构) 业务范围(business area) 用于做内部报表,内部资产负债表和内部损益表的一个内部组织结构,可用于所有的公司代码。必须在所有的公司代码中有相同的含义,根据业务范围,更新总帐平衡余额,可设置与事业部对应。
管理会计概念 1.经营组织(operating concern) 是获利能力分析中的核心组织要素,控制区域应对应到 唯一一个经营组织,用于内部管理的盈利分析报告。是管理会计的组织结构单元,一个经营组织可有多个成本控制范围,一个成本控制范围只能指派给一个经营组织。业务关联区是获利能力分析中的核心组织结构,用来监控及分析该业务关联区内各“获利段”的运作情况和获利能力。“获利段”可以是销售地区、产品、客户等属性的灵活组合。因此可以按照各获利段为依据生成获利分析报表,考核其获利能力。 2.控制范围(control area) 它是一个用来定义公司的成本/管理会计行为的结构组织单 元;是逻辑上的组织结构,一种范围的限定,在该范围下的物理组织单元采用同样的成本控制方法,共用一些成本主数据,包括计量使用的货币,成本费用归集使用的会计科目表,会计期间的划分等等;是CO模块用于成本控制的最高层次的组织单位,一般设置在集团层次,用于代表一个完全独立的管理会计体系,并在此基础上进行内部成本、收入的计划,控制,分析和决策;公司代码只能分配给一个控制范围,一个控制范围可以分配给多个公司。这允许跨公司成本分摊和报表。 3.利润中心(Profit Center )对损益负责的组织单元,提供对内意义的损益表和主要 资产负债项目(应收、应付、存货等)可反映内部收入与成本,可重新分配利润,可以设置对应于企业的事业部 4.利润中心组(Profit Center Group)利润中心的任意组合,可提供多个利润中心汇 总的损益表和主要资产负债项目 5.成本中心(Cost Center)对费用负责的最小组织单元,是每一笔费用的具体接收者, 提供对内的费用表。费用可在成本中心之间重新分配和分摊。成本中心建立后需要将每个成本中心分配给标准成本中心组,例如,对应于处级部门。 6.成本中心组(Cost Center Group)成本中心的任意组合,可提供多个成本中心汇总 的费用表,例如,对应于部级部门 7.功能区域(Function Area)是根据生产、管理、销售以及分销、市场推广、研制 开发等所要求的销售成本会计核算将费用进行分类。通过将成本细分为这些功能区域,成本会计核算可给出企业成本的构成并表明这些费用的经济目的。
SAP的权限设计思路,首先了解下几个Tcode和权限相关表格。 常用权限相关Tcode . (一)Role(角色)相关T-code: PFCG 创建 ROLE_CMP 角色比较 SUPC 批量建立角色profile (二)建立用户 SU01 建立用户 SU01D 显示用户 SU2|SU3| SU50|SU51|SU52 改变/显示用户个人参数 SU10|SU12 批量维护用户 SUCOMP维护用户公司地址 SUIM 用户信息系统(强调一下) (三)建立用户组 SUGR| SUGRD_NA V 维护用户组 SUGRD| SUGR_NAV 显示用户组 (四)维护检查授权 SU20|SU21自定义授权字段和授权对象 SU53 当出现权限问题可使用它检测未授权对象. SU56:分析authoraztion data buffers. 常用权限相关表格: TOBJ : All avaiable authorization objects.(ERP系统默认的所有授权对象) USR12: 用户级authorization值 USR02:User Logon Data(包括用户名称密码,是否锁住等字段) USR03:User address data USR05:User Master Parameter ID(Tcode SU3可查看用户参数文件的参数ID默认值) USR41:当前用户(即Tcode SM04看到的所有当前活动用户,包括各种对话系统通信类用户) USRBF2:记录当前用户所有的授权objects UST04:User Profile master(用户主数据中对应的权限参数文件名) UST10S: Single profiles(授权文件,权限参数和授权对象对应表) UST12 : Authorizations(具体授权细节) 重点提示: USR02/USRBF2/UST10S/UST12四个表包含的信息就是ERP权限控制的关键,前者是用户主数据表,后三者和用户授权紧密相关。 我现在来举一个MM01建立物料主数据的实例来说明ERP的权限控制设计思路,步骤如下:第一步:建立角色(Tcode:PFCG)
s a p权限设定完整版精 编W O R D版 IBM system office room 【A0816H-A0912AAAHH-GX8Q8-GNTHHJ8】
权限设定操作手册 权限维护
1.注意 1.1.用户、角色、事务代码、授权对象的关系 用户:由几个角色组成 角色:由一系列事务代码搭建 事务代码:需要系统规定的必要授权对象才能运行 授权对象:由它的参数来定义 1.2.权限设定须谨慎 权限设定非常重要,并且权限的排错查询非常繁琐、耗时,因此在做权限设定时一定要谨慎,每次更改都要记录。 1.3.测试环境下修改 除非特殊情况,权限设定不允许在正式环境直接更改。 一般都是在测试环境修改、测试成功后,再传到正式环境。 1.4.拒绝不合理权限要求 Basis不是决定用户权限范围的人,而是实际管理中大大小小业务流的管理者。 所以,变更权限设定,务必要求用户提供经过领导签核的申请表。 对于用户不合理的权限要求,顾问有责任拒绝。
2.角色维护 2.1.作业说明 基本 由权限的大架构有User ID(用户),Role(角色),Profile(权限参数文件)三层,可知权限的设定也会有相应的三层。 目的 SAP中的权限管理可以通过建立若干角色的方式进行,角色的定义为SAP中单个或者多个事务代码(T-Code)组成的一个角色定位。 角色是指在业务中事先定义的执行特殊职能的工作。 可以为单个的用户的需求去创建角色,也可以通过事务代码创建角色,然后分配给各个需要这些角色的用户。 创建角色主要有三种方式: 手工创建。适合所有新建角色的需求,主要对应权限追加; 继承。主要对应设定派生角色; 复制。主要对应设定基本的角色。 继承与复制创建角色的区别:
SAP 用户权限控制设置及开发 (2012-09-03 16:03:31) 转载▼ 标签: 分类:ABAP 权限 用户的权限菜单是通过分配具体角色来实现的. 1. 创建角色 PFCG 输入角色名并点击Single Role 为角色分配权限菜单. 为角色配置权限数据
维护完菜单后, 仅实现在用户菜单中能看到相关的事务, 要具有此事务权限还待设置具体的权限数据. SAP程式在执行中会通过读取该参数文件的数据来进行用户权限的检查及管控. 在SAP实际应用中, 用户所直接操作的是屏幕及屏幕所对应的字段, 而这些具体的字段都是由权限对象进行控制, 包括该字段所允许的操作及允许的值.
* 表示为该字段分配完全权限.
通过状态灯图标来表示各权限对象的维护状态, 绿灯代表激活, 黄色代表未激活, 红色代表未给权限字段分配值, 单击权限字段前的铅笔图标可以定义该字段的授权值. 一些常用的权限字段: ACTVT: 该字段存放的就是允许操作的代码, 例如 01 代表创建,02 代表修改,03代表显示等; TCD: 存放该权限角色所包含的事务代码; 该图说明允许该角色的用户能查看和更改物料的Status. 权限对象维护完成后,点Generate 将该权限数据激活. 将角色分配给用户: 进行用户比较, 只有单击"完成比较"按钮,该用户所对应的权限角色才将正式生效.
自定义权限对象:
1. 权限字段的维护: SU20 创建权限字段. 2. 对象类及权限对象的维护 SU21 对象类是多个权限对象的集合, 而一个权限对象下又可分配多个权限字段, 新增的用户自定义权限对象, 需要单击工具栏中的"Regenerate SAP_ALL" 按钮才会把新增的权限对象赋值给SAP_ALL这个权限参数文件. 3. 权限对象的分配. SU22 把权限对象(Authorization Object)分配给事务代码. 有个奇怪的问题是: 我用SU22给自己的事务码分配了自定义的 Authorization Object 后, 为什么在用 PFCG 增加权限的时候这个 Authorization Object 不能自动带过来, 而系统自身的 Tcode 却能带过已经分配给它的Authorization Object. 有知道的同学们请告知一声. 可加 QQ 群: 262131634 或QQ: 115023071 权限对象在 ABAP 程序中的调用. For Example 1. 对Parameters输入的检查: ------------------------------------------------------- REPORT z_af_034. TABLES: marc. PARAMETERS: s_werks LIKE marc-werks DEFAULT '1000'. AT SELECTION-SCREEN. AUTHORITY-CHECK OBJECT 'ZS002'
会议纪要 整理人:日期: 2011-11-02 版本: Ver4.0
组别:PP组 参加人员: 时间:2011-11-02 9:30-12:00 地点:会议室 议题: 1.生产整体概况调研 2.生产主数据中BOM及工艺路线 预期目标: 1.了解整个三台公司的组织结构和组织职能。 2.了解生产车间的基本生产情况,主产品,生产控制框架等。 3.了解各生产相关单位的基本工作流程。 4.了解生产车间的产品类型、原材料BOM及工艺的结构和说明信息。议程: 1.由生产安全技术部、生产车间负责人介绍各单位组织架构及相关职能 2. 顾问就相关问题进行提问交流 3.由各生产安全技术部相关负责人介绍工艺流程及BOM 4.顾问就关键点提出问题进行沟通 新的术语: 乳胶基质硝酸铵溶液 将准备的交付文档说明: 1.各生产相关部门组织结构图 2.生产工艺路线,BOM结构 3.其他问题细节说明 会议进程记录: 一、组织结构及职能说明 1.三台公司组织结构
◆三台公司设总经理一名,下设副总经理一名,总工程师一名。 ◆总经理对公司全面负责,具体分管综合部、销售部、财务部。 ◆副总经理兼职生产安全技术部部长,分管生产车间、保卫部及生产安全技术部的安全、生 产、环保等职能。 ◆总工程师具体管理生产安全技术部的技术、质量、设备、项目等职能。 2.生产安全技术部组织构成及职责
◆负责民爆产品的产、供、销的衔接,负责年度、月度、日生产计划的下发、生产调度及生 产组织,协调电等生产条件的适时供给。 ◆负责生产过程基础设施(建筑物、构筑物、作业场所)的零星维护、固定资产的管理。 ◆负责生产过程控制管理,保持均衡、稳定、优质生产。 ◆负责进货、生产过程检验和最终产品的检验工作及理化试验工作。 ◆负责各生产单位生产过程的监督检查控制工作,检查产品标识是否按规定执行;负责组织 实施不合格品的控制工作。 ◆负责产品的标准、工艺规程、安全操作规程、检验规程、作业指导书等技术文件拟制及下 发工作(工艺路线及BOM)。 ◆负责对各车间(分厂)的关键工序(特殊过程)的确认和管理工作的监督指导。 ◆负责监视和测量状态的标识监督检查工作。 ◆负责组织纠正和预防措施的实施与验证。
ERP权限控制 在这一节,介绍一下ERP的权限设计,了解权限设计的逻辑。 一个特别是适合大集团业务的ERP系统,应该提供一个非常完善的权限控制机制,甚至允许将权限控制字段细到字段级别, 举例: Select 用户名 From 用户表 where 用户名='butcher' (得到用户名) select权限组ID From 权限表 where 用户名='butcher' (得到用户对应的权限组ID)select * From 权限控制列表 where权限组ID = ‘*****’(得到没个权限组ID对应的明 细权限列表也就是用户的明细权 限) 注意: 在此我们可看到诸如用户名表,角色表,权限组表和对应业务操作的权限详细控制列表诸如此 类的表格。 现在来看看ERP的权限设计思路,首先了解下几个Tcode和权限相关表格。 常用权限相关Tcode . (一)Role(角色)相关T-code: PFCG 创建 ROLE_CMP 角色比较 SUPC 批量建立角色profile (二)建立用户 SU01 建立用户 SU01D 显示用户 SU2|SU3| SU50|SU51|SU52 改变/显示用户个人参数 SU10|SU12 批量维护用户 SUCOMP维护用户公司地址 SUIM 用户信息系统(强调一下) (三)建立用户组 SUGR| SUGRD_NA V 维护用户组 SUGRD| SUGR_NAV 显示用户组 (四)维护检查授权 SU20|SU21自定义授权字段和授权对象 SU53 当出现权限问题可使用它检测未授权对象. SU56:分析authoraztion data buffers. 常用权限相关表格: TOBJ : All avaiable authorization objects.(ERP系统默认的所有授权对象) USR12: 用户级authorization值 USR02:User Logon Data(包括用户名称密码,是否锁住等字段) USR03:User address data USR05:User Master Parameter ID(Tcode SU3可查看用户参数文件的参数ID默认值) USR41:当前用户(即Tcode SM04看到的所有当前活动用户,包括各种对话系统通信类用户) USRBF2:记录当前用户所有的授权objects UST04:User Profile master(用户主数据中对应的权限参数文件名)
(实施)震旦家具公司SAP实施专案组织架构调整流程
第一章-HR01_组织架构调整流程 1.流程说明 该流程主要描述了依据企业目标策略的调整及业务环境需求的变化而重新确定组织架构时,人力资源依照经核准的《组织系统图》在系统中修改或定义组织架构。 ●该流程主要涉及到的部门是总部人力资源,其具有创建、修改及显示的权 限,区公司及营业的人力资源只具有显示权限 ●创建组织架构包括:创建组织单元、职位、分配成本中心;组织单元与组 织单元之间的关系是:一对一或一对多,组织单元与职位之间的关系是:一对一或一对多;即一个组织单元下可建一个或多个组织单元,也可建一个或多个职位。由于在业务中财务需要对各个组织单元、人员的成本费用进行成本核算,所以需要给组织单元分配成本中心,或给职位分配成本中心,便于同财务的集成。组织单元的编码是由系统外部给号,由8位数 字构成,分成四层,编码范围是00000000~49999999,例: 01000000~01009999用于总经理,01010000~01019999用于策略,02000000~49999999用于其它各级组织单元。(见附件三十四) ●组织架构创建完后,通过Graphic,打印出组织系统图(参见报表样例 “26组织系统图”)
2.流程图 3.系统操作 3.1.操作范例 3.1.1.创建 3.1.1.1.创建组织单元对象、关系 例1:创建组织单元营业,组织代码为12000000 例2:创建组织单元销售行政,组织代码为12010000
3.1.1.1.1.系统菜单及交易代码 人力资源→组织管理→专家模式→组织单位交易代码:P010
.WORD文档下载可编辑. SAP用户及权限维护技能指引 一.用户及其权限管理 (1) (一)用户及权限管理日常操作 (1) 1、创建SAP用户账号 (1) 2、锁定SAP用户账号 (1) 3、重置SAP用户账号密码 (2) 4、删除SAP用户账号 (2) 5、新建角色 (2) 6、有关MM相关角色的特殊处理 (3) 7、以角色方式给SAP用户账号授权 (4) 8、以授权参数文件方式给SAP用户账号授权 (4) (二)SAP License统计 (4) 1、SAP License统计的范围和对象 (4) 2、如何进行SAP License统计 (5)
一.用户及其权限管理 (一)用户及权限管理日常操作 1、创建SAP用户账号 操作方法: (1)用SAPGUI登陆SAP系统。 (2)运行SU01。 (3)在‘User’后输入要创建的用户的账号,如‘6789’。 (4)单击‘新建’按钮。 (5)在‘Logon data’下面的‘User Type’下选择‘Dialog’用户类型。 (6)‘Default’标签下有几个重要的设置如下: ,, (7)其它的如用户性别,姓名等据实际情况输入即可。 (8)最后保存退出。 备注: (1)本小节介绍了Dialog用户的创建方法,其它类型用户的创建与此操作类似。 (2)可以采用复制用户的方法创建用户,较为简单,但注意授权不要一同复制。 (3)Valid Period可以控制用户账号的有效期,在远程访问接入时常常采用。 2、锁定SAP用户账号 操作方法: (1)用SAPGUI登陆SAP系统。 (2)运行SU01。 (3)在‘User’后输入要锁定的用户账号,如‘6789’。 (4)单击‘锁定’按钮即可。
SAP培训:https://www.doczj.com/doc/bc7411127.html, SAP招聘:https://www.doczj.com/doc/bc7411127.html, 财务会计(FI) 组织结构及基础数据定义
SAP培训:https://www.doczj.com/doc/bc7411127.html, SAP招聘:https://www.doczj.com/doc/bc7411127.html, 目录 1.组织结构定义及说明 (3) 1.1.财务组织结构 (3) 2.基础数据定义 (5) 2.1.公司代码 (5) 2.2.会计科目表 (5) 2.3.客户 (6) 2.4.供应商 (7) 2.5.固定资产 (8) 3.业务流程定义 (9) 3.1.业务流程总图 (9) 3.2.业务流程清单 (11) 3.3.流程接口清单 (11) 3.4业务流程及具体系统操作 (14)
SAP培训:https://www.doczj.com/doc/bc7411127.html, SAP招聘:https://www.doczj.com/doc/bc7411127.html, 1.组织结构定义及说明 1.1.财务组织结构 未来SAP系统中海信集团财务会计核算组织结构如下图所示: 图示: 财务结构定义及说明: ?海信集团下属海信电器股份公司及海信营销有限公司是独立法人单位,在SAP系统中分别设置成独立的公司代表,拥有各自独立的财务帐套。海信电器股份公司及海信营销有限公司下属的分公司虽然不是独立法人单位,但由于需要在当地交纳增值税及所得税等,拥有独立的财务帐套也是法定需求。因此,在未来ERP系统中也将各销售(营销)分公司分别
SAP培训:https://www.doczj.com/doc/bc7411127.html, SAP招聘:https://www.doczj.com/doc/bc7411127.html, 设置成独立的公司代码,同样拥有独立的财务帐套。 ?公司编码如下:
SAP培训:https://www.doczj.com/doc/bc7411127.html, SAP招聘:https://www.doczj.com/doc/bc7411127.html, 2.基础数据定义 2.1.公司代码 定义及说明: 在SAP系统中,公司代码代表一个独立的会计实体,是对外报送法定资产负债表/损益表的最小单位,拥有完整的独立帐套,所有的凭证都将过帐在公司代码层次上。 编码原则 在SAP系统中,公司代码为四位编码,根据海信集团的实际情况并满足今后快速发展的需求,建议在公司代码设置中采用如下的编码规则:第一位代表海信集团公司投资、控股或直属公司。如:1代表集团公司本部,2代表股份公司,3代表电子控股公司,以此类推,如果0-9序号不足,则以A-Z顺序补充;第二位代表海信集团公司投资、控股或直属公司的下属投资、控股或直属公司,如:股份公司下0代表股份公司本部,1代表销售公司,以此类推,如果0-9序号不足,则以A-Z顺序补充;第三四位代表海信集团公司投资、控股或直属公司的下属投资、控股或直属公司的各分公司或分部,按顺序编号。如:00代表股份公司本部,01代表股份青岛经营分公司,以此类推,如果0-9序号不足,则以AA-ZZ顺序补充。 2.2.会计科目表 定义及说明: 会计科目表是会计系统用来记录资产价值和价值流的分类系统。为了满足不同的要求来建立会计科目表,SAP的财务会计模块提供两种不同的方式来建立一个或多个会计科目表:?使用集中式的组织结构,用户指定一个特定的,通常是在集团公司层面上包括所有科目的会计科目表,供在集团公司内的所有公司代码使用。 ?使用分布式的组织结构,在公司代码层面建立会计科目表,对每一个公司代码定义一个会计科目表。它们可以是跨国公司,有许多分部和利润中心,以及跨几个行业的集团公司。 未来整个海信集团将采用一套统一的会计科目表,以统一整个海信集团的会计核算和统计口
角色设置 一、MM模块角色规范要求 (2) 二、角色建立 (2) 1、新角色新建 (2) 2、新角色复制 (8) 3、角色批量比较 (10) 三、角色传输 (11) 四、角色维护注意点 (15) 1、主数据 (15) 2、采购管理 (16) 3、库存管理 (17) 4、用户权限查看 (19)
一、MM模块角色规范要求 角色名规范:MM_WERKS_FUNC_ACTVT。如:MM_SBSX_PO_MATN。 角色描述规范:MM WERKS FUNC作业描述。如:MM SBSX PO维护。 作业缩写规范:维护MATN—包含了创建与更改权限。创建CREA,更改为CHANGE,显示DISP,审批REL。 建议在角色进行用户分配时,如果有创建、更改、审批权限时,就不需要再分配显示权限,一般在设置时,创建、更改或审批权限都包含有显示权限。在设置审批权限时需要给对应的更改权限,否则单独把该权限分配给用户,用户是无法正常操作的。 二、角色建立 使用事务码PFCG进入操作界面 1、新角色新建 输入需要新建的角色
点按钮, 输入规范的角色描述后,进入菜单屏幕,
从选择角色需要的路径, 选择相应的维护路径后,点左下角的返回到菜单界面, 然后进入权限界面,进行权限参数维护,权限参数名建议点键自动生成,
然后点进入具体参数设置,首先维护组织级别, 然后点左下角保存按钮,可先打开技术名称, 对需要人工添加的授权对象,点,然后维护授权对象名称,
系统将在相应的路径下添加该对象, 对于不需要的路径,点该路径右边,该路径将变为未激活。 在所有路径进行相应维护后,点保存,然后再点, 点,参数文件已生成,返回到原始界面,至此角色已维护好,最后一步工作是进行用户分配,
SD是Sales and Distribution的简称。在SAP系统中,销售与分销模块处在供应关注从客户订单到向客户收款的全过程。 SD模块中的Sales好理解,而Distribution却容易被忽视。用直白的话来讲,SD模块就是解决“卖”的问题,它关注的范畴1,谁来卖? 2,卖什么? 3,卖给谁? 4,什么样的价格? 5,销售业务模式是什么? 6,货物如何到达客户? 7,钱款如何交割? 对应上述问题,我们分别引出相应的概念: 1,谁来卖? 既是执行销售动作的组织结构及此结构下的人员。SAP术语有:公司代码、销售组织、分销渠道、产品组、销售办公室、 销售小组、销售雇员、装运点等。 2,卖什么? 广义销售概念中的销售内容包括实物和非实物的服务。SAP术语中,我们称之为物料(Material)。有实物产品物料,也有 服务物料。 3,卖给谁? 卖给客户。这里,客户的外延与内涵较多。如一次性客户、大客户、集团内部客户、海外客户;售达方、送达方、收票方、 付款方等。如果对某客户做赊销业务,相应的,该客户还有用于控制应收风险的信用数据。 4,什么样的价格? 价格是销售的技术核心,定价功能也是SAP SD的核心所在。貌似简单的打印在发票上的最终价格,在企业内部可能包含了计价小项。如含税基价、销项税、营业税、折扣、返利、附加税等。不同的企业不同的定价策略系统将提供不同的定价过程予以支5,销售业务模式是什么? 业务模式是指:标准信用销售、现金销售、紧急订单、退货业务、免费样品、捐赠、促销业务等。不同的业务模式有着不同的线内线外处理方式。 6,货物如何到达客户? 这里包含的就是上述Distribution的内容。广义的销售,应该包含实物移动。企业可以送货上门或者委托第三方物流公司送,也可能是客户上门自提。如果是国际贸易,还涉及到通关报检等动作。无论是单据流转还是成本核算,系统都有相应的功能支持7,钱款如何交割? 如果不考虑售后服务,收款将是一般意义上销售循环的最后一步。由于有不同的销售业务模式,可能的交割方式有赊销、 现金、支票等。根据需要还可以为及时付款的客户予以优惠奖励等措施。 上述概念中,SAP系统将相对静态的数据或者资料称为“主数据”(Master Data),如客户、物料、价格、信用。这些数据一旦建立,只在需要变动时变动。而且在后续的操作中,仅需要唯一标志自己的编号录入,即可带入其他相关信息,从而达到共享的作用。 与数据对应的另一类数据是“业务数据”,如合同、计划、订单、交货单、出库单、发票等。这些资料(我们称之为单据:Document)是在业务发生时实时产生的。由于销售业务具有循环而且可追溯特性,这些单据将互相关连,每一笔完整的业务 中都有自己的单据流。即,一个常见的销售业务业务循环将从合同开始、到开票收款结束。 以上就是SAP SD的大致内容。更深入的无非是上述问题的展开与细化而已。 Human Resource HR这一句话,太简单了:组织、招聘、发工资、任职、考勤、培训、提升、降级、辞退。还好,这个模块不分行业, 哪家公司基本都是一样的,HR人也是一样,都是老板的打手,哈哈。Well,下面的文字稍微陡峭一点。