SAP权限设计

浅谈SAP权限管理——基于安徽电力权限设计SAP R/3 系统是基于ERP（企业资源计划）技术的一个成熟产品，在国内外大中企业中广为使用。

该系统主要包括财务管理、物资管理、项目管理、人力资源等多个功能模块。

其中，权限ERP初上线时，企业比较注重系统的流程设计、系统的稳定运行，而对权限设计不够重视。

并且绝大多数权限设计是在系统建设时期，一方面由于当时对SAP权限管理缺乏全局意识，另一方面建设人员对于实际业务没有充分的认识，因此设计的权限难免会存在问题和风险。

本文将结合安徽电力SAP权限设计来阐述权限设计常存在的问题及解决方案。

一、企业用户权限存在问题（1）没有一套清晰明确的授权规则。

企业用户量比较大，随着系统应用的深入，各种功能增加，用户都要求给自己增加权限。

这样对于权限管理人员来说，面对大量的申请似乎并不能找到一个明确的标准。

于是部门主管审批便成了一个最为有效的解决方案；（2）用户权限有被逐渐放大甚至失控的危险。

SAP系统内的权限管理是以“角色”这一概念展开的，一个“角色”上分配了体现功能权限的一组功能事务码（T-Code）和体现限制的授权参数文件（profile）。

假如，在SAP 系统中给每位用户建立一个角色，并且此角色只分配给一个用户，那么某一角色内的某一个权限的变动也就不会对其他用户的权限产生任何影响。

但是，企业一般都不会这样做，因为如果用户数量多的话，系统中角色体系就会过于庞杂。

而且同类型的用户角色之间的差异可能很小，这会导致数据的冗余变得很大。

一般的做法是在系统建立一套通用角色、复合角色、单一角色所构成的角色体系来进行授权。

也就是说，一个系统角色可分配给多个系统用户，这样就会出现某用户的需求而改动某一角色的权限，从而影响到此角色所对应的其他用户权限。

即此角色所对应的所有用户都会同时增大或减少权限；（3）职责分离体系不能被有效建立和执行。

用户权限不仅决定谁有权做什么，而且还体现了权限之间的相互制约关系。

SAP权限设定讲稿一、简介在企业资源计划（Enterprise Resource Planning，简称ERP）系统中，SAP是其中一种常用的软件解决方案。

SAP系统的权限设定在企业信息化管理中起着重要的作用。

本篇讲稿将介绍SAP权限设定的基本概念、目的和步骤，并重点讲解权限的分配与管理。

二、SAP权限设定概述2.1 权限设定的定义权限设定是指企业在使用SAP系统时，根据用户的角色和职责，对其进行功能、数据和业务流程的访问控制。

通过权限设定，可以确保用户只能访问其工作所需的功能和数据，从而保证系统的安全性和数据的完整性。

2.2 权限设定的目的权限设定的主要目的是保护企业数据的安全性和可靠性，防止未经授权的人员访问和操纵企业敏感信息。

同时，权限设定还可以提高工作效率，根据用户的需要提供简化的界面和功能。

三、SAP权限设定步骤权限设定的过程通常包括以下几个步骤：3.1 了解企业需求在进行权限设定之前，需要充分了解企业的业务需求和工作流程。

通过与企业的相关部门和人员进行沟通，明确不同用户角色的职责、工作内容和所需权限。

3.2 角色设计与分配根据企业的需求，设计不同的角色，每个角色对应一组特定的权限。

角色可以根据用户的职位、部门或工作内容来进行分类。

在分配角色时，需要确保角色之间的权限不重叠，也不冲突。

3.3 权限设置在SAP系统中，权限通常以事务码、对象或数据元素的形式存在。

根据角色的设计，设置相应的权限。

权限设定可以通过SAP的访问控制列表（Access Control List，简称ACL）来完成。

3.4 测试和审批在完成权限设定后，需要进行测试和审批。

测试可以确保权限设定的正确性和完整性，审批可以确保权限设定符合企业的规定和要求。

3.5 权限管理和维护权限设定是一个持续的过程，需要进行权限的管理和维护。

根据企业的变化和需求，及时调整和更新权限，确保系统的安全性和高效性。

四、权限设定的要点与注意事项4.1 合理分配权限根据用户的实际工作需要，合理分配权限，避免过高或过低的权限导致的问题。

sap权限设计例子SAP权限设计是指在SAP系统中对用户的操作权限进行设置和管理，以保证系统的安全性和数据的完整性。

下面将列举10个符合要求的例子。

1. 用户权限分配：在SAP系统中，管理员可以根据用户的职位和工作职责，分配不同的权限。

比如，财务人员可以具有财务模块的相关权限，销售人员可以具有销售模块的相关权限。

2. 角色权限设计：管理员可以根据不同的角色，为用户分配相应的权限。

比如，销售经理可以具有销售订单的审批权限，而销售代表只能创建销售订单的权限。

3. 数据访问权限：在SAP系统中，可以根据用户的权限设置，限制用户对特定数据的访问。

比如，某些敏感数据只能由高级管理人员才能查看和修改。

4. 审计日志权限：管理员可以设置审计日志的访问权限，只有经过授权的用户才能查看和管理审计日志，以确保系统的安全性和数据的追溯性。

5. 系统参数权限：SAP系统中的一些重要的系统参数和配置需要管理员权限才能进行修改，以保证系统的稳定性和安全性。

6. 业务流程权限：SAP系统中的不同业务流程需要不同的权限设置，比如采购流程、销售流程、财务流程等，管理员可以根据具体业务需求为用户分配相应的权限。

7. 报表权限：SAP系统中的报表功能需要根据用户的权限进行设置，只有具有相应权限的用户才能查看和生成报表。

8. 批处理权限：SAP系统中的批处理功能需要管理员权限才能进行操作，以保证对系统的影响有限，并防止误操作引发的问题。

9. 系统维护权限：SAP系统的维护工作需要特定的权限来执行，比如备份数据库、重启系统等操作，只有具有维护权限的用户才能进行相关操作。

10. 数据导入导出权限：在SAP系统中，数据的导入和导出涉及到系统的数据完整性和安全性，需要管理员权限才能进行相关操作，防止非授权人员对数据进行篡改或泄露。

以上是关于SAP权限设计的10个例子，通过合理的权限设置和管理，可以保障系统的安全性和数据的完整性，提高系统的运行效率和用户的工作效率。

SAP权限的设定方法什么是SAP权限SAP权限是指在SAP系统中对用户进行授权和访问的权限设置。

通过SAP权限的设定，可以控制用户对系统中不同功能模块、事务和数据的访问和操作权限，保障系统的安全性和数据的保密性。

SAP权限的重要性在企业中，SAP系统通常扮演着关键角色，涵盖了企业的核心业务流程和数据。

因此，对SAP系统的权限进行合理、有序的设定是至关重要的。

合理的SAP权限设定可以实现以下几个方面的目标：1.安全性：通过限制用户对系统中敏感数据和功能模块的访问权限，保障系统的安全性，防止信息泄露和错误操作。

2.合规性：根据企业内部和外部的合规要求，设置用户对特定数据和功能的访问权限，保证企业操作符合法规和规范要求。

3.效率：通过合理设定SAP权限，用户可以仅获得其工作所需的权限，提高工作效率，减少系统资源的浪费。

SAP权限的设定方法1. 权限规划在开始设定SAP权限之前，需要对企业的业务流程、组织结构和工作职责进行深入了解和分析。

然后，制定一个权限规划，包括以下内容：•角色分析：基于企业的组织结构和工作职责，将用户划分为不同的角色，每个角色代表一组拥有相似访问权限的用户。

•访问权限定义：根据企业的业务流程，定义每个角色所需的具体功能模块、事务和数据的访问权限。

•权限层级结构：确定权限的层级结构，确保角色之间的权限关系清晰，并能够适应未来的业务发展。

根据权限规划，开始创建和维护SAP系统中的角色。

角色是一组权限的集合，可以简化权限管理的流程，并降低错误设置的风险。

在创建角色时，需要遵循以下步骤：1.角色创建：通过SAP系统的角色维护工具，在系统中创建新的角色。

为角色命名并定义角色的描述信息。

2.权限分配：为角色分配适当的访问权限，包括功能模块、事务和数据的访问权限。

确保每个角色获得其工作所需的最低权限。

3.审批流程：根据企业内部的权限控制要求，设置角色创建和权限分配的审批流程，确保设定的权限符合企业的合规要求。

权限相关1 权限的作用及基本概念介绍1.1权限的作用决定了用户在系统中能否进行某项操作；防止越权和失误操作发生，从而保证系统数据安全（核心作用）；权限工作的质量（好坏），是上线成功的基础之一；权限工作的质量（好坏），会直接影响最终用户对使用ERP系统的信息；1.2权限的基本概念①用户ID下可以包含多个角色（参数文件）；②角色（参数文件）下可以包括多个Tcode；③Tcode下包括多个权限对象；④权限对象下包括多个参数；⑤参数下包括多个参数值；1.2.1用户ID命名规则：如果启用HR模块，则可直接使用员工ID，否则要跟用户商量命名规则；（长度不能超过12位）（例如HR108）；1.2.2角色（参数文件），即岗位角色与参数文件是一一对应的关系，角色即岗位，权限的设置首先创建用户ID，然后给用户ID分配角色、参数文件；权限的维护有两种方式：一种维护角色、另一种维护参数文件（如果是创建角色点击自动生成的参数文件，不行，只能是单独的参数文件）；角色和参数文件是一一对应的，维护了角色，参数文件会自动带过来；角色分四类：①单一角色、②复合角色、③通用角色、④本地角色；可以把多个单一角色给一个ID；复合角色=多个单一角色集合；通用角色相当于模板角色，把模板制作好；本地角色就相当于复制或继承，继承与复制有区别，本地角色可以继承并一直关联通用角色，复制不存在关联；1.2.3事务代码（Tcode）角色里面有很多Tcode；相当于给你个保险箱；把MIRO的权限给了用户ID；1.2.4权限对象与Tcode相关，相当于打开保险箱的一串钥匙；比如：把MIRO的权限给了用户ID，就能做发票校验么？不能，必须配合权限对象，权限对象可以是一把钥匙，也可能是一串钥匙；权限对象里面包括：参数、参数值；1.2.5参数两种类型参数：①组织结构类型，如：公司代码、采购组织、工厂等；举例：做MIRO只给你6666公司代码的权限，7777公司代码你就做不了等等；②约束类型，如：行为、授权组合、采购凭证类型等；1.2.6参数值参数值：例如公司代码6666、5009；采购组织5108；工厂1081、1082；创建、显示/更改等等；1.3 权限数据收集模板我们作为业务顾问，先调研，如果公司比较大，权限多，我们会设置一个权限组交给几个顾问，专门负责权限，同时甲方企业也会成立个权限组，负责权限，我们相互沟通；调研制定权限，需要制定权限数据收集模板，这个模板要结合我们的企业需求（见excel资料）；举例：1.3.1 通用角色（模板角色）黄色：ZMM038是开发的Tcode；也要维护进去；Z-YKM-MM0001：中YCM是项目简称，MM表示模块，后面是流水号；Z-YKM-MM0001：是通用角色（模板角色）；此时设计角色要注意，要把所有权限包含在内，具体多少个因项目而异，一个tcode可以设置一个角色，两个tcode也可以设置一个角色，所有tcode设置一个角色也可以；X：表示使用这个tcode；1.3.2 本地角色通用角色不是直接使用的，只是个模板，真正使用输入SAP的是本地角色；Z-MM-6000-0001：6000指工厂，0001流水号；每个本地角色，有对应参考的通用角色，本地角色是复制通用角色的；后四列（公司代码、利润中心、工厂、采购组织）就是权限对象；1.3.3 用户权限表将本地权限分配给用户；这个模板将参数EVO和EFB也定义为本地角色了；这样分配权限后，用户ID就不用SU3维护相关参数了；原账号就是用户ID；将本地角色分配给用户ID；需要的角色就打个X；2 SU01创建用户及界面字段介绍可以新建、更改、显示在角色页签分配角色，有了相应的权限；地址页签：相应得个人信息、公司信息；登陆数据页签：1）用户类型：选A对话，其他的B\C等和BASIS相关；1）密码：可以维护密码；2）用户组：SAP授权方式可以以组的方式进行授权，都一样的给这个组授权就可以了，组页签也可以维护用户组；SNC页签：与VPN账号有关，创建后能从外网连接内网，BASISI负责；参数页签：就是SU3维护的参数；参数文件页签：权限的维护有两种方式：一种维护角色、另一种维护参数文件（如果是创建角色点击自动生成的参数文件，不行，只能是单独的参数文件）；角色和参数文件是一一对应的，维护了角色参数文件自动带过来；3 PFCG创建角色并分配用户演示：创建BASIS基本角色（SU3、SU53、SE36等），并分配给用户；SU53：评估权限检查，项目上用户没有某个tcode的权限，想添加，与权限组的顾问进行交流，用SU53可以查看缺什么权限对象，截图，然后把权限对象和截图告诉、发送给权限组顾问，权限组顾问给开权限；可以用Tcode，也可以点界面创建角色；正常只有BASIS有使用这个Tcode 的权限，有了这个权限啥都能干，功能权限最大的Tcode；进入后：户页签：可以将创建的角色关联到用户；也可以SU01角色页签关联角色；权限页签：最下面维护权限数据和生成参数文件，进入可以维护相应权限，比如SU53缺的权限都可以进入并维护上，维护完点保存--再激活；4 以MIRO为例：演示权限分配过程4.1 PFCG创建角色编辑抬头--保存--菜单页签添加事务代码：MIRO--保存--点权限页签；点击更改权限数据--是：显示出MIRO组织级别的限制：可以输工厂，或者*和点击完全授权一样不受工厂控制，任意工厂都行；保存；自动进到这个界面，红灯是不允许的，要维护改为绿灯，黄灯可以，最好也改为绿灯；彩色底的都叫权限对象；Tcode MIRO包括了多个权相对象；权限对象下还包括权限对象，最后是参数（作业和工厂），白底的是参数值；对黄灯参数值进行维护，自动变绿维护好，都变绿，点保存，点激活，一定要激活；然后后退；保存；户页签：可以将创建的角色关联到用户；也可以SU01角色页签关联角色；4.2 SU01创建用户编辑登陆数据页签：用户名，密码；地址页签维护：姓；激活不用管；角色页签：关联角色，参数文件自动带入到参数文件页签保存；此时，新建的用户ID：QIU108登陆系统，MIRO报错；还需要其他权限对象，还需要其他要是打开tcode miro；比如这个公司代码的钥匙；4.3 SU53查看缺少的权限对象新用户QIU108：SU53查看缺少的权限对象；（注意新用户要开SU53的权限）；会显示上一次错误，需要的权限对象，显示出来：权限对象F_BKPF_BUK；4.4 PFCG维护权限数据权限组顾问登陆，PFCG维护新用户的权限页签；红灯，需要维护，绿灯了--点上方激活--保存；新用户QIU108再MIRO就可以进入了，做业务可能还会红灯报错缺，查看错误信息缺权限对象，有的错误信息会带权限对象的编号，我们直接把这个编号发给权限组顾问，重复之前操作，维护权限数据；做MIRO时会用到的相关Tcode（MIR4、MIR5、MIR7、MBSS），我们也要添加到PFCG的菜单页签的角色菜单里，然后同理维护权限页签；4.5 PFCG通过复制菜单的方式，给关键用户授权以上是给普通用户授权（通过角色的方式）；如果是MM关键用户，MM关键用户其实和顾问的权限差不多，后勤所有的权限都要有，可以通过复制菜单的方式；相关的事务代码，就都带过来了；然后权限页签--生成参数文件--维护权限数据（因为是关键用户，全部都完全授权就可以了）；提示很多黄灯，我们不用一个一个点（可以直接点黄色三角确定就变绿了需要一个一个权限对象的点），点最上面一行中间有个黄色三角，点一下，再确定，就所有都变绿了；然后激活--保存；再把这个角色分配给关键用户；5 单一角色和复合角色把创建的单一角色，放到一起，就是复合角色；PFCG创建复合角色：角色页签可以输入角色；保存就行了，不需要维护权限数据；把这个复合角色分配给用户就行了；6 通用角色和本地角色通用角色也称根角色、母角色；本地角色也称派生角色、衍生角色、子角色；①本地角色需继承通用角色，但参数文件需要重新生成；②本地角色复制通用的组织级别数据；在更改权限数据界面，点击“复制数据”；③通常情况下，通用角色不需要做组织级别的限制，全部为*；④本地角色要做组织级别的限制，如工厂或采购组织的限制等；⑤通用角色的命名比较宏观，如Z-MM-MIRO；⑥本地角色的命名比较明确，如Z-MM-MIRO-1000-001；⑦更改通用角色，点击“生成派生角色”后，会同步更新本地角色；⑧如果时间来不及，也可以不用创建通用角色，直接使用本地角色；6.1 本地角色需继承通用角色，但参数文件需要重新生成PFCG创建单一角色，描述为通用角色，通用角色不分配关联用户ID；PFCG创建单一角色，描述为本地角色，在描述页签：来自角色：输入刚刚创建的通用角色；通用角色的信息就都带过来了；权限页签需要维护，维护参数文件，更改权限数据等；更改权限数据，可以不输入，点×；点复制数据--确定，自动复制母角色（通用角色）的权限数据；变绿灯；6.2 更改通用角色，点击“生成派生角色”后通常通用角色权限是不做限制的（比如组织级别都是完全授权*），所有权限都授权；本地角色的权限如果复制的通用角色，当通用角色做了更改，同时让本地角色发生更改，激活--保存后：点击生成派生的角色，会同步更新本地角色，这一步一定不要忘记，否则，两者不一致；由于通用角色授权的权限很多，所以真正限制权限是在本地角色，点击更改权限数据，对授权进行限制；将本地角色分配给用户，通用角色不分配用户；组织级别可以做限制：比如工厂、采购组织做个限制；权限对象的参数值，也可以维护做限制，点笔，或者双击空白；像MM03在权限对象参数值的编辑中，就可以控制显示哪些视图；7 角色的复制与继承共同点：都可以提高工作效率，都需要分配用户；不同点：①复制的新角色跟模板角色无后续关联，需要重新生成参数文件，而权限对象直接全部绿灯；②继承的新角色后续会保持跟模板角色的同步更新，需要重新生成参数文件，而且需要维护好组织级别后，权限对象才会全部变为绿灯；复制：继承：通常情况下用继承；复制看情况；8 权限相关TcodeSU01：用户维护；PFCG：角色维护；SUGR：维护用户组；SU10：用户批量维护；SU3：维护用户参数文件；SU53：显示用户缺失的权限数据；SU24：维护事务代码与权限对象之间的分配；SUIM：用户权限信息系统；8.1 SUGR创建用户组可以在SUGR创建用户组时将用户维护到组里，或者SU01用户维护时输入组；8.2 SU10用户批量维护财务常用这个tcode SU10；月结时要把所有用户的权限都锁定，啥也干不了，月结结束以后，再将权限开放；8.3 SU24维护事务代码与权限对象之间的分配比如我们创建MIRO角色，需要维护公司代码、供应商等等很多权限对象；能不能一次搞定，省的用SU53一个一个去查；SU24就可以直接查出需要哪些权限对象；或者根据权限对象查出哪些Tcode会用到；举例：①应用程序页签：MIRO--运行：可以显示出与MIRO相关的全部系统自带的权限对象；具体用哪个就得凭经验了；②权限对象页签：输入权限对象--运行：8.4 SUIM用户权限信息系统用处不大；比如：可以按用户分配查找角色、按Tcode查找角色等等；9 权限对象的查找①可以通过SU24来查找，另外SU24，还可以通过权限对象来反查Tcode;②可以根据前台权限报错，然后通过SU53的方式，来获取权限对应信息；③最好根据经验，把常用的权限对象总结的一个文档上，以便后用（可以收集模板时也把权限对象加入里面）；PFCG中权限对象显示技术名称：10 权限相关底表①AGR_USERS：用户与角色对应表；SE16输入底表AGR_USERS--筛序输入用户--运行出相关角色；或SE16输入底表--筛序输入角色--运行出相关用户；②AGR_TCODES：角色与Tcode对应表；SE16输入底表AGR_TCODES--筛序输入角色--运行出相关Tcode；或SE16输入底表--筛序输入Tcode--运行出相关角色；③查询用户ID对应的Tcode：SA38中运行程序RSUSR010；④其它：RSUSR_ROLE_MENU，RSUSRAUTH；不是底表也不是程序；与权限相关；11 其它①查看授权对象的技术名称：在更改权限数据界面，菜单栏--实用程序--技术名称打开；（笔记663页）②只能把角色分配给用户，不能把已生成的参数文件直接分配给用户；③但系统自带的参数文件可以直接分配给用户，如SAP_ALL，可以直接分配，而无需角色；④权限是并集，即如果有两个角色，一个设置只能查看物料主数据，一个能查能改，则此用户能查能改；12 权限的测试一般放到对最终用户进行培训的时候；基本上权限培训完，就开始进行上线了；权限的测试非常非常关键！！！12.1 权限设计时的注意事项①权限设计非常重要，而且一旦出现问题，排错非常繁琐、耗时，所以请大家在设计时一定要非常谨慎，每次更改都要记录；②权限设计不允许在测试、生产系统更改，必须在开发系统修改好后传到测试、生产系统（不仅权限，所有维护都是这样，保证系统之间的一致性）；③决定user权限的人不是IT人员，而是team leader，所以要变更用户权限，务必要求用户提供经过审核的申请表（上线后给用户设计word申请表：比如用户解锁、密码重置申请表；用户权限变更管理流程；用户角色权限变更申请表(业务顾问填写)；用户角色权限变更申请表(最终用户填写)）；④对于user不合理的权限要求，IT人员有责任退回；12.2 权限的测试①在权限测试过程中，最少应进行两轮测试，第一轮测试需对每个模块抽取一个种子角色（关联通用角色的本地角色）进行测试；②这个测试过程非常重要，在以后的角色创建过程中，都将会对这个角色（通用角色）进行复制操作；③因此，第一轮测试应该安排的时间最长，做的最完善，以免以后造成重复工作；测试都时候，要一个tcode一个tcode的测试，还要进行反向测试，比如你是采购员，要有ME21N的权限，ME21N测试完没问题，属于正向测试，然后我们权限顾问将ME21N的权限拿掉，测试采购员ME21N是否还能使用，叫反向测试，正向一遍反向一编；12.3 权限测试的注意事项①权限测试要重视，要指派专门的业务人员与权限管理员共同完成整个测试过程（测试的时候我们顾问不参与，有问题找顾问）；②每个事务代码都要测试，避免发生遗漏的现象；③根角色中的权限对象要避免重复，对于重复的权限对象要对其进行合并，在角色中避免出现红色OBJECT值的现象（权限对象那不能有红灯）；④修改权限对象(authorizition object)时要注意能否继续派生；⑤在做权限过程中，注意更新文档，与系统保持同步；13 权限的传输13.1 角色导出权限也是在开发机进行维护，然后进行传输；首先进行角色导出到本地；①单一角色（这里指一个角色（可以单一可以复合））的导出：PFCG--输入角色技术名称--左上角“角色”--下载（ctrl+F11）;保存到本地文件夹；②批量角色的导出：PFCG--实用程序--成批下载（ctrl+shift+F1）;可以进行筛选--运行导出到本地文件夹；Z*表示所有Z打头的导出；*MM*表示所有MM的角色；可以重命名，就是个空白文件；13.2 角色导入到目标系统将角色导入；①单一角色的导入：PFCG--左上角“角色”--上载（ctrl+F12）；②批量角色的导入：PFCG--左上角“角色”--上载（ctrl+F12）；选择本地角色导出的数据导入，显示绿灯就是成功了，PFCG可以更改/显示；注意：上载后权限页签参数文件要重新生成，检查下权限数据绿灯--激活--保存；13.3 通过请求号传输到目标系统上面的导出和导入是通过文件的方式；还可以通过请求号传输到目标系统；PFCG--实用程序--批量（大量）传输--选择要传输的角色--点击左上角的闹钟--输入已有或重新新建请求号传输过去；一般项目上不用这种方法传角色；13.4 注意只需要下载本地角色20200804注意：只需要下载本地角色，然后COPY上载到目标系统，通用角色会自动带过来；13.5 角色导入生产机后，批量生成参数文件PFCG--实用程序--成批生产，选择第一个选项带非当前参数文件的角色（Roles with Non-Current Profiles）附加限定--角色--输入比如QIU*--然后点击运行--全选点击生成，就批量创建好了--保存；注意：只需要批量生成通用角色的参数文件，点击“生成派生角色”后，本地角色的参数文件会自动更新；本地角色不用选中，选中通用角色就行---点生成；点击上方眼镜角色可以查看；13.6 角色导入生产机后，批量生成用户比较PFCG--实用程序--批量比较（ctrl+shift+F5）;用户页签分配用户，如果导入的系统里有相同的用户，自动关联，没有（或红灯较多）需要批量关联导入系统里的用户（进行批量用户比较）；进入后筛选--运行--自动生成；。

介绍小技巧-ERP权限控制繁中求简, 闲聊一下SAP复杂权限设计的基本思想。

特别是适合大集团业务的ERP系统,应该提供一个非常完善的权限控制机制,甚至允许将权限控制字段细到字段级别，如果权限控制都做不到这点，估计产品销售就够呛！多年以前，俺还在软件幼稚园时，老师布置的权限作业，权限大概是设计的：Select 用户名 From 用户表 where 用户名='butcher' （得到用户名）select权限组ID From 权限表 where 用户名='butcher' （得到用户对应的权限组ID）select * From 权限控制列表 where权限组ID = ‘*****’（得到没个权限组ID对应的明细权限列表也就是用户的明细权限）这种简单的权限设置是无法满足复杂的业务需求的，多年以后，居然国内还有很多软件公司在权限设计上还在玩这套小把戏。

现在来看看“伟大的”SAP的权限设计思路，首先了解下几个Tcode和权限相关表格。

常用权限相关T code .(一)Role(角色)相关T-code:PFCG 创建ROLE_CMP 角色比较SUPC 批量建立角色profile(二)建立用户SU01 建立用户SU01D 显示用户SU2|SU3| SU50|SU51|SU52 改变/显示用户个人参数SU10|SU12 批量维护用户SUCOMP维护用户公司地址SUIM 用户信息系统（强调一下）(三)建立用户组SUGR| SUGRD_NA V 维护用户组SUGRD| SUGR_NA V 显示用户组(四)维护检查授权SU20|SU21自定义授权字段和授权对象SU53 当出现权限问题可使用它检测未授权对象.SU56:分析authoraztion data buffers.常用权限相关表格:TOBJ : All avaiable authorzation objects.(ERP系统默认的所有授权对象)USR12: 用户级authoraztion值USR02:User Logon Data(包括用户名称密码,是否锁住等字段)USR03:User address dataUSR05:User Master Parameter ID(Tcode SU3可查看用户参数文件的参数ID默认值)USR41:当前用户(即Tcode SM04看到的所有当前活动用户,包括各种对话系统通信类用户) USRBF2:记录当前用户所有的授权objectsUST04:User Profile master(用户主数据中对应的权限参数文件名)UST10S: Single profiles(授权文件,权限参数和授权对象对应表)UST12 : Authorizations(具体授权细节)重点提示：USR02/USRBF2/UST10S/UST12四个表包含的信息就是ERP权限控制的关键，USR02是用户主数据表，后三表和用户授权紧密相关。

权限设定操作手册权限保护1.注意1.1.用户、角色、事务代码、受权对象的关系用户：由几个角色构成角色：由一系列事务代码搭建事务代码：需要系统规定的必需受权对象才能运转受权对象：由它的参数来定义1.2.权限设定须慎重权限设定特别重要，而且权限的排错查问特别繁琐、耗时，所以在做权限设准时必定要慎重，每次改正都要记录。

1.3.测试环境下改正除非特别状况，权限设定不同意在正式环境直接改正。

一般都是在测试环境改正、测试成功后，再传到正式环境。

1.4.拒绝不合理权限要求Basis 不是决定用户权限范围的人，而是实质管理中大大小小业务流的管理者。

所以，改正权限设定，务必需求用户供给经过领导签核的申请表。

关于用户不合理的权限要求，顾问有责任拒绝。

2.角色保护2.1.作业说明基本由权限的大架构有 User ID （用户），Role （角色）， Profile （权限参数文件）三层，可知权限的设定也会有相应的三层。

目的SAP中的权限管理能够经过成立若干角色的方式进行，角色的定义为 SAP中单个或很多个事务代码（ T-Code）构成的一个角色定位。

角色是指在业务中预先定义的履行特别职能的工作。

能够为单个的用户的需求去创立角色，也能够经过事务代码创立角色，而后分派给各个需要这些角色的用户。

创立角色主要有三种方式：手工创立。

合适所有新建角色的需求，主要对应权限追加；继承。

主要对应设定派生角色；复制。

主要对应设定基本的角色。

继承与复制创立角色的差别：用继承的方式成立新角色，继承后，只要要填写Org.level，Object就所有表记为绿灯。

用复制的方式成立新角色，需要在Object 里填入值， Object 才能所有表记为绿灯。

以上是二者操作上最大的差别。

2.2.创立单调角色事务代码与菜单路径PFCG–工具 ->管理->用户保护->角色管理->角色菜单此为事务代码输入栏后续作业工具列图示 / 其余说明备注输入事务代码可于命令栏输入 [ 事务代码 ] 并按 ENTER键，履行程序鼠标双击( 或 ) 将鼠标光标停在欲履行对象，并双击鼠标左键。

sap权限方案设计原则
SAP权限方案设计原则应遵循以下原则：
1.最小权限原则：只赋予用户完成其工作所需的最小权限，以降低数据泄露、非法操作等风险。

2.角色管理原则：通过角色来管理权限，将角色分配给用户，方便集中管理。

3.完整性原则：确保授权过程的完整性，避免出现未授权或过度授权的情况。

4.灵活性原则：根据企业的实际需求，灵活地设计权限方案，以满足不同部门、不同层级的需求。

5.可审计原则：确保权限方案可审计，能够对用户的操作进行跟踪和记录，以便后期审计和追溯。

6.安全性原则：保证权限方案的安全性，采取多种安全措施，防止权限被滥用或泄露。

7.标准化原则：遵循企业标准化的要求，确保权限方案的统一性和规范性。

8.可维护性原则：保证权限方案的易维护性，方便对方案进行更新和维护。

9.高效性原则：确保权限方案的高效性，尽量减少用户操作的等待时间和响应时间。

10.符合法律法规原则：权限方案必须符合相关法律法规和政策要求，如GDPR等。

遵循这些原则可以有效地设计出安全、可靠、高效的SAP权限方案，保护企业的数据和信息安全。

SAP权限设计思路及方法SAP 权限与角色设计一般来说，权限就是“某人能干某事”和“某人不能干某事”之合。

在SAP系统中，用事务码（也称交易代码、或者TCODE、或者TransactionCode）表示一个用户能干的事情。

比如MM01这个TCODE是用来维护物料数据的、MIGO是用来收货的、FS00是用来维护会计科目的等。

用SU01新建一个ID时，默认的权限是空白，即这个新建的ID不能做任何事情，不能使用任何事务代码。

这样只需要为相应的ID赋上相应的TCODE，即可实现“某人能干某事”了，其补集，则是“某人不能干的某些事”。

但是我们不能直接在SU01里面给某个ID赋上TCODE，要通过ROLE中转一下。

即：一堆TCODE组成了一个ROLE，然后把这个ROLE分给某个ID，然后这个ID就得到一堆TCODE了。

上面这些，仅仅是SAP权限控制的初级概念，要理解SAP权限控制的全部，必须还要明白下面的概念。

1、角色（ROLE）、通用角色（Common Role）、本地角色（Local Role）上面讲了，角色，即ROLE，是一堆TCODE的集合，当然还包含有TCODE必备的“权限对象”、“权限字段”、“允许的操作”及“允许的值”等。

我们使用PFCG来维护角色。

为了系统的测试与SAP实施项目的阶段性需要，进一步将角色分为“通用角色”和“本地角色”。

举个例子便于理解：通用角色好比“生产订单制单员”，本地角色对应就是“长城国际组装一分厂生产订单制单员”。

所以，本地角色较之通用角色的区别就是，在同样的操作权限（事务代码们）情况下，前者多了具体的限制值。

这个限制值可能是组织架构限制，也可能是其他业务的限制。

如，一分厂的制单员不能维护二分厂的制单员；一分厂的制单员甲只能维护类型为A的单据，而不能维护类型为B的单据，诸如此类。

具体请看下面的概念。

2、权限对象（Authorization Object）、权限字段（AuthorizationField）、允许的操作（Activity）、允许的值（Field Value）上面粗略说了构成ROLE的是若干TCODE。

权限设定操作手册权限维护1.注意1.1.用户、角色、事务代码、授权对象的关系-用户：由几个角色组成-角色：由一系列事务代码搭建-事务代码：需要系统规定的必要授权对象才能运行-授权对象：由它的参数来定义1.2.权限设定须谨慎-权限设定非常重要，并且权限的排错查询非常繁琐、耗时，因此在做权限设定时一定要谨慎，每次更改都要记录。

1.3.测试环境下修改-除非特殊情况，权限设定不允许在正式环境直接更改。

-一般都是在测试环境修改、测试成功后，再传到正式环境。

1.4.拒绝不合理权限要求-Basis不是决定用户权限范围的人，而是实际管理中大大小小业务流的管理者。

-所以，变更权限设定，务必要求用户提供经过领导签核的申请表。

-对于用户不合理的权限要求，顾问有责任拒绝。

2.角色维护2.1.作业说明-基本由权限的大架构有User ID（用户），Role（角色），Profile（权限参数文件）三层，可知权限的设定也会有相应的三层。

-目的SAP中的权限管理可以通过建立若干角色的方式进行，角色的定义为SAP中单个或者多个事务代码（T-Code）组成的一个角色定位。

角色是指在业务中事先定义的执行特殊职能的工作。

可以为单个的用户的需求去创建角色，也可以通过事务代码创建角色，然后分配给各个需要这些角色的用户。

-创建角色主要有三种方式：手工创建。

适合所有新建角色的需求，主要对应权限追加；继承。

主要对应设定派生角色；复制。

主要对应设定基本的角色。

-继承与复制创建角色的区别：用继承的方式建立新角色，继承后，只需要填写Org.level，Object就全部标识为绿灯。

用复制的方式建立新角色，需要在Object里填入值，Object才能全部标识为绿灯。

以上是两者操作上最大的区别。

2.2.创建单一角色-事务代码与菜单路径PFCG –工具 -> 管理 -> 用户维护 -> 角色管理 -> 角色-菜单此为事务代码输入栏-后续作业-字段说明-后续作业-字段说明-后续作业-字段说明-后续作业-字段说明-后续作业-备注由于SAP的角色内容可以用多种方法进行选择，如根据SAP的菜单、SAP的报表程序、以及其他角色等等。

SAP权限设定的方法简介SAP（Systems, Applications, and Products in Data Processing）是一个用于企业资源规划（ERP）的软件系统。

在SAP系统中，权限设定是非常重要的一项任务，它可以控制用户对系统中不同事务和数据的访问权限。

本文将介绍SAP权限设定的方法，帮助读者了解如何正确设置用户权限，确保系统的安全性和合规性。

SAP用户权限的级别在SAP系统中，用户权限分为以下几个级别：1.事务级权限：控制用户对特定事务的访问权限，如创建销售订单、审核付款等。

2.模块级权限：控制用户对特定模块的访问权限，如销售模块、采购模块等。

3.数据级权限：控制用户对特定数据对象的访问权限，如销售订单数据、员工数据等。

4.组织级权限：控制用户对特定组织单元（如公司、部门、项目组）的访问权限。

SAP权限设定的步骤下面将介绍在SAP系统中进行权限设定的基本步骤：步骤一：确定用户角色首先，需要确定每个用户的角色，即其在组织中扮演的角色和职责。

根据用户角色的不同，其所需的权限也会有所区别。

步骤二：创建角色在SAP系统中，需要创建与用户角色相对应的角色。

角色可以通过事务码“PFCG”来创建。

在创建角色时，可以选择预定义的模板，也可以根据需要进行自定义。

步骤三：分配事务和模块权限在创建角色后，需要为角色分配事务和模块的权限。

可以通过事务码“SU01”来进行权限分配。

在分配权限时，可以选择将事务和模块权限直接分配给角色，也可以通过角色分配给用户。

步骤四：定义数据级权限除了事务和模块权限外，还可以定义数据级的权限。

通过事务码“PFCG”，可以在角色中定义哪些数据对象的访问权限是允许的，哪些是禁止的。

步骤五：设置组织级权限最后，还可以设置组织级的权限。

通过事务码“PPOCE”和“PPOC_OLD”，可以进行组织单元的设置和组织单元之间的关系设置。

SAP权限设定的最佳实践在进行SAP权限设定时，需要遵循以下最佳实践：1.权限分离原则：应该根据用户的职责和工作需求，将权限按照粒度进行划分，避免将过多权限授予单个用户。

快速搞定SAP权限设定Sap权限设定方法1.使用su01给用户添加权限1.1打开SAP进入SAP初始化界面,在T-CODE输入栏中输入su01(如图1.1)图1.1:1.2.进入如图1.2的画面,在USER栏里输入你需添加的用户帐号,然后按新建图标. 图1.21.3出现如图1.3的画面,给所要添加的用户输入TITLE和LAST NAME等属性图1.31.4选择LOGON DATA页面,在PASSWORD栏里输入初始化密码(如图1.4)图1.4:1.5选择ROLE页面,在ROLE栏里添加用户的权限(如图1.5)图1.5:1.6输入完毕后,按保存按钮,返回su01功能界面,输入其他的用户,并添加权限(如图1.6)图1.6:2.用pfcg来维护ROLE2.1进入SAP初始化界面,输入T-COLD:pfcg(如图2.1)图2.1:2.2进入如图2.2界面,在ROLE栏中输入你想建立或维护的ROLE 名,按新建按钮2.3进入如图2.3界面,按保存按钮.图2.32.4选择AUTHORIZATIONS页面,按CHANGE AUTHORIZATION DATA按钮(如图2.4)2.5进入如下界面,表中列出所有的分类权限,选择一个你想设定的权限(如图2.5)图2.52.6进入分类设定权限的界面(如图2.6)2.7在表中选择你不想要的权限并把它们设成红色,设完后保存(如图2.7)2.8然后按激活按钮(红白圆形图标),跳出如图2.8窗口,按确定2.9然后返回(如图2.9)2.10选择USER页面,在USER ID栏中输入你想赋予权限的用户帐户名.(图2.10)2.11这样用pfcg维护ROLE就完成了.。