SAP角色权限设置

济南分公司SAP系统权限设置
和修改操作流程
1．概述
1.1目的
规范SAP用户权限设置和修改的操作流程，加强SAP用户权限的管理，保证SAP系统的安全、稳定运行。

1.2读者
SAP系统的最终用户和SAP系统的用户、权限管理员。

2.用户权限设置和修改操作流程
2.1用户权限的设置
权限管理员根据“中国石化济南分公司ERP最终用户申请表”相关栏目的内容，对用户管理员所创建的用户ID赋予相应的权限。

2.2用户权限的修改
ERP最终用户由于岗位或者业务范围的调整，需要对其权限进行修改（增加或者减少权限）时，必须填写“中国石化济南分公司ERP最终用户权限修改申请表”（请参见附表三），经所在单位的主要领导审核批准后，交信息中心。

经信息中心领导审核后，权限管理员在SAP系统中，手工对相应用户ID进行权限的修改，并通知用户本人。

附表三
中国石化济南分公司
2、“功能模块”指用户使用SAP中的功能模块，其中有：FI/CO—
财务/成本管理，PP—生产计划， SD—销售/分销，MRO—物料采
购管理，MM—物料管理，PM—设备维护，HR—人力资源。

单位（部门）负责人（签章）：
年月日
信息中心审核：
年月日
2。

Sap 权限相关设置、控制及传输ERP 项目部 林群1、权限相关概念简介一、首先我们先来介绍以下这幅图（PFCG ），这里面包含几个权限相关的概念。

以上图为例，我们来简单的介绍上图中的几个概念：1、Role ：一堆TCODE 的集合，当然还包含有TCODE 必备的“权限对象”、“权限字段”、“字段值”等。

这个大家比较熟悉，用户如果要添加某些权限，那么可以把相关的角色赋予相应的用户。

2、Authorization Objects ：包含了若干权限字段、允许的操作和允许的值。

有一个特殊的权限对象用来包含了若干事务码，这个权限对象叫“S_TCODE”，该权限对象的权限字段叫“TCD”，该字段允许的值（Field Value ）存放的就是事务代码。

3、Authorization Group ：顾名思义，这个就是若干个权限对象的集合。

4、Authorization Field ：是Authorization Objects 的相关元素，比如：操作、公司代码、一个事务等。

有一种特殊的权限字段用来表示可以针对该权限对象做哪些操作，是允许创建、修改、显示、删除或者其他。

该权限字段叫“ACTVT ”，该字段允许的值（Field Value ）存放的就是允许操作的代码，01代表创建、02代表修改、03代表显示等。

权限对象类（Authorizati on Group ）权限对象（Authorizati on Objects ）参数文件（Profiles ）权限字段（Authorization Field ）字段值（Field Value ）角色（Role ）事务代码（TCODE ）5、Field Value：确定可进行的操作或操作范围，如：权限字段是工厂，权限字段的值是1010，那么拥有该角色的用户只能进行1010工厂的相关操作。

6、Profiles：当一个角色生成的时候，会生成一个相应的参数文件，同样的，该参数文件也包含与相应角色一样的权限对象。

SAP用户权限管理配置及操作手册SAP用户权限管理配置及操作手册SAP用户权限管理配置及操作手册Overview业务说明OverviewSAP的每个用户能够拥有的角色是有数量限制的，大概是300多点，具体不记得了。

如果只在S_TCODE和菜单中设置了某个事务代码，而没有设置权限对象，此时将不能真正拥有执行该事务代码的权限。

SAP的权限检查机制：SAP进入一个t-code，要检查两个东西1）S_TCODE2) 表TSTCA 里面和这个T-cdoe相对应的object。

有些tcode在tstca里面没有对应的object，就会导致直接往S_TCODE中加事务代码不能使用的情况。

SAP权限架构概念权限对象Authorization objectSAP在事务码（T-code）的基础上通过权限对象对权限进行进一步的细分，例如用户有创建供应商的权限，但是创建供应商的事务码中有单独的权限对象，那么就可以通过权限对象设置不同的用户可以操作不同的供应商数据。

角色-Role同类的USER使用SAP的目的和常用的功能都是类似的﹐例如业务一定需要用到开S/O的权限。

当我们把某类USER需要的权限都归到一个集合中﹐这个集合就是“职能”(Role)。

所谓的“角色”或者“职能”﹐是sap4.0才开始有的概念﹐其实就是对user的需求进行归类﹐使权限的设定更方便。

(面向对象的权限!!)分为single role 和composite role两种﹐后者其实是前者的集合。

角色模板-Template RoleRole的模板﹐一般是single role.但这个模板具有一个强大的功能﹐能通过更改模板而更改所有应用(sap称为Derive“继承”）此模板的Role(sap称之为adjust)参数文件-Profile参数文件相当于指定对应的权限数据及权限组的定义。

每个角色下会产生一个附属的参数文件。

真正记录权限的设定的文件﹐从sap4.0开始是与Role绑定在一起的。

SAPFiori系统配置之权限角色版权声明：文章仅代表个人观点，不代表任何官方观点。

配置权限角色接下来我们拷贝SAP标准SAP Fiori launchpad角色并分配给管理员和终端用户。

具体步骤：1. 执行事务码 PFCG2. 输入角色名称“SAP_UI2_ADMIN_700”并点击拷贝角色，如图2.47图2.473. 在输入框To Role，名字以Z开头4. 点击copy all，如图2.48图2.485. 点击修改按钮编辑新的角色6. 在菜单栏下选择Authorization Default如图2.49图2.497. 从下拉菜单里选择TADIR Service8. 选择Program ID “R3TR”9. 选择Obj. Type 'IWSG'10. 添加上面激活的services，如图2.50- ZINTEROP_0001- ZPAGE_BUILDER_CONF_0001- ZPAGE_BUILDER_CUST_0001- ZPAGE_BUILDER_PERS_0001/- ZTRANSPORT_0001图2.5011. 点击copy按钮，然后到Authorization标签栏12. 点击按钮来预设Profile Name如图2.51图2.5113. 点击修改权限数据如图2.52图2.5214. 点击Yes来保存角色，你可以看到拷贝的角色下面的五个服务。

15. 点击保存，然后点击生成按钮如图2.53图2.5316. 我们已经拷贝了SAP Fiori launchpad管理员的标准角色。

接下来，重复2-15步，按以下步骤拷贝SAP标准角色给SAP Fiori launchpad终端客户。

· 拷贝角色SAP_UI2_USER_700· 添加以下服务给拷贝的角色· 生成权限分配生成的角色给用户在这个步骤，我们分配一般的管理员角色给FIORIADMIN ID，分配一般的用户角色给FIORIUSER ID。

sap权限设计例子SAP权限设计是指在SAP系统中对用户的操作权限进行设置和管理，以保证系统的安全性和数据的完整性。

下面将列举10个符合要求的例子。

1. 用户权限分配：在SAP系统中，管理员可以根据用户的职位和工作职责，分配不同的权限。

比如，财务人员可以具有财务模块的相关权限，销售人员可以具有销售模块的相关权限。

2. 角色权限设计：管理员可以根据不同的角色，为用户分配相应的权限。

比如，销售经理可以具有销售订单的审批权限，而销售代表只能创建销售订单的权限。

3. 数据访问权限：在SAP系统中，可以根据用户的权限设置，限制用户对特定数据的访问。

比如，某些敏感数据只能由高级管理人员才能查看和修改。

4. 审计日志权限：管理员可以设置审计日志的访问权限，只有经过授权的用户才能查看和管理审计日志，以确保系统的安全性和数据的追溯性。

5. 系统参数权限：SAP系统中的一些重要的系统参数和配置需要管理员权限才能进行修改，以保证系统的稳定性和安全性。

6. 业务流程权限：SAP系统中的不同业务流程需要不同的权限设置，比如采购流程、销售流程、财务流程等，管理员可以根据具体业务需求为用户分配相应的权限。

7. 报表权限：SAP系统中的报表功能需要根据用户的权限进行设置，只有具有相应权限的用户才能查看和生成报表。

8. 批处理权限：SAP系统中的批处理功能需要管理员权限才能进行操作，以保证对系统的影响有限，并防止误操作引发的问题。

9. 系统维护权限：SAP系统的维护工作需要特定的权限来执行，比如备份数据库、重启系统等操作，只有具有维护权限的用户才能进行相关操作。

10. 数据导入导出权限：在SAP系统中，数据的导入和导出涉及到系统的数据完整性和安全性，需要管理员权限才能进行相关操作，防止非授权人员对数据进行篡改或泄露。

以上是关于SAP权限设计的10个例子，通过合理的权限设置和管理，可以保障系统的安全性和数据的完整性，提高系统的运行效率和用户的工作效率。

SAP角色权限设置及测试手册(一)从Source Role拷贝生成Common Role (2)(二)直接创建生成Common Role (2)(三)创建/调整Common Role所授权的事务代码 (3)(四)从Common Role继承生成Local Role (4)(五)创建/调整授权范围 (5)(六)创建用户 (9)(七)对用户授权 (11)(八)SU53问题权限问题查看 (13)(一)从Source Role拷贝生成Common Role1.PFCG进入权限角色维护界面，输入Source Role名称，点击复制按钮2.将到角色中输入Common Role名称，点击复制所有(二)直接创建生成Common Role1.PFCG进入权限角色维护界面，输入Common Role名称，点击创建角色按钮2.输入角色名称，并保存1.PFCG进入权限角色维护界面，点击修改按钮配，即完成对事务代码的授权调整1.PFCG进入权限角色维护界面，输入Local Role名称，点击创建角色按钮说明：继承得到的Local Role，其事务代码必与其Common Role一致(五)创建/调整授权范围1.PFCG进入权限角色维护界面后，切换到权限页面，点击更改授权数据在新弹出页面点击是以确定2.点击组织级别，修改组织级别数据为本经营单元相关组织ID并保存新增一行：选中需新增的行所在的位置，可点击右侧删除一行：选中该行，可点击下方说明：对应Common Role，为保证该Role只用于本经营单元，请务必保证：SD按公司代码+销售组织做了对应组织级别授权（如本例，要操作混凝土下所有销售数据，则须授权1100混凝土公司+1100混凝土国内销售组织、1120混凝土海外销售组织）MM按公司代码+工厂+采购组织+采购组做了对应组织级别授权PP按公司代码+工厂做了对应组织级别授权FI按公司代码做了对应组织级别授权CO按公司代码+成本中心+内部订单做了对应组织级别授权3.修改已有权限对象、权限字段的值点击待修改权限字段前的修改图标，在新弹出窗口中修改赋值，保存即可或者，点击待修改权限字段前的*号图标，做完全授权说明：请保证查询类角色的ACTVT权限字段没有创建、更改、删除等操作权限请保证创建类角色的ACTVT权限字段没有更改、删除等操作权限对于Common Role，必须保证该Role能在本经营单元内对授权的事务代码进行正常操作对应Local Role，请保证该Role只能在指定业务范围内对授权的事务代码进行操作4.系统未自动带出而又需要做授权的权限对象，请手动添加点击，输入权限对象名称（可同时录入多个权限对象），完成后点击左下角绿勾确认按钮然后展开对应的权限对象，参照步骤3进行权限字段的赋值5.点击保存，再点击激活按钮，使该权限参数文件生效Tips点击菜单实用程序-显示技术名称，可以展示权限对象和权限字段名称1.SU01进入用户维护界面，输入用户名，点击创建2.在地址页输入姓为local role名称，以便测试时识别所测试的是哪个角色说明：此时的用户尚未进行授权，只是可以登录系统，但不能进行任何操作1.PFCG进入权限角色维护界面，切换到用户页面，输入用户名，并保存2.点击用户比较，并点击完成比较，即可说明：所有用户必须做ZL_BC_ENDUSER角色的授权，以保证用户能使用SU53检查权限问题(八)SU53问题权限问题查看1.当使用授权用户操作时，如果系统报错权限不够，请立即退出该界面2.在事务代码框中输入SU53，并回车3.即可查看到是哪些权限对象或字段的赋值存在问题。

因为系统是按照账号来分配具有这个权限的用户，所以我们可以按照每个角色哪些账号可以使用来授权。

1．输入T-code：su01回车
2.用户维护中输入：已经有这个权限的账号名称后点击“小铅笔图标”；
3.在“维护用户”中找到“角色”选项卡；
4.找到需要添加权限的那个角色项目后单击“角色”选项
5.在显示“角色”中单击“修改的”图标后输入需要添加的角色账号名称；
6.单击鼠标选中这个角色，在单击“用户主记录”这个角色就会有红色变成绿色。

说明这个角色已经生效了，最后单击保存按钮即可。

SAP权限的设定方法什么是SAP权限SAP权限是指在SAP系统中对用户进行授权和访问的权限设置。

通过SAP权限的设定，可以控制用户对系统中不同功能模块、事务和数据的访问和操作权限，保障系统的安全性和数据的保密性。

SAP权限的重要性在企业中，SAP系统通常扮演着关键角色，涵盖了企业的核心业务流程和数据。

因此，对SAP系统的权限进行合理、有序的设定是至关重要的。

合理的SAP权限设定可以实现以下几个方面的目标：1.安全性：通过限制用户对系统中敏感数据和功能模块的访问权限，保障系统的安全性，防止信息泄露和错误操作。

2.合规性：根据企业内部和外部的合规要求，设置用户对特定数据和功能的访问权限，保证企业操作符合法规和规范要求。

3.效率：通过合理设定SAP权限，用户可以仅获得其工作所需的权限，提高工作效率，减少系统资源的浪费。

SAP权限的设定方法1. 权限规划在开始设定SAP权限之前，需要对企业的业务流程、组织结构和工作职责进行深入了解和分析。

然后，制定一个权限规划，包括以下内容：•角色分析：基于企业的组织结构和工作职责，将用户划分为不同的角色，每个角色代表一组拥有相似访问权限的用户。

•访问权限定义：根据企业的业务流程，定义每个角色所需的具体功能模块、事务和数据的访问权限。

•权限层级结构：确定权限的层级结构，确保角色之间的权限关系清晰，并能够适应未来的业务发展。

根据权限规划，开始创建和维护SAP系统中的角色。

角色是一组权限的集合，可以简化权限管理的流程，并降低错误设置的风险。

在创建角色时，需要遵循以下步骤：1.角色创建：通过SAP系统的角色维护工具，在系统中创建新的角色。

为角色命名并定义角色的描述信息。

2.权限分配：为角色分配适当的访问权限，包括功能模块、事务和数据的访问权限。

确保每个角色获得其工作所需的最低权限。

3.审批流程：根据企业内部的权限控制要求，设置角色创建和权限分配的审批流程，确保设定的权限符合企业的合规要求。

业务需求分析
深入了解业务部门的需求，明确 用户在SAP系统中需要执行的操 作和访问的数据范围。
权限分类
将需求细化为具体的权限分类， ቤተ መጻሕፍቲ ባይዱ数据查询、数据修改、审批等 。
创建角色
定义角色名称和描述
为每个角色命名并提供清晰的描述， 以便用户了解其职责和权限。
配置角色所拥有的权限
根据确定的权限需求，为角色分配相 应的权限，如事务代码、报表、数据 范围等。
验证与反馈
对测试结果进行验证，并 及时收集和处理用户的反 馈意见，持续优化权限设 定流程。
04
CATALOGUE
SAP权限的安全控制
用户认证与授权
用户认证
确保只有经过身份验证的用户才能访问SAP系统，可以通过多因素认证、单点登 录等方式增强安全性。
授权管理
根据用户的角色和职责，为其分配适当的权限，限制对敏感操作的访问，防止未 经授权的访问。
数据安全性
数据加密
对敏感数据进行加密存储，确保数据 在传输和存储过程中的安全性。
数据备份与恢复
定期备份数据，并制定有效的恢复策 略，以防止数据丢失或损坏。
访问控制列表
访问控制策略
制定严格的访问控制策略，限制用户对特定功能、数据和信息的访问。
权限审查
定期审查用户的权限设置，确保权限分配合理且符合组织的安全要求。
及时更新权限
当组织结构或工作职责发生变化时，应及时更新相关 用户的权限，以保持权限与实际需求的一致性。
使用标准角色与自定义角色
使用标准角色
SAP提供了标准角色，这些角色已经预先定义了相应的 权限。通过分配标准角色，可以快速为新用户配置所需 权限。
适当使用自定义角色

定期审查与更新
定期审查权限设置，确保与组织政策和业务需求保持一致。
权限审计与监控
1 2
日志记录与分析
记录用户对系统的所有操作，以便进行审计和分 析。
异常检测
通过监控系统活动，及时发现异常操作或潜在的 安全威胁。
3
定期审计
对系统权限进行定期审计，确保权限设置符合组 织政策和最佳实践。
04 SAP权限的安全控制
案例二：用户管理与授权
总结词
用户是SAP系统中的具体操作人员，需要对用户进行 合理的授权管理，以确保系统的安全性。
详细描述
在SAP系统中，用户是具有登录和操作SAP系统的能 力的个体。管理员需要根据用户的职责和需求为其分 配相应的角色或权限。授权过程需要遵循最小权限原 则，即只授予用户完成工作所需的最低权限。在案例 二中，我们将介绍如何管理用户账户，包括创建用户 、分配角色或权限、设置登录参数等，以确保用户能 够安全、有效地使用SAP系统。
访问控制策略
用户身份验证
通过用户名和密码进行身份验证，确保只有授权用户能够访问SAP 系统。
角色管理
为不同用户分配不同的角色，每个角色具有不同的权限级别，限制 用户对特定功能和数据的访问。
权限审查
定期进行权限审查，确保用户只拥有完成工作所需的必要权限，避免 权限过度分配。
数据安全保护
数据加密
01
好地满足企业的实际需求。
02 SAP权限的设定流程
角色管理
01
02
03
角色定义
定义角色名称、描述，为 角色分配相应的职责和功 能。
角色授权
根据角色职责，为其分配 相应的权限，控制角色可 访问的模块和功能。
角色分配
将角色分配给相应的组织 单元或用户，实现权限的 集中管理和分配。

SAP权限的架构
• 例外权限﹕这是公司创造的名词。当一 个USER除了其职位一般所需的权限外﹐ 还需要一些的权限﹐我们把这些权限称 之为这特殊个USER的例外权限。 例如开工单对主管来是其职能应有的 权限﹐但对仓库来说就是例外权限。
Role的命名和分类
Role的命名规则和分类如下: 以“G+”开头的都是Template Role(模板)﹐都 不会直接assign给userid。
Role的建立—完全新建
在这里﹐需要向大家介绍一个很重要的概念﹕Org.level. 在权限设定中﹐有许多地方的控制点是一致的﹐sap公司 为了方便权限的设定﹐把这些地方设计为与全局变数关 联。当改变全局变数时﹐这些地方就可以全部改变过来。 这个全局的变数就是﹕Org.level
Role的建立—完全新建
Role的建立—完全新建
直接添加﹕ 所有T CODE(包括外挂）和没有T CODE的标 准程式都可以用这种方法添加。好处是 比较快 缺点是必须知道T code﹐不能带出路径。
Role的建立—完全新建
从SAP菜单添加
Role的建立—完全新建
Role的建立—完全新建
Role的建立—完全新建
Role的建立—完全新建

以“Y+”开头都是Basis Role,直接assign给 user id。

Y+职能名称
:全球共同Basis Role
Role的命名和分类
附件是一张/Rolename对照表 我们以其中一个职能“AR作业人员”做解 释。
A/R 作业人员 CO-AR G+CO-AR G+CO-AR-1 Y+CO-AR
Role的建立
新创建Role主要有三种方式。T CODE ﹕PFCG 1.由始至终新建; 可以对应所有新建Role。主要对应例外权限 Z+USERID+EXCEPTION 2.继承; 主要对应设定Z+USERID+职能名称 3.复制（COPY）﹔ 主要对应设定Z+USERID+职能名称-1

权限设定操作手册权限保护1.注意1.1.用户、角色、事务代码、受权对象的关系用户：由几个角色构成角色：由一系列事务代码搭建事务代码：需要系统规定的必需受权对象才能运转受权对象：由它的参数来定义1.2.权限设定须慎重权限设定特别重要，而且权限的排错查问特别繁琐、耗时，所以在做权限设准时必定要慎重，每次改正都要记录。

1.3.测试环境下改正除非特别状况，权限设定不同意在正式环境直接改正。

一般都是在测试环境改正、测试成功后，再传到正式环境。

1.4.拒绝不合理权限要求Basis 不是决定用户权限范围的人，而是实质管理中大大小小业务流的管理者。

所以，改正权限设定，务必需求用户供给经过领导签核的申请表。

关于用户不合理的权限要求，顾问有责任拒绝。

2.角色保护2.1.作业说明基本由权限的大架构有 User ID （用户），Role （角色）， Profile （权限参数文件）三层，可知权限的设定也会有相应的三层。

目的SAP中的权限管理能够经过成立若干角色的方式进行，角色的定义为 SAP中单个或很多个事务代码（ T-Code）构成的一个角色定位。

角色是指在业务中预先定义的履行特别职能的工作。

能够为单个的用户的需求去创立角色，也能够经过事务代码创立角色，而后分派给各个需要这些角色的用户。

创立角色主要有三种方式：手工创立。

合适所有新建角色的需求，主要对应权限追加；继承。

主要对应设定派生角色；复制。

主要对应设定基本的角色。

继承与复制创立角色的差别：用继承的方式成立新角色，继承后，只要要填写Org.level，Object就所有表记为绿灯。

用复制的方式成立新角色，需要在Object 里填入值， Object 才能所有表记为绿灯。

以上是二者操作上最大的差别。

2.2.创立单调角色事务代码与菜单路径PFCG–工具 ->管理->用户保护->角色管理->角色菜单此为事务代码输入栏后续作业工具列图示 / 其余说明备注输入事务代码可于命令栏输入 [ 事务代码 ] 并按 ENTER键，履行程序鼠标双击( 或 ) 将鼠标光标停在欲履行对象，并双击鼠标左键。

Sap权限设定方法
1.使用su01给用户添加权限
1.1打开SAP进入SAP初始化界面,在T-CODE输入栏中输入su01(如图1.1)
图1.1:
1.2.进入如图1.2的画面,在USER栏里输入你需添加的用户帐号,然后按新建图标.
图1.2
1.3出现如图1.3的画面,给所要添加的用户输入TITLE和LAST NAME等属性
2.1进入SAP初始化界面,输入T-COLD:pfcg(如图2.1)
图2.1:
2.2进入如图2.2界面,在ROLE栏中输入你想建立或维护的ROLE名,按新建按钮
图
2.3进入如图2.3界面,按保存按钮.
图2.3
2.4选择AUTHORIZATIONS页面,按CHANGE AUTHORIZATION DATA按钮(如图2.4)
图1.3
1.4选择LOGON DATA页面,在PASSWORD栏里输入初始化密码(如图1.4)
图1.4:
1.5选择ROLE页面,在ROLE栏里添加用户的权限(如图1.5)
图1.5:
1.6输入完毕后,按保存按钮,返回su01功能界面,输入其他的用户,并添加权限(如图1.6)
图1.6:
2.用pfcg来维护ROLE
图2.4
2.5进入如下界面,表中列出所有的分类权限,选择一个你想设定的权限(如图2.5)
图2.5
2.6进入分类设定权限的界面(如图2.6)
图2.6
2.7在表中选择你不想要的权限并把它们设成红色,设完后保存(如图2.7)
图2.7
2.8然后按激活按钮(红白圆形图标),跳出如图2.8窗口,按确定
图2.8
2.9然后返回(如图2.9)
图2.9
2.10选择USER页面,在USER ID栏中输入你想赋予权限的用户帐户名.(图2.10)

S A P?用户权限控制设置及开发(2012-09-03 16:03:31)转载▼标签：分类：ABAP权限用户的权限菜单是通过分配具体角色来实现的.1. 创建角色PFCG输入角色名并点击Single Role为角色分配权限菜单.为角色配置权限数据维护完菜单后, 仅实现在用户菜单中能看到相关的事务, 要具有此事务权限还待设置具体的权限数据.SAP程式在执行中会通过读取该参数文件的数据来进行用户权限的检查及管控.在SAP实际应用中, 用户所直接操作的是屏幕及屏幕所对应的字段, 而这些具体的字段都是由权限对象进行控制, 包括该字段所允许的操作及允许的值.* 表示为该字段分配完全权限.通过状态灯图标来表示各权限对象的维护状态, 绿灯代表激活, 黄色代表未激活, 红色代表未给权限字段分配值, 单击权限字段前的铅笔图标可以定义该字段的授权值.一些常用的权限字段:ACTVT: 该字段存放的就是允许操作的代码, 例如 01 代表创建,02 代表修改,03代表显示等;TCD: 存放该权限角色所包含的事务代码;该图说明允许该角色的用户能查看和更改物料的Status.权限对象维护完成后,点Generate 将该权限数据激活.将角色分配给用户:进行用户比较, 只有单击"完成比较"按钮,该用户所对应的权限角色才将正式生效.自定义权限对象:1. 权限字段的维护:SU20创建权限字段.2. 对象类及权限对象的维护SU21对象类是多个权限对象的集合, 而一个权限对象下又可分配多个权限字段, 新增的用户自定义权限对象, 需要单击工具栏中的"Regenerate SAP_ALL" 按钮才会把新增的权限对象赋值给SAP_ALL这个权限参数文件.3. 权限对象的分配.SU22把权限对象(Authorization Object)分配给事务代码.权限对象在 ABAP 程序中的调用.For Example 1.?对Parameters输入的检查:-------------------------------------------------------REPORT??z_af_034.TABLES:?marc.PARAMETERS:?s_werks?LIKE?marc-werks?DEFAULT?'1000'.AT?SELECTION-SCREEN.??AUTHORITY-CHECK?OBJECT?'ZS002'???????????ID?'ZWERKS'?FIELD?s_werks.??IF?sy-subrc?<>?0.????MESSAGE?'权限检查失败'?TYPE?'E'.??ENDIF.START-OF-SELECTION.--------------------------------------------------------For Example 2.对 select-options 数据的权限检查:--------------------------------------------------------REPORT??z_af_034.TABLES:?marc.DATA:?errstr?TYPE?string.SELECT-OPTIONS:?s_werks?FOR?marc-werks.START-OF-SELECTION.??LOOP?AT?s_werks.????IF?NOT?s_werks?IS?INITIAL.??????AUTHORITY-CHECK?OBJECT?'ZS002'????????????????ID?'ZWERKS'?FIELD?s_werks-low.??????CONCATENATE?'Plant?'?s_werks-low?'?No?Authorization'?INTO?errstr.??????MESSAGE?errstr?TYPE?'E'.??????EXIT.????ENDIF.????IF?NOT?s_werks?IS?INITIAL.??????AUTHORITY-CHECK?OBJECT?'ZS002'????????????????ID?'ZWERKS'?FIELD?s_werks-high.??????CONCATENATE?'Plant?'?s_werks-high?'?No?Authorization'?INTO?errstr.??????MESSAGE?errstr?TYPE?'E'.??????EXIT.????ENDIF.??ENDLOOP.--------------------------------------------------------------可通过 Function GET_AUTH_VALUES 获取权限对象的权限值.用户权限缺失的检查.SU531).检查操作用户是否被授权能操作所执行的事务.2).检查操作用户被授权的权限角色里面是否包含程序所调用的权限对象.3).检查操作用户的权限检查字段输入值是否包含在权限字段.在用户执行某个程式权限检查失败后, 输入 SU53 就能看到权限评估检查报表.如下图所示:查找权限角色:如何知道某个 Tcode 分配给了哪些 Role?SUIM。

SAP权限设定的方法简介SAP（Systems, Applications, and Products in Data Processing）是一个用于企业资源规划（ERP）的软件系统。

在SAP系统中，权限设定是非常重要的一项任务，它可以控制用户对系统中不同事务和数据的访问权限。

本文将介绍SAP权限设定的方法，帮助读者了解如何正确设置用户权限，确保系统的安全性和合规性。

SAP用户权限的级别在SAP系统中，用户权限分为以下几个级别：1.事务级权限：控制用户对特定事务的访问权限，如创建销售订单、审核付款等。

2.模块级权限：控制用户对特定模块的访问权限，如销售模块、采购模块等。

3.数据级权限：控制用户对特定数据对象的访问权限，如销售订单数据、员工数据等。

4.组织级权限：控制用户对特定组织单元（如公司、部门、项目组）的访问权限。

SAP权限设定的步骤下面将介绍在SAP系统中进行权限设定的基本步骤：步骤一：确定用户角色首先，需要确定每个用户的角色，即其在组织中扮演的角色和职责。

根据用户角色的不同，其所需的权限也会有所区别。

步骤二：创建角色在SAP系统中，需要创建与用户角色相对应的角色。

角色可以通过事务码“PFCG”来创建。

在创建角色时，可以选择预定义的模板，也可以根据需要进行自定义。

步骤三：分配事务和模块权限在创建角色后，需要为角色分配事务和模块的权限。

可以通过事务码“SU01”来进行权限分配。

在分配权限时，可以选择将事务和模块权限直接分配给角色，也可以通过角色分配给用户。

步骤四：定义数据级权限除了事务和模块权限外，还可以定义数据级的权限。

通过事务码“PFCG”，可以在角色中定义哪些数据对象的访问权限是允许的，哪些是禁止的。

步骤五：设置组织级权限最后，还可以设置组织级的权限。

通过事务码“PPOCE”和“PPOC_OLD”，可以进行组织单元的设置和组织单元之间的关系设置。

SAP权限设定的最佳实践在进行SAP权限设定时，需要遵循以下最佳实践：1.权限分离原则：应该根据用户的职责和工作需求，将权限按照粒度进行划分，避免将过多权限授予单个用户。

角色设置一、MM模块角色规范要求 (2)二、角色建立 (2)1、新角色新建 (2)2、新角色复制 (8)3、角色批量比较 (10)三、角色传输 (11)四、角色维护注意点 (15)1、主数据 (15)2、采购管理 (16)3、库存管理 (17)4、用户权限查看 (19)一、MM模块角色规范要求角色名规范：MM_WERKS_FUNC_ACTVT。

如：MM_SBSX_PO_MATN。

角色描述规范：MM WERKS FUNC作业描述。

如：MM SBSX PO维护。

作业缩写规范：维护MATN—包含了创建与更改权限。

创建CREA，更改为CHANGE，显示DISP，审批REL。

建议在角色进行用户分配时，如果有创建、更改、审批权限时，就不需要再分配显示权限，一般在设置时，创建、更改或审批权限都包含有显示权限。

在设置审批权限时需要给对应的更改权限，否则单独把该权限分配给用户，用户是无法正常操作的。

二、角色建立使用事务码PFCG进入操作界面1、新角色新建输入需要新建的角色点按钮，输入规范的角色描述后，进入菜单屏幕，从选择角色需要的路径，选择相应的维护路径后，点左下角的返回到菜单界面，然后进入权限界面，进行权限参数维护，权限参数名建议点键自动生成，然后点进入具体参数设置，首先维护组织级别，然后点左下角保存按钮，可先打开技术名称，对需要人工添加的授权对象，点，然后维护授权对象名称，系统将在相应的路径下添加该对象，对于不需要的路径，点该路径右边，该路径将变为未激活。

在所有路径进行相应维护后，点保存，然后再点，点，参数文件已生成，返回到原始界面，至此角色已维护好，最后一步工作是进行用户分配，点，显示如下界面，点点，这样就完成了角色设置的整个过程，在输入用户时可从EXCEL文档中复制多行用户账号然后进行批粘贴，2、新角色复制在ROLE栏位输入原始ROLE，然后点复制按钮，显示如下，更改需要生成的角色名，然后点，点进行修改，首先需要修改角色描述，然后自动生成参数名称，再进行具体参数维护，在进行具体参数维护时，需要把组织级别进行更改，系统复制时是自动把原来的组织级别带过来，在组织级别进行更改后，对涉及到组织级别的路径再进行相应检查，避免有路径可能未更新组织级别的情况，如有未更新，则手工调整。

SAP权限设置控制与传输1. 引言SAP（Systems, Applications and Products）是一套领先的企业资源计划（ERP）软件，提供了广泛的功能模块来管理企业的各个方面，包括财务、物料管理、销售和采购等。

在SAP系统中，权限设置控制与传输是非常重要的，它可以确保只有授权的用户能够访问和操作特定的数据和功能模块。

本文将介绍SAP权限设置控制与传输的基本原则和操作步骤。

2. SAP权限设置控制2.1 权限概述在SAP系统中，权限是指用户可以访问和执行的特定功能和数据的范围。

通过权限设置控制，管理员可以定义哪些用户可以执行哪些操作，并限制用户的访问权限。

这些权限可以在不同的层次上进行设置，包括系统级、应用级和对象级权限。

2.2 权限设置原则在进行SAP权限设置时，应遵循以下原则：•最小权限原则：用户只能获得他们工作所需的最低权限级别，以降低潜在的风险。

•分离权限原则：不同的操作应该由不同的用户执行，以确保控制和审计的有效性。

•审计跟踪原则：系统应该记录所有用户的操作和访问行为，以便追踪和审计。

2.3 权限设置步骤2.3.1 创建角色角色是一组相关权限和功能的集合，可以为用户分配角色来定义其权限。

在SAP系统中，创建角色是权限设置的第一步。

1.进入SAP系统，使用管理员账户登录。

2.打开SAP菜单，并选择“角色管理”。

3.在角色管理界面，点击“新建角色”按钮。

4.输入角色名称、描述和权限范围等信息。

5.点击“保存”按钮，保存新角色。

2.3.2 分配角色一旦创建了角色，就可以将其分配给用户。

1.在SAP菜单中选择“用户管理”。

2.在用户管理界面，选择要分配角色的用户。

3.在用户详情页中，找到“角色”部分，点击“分配角色”按钮。

4.选择要分配的角色，并点击“保存”按钮。

2.3.3 测试权限在分配角色后，应该进行权限测试，以确保角色的权限设置满足预期。

1.使用被分配角色的用户账户登录SAP系统。