2018.08.02 權限管理 筆記

看到一篇好的權限文章 按照它作一下，而後學習一下哈 原文連接 https://blog.csdn.net/lqq417/article/details/50952812

首先介紹一下SAP權限的幾個基本概念：
    * SAP系統權限：某SAP操做用戶能在SAP系統中作哪些操做。好比（大體概念）用戶XX-A只能查看物料信息，在SAP系統中就分配事物碼MM03給XX-A。SAP的權限控制是控制到字段級的，換句話說，其權限控制機制能夠檢查你是否有權限維護某張透明表的某一個字段。
    *用戶（User）：具體操做SAP系統的用戶，即登錄SAP Logon輸入的用戶。使用事物碼SU01建立一個新的用戶ID，默認的權限是空白的，不容許任何操做。
      單一角色（Single Role）：簡單的說就是一個事物碼的集合。其中包含了控制事物碼操做的「權限對象」、「權限字段」以及容許的操做及容許的值。用事物碼PFCG維護。單一角色是相對應複合角色而言的。
    *複合角色（Comp. Role）：又叫通用角色，便是多個單一角色的集合。複合角色中能夠包含多個單一角色，此複合角色包含了這多個單一角色所控制的權限。複合角色還能夠維護具體的「權限對象」、「權限字段」以及容許的字段值及字段操做。用事物碼PFCG維護。
      單一角色和複合角色：單一角色比如「IT部員」，複合角色比如「IT經理」，每一個IT部員所操做的權限範圍不一樣，而IT經理能夠具有多有部員的權限，IT經理的權限就是多位IT部員的權限的一個集合，即在IT經理的權限中添加多爲IT部員的權限便可。就是將多個單一角色分配在一個複合角色當中，取並集。
      權限對象（Authorization Object），權限字段（Authorization Field），容許的操做（Activity），容許的值（Field Value）
      角色包含了若干權限對象，在透明表AGR_1250中有存儲兩者之間的關係；權限對象包含了若干權限字段、容許的操做和容許的值，在透明表 AGR_1251中體現了ROLE/Object/Field/Value之間的關係；有一個特殊的權限對象用來包含了若干事務碼。這個權限對象叫 「S_TCODE」，該權限對象的權限字段叫「TCD」，該字段容許的值（Field Value）存放的就是事務代碼；有一種特殊的權限字段用來表示能夠針對該權限對象作哪些操做，是容許建立、修改、顯示、刪除或者其餘呢。該權限字段叫 「ACTVT」，該字段容許的值（Field Value）存放的就是容許操做的代碼，01表明建立、02表明修改、03表明顯示等；SAP 系統自帶了若干權限對象、默認控制了若干權限字段（對應到透明表的某些字段）。能夠用事務碼SU20來查看系統有哪些權限字段，用SU21來查看系統有哪些默認的權限對象。因而咱們知道了事務代碼與權限對象的區別。從權限控制的範疇來看，事務代碼屬於一種特殊的權限對象；一個事務代碼在執行過程當中，爲了判斷某個ID是否有權限執行此事務代碼，還可能檢查其餘若干普通的權限對象。使用SU22來查看某個事務代碼包含了哪些權限對象。在透明表USOBX中，存放了事務碼與權限對象的對應關係。
       若是你們理解了上面的概念（不理解也不要緊，由於我也一開始也沒懂），咱們開始用實例來說解如何維護一個用戶的權限。
       SAP權限設置經常使用的事物碼：
    * SU01：建立用戶
    * SU22：查看事物碼中的權限對象
    * PFCG：建立角色
    * SU53：權限測試

建立單一角色ZR_SAP_TEST_01，事物碼：PFCG。有三種方法：

（1）手工建立

 （2）複製建立

（3）繼承建立：

繼承建立時，Z_MCN1_MENU_ALL 一旦放生改變，則ZR_SAP_TEST_01也會發生改變

（4）維護菜單

在菜單欄能夠對該權限對象添加 事務 報表等多種權限

 

（5）維護權限 參數文件

點擊更改權限數據對權限數據進行更改

將行展開後，能夠在如上圖所示的地方看到能夠維護的 （產品組，銷售組織，分銷渠道）的選項  雙擊       上方的工具欄能夠對權限對象單獨增長減小操做

雙擊以後，能夠填入 權限容許的值，若點擊徹底受權則是該權限字段全部值都被容許

將權限對象字段值所有維護成綠色的，點擊如上圖按鈕生成參數文件，保存

返回上一個界面後，能夠在用戶標籤欄中填入用戶 按回車

而後點擊用戶比較，  徹底比較 來同步權限參數