權(quán)限管理

在SAP系統(tǒng)中，權(quán)限管理是確保數(shù)據(jù)安全、保護(hù)業(yè)務(wù)流程和遵守合規(guī)要求的核心機(jī)制。它不僅涉及用戶訪問(wèn)控制的基本設(shè)置，而且隨著業(yè)務(wù)需求的演變，權(quán)限管理也在不斷地進(jìn)化以適應(yīng)更復(fù)雜的業(yè)務(wù)場(chǎng)景。

用戶管理

用戶管理是SAP權(quán)限系統(tǒng)中最為基本的部分，所有對(duì)SAP系統(tǒng)的訪問(wèn)都始于一個(gè)用戶。創(chuàng)建一個(gè)新用戶涉及定義其屬性，包括但不限于用戶ID、姓名、語(yǔ)言、電子郵件地址等。用戶配置可能還包括更高級(jí)的設(shè)置，如用戶組成員身份、登錄數(shù)據(jù)和用戶特定的配置文件。

在創(chuàng)建用戶時(shí)，需要遵循特定的命名規(guī)則和維護(hù)最佳實(shí)踐。例如，用戶ID可能由部門(mén)縮寫(xiě)和員工編號(hào)組成以保持唯一性和可識(shí)別性。用戶配置文件則定義了用戶的系統(tǒng)訪問(wèn)限制，如登錄次數(shù)限制、密碼策略等。

角色的定義

在SAP系統(tǒng)中，角色是權(quán)限的集合。將角色分配給用戶，而不是單獨(dú)分配權(quán)限，可以簡(jiǎn)化權(quán)限的管理過(guò)程。角色定義了用戶可以執(zhí)行的特定業(yè)務(wù)任務(wù)。通過(guò)定義角色，可以更容易地實(shí)施職責(zé)分離和訪問(wèn)控制。

角色的創(chuàng)建涉及指定一個(gè)角色名稱(chēng)、描述和模板。模板是已有的角色，可以基于該模板創(chuàng)建新角色，也可以從零開(kāi)始創(chuàng)建一個(gè)新角色。創(chuàng)建好角色后，需要將權(quán)限對(duì)象、事務(wù)碼和其他角色等分配給該角色。

在角色創(chuàng)建界面中，可以為角色添加描述，選擇模板以及分配權(quán)限。權(quán)限的分配可以細(xì)化到操作級(jí)別的細(xì)節(jié)，確保角色具有所需但不超出的權(quán)限。

角色創(chuàng)建完成后，可以將角色分配給一個(gè)或多個(gè)用戶。通過(guò)這種方式，SAP系統(tǒng)中的用戶可以集中地獲得執(zhí)行其工作所需的權(quán)限集合。

權(quán)限對(duì)象

SAP權(quán)限對(duì)象是權(quán)限管理的基礎(chǔ)構(gòu)建塊。一個(gè)權(quán)限對(duì)象代表了一個(gè)特定的業(yè)務(wù)功能或數(shù)據(jù)訪問(wèn)點(diǎn)，如查看特定類(lèi)型的文檔或執(zhí)行特定的事務(wù)。權(quán)限對(duì)象由對(duì)象類(lèi)（class）和對(duì)象編號(hào)（number）唯一標(biāo)識(shí)，通常還會(huì)有不同的字段值（fields values）來(lái)進(jìn)一步細(xì)化權(quán)限控制。

理解權(quán)限對(duì)象的構(gòu)成對(duì)于設(shè)計(jì)有效的權(quán)限模型至關(guān)重要。每個(gè)權(quán)限對(duì)象都有一個(gè)或多個(gè)字段，這些字段可以有特定的值，或者可以通過(guò)值的范圍來(lái)定義。

當(dāng)用戶執(zhí)行一個(gè)操作時(shí)，SAP系統(tǒng)將進(jìn)行權(quán)限檢查以確定用戶是否有權(quán)執(zhí)行該操作。這個(gè)過(guò)程涉及對(duì)用戶的角色、分配給這些角色的權(quán)限對(duì)象、以及權(quán)限對(duì)象的具體字段值進(jìn)行檢查。

由于之前講解了一篇權(quán)限設(shè)置的很細(xì)的一個(gè)細(xì)節(jié)淺析SAP系統(tǒng)的授權(quán)機(jī)制，如何在SAP系統(tǒng)精準(zhǔn)分配權(quán)限?，就想到了，如果要是自建程序這種，系統(tǒng)里權(quán)限能控制到多細(xì)呢，于是，以前的一個(gè)需求想要控制好某些數(shù)據(jù)顯示的問(wèn)題，就可以實(shí)現(xiàn)了。在SAP系統(tǒng)里權(quán)限和系統(tǒng)參數(shù)是很復(fù)雜的存在，就比方前面講到的修改了SAP系統(tǒng)里的這些參數(shù)，簡(jiǎn)單說(shuō)一下我淺顯的理解，下面就按照之前的需求來(lái)實(shí)現(xiàn)一下。

實(shí)現(xiàn)過(guò)程

今天做了一個(gè)特別的權(quán)限檢查的內(nèi)容，就是做一組按照設(shè)計(jì)好的數(shù)據(jù)來(lái)檢查權(quán)限，首先，先創(chuàng)建一個(gè)權(quán)限檢查的表，并在表里插入一些數(shù)據(jù)，如下圖所示：

下面就要開(kāi)始從創(chuàng)建權(quán)限對(duì)象開(kāi)始，使分配這個(gè)權(quán)限的用戶只能操作部門(mén)編號(hào)（edept）為 ‘10’ 的數(shù)據(jù)。如果選擇其他數(shù)據(jù)，就要給出錯(cuò)誤提示消息。

第一步、創(chuàng)建自己的權(quán)限字段。事務(wù)碼：SU20，進(jìn)行權(quán)限字段創(chuàng)建。

第二步、創(chuàng)建自己的權(quán)限對(duì)象。事務(wù)碼：SU21，進(jìn)行權(quán)限對(duì)象創(chuàng)建。

首先，創(chuàng)建對(duì)象類(lèi)，輸入對(duì)象類(lèi)名稱(chēng)(ZEM1)、文本(FOR TEST)，點(diǎn)擊“保存”。

然后，找到之前創(chuàng)建的對(duì)象類(lèi)，可以鼠標(biāo)右鍵創(chuàng)建權(quán)限對(duì)象。

事務(wù)碼：SU02，創(chuàng)建參數(shù)文件，輸入相關(guān)信息，然后激活。

對(duì)象輸入：ZEMPOBJ00

權(quán)限輸入：ZDEPT，并雙擊它新建一個(gè)權(quán)限。

具體的權(quán)限值(點(diǎn)擊“維護(hù)值”)進(jìn)行維護(hù)。

一定要記得激活（很重要）！

該授權(quán)對(duì)象包含兩個(gè)字段，可以在第一個(gè)字段 EMPDEPT中輸入一 般值'10'，第二個(gè)字段 ACTVT中，在創(chuàng)建（01）、更改（02）和顯示（03）之間進(jìn)行選擇，也就是說(shuō)，分配這個(gè)參數(shù)文件的用戶，只能對(duì) '10' 部門(mén)的數(shù)據(jù)進(jìn)行01、02、03操作。也可以設(shè)置為“*”這樣任何操作都可以通過(guò)。

事務(wù)碼：SU01，進(jìn)入‘參數(shù)文件’選項(xiàng)卡，添加參數(shù)文件：ZEMPRF00，保存后權(quán)限即可生效，對(duì)用戶分配權(quán)限還可以通過(guò)創(chuàng)建角色的方式實(shí)現(xiàn)。

注意：有兩種方式，創(chuàng)建角色分配給用戶，或者直接將參數(shù)文件分配給用戶，角色是從業(yè)務(wù)層面的維度來(lái)管理權(quán)限，但實(shí)質(zhì)上的功能還是由profile 來(lái)完成的。 原來(lái)SAP的權(quán)限是沒(méi)有角色這個(gè)概念的。全部是由profile/object 的方式來(lái)實(shí)現(xiàn)的，但這樣的方式要求對(duì)權(quán)限底層的具體細(xì)節(jié)非常了解才行，嚴(yán)重影響的工作效率，而且不利于只懂業(yè)務(wù)的人進(jìn)行權(quán)限管理和設(shè)計(jì)。 所以SAP后來(lái)引入了角色這樣一個(gè)概念，試圖通過(guò)自頂向下的方式讓用戶來(lái)管理權(quán)限。通過(guò)事務(wù)碼：PFCG可以維護(hù)角色。

第四步、創(chuàng)建role將權(quán)限分配給用戶

首先，事務(wù)碼：PFCG 創(chuàng)建角色：ZEMPR00，輸入描述文本，點(diǎn)擊創(chuàng)建，點(diǎn)擊“權(quán)限”選項(xiàng)卡，參數(shù)文件名稱(chēng)：點(diǎn)擊（系統(tǒng)建議的），點(diǎn)‘更改授權(quán)數(shù)據(jù)’->‘手動(dòng)，輸入授權(quán)對(duì)象：ZEMPOBJ00，回車(chē)，保存，然后指定權(quán)限的值。

然后，進(jìn)入‘用戶’選項(xiàng)卡，輸入用戶名為自己的用戶名；記得‘用戶比較'（用戶比較，完成權(quán)限修改后與用戶的權(quán)限保持一致）到此為止，權(quán)限的設(shè)計(jì)全部完成，下面我們通過(guò)一段程序來(lái)驗(yàn)證權(quán)限的有效性。

權(quán)限列表中有兩個(gè)權(quán)限，一個(gè)是系統(tǒng)通過(guò)創(chuàng)建角色生成的，一個(gè)是我們手動(dòng)創(chuàng)建的。

第五步、創(chuàng)建ABAP程序，來(lái)驗(yàn)證權(quán)限對(duì)象的有效性

REPORT  ZHAIM_TEST01 NO STANDARD PAGE HEADING.TABLES ZEMP_TEST.DATA: IT_ZEMP TYPE STANDARD TABLE OF ZEMP_TEST,          IW_ZEMP TYPE ZEMP_TEST.PARAMETERS P_DEPT TYPE ZEMP_TEST-EDEPT.START-OF-SELECTION.AUTHORITY-CHECK OBJECT 'ZEMPOBJ00'        ID 'ZEMPDEPT' FIELD P_DEPT        ID 'ACTVT'  FIELD '03'."用戶使用程序，想要查詢部門(mén)的員工信息，"通過(guò)authority-check object 來(lái)進(jìn)行權(quán)限檢查，ID是字段名，field是要檢查的"'actvt': 01 創(chuàng)建，02更改，03查詢，06刪除IF SY-SUBRC <> 0.  MESSAGE S001(00) WITH '您沒(méi)有權(quán)限查看此數(shù)據(jù)' DISPLAY LIKE 'E'.ELSE.  SELECT *    FROM ZEMP_TEST    INTO TABLE IT_ZEMP   WHERE EDEPT = P_DEPT.  LOOP AT IT_ZEMP INTO IW_ZEMP.    WRITE / IW_ZEMP.  ENDLOOP.ENDIF.

如果存在刪除操作，在刪除前，檢查用戶的權(quán)限，可以將actvt的值改為06進(jìn)行測(cè)試。

actvt的所有值儲(chǔ)存在表TACT中。

注意：    

AUTHORITY-CHECK OBJECT 'ZEMPOBJ00' ID 'ZEMPDEPT' FIELD P_DEPT ID 'ACTVT' FIELD '03'.

sy-subrc 

一些重要返回值如下：

　　0:  用戶權(quán)限檢查通過(guò).　　4:  用戶權(quán)限不足.　　8:  參數(shù)的數(shù)量不正確.　　12:  權(quán)限對(duì)象不存在. 

以上就是本篇文章的全部?jī)?nèi)容，有什么建議和意見(jiàn)歡迎留言。

閱讀原文：原文鏈接