黑龙江电网HEPC_技术组_培训_BASIS技术介绍-基本权限管理_v1.0.ppt

SAP权限设置 在开始了解权限前,有几点是要大家注意的 1.权限设定非常重要﹐而且权限的DEBUG操作非常繁琐,耗时,所以请大家设定时一定要非常谨慎,每次更改都要记录。 2.权限设定除非特殊情况﹐不允许在正式环境直接更改﹐请在测试环境修改好再传到正式环境。 3.MIS不是决定user权限的人﹐要变更权限设定﹐务必要求user提供经过签核的申请表。（当然﹐对user不合理的权限要求﹐MIS也有责任退回） SAP权限设置 SAP权限设置 名词解释﹕ User account﹕就是我们平常说的“账号”﹐也称为“USER ID”。 Role﹕同类的USER使用SAP的目的和常用的功能都是类似的﹐例如业务一定需要用到开S/O的权限。当我们把某类USER需要的权限都归到一个集合中﹐这个集合就是“职能”(Role)。 所谓的“角色”或者“职能”﹐其实就是对user的需求进行归类﹐使权限的设定更方便。(面向对象的权限!!) 分为single role 和 composite role两种﹐后者其实是前者的集合 SAP权限设置 Profile: 真正记录权限的设定的文件﹐从sap4.0开始是与Role绑定在一起的。 Template Role:Role的模板﹐一般是single role.但这个模板具有一个 强大的功能﹐能通过更改模板而更改所有应用(sap称为Derive“继承”）此模板的Role（sap称为adjust） SAP权限设置 Role的命名规则和分类如下: 以“T+”开头都是Template Role(模板)﹐都不会直接assign給user id。 T+级别 ﹕黑龙江电力共同Template Role T+级别-1 ﹕黑龙江电力分公司Template Role 以“Z+”开头都是User Role,直接assign給user id。 Z+User ID+级别 :继承黑龙江电力共同Template Role Z+User ID+级别-1 :继承黑龙江电力分公司Template Role Z+User ID+Exception :沒有继承任何Role,例外权限 以“Y+”开头都是Basis Role,直接assign給user id。 Y+级别 :黑龙江电力共同Basis Role SAP权限设置 附件是一张职能/Rolename对照表 我们以其中一个职能“财务部组员”做解釋﹕ SAP权限设置 黑龙江电力共同Template Role﹕是指此职能在黑龙江电力任何一个分公司都一致的那部分权限的模板。 命名特征是以 “T +”开头﹐非“-1”结尾。 例如 “T + FI – MEMBER ” 分公司Template Role﹕是指此职能根据不同分公司而不同的那部分权限的模板。 命名特征是 “T+”开头﹐“-1”结尾。 例如 “T + FI – MEMBER – 1 ” SAP权限设置 User Role﹕是指根据每个user的具体需求进行设定的权限的Role. 命名特征是﹕ “Z+”USER ID开头 例如“Z+ XTZX-FI01+ FI-MEMBER” 共同Basis Role﹕是指此职能关系到整个系统的安全的那部分权限的Role. 命名特征是 “Y+” 开头 例如 “ Y + FI-MEMBER” SAP权限设置 一.以Role类型分 1.Template Role 即“T”开头的: 黑龙江电力全局 2.User Role: 以Z开头的:黑龙江电力分支 3.Basis Role: 即以Y开头的:黑龙江电力总部 Basis SAP权限设置 二.以USER ID分 从USER ID可以区分出这个ID所属的公司和部门。 例如﹕XTZX-FI01这是信通中心的帐号﹐属于财务部﹐所以这个帐号申请的权限将由信通中心财务部的MIS主要负责和监督。 SAP权限设置 三.以所申请的权限归属的部门分 由于user所申请的权限可能涉及多个部门﹐這就需要多个部门的MIS共同合作设定user的权限﹐这时先按第二条执行,由ID所属模组MIS接受申请﹐并从始至终跟进。然后具体的权限属于哪个部门就由那个部门的MIS作设定。 但无论如何﹐作为跟进的MIS都是负主要责任的。 SAP权限设置 上面说过﹐权限的大架构由User ID, Role, Profile 三层组成﹐那么﹐权限的设定自然也会有三层。但由于sap系统是Profile与Role是捆绑在一起的﹐所以在建立Role的时候﹐Profile是会自动创建的（具体见后文）。而User ID的建立比较简单。所以﹐我将主要说明Role的部分。 SAP权限设置 SAP权限设置 SAP权限设置 SAP权限设置 SAP权限设置 SAP权限设置 Role的建立 新创建Role主要有