SAP用户权限管理维护手册要点.docVIP

PAGE 2 密级:秘密SAP用户权限管理维护手册 密级:秘密 SAP用户权限管理维护手册 目录 TOC \o 1-3 \h \z \u 1．SAP系统权限设置 3 维护角色 3 授权管理工具 14 2．用户授权设置 16 创建新用户 17 修改用户 18 显示用户 18 复制新用户 18 锁定／解锁用户 19 修改密码 19 3．权限管理流程及用户授权策略 20 SAP系统安全管理流程 20 用户授权策略 20 4．附录 21 附录A 修改请求（Change request）管理文档 21 附录B 权限修改请求表管理文档 22 附录C 权限管理常用事务代码 23 1．SAP系统权限设置 权限角色是SAP系统的重要的一个环节，权限角色可以控制用户登录SAP系统后对SAP操作的各种权限，所以要严格设置. 用户对SAP系统权限进行申请时(指对在生产系统上的权限配置，对非生产系统，一般有各模块负责人审批就行了)，必须走公司规定流程，得到各级部门审批后，BASIS方给予进行处理. 进行权限设置时，先在开发系统DEV系统进行配置，配置时严格按照用户或模块顾问提供的权限文档来进行(有不明白的地方应该马上与顾问或用户取得联系，并确认)，设置确认无误后，对所设置的权限角色生成CHANGE REQUEST，释放后在测试系统里提供给用户或顾问进行测试，测试正确后，才正式同步传输到生产系统，然后用邮件或电话的方式通知用户。 维护角色 通过调用事务代码t-code:PFCG调用，或者是 工具 - 系统管理 - 用户维护 - 角色管理 - 角色 角色代表一个特殊的任务或交易处理或功能： （1）创建单一角色 T-CODE：pfcg进入角色维护界面，根据权限模版填写角色名称 分配事务代码，选择菜单--事务--分配交易 在 权限 页，我们可以为一个配置文件生成所有必需的授权对象。 通过查找确定授权对象及字段进行修改。 授权的创建基于在菜单维护屏幕中选择的菜单。通过选择权限 页和修改授权数据（Change authorization data），你可以选择你想维护的明确的选项。 如果第一次生成该权限，系统会提示会生成所有显示的组织层次。该值用于生成该权限。如果所有显示区域由配置生成器填充（特别的，如果该区域仅包括组织层次需求），系统会为该权限显示绿灯。 如果有权限的区域还没有输入值，系统会显示黄灯。只有当用户为该区域输入值以后，系统才会显示绿灯。 通过选择工具 ?显示技术名称，我们可以显示每个授权对象的技术名称。 如果我们想删除一个独立的权限对象，我们需要通过点击 将它de-active，然后该权限对象将会用红色 列出 未被激活 状态。 点击 按钮我们可以将它再激活，或者通过点击 将它从配置文件中删除。 点击 可以手工添加权限对象。 修改完成后，点击生成或shift+F5激活，退出该界面。 在用户栏进行用户分配，注意用户比较。 角色直接赋值给用户可以在 用户 页实现。 完成赋值后，需要做 “User Compare” ，而 UMR (用户主数据) 将相应的更新。 标志从红色变成绿色代表UMR成功更新。 （2）创建复合角色 T-CODE：pfcg进入角色维护界面，复合角色即组件角色，由多个单一角色组成。 填写角色名称保存 菜单栏选择读菜单，刷新角色。 最后根据用户分配，输入用户ID保存。 授权管理工具 有些情况下，授权可能会出现错误，特别是用户被限制不能使用某些功能。在这种情况下，事务代码SU53可以帮助我们跟踪哪个授权对象有用但是在这个配置文件中丢失。 事务代码SUIM推荐使用与授权报告。SUIM集成的授权报告包括任何选择标准。例如：选择所有拥有“S_USER_PRO (用户主记录维护：授权配置文件)”对象。 2．用户授权设置 配置文件生成器可以通过调用事务代码SU01调用，或者是 工具 - 系统管理 - 用户维护 - 用户。其功能包括：创建新用户、修改用户信息和权限、删除用户、复制、锁定／解锁、修改用户口令。 创建新用户 在“用户”中输入需要创建的用户名称，如：test 在菜单选取：用户名－　创建 地址：必须维护的字段为“姓”； 登录数据：必须维护的字段为“口令”； 角色：需要付给的权限角色； 修改用户 在“用户”中输入需要修改的用户名称，如：test 在菜单选取：用户名－　修改 显示用户 在“用户”中输入需要创建的用户名称，如：test 在菜单选取：用户名－　显示 复制新用户 此功能的作用是以现有的用户做模板来创建新用户，新创建的用户具有原模办用户相同的权限和基本信息。 在“用户”中输入的模板用户名称，如：template 在菜