Authorization ERP权限控制分析和总结.docx

小技巧-ERP权限控制

在这一节，大话一下ERP的权限设计，让大家开心之余了解权限设计的逻辑。

一个特别是适合大集团业务的ERP系统,应该提供一个非常完善的权限控制机制,甚至允许将权限控制字段细到字段级别，如果连基本的权限控制都做不到这点，估计您家的“ERP”产品就只能是小打小闹小折腾，小打小闹紧巴巴过日子可不大好过呀，N年以前，我曾做过国内某ERP的维护+售前,某次,终于好不容易废了两斤半口水才谈妥一个单子,就小小的几千元钱,结果用户还拿着菜刀过来砍价,说,能再优惠一点就买了,我心中盘算了一番,这单下来那点可怜的奖金,再加上我那无颜拿出来晒的3位数的”口粮”(薪水),应该要到60岁左右能赚到我家乡的父老乡亲常说的年轻小伙子必须要攒的LP本，想到此，俺心里流下了辛酸的眼泪，祈祷说，主呀，神仙JJ呀，你们在哪里晃悠？主呀，给个发财的机会吧，神仙JJ，赐个MM做GF吧。

经过我的认真仔细观察，我从我那婆娘身上得出一个大大大大的理论，那就是钻石白菜理论，我的LP简直是太会“节省“了，就是去买棵3毛钱一斤的白菜，她都一定要争到2毛一斤，顺便还能要到小贩的几根小葱，真是I服了Her，可是她逛珠宝店铺时看到钻戒眼睛发绿时却总会忘记昂贵的价格，买一个丢一个，现在只要俺和她逛街时一看见前面有珠宝店时俺就心里发毛，立即下意识捂紧口袋。经过俺精确计算，丢失一颗钻戒的损失俺LP得侃大半辈子白菜价才能挽回。好笑吗？我们很多企业和个人都有这样的毛病，别看有的企业平时抠门的很，实施ERP那也是不求产品最适用但求产品最昂贵，贵的就是好的，体面！

多年以前，俺在幼儿园时老师布置的权限作业，俺好象是这样设计的。

Select用户名From用户表where用户名=butcher （得到用户名）

select权限组ID From权限表where用户名=butcher（得到用户对应的权限组ID）

select*From权限控制列表where权限组ID=‘*****’（得到没个权限组ID对应的明

细权限列表也就是用户的明细权限）

多年以后，俺们有的软件公司居然还玩这套小把戏。注意：

在此我们可看到诸如用户名表，角色表，权限组表和对应业务操作的权限详细控制列表诸如此

类的表格。

现在来看看ERP的权限设计思路，首先了解下几个Tcode和权限相关表格。常用权限相关Tcode.

(一)Role(角色)相关T-code:

PFCG 创建

ROLE_CMP角色比较SUPC 批量建立角色profile(二)建立用户

SU01 建立用户

SU01D 显示用户

SU2|SU3|SU50|SU51|SU52 改变/显示用户个人参数

SU10|SU12 批量维护用户

SUCOMP维护用户公司地址

SUIM 用户信息系统（强调一下）

(三)建立用户组

SUGR|SUGRD_NAV维护用户组SUGRD|SUGR_NAV显示用户组(四)维护检查授权

SU20|SU21自定义授权字段和授权对象

SU53当出现权限问题可使用它检测未授权对象.SU56:分析authoraztiondatabuffers.

常用权限相关表格:

TOBJ:Allavaiableauthorizationobjects.(ERP系统默认的所有授权对象)USR12:用户级authorization值

USR02:UserLogonData(包括用户名称密码,是否锁住等字段)USR03:Useraddressdata

USR05:UserMasterParameterID(TcodeSU3可查看用户参数文件的参数ID默认值)USR41:当前用户(即TcodeSM04看到的所有当前活动用户,包括各种对话系统通信类用户)USRBF2:记录当前用户所有的授权objects

UST04:UserProfilemaster(用户主数据中对应的权限参数文件名)UST10S:Singleprofiles(授权文件,权限参数和授权对象对应表)UST12:Authorizations(具体授权细节)

重点提示：

USR02/USRBF2/UST10S/UST12四个表包含的信息就是ERP权限控制的关键，前者是用户主数据表，后三者和用户授权紧密相关。

我现在来举一个MM01建立物料主数据的实例来说明ERP的权限控制设计思路，步骤如下：第一步：建立角色（Tcode：PFCG）

图1中，假设建立角色ZMM01。

图1-[1][2]：在菜单Tab页选择“事务“加入MM01-创建物料,你还可为程序,查