文章详细介绍了SAP系统中基于PFCG的角色和权限管理机制。Profile是权限数据的集合,包含多个authorizationgroup,而Role则是Profile的名称,用于分配给用户。通过表T020可以了解授权对象的分类。权限控制通过检查用户的profile中的authorizationdata来实现,SAP提供了一系列T-code用于创建、修改和检查权限。此外,文章还提及了用户类型、授权检查函数以及数据库中的相关表,如USR12和TOBJ等。
通常basis会使用PFCG做权限管理,你保存时会产生一个系统外的profile name,而且,SU01时用户有profile 和role两栏位。
这些个profile name ,profile,role它们的关系如何呢?profile 这个英语词义是很丰富的,在中文中难找对应的表示同等语义的词语。
基本概念
activity
activity,活动,类如insert, update,display等等,
这些activity由当年德国开发者设计在tobj表中。
activity 也是可分activity group。如果上升到方法论,我们不难发现,分类始终是人类认识和管理事物的卓越思想和强大手段。
activity category &Authorization group
Role Vs Profile
我们可以看看表T020,那里分出好多K,D, A, M什么的,学习比较一下就清楚了.
profile是什么呢?实际上可以理解为所有的authorization data(有很多authorization group--你可使用OBA7填写,
权限太细并非好事,和activity组成)的一个集合的名字,通常一个自定义的role产
生一个profile,SAP权限控制是根据profile里的authorization data(objects)来控制的.
role又是什么呢?role只是一个名字而已,然后将profile赋予给它, 比如你SU01建立一个
用户,我没有任何role,但是加如SAP_All profile
也是可做任何事情.
SAP本身有很多default role & profile.
最低0.47元/天 解锁文章
扫一扫
1万+
到【灌水乐园】发言
