SAP 权限控制详解

最新推荐文章于 2025-04-25 14:12:33 发布
最新推荐文章于 2025-04-25 14:12:33 发布
阅读量2.4k 收藏 19
点赞数 2
CC 4.0 BY-SA版权
分类专栏: BASIS模块 文章标签: 数据库 前端 服务器 大数据 系统架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/SAPmatinal/article/details/128874391
文章详细介绍了SAP系统中基于PFCG的角色和权限管理机制。Profile是权限数据的集合,包含多个authorizationgroup,而Role则是Profile的名称,用于分配给用户。通过表T020可以了解授权对象的分类。权限控制通过检查用户的profile中的authorizationdata来实现,SAP提供了一系列T-code用于创建、修改和检查权限。此外,文章还提及了用户类型、授权检查函数以及数据库中的相关表,如USR12和TOBJ等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

通常basis会使用PFCG做权限管理,你保存时会产生一个系统外的profile name,而且,SU01时用户有profile 和role两栏位。

  这些个profile name ,profile,role它们的关系如何呢?profile 这个英语词义是很丰富的,在中文中难找对应的表示同等语义的词语。

  基本概念

   activity

  activity,活动,类如insert, update,display等等,

  这些activity由当年德国开发者设计在tobj表中。

  activity 也是可分activity group。如果上升到方法论,我们不难发现,分类始终是人类认识和管理事物的卓越思想和强大手段。

   activity category &Authorization group

  Role Vs Profile

  我们可以看看表T020,那里分出好多K,D, A, M什么的,学习比较一下就清楚了.

  profile是什么呢?实际上可以理解为所有的authorization data(有很多authorization group--你可使用OBA7填写,

  权限太细并非好事,和activity组成)的一个集合的名字,通常一个自定义的role产

  生一个profile,SAP权限控制是根据profile里的authorization data(objects)来控制的.

  role又是什么呢?role只是一个名字而已,然后将profile赋予给它, 比如你SU01建立一个

  用户,我没有任何role,但是加如SAP_All profile

  也是可做任何事情.

  SAP本身有很多default role & profile.

   最常用的PFCG->authorizations->change authorization data->

  进入后选取selection criteria 可看到所有的authorization object

  manually可手工加authorization object,比如你使用某个t-code权限出错误,abap使用SU53检查就

  知道缺少哪个authorization objec,然后手工加入就可以.

  你选去authorization levels就可by account type再细分权限.

  有些甚至直接到表字段.而且你甚至可給一个object分配缓存buffer.

  实现机制

  SAP是如何做到权限控制?下面是一些研究结论。

  关于权限方面的几个t-code.

  Role(角色)相关T-code:

  PFAC 标准

  PFAC_CHG 改变

  PFAC_DEL 删除

  PFAC_DIS 显示

  PFAC_INS 新建

  PFAC_STR

  PFCG 创建

  ROLE_CMP 比较

  SUPC 批量建立角色profile

  SWUJ 测试

  SU03 检测authorzation data

  SU25, SU26 检查updated profile

  建立用户相关T-code:

  SU0

  SU01

  SU01D

  SU01_NAV

  SU05

  SU50, Su51, SU52

  SU1

  SU10 批量

  SU12 批量

  SUCOMP:维护用户公司地址

  SU2 change用户参数

  SUIM 用户信息系统

  用户组

  SUGR:维护

  SUGRD:显示

  SUGRD_NAV:还是维护

  SUGR_NAV:还是显示

  关于profile&Authoraztion Data

  SU02:直接创建profile不用role

  SU20:细分Authorization Fields

  SU21(SU03):****维护Authorization Objects(TOBJ,USR12).

  对于凭证你可细分到:

  F_BKPF_BED: Accounting Document: Account Authorization for Customers

  F_BKPF_BEK: Accounting Document: Account Authorization for Vendors

  F_BKPF_BES: Accounting Document: Account Authorization for G/L Accounts

  F_BKPF_BLA: Accounting Document: Authorization for Document Types

  F_BKPF_BUK: Accounting Document: Authorization for Company Codes

  F_BKPF_BUP: Accounting Document: Authorization for Posting Periods

  F_BKPF_GSB: Accounting Document: Authorization for Business Areas

  F_BKPF_KOA: Accounting Document: Authorization for Account Types

  F_BKPF_VW : Accounting Document: Change Default Values for Doc.Type/PsKy

  然后你进去还可细分,这些个东西是save在USR12表中的. 在DB层是UTAB.

  对具体transaction code细分:

  SU22,SU24

  SU53:*** 就是你出错用来检查没有那些authoraztion objects.

  SU56:分析authoraztion data buffers.

  SU87:用来检查用户改变产生的history

  SU96,SU97,SU98,SU99:干啥的?

  SUPC:批量产生role

  DB和logical层:

  SUKRI:Transaction Combinations Critical for Security

  tables:

  TOBJ : All avaiable authorzation objects.(全在此)

  USR12: 用户级authoraztion值

  -----------------------------

  USR01:主数据

  USR02:密码在此

  USR04:授权在此

  USR03:User address data

  USR05:User Master Parameter ID

  USR06:Additional Data per User

  USR07:Object/values of last authorization check that failed

  USR08:Table for user menu entries

  USR09:Entries for user menus (work areas)

  USR10:User master authorization profiles

  USR11:User Master Texts for Profiles (USR10)

  USR12:User master authorization values

  USR13:Short Texts for Authorizations

  USR14:Surchargeable Language Versions per User

  USR15:External User Name

  USR16:Values for Variables for User Authorizations

  USR20:Date of last user master reorganization

  USR21:Assign user name address key

  USR22:Logon data without kernel access

  USR30:Additional Information for User Menu

  USR40:Table for illegal passwords

  USR41:当前用户

  USREFUS:

  USRBF2

  USRBF3

  UST04:User Profile在此

  UST10C: Composite profiles

  UST10S: Single profiles (角色对应的

  UST12 : Authorizations..............................

  权限进阶

  用户:

  User type用户类型(干啥用的不讲):

  通常的用户类型有

  a.dialog (就是normal user)

  b.communication

  c.system

  d.service

  e.reference.

  通常你在使用任何T-code前一定会有权限检测的.

  AUTHORITY_CHECK:这个函数只是小检查一下你的user有没有,什么时候过期.

  **如果coding只要使用此函数就够了.

  AUTHORITY_CHECK_TCODE:检查T-code

  这倆函数是真正检查autorization objects的.

  SUSR_USER_AUTH_FOR_OBJ_GET:

  AUTHORIZATION_DATA_READ_SELOBJ:

SAP-ABAP:SAP 权限对象与角色详解
baidu_35680696的博客
03-14 704
SAP的权限管理通过权限对象定义访问规则,角色整合这些规则并分配给用户,参数文件则是权限的最终载体。合理配置角色和权限对象是确保系统安全与合规的关键。定期审计和遵循最小权限原则能有效降低安全风险。Q:权限冲突如何解决?
SAP-ABAP:SAP 权限对象创建详解
baidu_35680696的博客
03-14 1410
创建SAP权限对象需通过SU21定义对象结构,SU20维护字段,SU24关联事务代码,最终在PFCG角色中分配权限值。在SAP中,权限对象(Authorization Object) 是权限控制的核心单元,用于定义用户执行操作或访问数据的具体条件。• Object Name:输入自定义权限对象名称(以 Z 或 Y 开头,如 Z_MAT_EDIT)。• Existing Fields:选择已存在的权限字段(如 ACTVT)。将权限对象分配给事务代码,确保在角色维护(PFCG)时自动建议权限。
针对SU53提示修改用户角色权限
09-11
针对SU53提示修改用户角色权限
权限控制
少年休闲海
09-06 1392
常用权限相关Tcode . (一)Role(角色)相关T-code: PFCG  创建 ROLE_CMP 角色比较 SUPC  批量建立角色profile (二)建立用户 SU01   建立用户 SU01D  显示用户 SU2|SU3|SU50|SU51|SU52
SAP权限相关设置详解
最新发布
gitblog_06746的博客
04-25 379
SAP权限相关设置详解 【下载地址】SAP权限相关设置详解 本资源文件深入解析SAP权限相关设置,涵盖权限概念、设定、分配及传输等核心内容。通过学习,您将全面理解SAP权限体系,掌握权限操作技巧,确保系统安全与合规。文件详细介绍了权限的基本组成、设定方法、分配原则及传输步骤,并提供了实践案例解析和操作注意事项。无论您是S...
采购订单维护condition的权限控制
lvzhqi的专栏
08-12 1471
为了实现只有制定的采购员才能维护采购订单的condition即价格信息,有两种方式可以实现:1.在spro中物料管理-〉采购-〉定义采购员的功能权限,然后在su01中维护用户的parameter:EFB即可,这种方式可以达到控制condition输入的目的,但是缺陷是用户的个人parameter是可以更改的,控制不够严谨。2.第二种方式是自定义权限对象,在condition屏幕的usere
SAP 权限管理
03-04
SAP权限管理
sap权限控制
黄立
05-06 1万+
如有转载请注明出处:http://blog.youkuaiyun.com/donkey2004112103/archive/2009/05/06/4156065.aspx今天终于了解了sap如何从技术的角度去实现权限控制,我觉得权限控制是这样实现的,首先想想为什么不同的用户可以有不同的权限了?因为有角色的概念,不同的用户分配了不同的的权限,所以有不同的权限。而角色由参数文件(profile )组成
SAP Basis】SAP用户权限管理
热门推荐
XLevon的博客
05-22 1万+
SAP Basis 用户权限管理
matinal:SAP 全网最详细的权限管理解析,权限管理都在这
matinal 當冬夜漸暖 。公众号:matinal
12-02 3005
上文所说
sap权限管理
sap basis的blog
10-08 2389
一直想自己这半年来做sap basis的经历和问题写下来。先从自己找问题,第一:自己太懒,第二:一直都是跟ac的basis顾问给的文档走,没有难度,第三:遇见问题,找资料照着做,不知所以然。不过blog还是要坚持了。今天是关于sap权限的管理的一些思考。 今天abap突然下来好多功能需求:abap开发的程序需要做权限检查,因为这些程序以前开发并且已经传到测试 现在重新修改,测试
SAP权限及角色管理
09-07
SAP 介绍了用户权限,角色的概念,后台配置,实际应用。
SAP权限控制
06-06
一个特别是适合大集团业务的ERP系统,应该提供一个非常完善的权限控制机制,甚至允许将权限控制字段细到字段级别,如果连基本的权限控制都做不到这点,估计您SAP产品就只能是小打小闹小折腾.
SAP权限相关设置(详细介绍SAP权限相关概念及相关操作)
10-16
SAP权限相关设置、控制及传输。详细介绍SAP权限相关概念及相关操作。SAP 权限设定、分配及传输 - 权限设定、分配及传输...SAP 权限设定、分配及传输 权限设定、分配及传输 ...
SAP全中文的详细的权限管理文件
12-18
详细介绍SAP权限管理知识,其中包括权限维护步骤,配有图解,更容易理解
SAP权限控制技术介绍.pdf
10-11
SAP权限控制技术介绍.pdf
SAP Fiori配置全流程详解:从管理员账号创建到权限与服务激活
01-05
内容概要:本文档详细介绍了SAP Fiori配置的全过程,覆盖了从创建初始账号直至完成各种关键配置步骤的具体指导。主要内容分为几个部分,首先是关于如何创建以及赋予权限于管理员账号及用于测试环境的账号,并具体...
SAP权限详解
12-07
SAP权限知悉,英文版的解析。ASAP权限环境设置,ABAP工作环境以及ABAP词汇。
SAP网络连接与安全保护中的SAProuter应用详解
11-18
SAProuter可以用于保护SAP系统免受未经授权的访问,通过路由权限表(Route Permission Table)来控制允许哪些SAProuter之间的连接,并支持加密通信(SNC层)。此外,还提供了如何诊断和解决常见错误的方法。 适合...
sap profile
03-22
<think>好的,我需要帮助用户解决SAP配置文件配置或故障排除的问题。首先,我需要明确用户提到的“SAP Profile”具体指的是什么。根据提供的引用,SAP系统中有多种配置文件,比如SAP Master Data Governance(MDG)的配置、SAP Business Objects Data Services升级时的错误,以及NWDS(NetWeaver Development Studio)中的Java应用服务器配置。 用户可能指的是SAP系统的运行时配置文件,比如实例配置文件(instance profiles)或默认配置文件(DEFAULT.PFL)。这些文件控制着SAP系统的参数设置,如内存分配、进程管理和日志配置等。接下来,我需要整理配置文件的常见配置步骤和故障排除方法。 在配置方面,用户可能需要编辑实例配置文件,调整参数,并激活更改。例如,修改工作进程数量或内存参数。需要注意的是,修改前必须备份原文件,避免语法错误,且部分参数需重启实例生效。 故障排除方面,常见问题包括参数冲突、语法错误或配置未生效。检查日志文件如dev_*和work目录下的日志是关键。此外,使用RZ10工具验证配置,或者通过操作系统命令检查参数是否被正确应用。对于NWDS相关的Java配置问题,可能需要检查JVM参数或路径设置。 根据用户提供的引用,引用[1]涉及MDG的配置管理,引用[2]提到Data Services升级时的错误,引用[3]涉及NWDS的Java应用服务器配置。这些可能关联到不同的配置文件,需要区分处理。 最后,生成相关问题,帮助用户进一步了解相关主题,比如配置工具的使用、参数优化或日志分析等。需要确保回答结构清晰,步骤明确,并引用提供的参考资料。</think>### SAP配置文件配置与故障排除指南 SAP配置文件(Profile)是控制SAP系统运行参数的核心文件,主要包括实例配置文件(如`<SID>_<hostname>_<instance>`)和默认配置文件`DEFAULT.PFL`[^1]。以下是关键操作步骤和常见问题解决方案: --- #### **一、配置文件配置** 1. **定位配置文件** - 实例配置文件路径:`/usr/sap/<SID>/SYS/profile` - 默认配置文件:`DEFAULT.PFL` 2. **修改参数** - 使用事务码`RZ10`编辑配置文件,例如: ```bash rdisp/wp_no_dia = 6 # 设置对话工作进程数量 physic_memsize = 4096 # 调整JVM内存分配(单位:MB) ``` - 保存后通过`RZ10 > Utilities > Activate Profile`激活配置。 3. **生效方式** - 动态参数:通过`RZ11`或系统重启生效。 - 静态参数:需重启SAP实例。 --- #### **二、常见故障排除** 1. **配置未生效** - **检查项**: - 文件权限是否正确(通常为`sapadm:sapadm`)[^3]。 - 参数是否被其他配置文件覆盖(优先级:实例Profile > DEFAULT.PFL)。 - **工具**:使用`RZ10 > Profile Check`验证语法。 2. **参数冲突或错误** - **日志分析**: - 查看`dev_*`日志(路径:`/usr/sap/<SID>/<instance>/work`)[^3]。 - 检查`ST22`事务码中的ABAP Dump信息。 3. **NWDS相关配置问题** - 若涉及Java应用服务器(如NWDS),需检查: ```bash java/security/keystore/password = ******** # JVM密钥库配置 ``` 并确保路径与`NWDS Preferences > SAP AS JAVA`设置一致。 --- #### **三、引用资料** - 配置文件管理参考SAP MDG配置最佳实践。 - 升级错误分析可结合Business Objects Data Services日志[^2]。 - NWDS问题需检查JVM参数与路径关联性。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值