SAP 有关项目实施的权限控制

前 言
　　任何多用户的系统不可避免的涉及到权限问题，系统的使用者越多、使用者本身的社会属性或分工越复杂，权限问题也就越复杂，SAP系统就是典型的一个多用户、多任务的系统。SAP作为一款企业管理软件，在企业管理领域取得了巨大的成功，这主要是因为SAP把先进的管理思想融入到软件产品内，以及软件本身具有的先进的设计架构，可以配置的业务模式，几乎无所不在的管理内容等，当然同它完善的权限管理功能也是分不开的。
　　但是，我们几乎可以在所有使用了SAP管理软件的企业中找到这样一个共同的现象：在上线之后随着公司业务的不断重组、用户工作岗位的频繁变动、岗位职责的扩大与组合等都需要相应的对相应用户的SAP权限作出调整，这时候权限申请人员的疑问就出来了，这个用户本身有哪些权限？这个权限用户可以申请吗？申请这个权限同以前的权限有没有冲突的地方了？，申请这个权限需要得到哪些人员的审批？等等。
　　本文不是一个从技术角度来阐述SAP权限管理的文章，而是从制度、从管理、从方案的角度来解决SAP项目在上线后全面的权限管理问题的解决方案。
　　
　　
　　
　　二、SAP权限实现的原理
　　 
　　上图列出了SAP权限管理用到的几个关键的概念。
　　直观的说，权限就是“某人能干某事”和“某人不能干某事”的控制 。在SAP系统中，用事务码（也称交易代码、或者TCODE、或者Transaction Code）表示一个用户能干的事情。比如MM01这个TCODE是用来维护物料数据的、MIGO是用来收货的、CS01是用来维护BOM的等。
　　用SU01新建一个ID时，默认的权限是空白，即这个新建的ID不能做任何事情，不能使用任何事务代码。这样只需要为相应的ID赋上相应的TCODE，即可实现“某人能干某事”了，其补集，则是“某人不能干的某些事”。
　　但是我们不能直接在SU01里面给某个ID赋上TCODE，要通过ROLE中转一下。即：一堆TCODE组成了一个ROLE，然后把这个ROLE分给某个ID，然后这个ID就得到一堆TCODE了。
　　上面这些，仅仅是SAP权限控制的初级概念，要理解SAP权限控制的全部，必须还要明白下面的概念。
　　1、角色（ROLE）、复合角色
　　上面讲了，角色，即ROLE，是一堆TCODE的集合，当然还包含有TCODE必备的“权限对象”、“权限字段”、“允许的操作”及“允许的值”等。我们使用PFCG来维护角色。
　　一个复合角色可以包含多个单个的角色。
　　具体请看下面的概念。 
　　2、权限对象（Authorization Object）、权限字段（Authorization Field）、允许的操作（Activity）、允许的值（Field Value） 
　　上文粗略说了构成ROLE的是若干TCODE。其实，在ROLE和TCODE之间，还有一个中间概念“权限对象”：
　　角色包含了若干权限对象，在透明表AGR_1250中有存储二者之间的关系；
　　权限对象包含了若干权限字段、允许的操作和允许的值，在透明表AGR_1251中体现了ROLE/Object/Field/Value之间的关系；