【SAP Basis】SAP用户权限管理

1、术语说明

账号（User Account）：即我们平常说的用户账号，也称为“USER ID”，通过Password登录SAP GUI。
角色（Role）：组织设定同类用户的权限集合，方便授权管理。每个角色可以分配给多个用户，每个用户也可以同时拥有多个角色。角色的分类：分为Single Role和Composite Role两种，后者其实是前者的集合。即单一角色是一个独立的权限对象，而复合角色可以由多个单一角色组合而成，能够同时继承不同单一角色的权限。
参数文件（Profile）：真正记录权限设定的文件，每个角色都会生成一个对应的参数文件，SAP通过参数文件检查用户访问系统的权限。 SAP有很多预置的参数文件，如：SAP_ALL（所有SAP系统权限），S_A.SYSTEM（系统管理员即超级用户）。一般普通用户不会授予这两种权限，但有个特殊的应用场景，当用户类型为SYSTEM或Communications Data类型时，可以结合SAP_ALL授权，实现系统间的通讯。
用户组（Group）：对用户账号进行分组，可以实现对用户管理的分散维护。管理员是可以维护系统中所有用户的权限的，而被分配权限检查用户组的账号，则拥有管理该用户组中其他成员的权限。通过用户组分配可以减少管理员对用户账号维护的工作量，适用于一些较大企业账号分地区管理的模式。通过事务代码SU10实现对用户组的批量维护。
功能权限 Activity：用户具备的哪些TCODE的操作权限，即业务模块的增删改查权限。
数据权限：用户具备的哪些数据细分权限，如限定业务的组织、公司、区域、类型等范围权限。
权限对象（Authorization Object）：给角色进行授权的单元。
系统权限架构：即对系统权限设定的一个整体规划与应用方案，以符合企业管理应用需要。主要通过组合使用以下两类角色来实现：
① 功能权限：不同岗位职责用户所具有的业务模块功能权限。
② 数据权限：相同岗位职责用户所具有的不同数据访问权限。
菜单权限：用于定义并分配对应角色所能操作的事务代码，简单讲，角色就是若干事务代码的集合，会直接显示在用户的登录菜单栏。
权限：SAP会根据对应角色的菜单权限，列出具体的权限对象，或者是单独添加的权限对象，并对权限字段具体参数值进行设定，控制具体的操作权限和数据权限。

2、用户授权（添加菜单事务码-功能）

（1）主要TCODE：

创建用户：SU01
创建角色：PFCG
用户权限检查：SU53

（2）创建用户 SU01

参考上篇

（3）创建角色 PFCG

SAP针对不同的功能模块提供了很多内置的角色，如SD模块的权限角色名都是以 SAP_SD 为前缀，HR模块以 SAP_HR为前缀。

示例：创建角色 ZROLE_S_SU53，授予 SU53 权限。

① 输入角色名称：ZROLE_S_SU53
② 单击创建 Single Role

① 输入角色说明
② 切换 Menu 页签，提示保存
③ 选择 Yes，保存

① 初始菜单权限为空
② 可通过添加事务码来授权
③ 授权前，我们先来检查下用户权限