SAP权限应用&权限自助申请平台

已于 2025-06-03 17:02:01 修改
阅读量965 收藏 8
点赞数 18
分类专栏: SAP 架构 文章标签: 开发语言 后端
于 2025-03-14 11:41:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/woniu_maggie/article/details/146249629
版权

目录

写在前言

业务需求背景

功能与界面UI设计

DDIC表对象设计

接口方案设计

角色后台维护功能

1. 用户角色维护

2. 复核角色维护

3. 用户岗位角色维护

权限Buffer设计

用户登录权限获取

1. 权限检查开关配置

2. 用户登录权限增强

3. 用户权限公用类和方法封装实现

写在前言

 角色相关标准 TABLES:usr02, agr_define。。。

AGR_USERS分配角色到用户

UST04 用户角色参数文件名

角色相关BAPI: 

 'BAPI_USER_GET_DETAIL'
分配添加角色 BAPI_USER_ACTGROUPS_ASSIGN
删除角色 BAPI_USER_ACTGROUPS_DELETE
复核角色分配

'PRGN_RFC_CREATE_AGR_MULTIPLE'

'PRGN_RFC_ADD_AGRS_TO_COLL_AGR'
获取当前用户的所有角色对象 'NAVIGATION_SELECT_AGRS_OF_USER'
权限检查 FUNCTION 'AUTHORITY_CHECK'

业务需求背景

很多用户没有SAP GUI账号(涉及LICENSE) ,结合公司内部的组织架构层级管理,行业的主数据管理等特殊业务场景,开发更适应一线公司使用的权限自助申请平台,后台通过接口自动生成权限。

功能与界面UI设计

Portal前端自助申请的界面设计如下(可以自定义其他显示):

组织架构选择:

岗位选择:

选择所有的岗位,否则历史岗位和权限会被覆盖

选择您申请权限有效期,到期后权限自动释放。

由岗位自动带出角色。

业态/业务范围选择:

选择属于哪些项目:

DDIC表对象设计

1. FI Organizational structure MASTER DATA TABLE

下面是几个角色申请维度的用户分配表,可以分配*,也可以分配其他维度。配* 有全部权限,CHECK用户权限时按优先级读取。

2. User Assign Organizational structure table

组织可以分配*,也可以分配组织层级的集团/区域/城市公司/项目公司等任一维度。

3.  User Assign GSBER Table

4.  User Assign Project Table

5. User Assign Postion Table

Save Entries Such AS: 

接口方案设计

基于UI界面涉及到的接口大致如下:

SeqNo Function Function  Description
1 组织架构接口(FI维度) 从FI&HR模块同步公司组织架构层级(FI和HR模块都有一套组织层级管理体系 两边是拉通的,财务是区域城市公司项目公司,HR是标准OM组织编码O-O可以到一级二级部门的维度)
2 岗位接口 同步HR标准的HRP1000岗位主数据接口
3 业态接口 同步公司不同业态,也就是SAP FI标准的业务范围GSBER
4 项目主数据接口 最小的颗粒度。很多人员分配在项目上,只有某些项目的权限
5 角色接口 同步PFCG标准角色,通过岗位自动带出显示
6 角色分配接口 角色提交K2/OA申请通过后,角色分配接口

1. 组织接口

FUNCTION ZPI1000_HCODE.
*"----------------------------------------------------------------------
*"*"本地接口:
*"  TABLES
*"      T_TAB STRUCTURE  ZPI1000_S_HCODE OPTIONAL
*"----------------------------------------------------------------------

  SELECT HCODE HNAME NTYPE HTEXT NIDUP INTO TABLE T_TAB FROM ZTFI0005.
  sort T_TAB ASCENDING BY HCODE.
  DELETE ADJACENT DUPLICATES FROM T_TAB COMPARING HCODE.
ENDFUNCTION.
 

2.

FUNCTION ZPI1000_HCODE_ALL.
*"----------------------------------------------------------------------
*"*"本地接口:
*"  TABLES
*"      T_TAB STRUCTURE  ZTFI0005 OPTIONAL
*"----------------------------------------------------------------------

  SELECT * INTO TABLE T_TAB FROM ZTFI0005.
  sort T_TAB ASCENDING BY HCODE.
*  DELETE ADJACENT DUPLICATES FROM T_TAB COMPARING HCODE.
ENDFUNCTION.

3. 项目同步接口

FUNCTION ZPI1000_PROJ.
*"----------------------------------------------------------------------
*"*"本地接口:
*"  TABLES
*"      T_TAB STRUCTURE  ZPI1000_S_PROJ
*"----------------------------------------------------------------------
SELECT A~PSPID A~POST1 A~VBUKR B~XMFL

 INTO TABLE T_TAB

 FROM PROJ AS A 

INNER JOIN PRPS AS B 

ON A~PSPID = B~POSID.
ENDFUNCTION.
 

4. 用户角色分配接口

接收用户portal端选择申请的几类信息数据,调用标准BAPI  CALL FUNCTION 'BAPI_USER_ACTGROUPS_ASSIGN' 实现

FUNCTION Parameters: 

DDIC ELEMENTS DESIGN: 

注意:每次是先删除用户原来的全部角色再覆盖

FUNCTION ZPI1000_USER_ASSIGNMENT.
*"----------------------------------------------------------------------
*"*"本地接口:
*"  IMPORTING
*"     VALUE(I_USER) TYPE  SY-UNAME
*"  EXPORTING
*"     VALUE(E_MSG) TYPE  STRING
*"  TABLES
*"      T_POST STRUCTURE  ZPI1000_S_POST OPTIONAL
*"      T_AGRNAME STRUCTURE  ZPI1000_S_AGRNAME OPTIONAL
*"      T_ORG STRUCTURE  ZPI1000_S_ORG OPTIONAL
*"      T_POSNR STRUCTURE  ZPI1000_S_POSNR OPTIONAL
*"      T_YT STRUCTURE  ZPI1000_S_YT OPTIONAL
*"----------------------------------------------------------------------

  DATA:LT_AGR_USERS  TYPE TABLE OF AGR_USERS,
       LT_ORG        LIKE ZTAB0015 OCCURS 0 WITH HEADER LINE,  "用户组织
       LT_POSNR      LIKE ZTAB0017 OCCURS 0 WITH HEADER LINE,  "用户项目
       LT_POST       LIKE ZPI1000 OCCURS 0 WITH HEADER LINE, "用户岗位
       LT_YT         LIKE ZTAB0026 OCCURS 0 WITH HEADER LINE,
       LS_AGR_USERS  LIKE LINE OF LT_AGR_USERS,
       LS_AGR_DEFINE LIKE AGR_DEFINE,
       LS_USR02      LIKE USR02.
  DATA: LT_INS LIKE UST04 OCCURS 0 WITH HEADER LINE.

  DATA: IT_RETURN  LIKE BAPIRET2 OCCURS 0 WITH HEADER LINE,
        IT_BAPIAGR LIKE BAPIAGR OCCURS 0 WITH HEADER LINE.


  CLEAR: E_MSG.

  SELECT SINGLE ZVAL1
    FROM ZTPORTAL001
    INTO @DATA(LV_WAIT)
    WHERE ZKEY1 = 'AUTH_WAIT'.
  DO LV_WAIT TIMES.
    SELECT SINGLE * INTO LS_USR02 FROM USR02 WHERE BNAME = I_USER and UFLAG = 0.
    IF SY-SUBRC NE 0.
      WAIT UP TO 1 SECONDS.
    ELSE.
      EXIT.
    ENDIF.
  ENDDO.

  SELECT SINGLE * INTO LS_USR02 FROM USR02 WHERE BNAME = I_USER.
  IF SY-SUBRC NE 0.
    CONCATENATE '用户' I_USER '在系统中不存在' INTO E_MSG.
    EXIT.
  ENDIF.

*  SELECT * FROM AGR_USERS INTO TABLE LT_AGR_USERS WHERE UNAME = I_USER.
*
*  LOOP AT LT_AGR_USERS INTO LS_AGR_USERS.
*    CALL FUNCTION 'PRGN_DELETE_USER_ASSIGNMENT'
*      EXPORTING
*        USER_NAME               = I_USER
*        ACTIVITY_GROUP          = LS_AGR_USERS-AGR_NAME
*        FROM_DATE               = LS_AGR_USERS-FROM_DAT
*        TO_DATE                 = LS_AGR_USERS-TO_DAT
**       ORG_FLAG                = ' '
**       SHOW_ERROR_MESSAGES     = 'X'
*      EXCEPTIONS
*        ACTGROUP_NOT_AUTHORIZED = 1
*        ACTGROUP_NOT_EXISTING   = 2
*        ACTGROUP_ENQUEUED       = 3
*        OTHERS                  = 4.
*    IF SY-SUBRC <> 0.
** Implement suitable error handling here
**      E_MSG = '用户历史权限删除失败'.
*      CONCATENATE   '用户:' I_USER ':ICP历史权限删除失败' INTO E_MSG..
*      ROLLBACK WORK.
*      EXIT.
*    ELSE.
*      COMMIT WORK AND WAIT .
*    ENDIF.
*  ENDLOOP.

  CHECK E_MSG IS INITIAL.

  T_AGRNAME-AGR_NAME = 'B:COMM'.
  APPEND T_AGRNAME.
  DELETE ADJACENT DUPLICATES FROM T_AGRNAME.

  LT_INS-BNAME = I_USER.
  APPEND LT_INS.

  LOOP AT T_AGRNAME.
    IT_BAPIAGR-AGR_NAME = T_AGRNAME-AGR_NAME.
    IT_BAPIAGR-FROM_DAT = SY-DATUM.
    IT_BAPIAGR-TO_DAT = '99991231'.
    APPEND IT_BAPIAGR.
  ENDLOOP.

  DO 3 TIMES.
    CLEAR:IT_RETURN[],IT_RETURN,E_MSG.

    CALL FUNCTION 'BAPI_USER_ACTGROUPS_ASSIGN'
      EXPORTING
        USERNAME       = I_USER
      TABLES
        ACTIVITYGROUPS = IT_BAPIAGR
        RETURN         = IT_RETURN.
    READ TABLE IT_RETURN WITH KEY TYPE = 'E'.
    IF SY-SUBRC EQ 0.
      CONCATENATE   '用户:' I_USER ':ICP权限分配失败:' IT_RETURN-MESSAGE INTO E_MSG.
      ROLLBACK WORK.

      WAIT UP TO 2 SECONDS.
    ELSE.
      COMMIT WORK.
      EXIT.
    ENDIF.
  ENDDO.

*  CALL FUNCTION 'BAPI_USER_ACTGROUPS_ASSIGN'
*    EXPORTING
*      USERNAME       = I_USER
*    TABLES
*      ACTIVITYGROUPS = IT_BAPIAGR
*      RETURN         = IT_RETURN.
*
*  READ TABLE IT_RETURN WITH KEY TYPE = 'E'.
*  IF SY-SUBRC EQ 0.
*    CONCATENATE   '用户:' I_USER ':ICP权限分配失败:' IT_RETURN-MESSAGE INTO E_MSG.
*    ROLLBACK WORK.
*  ELSE.
*    COMMIT WORK.
*  ENDIF.

*  LOOP AT T_AGRNAME.
*    CALL FUNCTION 'PRGN_ADD_USER_ASSIGNMENT'
*      EXPORTING
*        USER_NAME               = I_USER
*        ACTIVITY_GROUP          = T_AGRNAME-AGR_NAME
**       FROM_DATE               = SY-DATUM
**       TO_DATE                 = '99991231'
**       ORG_FLAG                = ' '
**       SHOW_ERROR_MESSAGES     = 'X'
*      EXCEPTIONS
*        ACTGROUP_NOT_AUTHORIZED = 1
*        ACTGROUP_NOT_EXISTING   = 2
*        ACTGROUP_ENQUEUED       = 3
*        OTHERS                  = 4.
*    IF SY-SUBRC <> 0.
** Implement suitable error handling here
**      E_MSG = 'ICP用户权限分配失败'.
*      CONCATENATE   '用户:' I_USER ':ICP权限分配失败' INTO E_MSG..
*      ROLLBACK WORK.
*      EXIT.
*    ELSE.
*      COMMIT WORK AND WAIT .
*    ENDIF.
*
*    CALL FUNCTION 'PRGN_ACTIVITY_GROUP_USERPROF'
*      EXPORTING
*        ACTIVITY_GROUP = T_AGRNAME-AGR_NAME
*        ACTION_INSERT  = 'X'
**       ACTION_DELETE  = 'X'
*      TABLES
**       DEL_TAB        =
*        INS_TAB        = LT_INS
*      EXCEPTIONS
*        OTHERS         = 7.
*  ENDLOOP.

  CHECK E_MSG IS INITIAL.


  LOOP AT T_POST.
    LT_POST-BNAME = I_USER.
    LT_POST-ZPOST = T_POST-ZPOST.
    LT_POST-DATUM = SY-DATUM.

**    将岗位编码与名称拆分
    SPLIT LT_POST-ZPOST AT '-' INTO DATA(LS_STR1) LT_POST-POST_CODE LT_POST-POST_NAME.


    APPEND LT_POST.
  ENDLOOP.

* 用户项目分配 ZTAB0017
  LOOP AT T_POSNR.
    LT_POSNR-UNAME = I_USER.
    LT_POSNR-PS_POSNR = T_POSNR-POSNR.
    APPEND LT_POSNR.
  ENDLOOP.

* 用户组织分配 ZTAB0015
  LOOP AT T_ORG.
    LT_ORG-UNAME = I_USER.
    LT_ORG-HCODE = T_ORG-ORG.
    APPEND LT_ORG.
  ENDLOOP.

* 用户业态分配 ZTAB0026
  LOOP AT T_YT.
    LT_YT-UNAME = I_USER.
    LT_YT-GSBER = T_YT-GSBER.
    APPEND LT_YT.
  ENDLOOP.

  IF T_YT[] IS INITIAL.
    LT_YT-UNAME = I_USER.
    LT_YT-GSBER = 'Z001'.
    APPEND LT_YT.
  ENDIF.

  DELETE FROM ZTAB0017 WHERE UNAME = I_USER.
  DELETE FROM ZTAB0015 WHERE UNAME = I_USER.
  DELETE FROM ZTAB0026 WHERE UNAME = I_USER.
  DELETE FROM ZPI1000  WHERE BNAME = I_USER.

  MODIFY ZTAB0017 FROM TABLE LT_POSNR[].
  MODIFY ZTAB0015 FROM TABLE LT_ORG[].
  MODIFY ZTAB0026 FROM TABLE LT_YT[].
  MODIFY ZPI1000 FROM TABLE LT_POST[].
  COMMIT WORK.
ENDFUNCTION.
 

角色后台维护功能

如果用户在前端申请同步接口有失败的情况,需要有后台处理程序可以给运维人员补充维护。

可以做se38程序

1. 用户角色维护

*&---------------------------------------------------------------------*
*& Report ZABR007
*&---------------------------------------------------------------------*
* Program Name    :  ZABR007                                           *
* Program Title   :  用户角色维护                                       *
* Application     :                                                   *
* Description     :                                                    *
* Func Spec ID    :                                                    *
* Requested by    :                                                    *
* Author          :                                               *
* Req Date        :                                                    *
************************************************************************
* MODIFICATIONS (latest entry at the top)                              *
* -------------------------------------------------------------------- *
* TASK-NO      DATE      NAME (COMPANY)     DESCRIPTION              

最低0.47元/天 解锁文章
SAP 权限配置(业务逻辑)
willieyuan的博客
04-22 8663
权限配置逻辑梳理: 1、账号WILLIE,关联岗位:采购专员+仓库专员 (人员与岗位的关联) 2、岗位与角色关联 采购专员:采购申请维护角色+采购订单维护角色+采购审批角色 仓库人员:仓库入库角色+发货角色+转储角色 3、角色与事务代码关联 采购申请维护角色:ME51N\ME52N\ME53N等 采购...
SAP 工作流(Workflow)解决方案综述
2007 年 ~ 2025 年,深耕 SAP 技术 18 年
04-26 143
SAP BTP 上的(也称 SAP Workflow Management)是 SAP 提供的云端工作流方案。该服务是一个云原生的工作流平台,包含流程建模、业务规则、工作流运行时、表单设计等组件 () (通过 Workflow Service,企业可以在云端设计和运行跨系统的业务流程,并将任务通过 Fiori Launchpad 上的My Inbox应用分发给用户处理 () (SAP BTP 工作流使用 BPMN 2.0 标准来建模流程,并支持无代码/低代码的表单设计,使开发者和业务专家能够协作定义流程。
SAP Basis】SAP用户权限管理
热门推荐
XLevon的博客
05-22 1万+
SAP Basis 用户权限管理
SAP 权限分配 & 审核「实例」
Wriprin 的技术博客
10-18 2012
SU21 创建 权限类,权限对象,分配权限字段 PFCG 创建 权限角色,分配权限对象,维护权限对象值 SE38 程序中加以限制
BC 用户分配角色 BAPI
GAVIN
06-08 269
【代码】BC 用户分配角色 BAPI。
java 连接SAP 组连接及单链接方式
qq_39497653的博客
11-20 1780
package main.java.com.platform.wms.util; import java.io.File; import java.io.FileOutputStream; import java.util.Properties; import org.apache.log4j.Logger; import com.sap.conn.jco.JCoDestination; i...
SAP权限管理,我的理解
刘欣的优快云博客
10-10 1万+
 本人2001年至今一直从事basis工作,曾经是erphome-basis版主之一,管理过多个500人以上的sap系统N年,创有 BASIS终极授权の内部顾问参数文件的产生: https://github.com/basis100/SAPauthor 获得事务代码分段,完成关键用户参数权限: https://blog.youkuaiyun.com/ot512csdn/article/deta...
SAP权限配置高级技巧:用户效率与满意度的双重提升
本文全面介绍了SAP权限配置的各个方面,从基本架构和控制层次到最佳实践和进阶应用。文章首先概述了SAP权限配置的概况,深入解析了SAP权限模型的基础知识,包括权限对象、角色、用户组等概念,以及系统权限、对象...
SAP权限管理深度解析】:进阶技巧与最佳实践
SAP权限管理是确保企业资源安全和合规性的关键组成部分。本文首先概述了SAP权限管理的基础知识,包括用户管理、角色配置、权限对象构成和事务码分配。随后,文章深入探讨了权限管理的高级技巧,如权限对象定制、职责...
SAP权限管理深度解析:PFCG逻辑与架构的全面解读
本文对SAP权限管理系统中PFCG(Profile Generator)的功能、架构及其在实际应用中的策略进行了全面的探讨。首先概述了PFCG的基本概念、作用以及在SAP权限管理中的重要性。随后深入解析了PFCG的技术架构、组件关系、...
sap 权限创建(简单明了的操作)
qq_31799157的博客
10-14 1432
目录 基本顺序: 1. SU20 创建 权限字段 2. SU21 创建 对象类 / 权限对象 3. PFCG 创建 角色 4. SU01 创建 用户并分配角色 1. SU20 创建 权限字段 2. SU21 创建 对象类 / 权限对象 3. PFCG 创建 角色 4. SU01 创建 用户并分配角色 代码测试: REPORT d. PARAMETERS p_x LIKE marc-zzykf. ..
SAP 用户权限
ctf63282的博客
01-21 439
用户权限解剖:通常basis会使用PFCG做权限管理,时你保存时会产生一个系统外的prifile name, 记得SU01时用户有profile 和role两栏位吗?它们的关系如何呢?[@more@]首先明白几个概念.1.act...
SAP】添加用户权限
小小渔夫
04-07 4381
思路 若要添加SAP用户权限,首先我们要拿到用户对应的角色,然后使用事务代码PFCG添加角色对应的权限。 步骤 1、SU01事务代码查看用户包含的角色 2、PFCG事务代码添加角色权限 输入角色名称,点击更改按钮,添加事务权限,如下图所示。 事务代码添加完成后,点击权限菜单。点击更改权限数据,所有显示为红灯或黄灯的点击设置为绿灯,并且生产文件即可。 ...
SAP 用户相关 BAPIs for SU01 Transactio, Tcode Su01 的bapi
gui951的博客
12-28 948
BAPI_USER_ACTGROUPS_ASSIGN BAPI_USER_ACTGROUPS_DELETE BAPI_USER_CHANGE BAPI_USER_CLONE BAPI_USER_CREATE BAPI_USER_CREATE1 BAPI_USER_DELETE BAPI_USER_DISPLAY BAPI_USER_EXISTENCE_CHECK BAPI_USER_GETLIST BAPI_USER_GET_DETAIL BAPI_USER_INTERNET_CREATE BAPI_USE
详解鸿蒙Next仓颉开发语言中的动画
youlanjihua的博客
06-08 868
上面代码中,duration表示动画时长,curve表示动画曲线,delay表示延时,iterations表示循环次数,-1表示无限循环,playMode表示动画模式,这些属性在属性动画中也同样适用。首先我要现在页面上添加加载图片,并且将它的角度设置为变量。仓颉中的动画通常有两种方式,分别是属性动画和显示动画,我们今天以下面的加载动画为例,使用显示动画和属性动画分别实现一下,看看他们有什么区别。大家上午好,今天来聊一聊仓颉开发语言中的动画开发
利用ngx_stream_return_module构建简易 TCP/UDP 响应网关
hello.reader
06-10 710
`ngx_stream_return_module` 提供单条 `return <value>` 指令,让 Nginx 在 Stream 层连接后立即返回自定义文本或变量(如 `$time_iso8601`、`$remote_addr`)并关闭连接。常用于健康检查、心跳探测、协议调试与条件化反馈。配合 `map`、TLS SNI 透传(`ssl_preread`)等功能,可实现动态多样化的轻量级四层应答,无需后端服务,快速高效。
如何判断一个bug,是前端还是后端的?
海姐软件测试的博客
06-10 997
**摘要:**作为测试工程师,精准判断Bug归属(前端/后端)的核心方法包括:1)通过抓包工具分析接口请求/响应数据,请求异常属前端,响应错误属后端;2)验证数据库与日志,数据未更新可能为后端问题;3)DOM操作验证UI层问题。典型前端Bug包括布局错乱、事件失效等,后端Bug多表现为5xx错误或逻辑缺陷。建议结合Mock测试、日志追踪和团队协作模板(如Jira+Swagger),基于数据证据而非主观猜测定位问题。掌握这套方法可高效解决90%的Bug归属问题。
Springboot仿抖音app开发之用短视频务模块后端复盘及相关业务知识总结
最新发布
xuziang13的博客
06-11 732
前端通过HTTP GET请求访问/indexListuserId:当前用户ID(可选)search:搜索关键词(可选)page:页码pageSize:每页显示条数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值