SAP用戶權(quán)限管理維護(hù)手冊(cè)

1、密級(jí) : 秘密SAP 用戶權(quán)限管理維護(hù)手冊(cè)141617181818191920202021212223目錄1 . SAP系統(tǒng)權(quán)限設(shè)置 3維護(hù)角色3授權(quán)管理工具2用戶授權(quán)設(shè)置創(chuàng)建新用戶修改用戶顯示用戶復(fù)制新用戶鎖定/解鎖用戶 修改密碼 3 權(quán)限管理流程及用戶授權(quán)策略 SAP系統(tǒng)安全管理流程 用戶授權(quán)策略4 .附錄 附錄A 修改請(qǐng)求(Change request)管理文檔 附錄B 權(quán)限修改請(qǐng)求表管理文檔 附錄C權(quán)限管理常用事務(wù)代碼 1 . SAP系統(tǒng)權(quán)限設(shè)置權(quán)限角色是SAP系統(tǒng)的重要的一個(gè)環(huán)節(jié)，權(quán)限角色可以控制用戶登錄SAP系統(tǒng)后對(duì)SAP操作的各種權(quán)限，所以要嚴(yán)格設(shè)置 用戶對(duì)SAP系統(tǒng)權(quán)限進(jìn)行申請(qǐng)

2、時(shí)（指對(duì)在生產(chǎn)系統(tǒng)上的權(quán)限配 置，對(duì)非生產(chǎn)系統(tǒng)，一般有各模塊負(fù)責(zé)人審批就行了），必須走公司規(guī)定流程，得到各級(jí)部門(mén)審批后，BASIS方給予進(jìn)行處理進(jìn)行權(quán)限設(shè)置時(shí)，先在開(kāi)發(fā)系統(tǒng)DEV系統(tǒng)進(jìn)行配置，配置時(shí)嚴(yán)格按照用戶或模塊顧問(wèn)提供的權(quán)限文檔來(lái)進(jìn)行（有不明白的地方應(yīng)該馬上與顧問(wèn)或用戶取得聯(lián)系，并確認(rèn)），設(shè)置確認(rèn)無(wú)誤后，對(duì)所設(shè)置的權(quán)限角色生成CHANGREQUESJ釋放后在測(cè)試系統(tǒng)里提供給用戶或顧問(wèn)進(jìn)行測(cè)試，測(cè)試正確后，才正式同步傳輸?shù)缴a(chǎn)系統(tǒng)，然后用郵 件或電話的方式通知用戶。維護(hù)角色通過(guò)調(diào)用事務(wù)代碼t-code:PFCG調(diào)用，或者是工具-> 系統(tǒng)管理-> 用戶維護(hù)-> 角色管理-&

3、gt; 角色角色代表一個(gè)特殊的任務(wù)或交易處理或功能：口亍 |D 礙 非:rflop離B區(qū)迥列 Flh". D 邸刑阿R已團(tuán)厠I銅1 :|耳罰注筍it戸欣山且1口甌和1I I1WK fiPECEEV 朋nr- nr;單|c=w .申 » L ： " ： ST(1)創(chuàng)建單一角色T-CODE pfcg進(jìn)入角色維護(hù)界面，根據(jù)權(quán)限模版填寫(xiě)角色名稱劃亡也 HH.1 W31FG1 罕那S壬卩71 <pfc|bi9： o殆©2Q nn 闿asl護(hù)書(shū)軸無(wú)宙F*JF-HT-QHUEOItllTIu記口毗TitteCreated ou： ii d： co事聶fi辛DEt

4、L-a m frsZITi 七膽MHt n W KfB Hr Ffp «4*IB t 曲加i電7t' L：iw m劇副LI hWin i i <rm i+n- Iir|一 *«Tr*K-QW Uan Ml fJ乩心如薊Fkb 些2 ；T：1T佃3K旦砥BFEHEV班分配事務(wù)代碼，選擇菜單-事務(wù)-分配交易電改in帝IS ffit £nd*Ba-ffl-cnj.LHaEn|3tun訥Zzjt-criEilkir D&rjijt_J層邑S!單J +K- nrI m +>tr#K"0w lmm mv mmvs '祐 心>

5、£!：肚在權(quán)限 頁(yè)，我們可以為一個(gè)配置文件生成所有必需的授權(quán)對(duì)象。a-麵鎧s«:； I權(quán)丸阿斫t凹 嘶即 時(shí)(1) e歸斟'竝 費(fèi)骨.期如到”.n和»丹打并的于薩，#吞：'1*11ii幵r?imi們杏h藥嚴(yán)箱sttif松右劭ata nc?l巒a?収限x豈回畫(huà)回陲理E丑二折底囪"上唏遽-3 d：MOJI 5 filDlt35C ' ZE CJDlflZEi. - £H9 afitDOlZl歯吋帝J p- |1TE (1) sgc 3 BEHFeCEEV 咋* 耐 J A w tf i L一 fur.|0akFLicw. &

6、amp; 雷 ”曲，呼時(shí).k| jj hh：1D-訶叵田 叵回通過(guò)查找確定授權(quán)對(duì)象及字段進(jìn)行修改。授權(quán)的創(chuàng)建基于在菜單維護(hù)屏幕中選擇的菜單。通過(guò)選擇權(quán)限頁(yè)和修改授權(quán)數(shù)據(jù)(Changeauthorization data )，你可以選擇你想維護(hù)的明確的選項(xiàng)。如果第一次生成該權(quán)限，系統(tǒng)會(huì)提示會(huì)生成所有顯示的組織層次。該值用于生成該權(quán)限。如果所有顯示區(qū)域由配置生成器填充(特別的，如果該區(qū)域僅包括組織層次需求)，系統(tǒng)會(huì)為該權(quán)限顯示綠燈。如果有權(quán)限的區(qū)域還沒(méi)有輸入值，系統(tǒng)會(huì)顯示黃燈。只有當(dāng)用戶為該區(qū)域輸入值以后，系統(tǒng) 才會(huì)顯示綠燈。通過(guò)選擇工具顯示技術(shù)名稱，我們可以顯示每個(gè)授權(quán)對(duì)象的技術(shù)名稱。如果我們想

7、刪除一個(gè)獨(dú)立的權(quán)限對(duì)象,我們需要通過(guò)點(diǎn)擊將它 de-active，然后該權(quán)限對(duì)象將會(huì)用紅色列出未被激活狀態(tài)。點(diǎn)擊?叫按鈕我們可以將它再激活，或者通過(guò)點(diǎn)擊將它從配置文件中刪除。點(diǎn)擊:質(zhì)嘰皿可以手工添加權(quán)限對(duì)象。修改完成后，點(diǎn)擊生成或shift+F5 激活，退出該界面。a- i - '一二；!引吧 土一' r収限SBB、=p訝期Q訃不-工直丄汁X 現(xiàn)】氣lit護(hù)蛍融魚(yú)J “回 r*E塔護(hù)Il為主嘶枚卑廿鶴工樣H張就疋陣召樣J在tLn屯臼妊*肓垢惑二件號(hào)孚垃件呂推T-Bn>*5D0JLD臼xs煤電耐紙立芹zR+n-aiiH®r X!5： fljDicdaj 5 JOf

8、f. CIPICKC. n jhf5 ?H9 flGipazziLJ 烏 匝叵；va>(i>aD.&EHFKcreJ tb_，+STiir- |rmiT|9lC “心門(mén)和嗚也<.' -1:吊和腫d在用戶欄進(jìn)行用戶分配，注意用戶比較。R|SS!-EIR-OP1QEI3ftD-|i o i鼻* ero/BiiM k用呦 皿他_罠韻凰!國(guó)畫(huà)冷uHT'i fiptag i科<EE U) 20Z 百 MnPECEE1 T5n*AKFJ. 0SU Licmi . |Q%U1Kli VMrfl. | |g MW| 駅 h-tf H:X角色直接賦值給用戶可以在用

9、戶 頁(yè)實(shí)現(xiàn)。完成賦值后，需要做 “User Compare，而UMR(用戶主數(shù)據(jù))將相應(yīng)的更新。標(biāo)志從紅色變成綠色代表 UMR成功更新。(2)創(chuàng)建復(fù)合角色T-CODE pfcg進(jìn)入角色維護(hù)界面，復(fù)合角色即組件角色，由多個(gè)單一角色組成MITO三詡釗凹性愉色|臺(tái)1屈 衛(wèi)|盡|罰令壽=證|卜| 'iWjl>3K 13 BKPECCCEV 用 ?F« J A W tf < .4叩ir I它十申忡 Dig Lt. I旳站P |區(qū)Hib”，. II佛*創(chuàng)尸r無(wú)同8I轎 m咱弘M：如填寫(xiě)角色名稱保存箱已叮 反輯怎| 轉(zhuǎn)kg】勇樂(lè)叩 fffciH)elbLi ti e©

10、e|u專曲石町站同宙遡圧7 3軸誦咼fRB|a兀EgJ3 匚0葉5如鐘E祓3-EJ.-0B1&爭(zhēng) 4 -.1L *.L'廠 I匚 匚證匚YEE 宙 曲二 雪.BK PECCEEV JM=TFft J A v d i i士 *時(shí)£±>itRi CJ -巨怖玳護(hù)“s滬If1 J*SW¥i曲菜單欄選擇讀菜單，刷新角色。箱已即 翩唱_ WSMG冨用盡亍呼惆晌出曲L*I.也陽(yáng)專ee u ii忙商石啟站nc?1筋氐更念嘅殞羽遒珈無(wú)H DR* 尺日aLtaEizfitKinatTnaflAlA, I-J匕色K' r _. m'；'.

11、'- ' H+fr |V 金弓 田 jswmmi咋申乜匸1 tn*J* 5=5上101 田孕 ZR-HF：W 巨曲e 眇 匸訕.二血1翱35；-HF-0Cl -嗎于H9尊建咱對(duì)斗怖時(shí)苗 t£'上UMb應(yīng)2R Mk 00 3耳週此廬驕悟TE20二 百一 MAPEZCEEV JM=f Lir., I 心柿對(duì) F“S 皿|0JKEU»，| 檢 M 曲最后根據(jù)用戶分配，輸入用戶ID保存。箱已叮 反輯回 轉(zhuǎn)kg】 圧予醫(yī)齊厘】勇樂(lè)叩 fffciH)|© 1n <i hj ©(3©；i -c宙 遡圧更改in帝囲囹珈向咼Sola

12、RDit兀耶更1SEon|ntiin工如斶套n祕(mì)卞 血他1 口片 ytih晉-帕iBO 團(tuán)國(guó)網(wǎng)I松瞬"II話 揖円匱"I科F"lIQ丄1詐r，：mc 月 BE.' FEtTEV T-K口亞 Lir . I 說(shuō) 講F附a*“ri. _ ir *'.ll -，.| | 帝4 “:斛授權(quán)管理工具有些情況下，授權(quán)可能會(huì)出現(xiàn)錯(cuò)誤，特別是用戶被限制不能使用某些功能。在這種情況下,事務(wù)代碼SU53可以幫助我們跟蹤哪個(gè)授權(quán)對(duì)象有用但是在這個(gè)配置文件中丟失。母 Vvlf 軒 2 HV I H-ul Sul4 w i he 爭(zhēng)>.* Lv>i 巳訪k i

13、gm*i ilMQprww tIt* i "ri 'l »- Tl All AtflAr Ilh/W 44 Ci"a n jpp K 1uwObiiife-j-p r to >« cfe c 1 aR*ji I I ah I r- iiii Fli itr I >*1 i imth d iif I ffcr nti-J# r 1 I iw 41iiii ff-F#-rtl> fewtv_ i iiiv*rirjwvsPV'Clviv -Cv*v 耳鼻q. «rLlv«i BLdrlrtiil III.

14、 -rh . .hl I tn 'I - 申 aMiUIMM! pw-M jilriihli* I VI Um hwPriufllvHh1«Rtfll F BH Ml I事務(wù)代碼SUIM推薦使用與授權(quán)報(bào)告。SUIM集成的授權(quán)報(bào)告包括任何選擇標(biāo)準(zhǔn)。例如：選擇所有擁有“ S USER PRO（用戶主記錄維護(hù)：授權(quán)配置文件 ）”對(duì)象。fl a亡于 I«f N-rioo* 嘰嚴(yán)11 iTrinHKKfrvn I nFmi'u I-&* f IZB>nt r Al 11 k v-ir Airini n h w tr* t l an J 申右 11 労 H

15、AT甲f DJiK J0 "UfiOTiG QonpI »ictt» Ci-1.rcr t a» Haws-杠y丄 w CrlLer丄鼻停.朋護(hù)ffr4 Hi>l# 嚼$ Fr«<i kP-q 爭(zhēng) * Alft h IJF 1 Z Wt 1 rsns! ® ftuilihOriliidwi 鼻贏#匸鼻 ® 聊 lb Afl£l£EiAini HW CHAr 1 ?AE 1 Afi-ttiri" 1 "t: A cril Oanb j.H-iifeE J,tin al dbu

16、電 l«rn al: 1>嚴(yán)c fe: ii ii E*k w-tC& VI rt> iimirr-Mf ill I 冋師弊弓 囪 Lc i«n Dote* eE "/htiwcI Change C5» If lit «f WCfiC liil* Cr1 i!lf Jil AiltMrl 4 <i>nsS Fb*l«：pb.1 4 DI>L>rratlI右fl wk Fwt'"'If Jit J tn n>cVHi l hMAl-A /E 1 4i1«

17、;1,9VriirvsjiiiLC«ii4|FairL «rm«iMiCh-e-li's-wl List肚NW biMiFiriE2 .用戶授權(quán)設(shè)置配置文件生成器可以通過(guò)調(diào)用事務(wù)代碼SU01調(diào)用，或者是 工具-> 系統(tǒng)管理-> 用戶維護(hù)->用戶。其功能包括：創(chuàng)建新用戶、修改用戶信息和權(quán)限、刪除用戶、復(fù)制、鎖定/解鎖、修改用戶口令。創(chuàng)建新用戶在“用戶”中輸入需要?jiǎng)?chuàng)建的用戶名稱，如：test在菜單選?。河脩裘? > 創(chuàng)建:耳戶容啦 黑常 槎妣、環(huán)耘 蒸她 誹購(gòu)旦SAP&a i q e® ©x2)yw!m i

18、on 溜區(qū)嬪護(hù)用戶Q卉可魏挹崔歩導(dǎo)用戶骷ALaei GhjKFd00； 00； DO"狀帝未1采有刪,罩棗數(shù)話L樂(lè)認(rèn)茹額，諭色1曲鶴克杵I fi j卒既優(yōu)b許可證®折人員堆E陪瓷望耐aiiK"r中丈0電話井機(jī)號(hào)申1廉詩(shī)電語(yǔ)升機(jī)號(hào)旦殳1遠(yuǎn)理町件BwfcS-的伽±tnL廿肥靳旳匕列臨蜉.，.匚科口）亦3 口廳為那B巧福艸細(xì)川玉1LJTja，.| >«：«*!衣側(cè)8.| ：1 諭跑tMj" +*. Inrnj1» Vtt>! 晶 RBI i m地址：必須維護(hù)的字段為“姓”； 登錄數(shù)據(jù)：必須維護(hù)的字段為“口令”

19、 角色：需要付給的權(quán)限角色；修改用戶在“用戶”中輸入需要修改的用戶名稱，如：test在菜單選?。河脩裘?> 修改顯示用戶在“用戶”中輸入需要?jiǎng)?chuàng)建的用戶名稱，如：test在菜單選?。河脩裘? > 顯示復(fù)制新用戶此功能的作用是以現(xiàn)有的用戶做模板來(lái)創(chuàng)建新用戶，新創(chuàng)建的用戶具有原模辦用戶相同的權(quán) 限和基本信息。在“用戶”中輸入的模板用戶名稱，如：template在菜單選?。河脩裘?> 復(fù)制上謨制用尸從t ewlate到TEST選擇部分百地址 回默認(rèn) 匝用戶參數(shù)7 Reference User回角色7杖隈參數(shù)文件回廚戶爼回個(gè)性化回許可數(shù)據(jù)J輕松訪同設(shè)置鎖定/解鎖用戶在“用戶”中輸入

20、需要鎖定或解鎖的用戶名稱，如：test在菜單選取：用戶名- > 鎖定或解鎖修改密碼在“用戶”中輸入需要修改密碼的用戶名稱，如：test在菜單選?。河脩裘?> 修改密碼3 .權(quán)限管理流程及用戶授權(quán)策略SAP系統(tǒng)安全管理流程系統(tǒng)安全管理策略的另一個(gè)重要方面是制定標(biāo)準(zhǔn)的規(guī)范流程來(lái)管理用戶對(duì)權(quán)限變動(dòng)的申請(qǐng)。 在項(xiàng)目的進(jìn)行中，東軟項(xiàng)目小組會(huì)結(jié)合客戶的實(shí)際特點(diǎn)，制定系統(tǒng)安全管理流程。5胛甌瓚4.千汗即祈和；也用.；;f'- z -!；備址訓(xùn)戶陽(yáng)（丸|，&術(shù)呵扣丸4'tt4-HE用戶授權(quán)策略授權(quán)防止用戶獲取認(rèn)證的SAP數(shù)據(jù)。授權(quán)管理包括許多步驟與參與者。定義功能（角色矩

21、陣）在這個(gè)周期中特別重要。這個(gè)框架的質(zhì)量將會(huì)決定一個(gè)好的功能和安全授權(quán)實(shí)施的成功。PG（參數(shù)文件生成器）是事項(xiàng)授權(quán)的最有用的工具。SAP主要通過(guò)ROLE,PROFILE 兩種方式來(lái)進(jìn)行權(quán)限的管理控制，其中系統(tǒng)在安裝初始階段 就已經(jīng)包括了一些已經(jīng)被系統(tǒng)定義好的重要的角色與參數(shù)文件，這些角色與參數(shù)文件一旦被 分配，所持有者就可以對(duì)系統(tǒng)內(nèi)部作出相應(yīng)的管理操作，當(dāng)然就會(huì)對(duì)整個(gè)系統(tǒng)產(chǎn)生非常大危 險(xiǎn)性，故此我們一定要在開(kāi)始就得慎用，并且設(shè)定符合自身的管理規(guī)則。在SAP安裝完畢后，也會(huì)有幾個(gè)特殊的用戶，在系統(tǒng)安裝設(shè)置階段，都要完成特殊的功用， 那么我們?cè)谠O(shè)置階段結(jié)束后，一定要妥善的管理者幾個(gè)用戶：1）SAP

22、*-系統(tǒng)初始用戶，擁有系統(tǒng)所有權(quán)限2）DDIC-系統(tǒng)初始化進(jìn)行配置使用的用戶，擁有系統(tǒng)所有權(quán)限3）SAPCPIC-系統(tǒng)通訊用途的超級(jí)用戶4）EarlyWatch用來(lái)做系統(tǒng)分析的超級(jí)用戶控制策略：1) 通過(guò)設(shè)定參數(shù) login/no_automatic_usr_sapstar =0此時(shí)運(yùn)用SE38運(yùn)行程序RSUSR003 查看上述用戶的初始密碼，更改所有密碼2) 通過(guò)SUIM審核是否CCA存在，去掉不必要的職責(zé)不相容，嚴(yán)格遵從權(quán)限分離制度3) 設(shè)置一定的密碼規(guī)則對(duì)于簡(jiǎn)單通用密碼可以使用SE16運(yùn)行表USR40查看，通知用戶及時(shí)更改通過(guò)以下參數(shù)設(shè)置可以制定用戶密碼策略1) login/min_pa

23、sswordng定義密碼最小允許長(zhǎng)度2) logi n/password_expirati on _time-定義密碼過(guò)期時(shí)間3) logi n/fails_to_user_lock-密碼登陸錯(cuò)誤次數(shù)4) login/failed_user_auto_unlock-晚上密碼自動(dòng)解鎖5) login/fails_to_session_end超過(guò)制定錯(cuò)誤登陸數(shù)后，結(jié)束所有用戶進(jìn)程6) login/disable_multiple_gui_login拒絕多用戶使用單一用戶名登陸7) login/multiogin_users允許多用戶使用相同用戶名登陸8) logi n/min_password_d

24、iff-定義新舊密碼重復(fù)使用次數(shù)9) logi n/password_max_ new_valid-定義對(duì)新建用戶的密碼有效期10) log in/password_max_reset_valid-定義密碼重置有效期11) login/min_password_digits/_letters/_specials-定義特殊字符密碼規(guī)貝 U12) log in /disable_password_logo n & logi n/password_logo n_usergroup控制被撤銷密碼的登陸13) login/disable_cpic拒絕 cpic 通訊接入14) rdisp/gui

25、_auto_logout-定義系統(tǒng)自動(dòng)空置時(shí)間15) login/no_automatic_user_sapstar控制 sap 系統(tǒng)用戶4 .附錄附錄A 修改請(qǐng)求(Change request)管理文檔傳輸類型:ABAP程序源系統(tǒng)：DEV (開(kāi)發(fā)系統(tǒng))配置數(shù)據(jù)SAPScriptReport pai ntQAS (測(cè)試系統(tǒng))PRD (生產(chǎn)系統(tǒng))主數(shù)據(jù)狀態(tài)：批準(zhǔn)拒絕已傳輸NO.修改請(qǐng)求描述開(kāi)發(fā)測(cè)試系統(tǒng)生產(chǎn)系統(tǒng)100200300700800修改請(qǐng)求號(hào)目標(biāo)系統(tǒng)1234567簽名：申請(qǐng)人：顧問(wèn)批準(zhǔn)人：操作者：項(xiàng)目經(jīng)理：附錄B權(quán)限修改請(qǐng)求表管理文檔修改權(quán)限類型：事物碼添加增加角色增加權(quán)限其他修改權(quán)限原因：批準(zhǔn)拒絕增加描述權(quán)限日期:以下項(xiàng)目組填寫(xiě):角色名稱：限制條件：其它：備注：是否涉及價(jià)格等公司機(jī)