SAP系統(tǒng)權(quán)限培訓(xùn)課件

13九月2023SAP系統(tǒng)權(quán)限培訓(xùn)文檔04八月2023SAP系統(tǒng)權(quán)限培訓(xùn)文檔1目錄二、SAP系統(tǒng)的環(huán)境三、權(quán)限的基本概念四、用戶和角色的創(chuàng)建五、權(quán)限設(shè)置的注意事項

一、權(quán)限的重要性目錄一、權(quán)限的重要性2權(quán)限的重要性在SAP系統(tǒng)中，業(yè)務(wù)人員是否能夠行使該業(yè)務(wù)范圍的操作是由權(quán)限來實現(xiàn)的。權(quán)限工作的好壞是系統(tǒng)能否成功上線的基礎(chǔ)之一。最終用戶是權(quán)限的直接使用者，權(quán)限設(shè)計的好壞會直接影響到最終用戶對使用ERP系統(tǒng)的信心。權(quán)限的重要性在SAP系統(tǒng)中，業(yè)務(wù)人員是否能夠行使該業(yè)務(wù)范3權(quán)限的重要性權(quán)限實施工作的重要性權(quán)限實施是ERP系統(tǒng)上線的必備條件之一，權(quán)限設(shè)計的合理性、實施的準確性和測試的精準度是系統(tǒng)能否成功上線的基礎(chǔ)之一。在權(quán)限設(shè)計、實施和測試全過程，由于地區(qū)公司人員最了解其自身業(yè)務(wù)，因此由地區(qū)公司權(quán)限組全程參與權(quán)限設(shè)計和實施工作，將從ERP技術(shù)角度和地區(qū)公司業(yè)務(wù)角度雙重保障權(quán)限實施的質(zhì)量，進而保證ERP項目的順利上線。項目準備藍圖設(shè)計系統(tǒng)實現(xiàn)權(quán)限設(shè)計、實施、測試最后準備上線支持權(quán)限的重要性權(quán)限實施工作的重要性項目準備藍圖設(shè)計系統(tǒng)實現(xiàn)4權(quán)限的重要性權(quán)限運維工作的重要性在項目上線及運維階段，系統(tǒng)處于穩(wěn)定運行狀態(tài)，權(quán)限變更安全合理才能防止越權(quán)和誤操作發(fā)生，從而保證系統(tǒng)數(shù)據(jù)安全。通過ERP項目權(quán)限組和地區(qū)公司權(quán)限組在權(quán)限設(shè)計實施期間的相互配合，提高了地區(qū)公司權(quán)限組的問題處理能力，將在項目進入上線支持及運維期后，有效保證了權(quán)限變更工作的順利進行。項目準備藍圖設(shè)計系統(tǒng)實現(xiàn)上線支持運維最后準備上線支持5權(quán)限的重要性權(quán)限運維工作的重要性項目準備藍圖設(shè)計系統(tǒng)實5日期Date:

目錄一、權(quán)限的重要性

三、權(quán)限的基本概念四、用戶和角色的創(chuàng)建五、權(quán)限設(shè)置的注意事項二、SAP系統(tǒng)的環(huán)境日期Date:目錄一、權(quán)限的重要性二、SA6RSAP系統(tǒng)環(huán)境PetroChinaSystemLandscape開發(fā)系統(tǒng)測試系統(tǒng)生產(chǎn)系統(tǒng)SAP系統(tǒng)采用SAP4SystemsLandscape架構(gòu),此架構(gòu)中包含三套SAP系統(tǒng)：開發(fā)系統(tǒng)、測試系統(tǒng)、生產(chǎn)系統(tǒng)、生產(chǎn)支持系統(tǒng)。它們的作用分別如下。所有的開發(fā)和配置工作都應(yīng)在開發(fā)系統(tǒng)中進行，修改的對象在開發(fā)系統(tǒng)上進行初步的測試后可以將其傳送到測試系統(tǒng)上。在測試系統(tǒng)中對新開發(fā)的內(nèi)容進行全面的測試，由于是獨立的系統(tǒng)，這些測試都可以在不影響生產(chǎn)下進行。需要傳輸?shù)膶ο笤谕ㄟ^測試后才可以傳輸?shù)缴a(chǎn)系統(tǒng)。生產(chǎn)支持系統(tǒng)環(huán)境同步傳輸路徑RSAP系統(tǒng)環(huán)境PetroChina開發(fā)系統(tǒng)測試系統(tǒng)生產(chǎn)系7RPetroChinaSystemLandscape開發(fā)系統(tǒng)測試系統(tǒng)生產(chǎn)系統(tǒng)開發(fā)系統(tǒng)Development(DEV)SAP項目的實施系統(tǒng)，各種業(yè)務(wù)模塊的客戶化工作、相關(guān)的應(yīng)用開發(fā)等在該系統(tǒng)中進行。并提供進行單元測試的環(huán)境。生產(chǎn)支持系統(tǒng)環(huán)境同步傳輸路徑SAP系統(tǒng)環(huán)境RPetroChina開發(fā)系統(tǒng)測試系統(tǒng)生產(chǎn)系統(tǒng)開發(fā)系統(tǒng)De8RPetroChinaSystemLandscape開發(fā)系統(tǒng)測試系統(tǒng)生產(chǎn)系統(tǒng)測試系統(tǒng)QualityAssurance(QAS)為各種客戶化和開發(fā)工作提供完整測試的系統(tǒng)，其中存有企業(yè)實際業(yè)務(wù)數(shù)據(jù)，用以驗證客戶化和開發(fā)的正確性。同時，此系統(tǒng)亦用于關(guān)鍵用戶及最終用戶的培訓(xùn)。生產(chǎn)支持系統(tǒng)環(huán)境同步傳輸路徑SAP系統(tǒng)環(huán)境RPetroChina開發(fā)系統(tǒng)測試系統(tǒng)生產(chǎn)系統(tǒng)測試系統(tǒng)Qu9RPetroChinaSystemLandscape開發(fā)系統(tǒng)測試系統(tǒng)生產(chǎn)系統(tǒng)生產(chǎn)系統(tǒng)Production(PRD)企業(yè)日常運轉(zhuǎn)實際使用的系統(tǒng)，其中存有企業(yè)的完整業(yè)務(wù)數(shù)據(jù)，生產(chǎn)系統(tǒng)中不允許直接做客戶化或開發(fā)。生產(chǎn)支持系統(tǒng)環(huán)境同步傳輸路徑SAP系統(tǒng)環(huán)境RPetroChina開發(fā)系統(tǒng)測試系統(tǒng)生產(chǎn)系統(tǒng)生產(chǎn)系統(tǒng)Pr10RPetroChinaSystemLandscape開發(fā)系統(tǒng)測試系統(tǒng)生產(chǎn)系統(tǒng)生產(chǎn)支持系統(tǒng)如果最終用戶在使用ERP系統(tǒng)過程中，遇到系統(tǒng)問題。需要運行支持人員在系統(tǒng)中重現(xiàn)其問題，并加以解決。通過定期將生產(chǎn)系統(tǒng)的數(shù)據(jù)復(fù)制到生產(chǎn)支持系統(tǒng)，可以完整模擬生產(chǎn)系統(tǒng)的數(shù)據(jù)。同時，生產(chǎn)支持環(huán)境可以模擬對生產(chǎn)系統(tǒng)進行系統(tǒng)壓力測試。生產(chǎn)支持系統(tǒng)環(huán)境同步傳輸路徑SAP系統(tǒng)環(huán)境RPetroChina開發(fā)系統(tǒng)測試系統(tǒng)生產(chǎn)系統(tǒng)生產(chǎn)支持系統(tǒng)生11日期Date:

目錄一、權(quán)限的重要性二、SAP系統(tǒng)的環(huán)境

四、用戶和角色的創(chuàng)建五、權(quán)限設(shè)置的注意事項三、權(quán)限的基本概念日期Date:目錄一、權(quán)限的重要性三、權(quán)限的12權(quán)限的基本概念名詞解釋：Useraccount﹕就是我們平常說“USERID”(注意用戶類型）dialog用戶權(quán)限：它允許或禁止用戶在系統(tǒng)中進行操作和處理事務(wù)，一般以角色分配給用戶角色（Role）﹕權(quán)限的集合，基于業(yè)務(wù)要求創(chuàng)建所謂的“角色”﹐是sap4.0才開始有的概念﹐其實就是對user的需求進行歸類﹐使權(quán)限的設(shè)定更方便。分為singlerole和compositerole兩種﹐后者是前者的集合，我們需要創(chuàng)建的是singlerole。Profile:真正記錄權(quán)限的設(shè)定的文件,和角色綁定在一起，一個角色生成一個PROFILE。權(quán)限對象：被授權(quán)的業(yè)務(wù)對象，由字段值和參數(shù)組成。權(quán)限的基本概念名詞解釋：Useraccount﹕就是我們平13日期Date:

SPEXSAPR/3ProjectVersion1.0AuthorizationConcept 授權(quán)就是給個人（或組）一個方式或權(quán)力來行使一些特殊的職責(zé)用SAP

的語言來說….它允許或禁止用戶在系統(tǒng)中進行操作和處理事務(wù)權(quán)限的概念—授權(quán)日期Date:SPEXSAPR/3Project14授權(quán)級別圖日期Date:授權(quán)級別圖日期Date:15權(quán)限的概念－授權(quán)對象授權(quán)對象=

運行事務(wù)的權(quán)限=沒有授權(quán)對象沒有事務(wù)權(quán)限權(quán)限的概念－授權(quán)對象授權(quán)對象=運行事務(wù)的權(quán)限=沒有沒有16日期Date:

SPEXSAPR/3ProjectVersion1.0AuthorizationConcept 進入一個SAP事務(wù)代碼就好象….從一扇

門進入一個房間Transaction授權(quán)對象

就是開門的

鑰匙授權(quán)對象權(quán)限的概念－授權(quán)對象日期Date:SPEXSAPR/3Project17日期Date:

SPEXSAPR/3ProjectVersion1.0AuthorizationConcept 即使只缺少一個對象，用戶都不能夠運行事務(wù)代碼運行事務(wù)代碼需要先具備所有的授權(quán)對象!

(即整套鑰匙)授權(quán)對象1授權(quán)對象2授權(quán)對象3授權(quán)對象4授權(quán)對象5權(quán)限的概念－授權(quán)對象日期Date:SPEXSAPR/3Project18用戶是由幾個角色組成的用戶是由幾個角色組成的19角色下包括一些事務(wù)代碼角色下包括的事務(wù)代碼角色下包括一些事務(wù)代碼角色下包括的事務(wù)代碼20權(quán)限的概念－授權(quán)ProfileProfile:真正記錄權(quán)限設(shè)定的文件Profile與Role是捆綁在一起的。在建立Role的時候﹐Profile是會自動創(chuàng)建的，（有弊端），我們根據(jù)每個項目每個模塊的不同，根據(jù)需求表對每個角色定義一個profile。AuthorizationProfile權(quán)限的概念－授權(quán)ProfileProfile:真正記錄權(quán)限21Objectclass權(quán)限對象（Authorizationobject）參數(shù)權(quán)限的概念－權(quán)限對象Objectclass權(quán)限對象（Authorization22業(yè)務(wù)、崗位及用戶之間的關(guān)系用戶：基于業(yè)務(wù)要求而賦予崗位相適合的角色，用戶和角色一對多的關(guān)系角色：執(zhí)行相關(guān)業(yè)務(wù)所需要的權(quán)限集合。業(yè)務(wù)關(guān)鍵點業(yè)務(wù)關(guān)鍵點業(yè)務(wù)關(guān)鍵點角色A角色B角色C用戶1用戶2業(yè)務(wù)流程崗位用戶業(yè)務(wù)、崗位及用戶之間的關(guān)系用戶：基于業(yè)務(wù)要求而賦予崗位相適合23日期Date:

目錄一、權(quán)限的重要性二、SAP系統(tǒng)的環(huán)境三、權(quán)限的基本概念

五、權(quán)限設(shè)置的注意事項四、用戶和角色的創(chuàng)建日期Date:目錄一、權(quán)限的重要性四、24USERID的命名規(guī)則SAP系統(tǒng)分為門戶和后臺兩類系統(tǒng)，后臺系統(tǒng)包括ECC和BI系統(tǒng)。在所有SAP系統(tǒng)中，同一用戶的ID是唯一的，用戶ID最長不超過12位。

ERP用戶ID以中石油郵箱用戶名為準，要求不超過11位（預(yù)留出一位做為區(qū)分cnpc與petrochina郵箱）。如果沒有郵件地址，必須申請一個不大于11位的郵箱地址。

有郵件地址的用戶，取郵件地址的用戶名為用戶ID；如果用戶名超過11位，應(yīng)另外申請一個不大于11位的郵箱地址；舉例如下：

正常用戶名：zhangxing@，ID：ZHANGXING

超長用戶名：zhangxingyuan@，重新申請：ZHANGXINGY注：保留一位是為區(qū)分CNPC和PetroChina不同郵箱，如果產(chǎn)生沖突，則在用戶名前加前綴，集團ERP用戶ID前加前綴V，股份ERP用戶ID前加前綴U。舉例如下：

CNPC：zhangxing@，ID：VZHANGXING

PetroChina：zhangxing@，ID：UZHANGXING日期Date:USERID的命名規(guī)則SAP系統(tǒng)分為門戶和后25日期Date:

相關(guān)事務(wù)代碼SU01－用戶維護PFCG－角色維護SU24－維護事務(wù)權(quán)限對象的分配SU3－維護用戶參數(shù)文件SU53－顯示用戶的權(quán)限數(shù)據(jù)SUGR－維護用戶組SUIM－用戶信息系統(tǒng)SU10－用戶批維護日期Date:相關(guān)事務(wù)代碼SU01－用戶維護PFCG－角色26日期Date:

USERID的建立T_code﹕SU01SU01SU01日期Date:USERID的建立T_code﹕27USERID的建立輸入要創(chuàng)建的UserID1單擊建立圖標2日期Date:USERID的建立輸入要創(chuàng)建的UserID1單擊建28日期Date:

USERID的建立填好這些字段注：1、“姓”為必填項2、通訊方法選擇：INTE-mail3、如果輸入座機號，分機號必須填寫00日期Date:USERID的建立填好這些字段注：29USERID的建立選擇“對話”類型設(shè)定初始密碼用戶組選擇此用戶對應(yīng)的組，地區(qū)二級管理員管理USERID的建立選擇“對話”類型設(shè)定初始密碼用戶組選30USERID的建立這些都是必填項USERID的建立這些都是必填項31USERID的建立用戶組要與前面設(shè)置相同，這個用戶組是總部技術(shù)組管理用戶用的USERID的建立用戶組要與前面設(shè)置相同，這個用戶組是32USERID的建立點擊SAVE，這個用戶就創(chuàng)建好了USERID的建立點擊SAVE，這個用戶就創(chuàng)建好了33帳號的批維護有時我們需要對賬戶進行批量維護,例如：當公司地址變了，需要變更所有用戶的公司地址。月結(jié)時，需要將除了月結(jié)人員外，其它的所有用戶暫時鎖定。T_CODE：SU10帳號的批維護有時我們需要對賬戶進行批量維護,例如：T34USERID批量修改全選用戶后，點擊transfer可以批量修改“新疆油田咨詢顧問”的前臺信息，包括添加角色、鎖定用戶等USERID批量修改全選用戶后，點擊transfer可以批35創(chuàng)建用戶組T_CODE：SUGR例如：創(chuàng)建勘探與生產(chǎn)項目大港油田顧問用戶組EDGYTZXGW業(yè)務(wù)板塊縮寫項目名稱縮寫咨詢顧問創(chuàng)建用戶組T_CODE：SUGR例如：業(yè)務(wù)板塊縮寫項目名稱縮36ROLE的建立T_CODE：PFCG

USERID創(chuàng)建好了﹐但這時這個USERID沒有任何權(quán)限﹐是什么都不能做的。USER得到這樣的帳號沒有任何意義。如何分配權(quán)限給用戶﹖主要是分配Role給這個帳號。下面我們看看如何建Role和分配權(quán)限。ROLE的建立T_CODE：PFCG37ROLE的建立創(chuàng)建Role主要有三種方式：1.新建2.繼承 3.復(fù)制（COPY）

ROLE的建立創(chuàng)建Role主要有三種方式：38根角色的創(chuàng)建輸入role的角色描述須能表示Role的內(nèi)容及屬性根角色的創(chuàng)建輸入role的角色描述須能表示Role的內(nèi)容及屬39根角色的創(chuàng)建點擊“事務(wù)”添加tcode按照profile命名規(guī)則進行命名根角色的創(chuàng)建點擊“事務(wù)”添加tcode按照profile命名40根角色的創(chuàng)建標準T-code所需要的Object,系統(tǒng)會自動列出來組織級別沒有維護OBJECT只有部分維護OBJECT已經(jīng)全部維護請注意﹕綠燈只是表示全部維護﹐但不一定就是我們所需要的值。根角色的創(chuàng)建標準T-code所需要的Object,系統(tǒng)會自動41根角色的創(chuàng)建根角色的創(chuàng)建42根角色的創(chuàng)建在這里介紹一下的作用﹐點擊它﹐就相當于給這個Object一個“*”(star)﹐“*”的意義是AllAuthorization﹐不卡任何權(quán)限。根角色的創(chuàng)建在這里介紹一下的作用﹐點擊它﹐就相當于給這43根角色的創(chuàng)建然后按激活，退出已經(jīng)變成綠燈﹐這表示權(quán)限的設(shè)定已經(jīng)可用了點擊，再點擊此權(quán)限已經(jīng)分配完畢，test001這個帳號已經(jīng)具有了主數(shù)據(jù)維護的權(quán)限根角色的創(chuàng)建然后按激活，退出已經(jīng)變成綠燈﹐這表示權(quán)限44派生角色的定義所謂派生角色,是指根Role和派生Role形成這樣的母子關(guān)系﹕派生Role的所有權(quán)限、權(quán)限對象（組織級別值除外)都源于根Role,并與根Role保持一致。根Role與派生Role是一對多的。派生角色的定義所謂派生角色,是指根Role和派生Role形成45根角色與派生角色之間的關(guān)系公司組織機構(gòu)地區(qū)公司1地區(qū)公司3員工1地區(qū)公司2根角色A角色派生角色A1地區(qū)公司1地區(qū)公司2地區(qū)公司3地區(qū)公司1地區(qū)公司2地區(qū)公司3根角色B根角色C根據(jù)根據(jù)崗位分配按限制范圍派生出不同的子角色員工2員工3員工1員工2員工3員工1員工2員工3派生角色A1派生角色A1派生角色B1派生角色B1派生角色B1根角色與派生角色之間的關(guān)系公司組織機構(gòu)地區(qū)公司1地區(qū)公司3員46派生角色的創(chuàng)建根據(jù)公司代碼派生的，創(chuàng)建好后點擊“創(chuàng)建角色”組織級別代碼字典表派生角色的創(chuàng)建根據(jù)公司代碼派生的，創(chuàng)建好后點擊“創(chuàng)建角色”組47派生角色的創(chuàng)建角色繼承就是通過這派生角色的創(chuàng)建角色繼承就是通過這48派生角色的創(chuàng)建這時候的派生角色還沒有完全繼承，要返回根角色里點擊生成派生角色這時候一個派生角色就創(chuàng)建完成了派生角色的創(chuàng)建這時候的派生角色還沒有完全繼承，要返回根角色里49角色的復(fù)制輸入角色，點擊copy復(fù)制角色這時候一個角色就復(fù)制完成了角色的復(fù)制輸入角色，點擊copy復(fù)制角色這時候一個角色就復(fù)制50角色的創(chuàng)建-繼承與復(fù)制小結(jié)﹕用繼承的方式建立新Role，繼承后，只需維護好組織級別﹐Object就全部是綠燈了。用復(fù)制的方式﹐全部是綠燈。這是兩者操作上的最大區(qū)別。角色的創(chuàng)建-繼承與復(fù)制小結(jié)﹕51角色的修改對Role的修改最常見的就是T-code的新增/刪除，這種改動﹐一般是從菜單開始（派生角色不能修改T-code）。添加VF01（創(chuàng)建客戶發(fā)票）角色的修改對Role的修改最常見的就是T-code的新增/刪52角色的修改角色的修改53角色的修改當Role所包含的T-code經(jīng)過修改后﹐可能含有多個同樣的Object﹐其Value可能互相包含。這時可以通過合并的動作使同一個Object內(nèi)Value相同或者互相包含的項合并起來﹐使權(quán)限的條目更清晰。角色的修改當Role所包含的T-code經(jīng)過修改后﹐可能含有54Debug/查看有一些工具對權(quán)限的問題處理很有幫助1.SU53 2.SUIM3.SU24Debug/查看有一些工具對權(quán)限的問題處理很有幫助55Debug/查看-SU53當一個帳號反映沒有某個應(yīng)有的權(quán)限時﹐我們可以在系統(tǒng)出現(xiàn)沒有權(quán)限的信息時﹐馬上輸入“/NSU53”

Debug/查看-SU53當一個帳號反映沒有某個應(yīng)有的權(quán)限時56Debug/查看-SU53但是請注意﹕SU53給出的信息并不詳細﹐大部分情況只能作為一個大方向的參考﹐有時還可能指示不出來問題所在。Debug/查看-SU53但是請注意﹕SU53給出的信息并不57Debug/查看-SUIMSUIM其實就是Information系統(tǒng)的一個集合界面。我們最常用的功能是﹕已知某個T-code﹐查找含有這個T-code的Role。Debug/查看-SUIMSUIM其實就是Informati58Debug/查看-SU24查看XD01含有哪些權(quán)限對象，哪些是需要檢