SAP系统授权概念旨在保护SAP系统免受未经授权访问的运行和程序的影响.在为此活动定义授权之前,您不应允许用户在SAP系统中执行事务和程序.
为了使您的系统更安全并实施强大的授权,您需要查看您的授权计划,以确保它符合公司的安全要求,并且没有违反安全规定.
在以前的版本中在SAP系统中,用户类型只分为两类 - 对话用户和非对话用户,建议只有非对话用户用于两个系统之间的通信.使用SAP 4.6C,用户类型分为以下类别;
对话用户此用户用于单独的交互式系统访问,大多数客户端工作使用对话框用户执行.密码可以由用户自己更改.在对话框用户中,可以阻止多个对话框登录.
服务用户这用于执行交互式系统访问以执行某些预定任务,如产品目录显示.此用户允许多次登录,只有管理员才能更改此用户的密码.
系统用户此用户标识用于执行大多数与系统相关的任务 - 传输管理系统,定义工作流和ALE.它不是依赖于交互式系统的用户,并且该用户可以进行多次登录.
参考用户参考用户不用于登录SAP系统.此用户用于向内部用户提供其他授权.在SAP系统中,您可以转到"角色"选项卡并指定参考用户以获取对话框用户的其他权限.
通讯用户此用户类型用于维护不同系统(如RFC连接,CPIC)之间的对话框免费登录.通信用户无法使用SAP GUI进行Dialog登录.用户类型可以像普通对话用户一样更改其密码. RFC功能模块可用于更改密码.
交易代码: SU01 用于用户在SAP系统中创建.在以下屏幕中,您可以在SU01事务下的SAP系统中看到不同的用户类型.
要在SAP系统中创建具有不同访问权限的用户或多个用户,您应该按照以下步骤操作.
第1步使用交易代码 - SU01 .
第2步输入您要创建的用户名,单击创建图标,如以下屏幕截图所示.
第3步您将被定向到下一个选项卡 - 地址选项卡.在这里,您需要输入名字,姓氏,电话号码,电子邮件ID等详细信息.
第4步您将进一步定向到下一个选项卡 - 登录数据.在"登录数据"选项卡下输入用户类型.我们有五种不同的用户类型.
步骤5 输入第一个登录密码 → 新密码 → 重复密码.
第6步您将被定向到下一个标签 - 角色 - 将角色分配给用户.
第7步您将进一步定向到下一个选项卡 - 配置文件 - 为用户分配配置文件.
第8步单击"保存"以接收确认.
中央用户管理是允许您管理的关键概念之一SAP系统中的所有用户都使用中央系统.使用此工具,您可以在一个系统中集中管理所有用户主记录.中央用户管理员允许您在一个系统环境中节省管理类似用户的资金和资源.
中央用户管理的优点是去;
在SAP环境中配置CUA时,只能使用中央系统创建或删除用户.
所有必需的角色和授权都存在于活动表单的子系统中.
所有用户都受到集中监控和管理,从而完成任务管理简单,更清晰地查看复杂系统环境中的所有用户管理活动.
中央用户管理员可以节省资金和资源来管理类似用户一个系统格局.
使用 ALE 格局执行的数据交换称为应用程序链接启用允许以受控方式交换数据.中央用户管理员使用ALE与SAP系统环境中的子系统进行数据交换.
在复杂的环境环境中,您将一个系统定义为具有ALE环境的中央系统,并且使用双向数据交换链接到所有子系统.横向中的子系统彼此不相连.
要实施中央用户管理,应考虑以下几点
您需要在单个/分布式环境中具有多个客户端的SAP环境.
管理用户的管理员,需要授权以下交易代码
SU01
SCC4
SCUA
SCUM
SM59
BD54
BD64
您应该在系统之间建立信任 - 信任关系.
您应该在中央和子系统中创建系统用户.
创建逻辑系统并将逻辑系统分配给相应的客户.
创建模型视图和BAPI到模型视图.
创建一个中央用户管理员istrator并设置字段的分配参数.
同步公司地址
转移用户
在集中管理的环境中,您需要先创建一个管理员.使用默认密码PASS以用户SAP *身份登录未来CUA的所有逻辑系统.
运行事务 SU01 并创建分配了管理员角色的用户
定义逻辑系统使用事务 BD54.单击New Entries以创建新的逻辑系统.
为中央和所有子系统(包括来自其他SAP系统的系统)的中央用户管理创建一个大写字母的新逻辑名称.
要轻松识别系统,您可以使用以下命名约定来识别中央用户管理system
<系统ID> CLNT&l t;客户端>
输入逻辑系统的一些有用描述.点击保存按钮保存您的输入.接下来是为所有子系统中的中央系统创建逻辑系统名称.
要将逻辑系统分配给客户端,请使用事务 SCC4 并切换到更改模式.
打开您想要的客户端通过双击或单击详细信息按钮分配给逻辑系统.客户端只能分配给一个逻辑系统.
在客户端详细信息的逻辑系统字段中,输入要为其分配此客户端的逻辑系统名称.
对SAP环境中的所有客户端执行上述步骤包含在中央用户管理员中.要保存设置,请单击顶部的保存按钮.
要维护SAP系统的安全性,您需要维护包含关键授权的特定配置文件.在具有完全授权的SAP系统中,您需要保护各种SAP授权配置文件.
SAP系统中需要保护的一些配置文件是
SAP_ALL
SAP_NEW
P_BAS_ALL
SAP_ALL授权配置文件允许用户执行SAP系统中的所有任务.这是包含SAP系统中所有授权的复合配置文件.具有此授权的用户可以执行SAP系统中的所有活动,因此不应将此配置文件分配给系统中的任何用户.
建议单个用户应该是用个人资料维护.虽然密码应该为该用户提供良好的保护,并且只应在需要时使用.
您应该为相应的用户分配单独的授权,而不是分配SAP_ALL授权.您的系统超级用户/系统管理,而不是为他们分配SAP_ALL授权,您应该使用所需的个人授权.
SAP_NEW授权包含新版本中所需的所有授权.完成系统升级后,将使用此配置文件以便某些任务正常运行.
您应该记住以下有关此授权的要点
执行系统升级时,您需要删除之前版本的SAP_NEW配置文件.
您需要在SAP_NEW配置文件下为您环境中的不同用户分配单独的授权.
此配置文件也不应保持活动状态
如果环境中有很长的SAP_NEW配置文件列表,则表明您需要在系统中查看授权策略.
要查看所有SAP_NEW配置文件的列表,您应该通过双击然后选择&rarr来选择此配置文件;转到选择.
此授权允许用户从其他应用程序查看表的内容.此授权包含 P_TABU_DIS 授权.此授权允许PA用户查看不属于其组的表内容.
PFCG角色维护可以是用于管理SAP系统中的角色和授权.在PFCG中,角色代表一个人执行的与现实场景相关的工作. PFCG允许您定义可分配给某人以执行其日常工作的交易集.
在PFCG交易中创建角色时,您可以使用交易 SU01 将这些角色分配给各个用户.可以为SAP系统中的用户分配多个角色,这些角色与他/她在现实生活中的日常任务相关.
这些角色与用户和授权之间的关联有关. SAP系统.实际授权和配置文件以对象的形式存储在SAP系统中.
使用PFCG角色维护,您可以执行以下功能
更改和分配角色
创建角色
创建复合角色
运输和分发角色
现在让我们详细讨论这些功能.
运行交易:PFCG
它将带您进入角色维护窗口.要更改现有角色,请在字段中输入已交付的角色名称.
单击"复制角色"按钮复制标准角色.输入命名空间中的名称.单击值选择按钮,然后选择要将其复制到的角色.
您还可以选择SAP提供的角色,以 SAP _,开头,但随后默认角色将被覆盖.
要更改角色,点击角色维护中的更改按钮.
导航到"菜单"选项卡以更改"菜单"选项卡页面上的用户菜单.转到"授权"选项卡以更改该用户的授权数据.
您还可以使用专家模式调整授权下菜单更改的授权.单击Generate按钮生成此角色的配置文件.
要将用户分配给此角色,请转到"更改角色"选项中的"用户"选项卡.要将用户分配给此角色,它应存在于系统中.
如果需要,您还可以执行用户比较.单击"用户比较"选项.您还可以单击"信息"按钮以了解有关单个和复合角色以及"用户比较"选项的更多信息,以比较主记录.
您可以在PFCG中创建单个角色和复合角色.输入角色名称,然后单击Create Single或Composite Roles,如下面的屏幕截图所示.
您可以从Y_或Z_等客户名称空间中进行选择. SAP交付的角色以SAP_开头,您不能从SAP交付的角色中取名.
点击创建角色按钮后,您应该在菜单下添加交易,报告和网址角色定义中的选项卡.
导航到"授权"选项卡生成配置文件,单击更改授权数据选项.
根据您的活动选择,系统会提示您输入组织级别.在对话框中输入特定值时,将自动维护角色的模具授权字段.
您可以调整角色的参考.完成角色定义后,您需要生成角色.点击Generate(Shift + F5).
In这种结构,当您看到红色交通信号灯时,它会显示没有值的组织级别.您可以使用维护选项卡旁边的组织级别输入和更改组织级别.
输入配置文件名称,然后单击勾选选项以完成生成步骤.
单击保存以保存配置文件.您可以转到"用户"选项卡直接将此角色分配给用户.以类似的方式,您可以使用PFCG角色维护选项创建复合角色.
运行事务 - PFCG并输入您要传输的角色名称,然后单击"传输角色".
您将进入角色转移选项.您在交通角色下有多个选项;
传输复合角色的单个角色.
传输为角色生成的配置文件.
个性化数据.
在下一个对话框中,您应该提及用户分配,还应传输个性化数据.如果还传输了用户分配,它们将替换目标系统中角色的整个用户分配.
要锁定系统以便无法导入角色的用户分配,请将其输入使用事务 SM30 自定义表 PRGN_CUST 并选择值字段 USER_REL_IMPORT编号.
此角色在自定义请求中输入.您可以使用Transaction SE10 查看此内容.
在自定义请求中,授权配置文件与角色一起传输.
在授权管理中, SUIM是一个关键工具,您可以使用该工具在SAP系统中查找用户配置文件,还可以将这些配置文件分配给该用户ID. SUIM提供了一个初始屏幕,为搜索用户,角色,个人资料,授权,交易和比较提供选项.
要打开用户信息系统,请运行交易: SUIM .
在用户信息系统中,你具有可用于在SAP系统中执行不同功能的不同节点.与在用户节点中一样,您可以根据选择条件对用户执行搜索.您可以获取锁定的用户列表,有权访问特定交易集的用户等.
展开每个标签时,您可以选择根据不同的选择标准生成不同的报告.就像扩展用户选项卡一样,您有以下选项
按复杂选择条件单击用户时,可以同时应用多个选择条件.以下屏幕截图显示了不同的选择标准.
以类似的方式,您可以访问此用户信息系统下的角色,配置文件,授权和各种其他选项等不同节点.
您也可以使用SUIM工具搜索角色和配置文件.您可以通过在SUIM中执行事务和分配搜索,并将这些角色分配给该用户ID,将事务列表分配给特定的用户ID集.
使用用户信息系统,您可以在SAP系统中执行各种搜索.您可以输入不同的选择标准,并根据用户,个人资料,角色,交易和各种其他标准提取报告.
RSUSR002 用户按复杂选择标准.