SAP权限管理的基本概念

SAP系统中有着严谨的权限管控，本篇博客将介绍SAP权限管理的基本概念。

1 常用的事务代码：

• SU01 - User Maintenance (用户信息维护)
• SU10 - User Mass Maintenance (批量维护)
• PFCG - Role Maintenance (角色维护)
• SU21 - Maintain Authoriztion Objects (维护权限对象)
• SU53 - Evaluate Authorization Objects (检查授权情况)
• SUIM - User Information System (用户维护信息汇总)

2 权限的基本概念：

• 用户（User） - 也即SAP系统的登录用户。每一个用户都会对应着一个相应的用户主数据，用户主数据包含这个User的所有相关信息，例如name, address, Email，以及这个用户的角色信息（Role）等。
• 角色（Role）- 角色反映用户的业务身份，例如角色可以是财务会计Account，现金经理Cash Manager, 系统管理员Admin，或是开发人员Developer等等。不同的角色，有着不同的业务分工，在系统中有着不同的操作权限。他们分别可以执行不同的事务代码，并且对于某一事务代码，可以有着不同的操作权限。每一个角色都会对应这个一个具体的参数文件。
• 参数文件（Profile） - 参数文件中包含着具体的权限信息。例如，是否有执行某一事务代码的权限，是有有更改的权限，是否有删除的权限等等。
• 权限对象（Authorization Object）- 权限对象是权限配置的载体，权限对象包含一系列的权限字段，用于设定具体的授权。
• 权限字段（Authorization Field）- 用于设定具体的权限值。例如对于一个公司代码的权限对象ITM_BUKRS，可以设定其所对应的权限字段BUKRS，来设定用户是否有操作某一个具体公司代码的权限。

User，Role以及权限对象的对应关系如下 - 

3 权限举例：

通过SU01可以查看、维护某一user的角色信息，在系统设定时，实施顾问会根据具体的业务需求定义不同的role，并将不同的role分配给相对应角色的系统用户。

通过display role或事务代码PFCG可以查看某一个role的具体信息，包括其对应的Profile，以及具体的授权信息。在创建role时，可以通过添加具体的事务代码，或维护具体的权限对象的方式来设定此role中所包含的权限。

查看具体的权限信息，可以看到具体的权限对象，以及权限字段的配置值。

当运行某一transaction发生确少权限的message时，可以通过SU53查看到具体缺少的权限。根据业务需要，可以向系统的admin进一步申请具体的权限。