SAP权限设定

基础概念层面

• 用户管理：创建、删除、修改用户账户，分配初始密码和设置用户个人信息等。每个用户有唯一的登录名和密码，是权限控制的基础4。
• 角色管理：角色是权限管理的中间层，代表一组具有相同职责和权限的用户集合。包括单一角色，即一个事务码的集合，包含控制事务码操作的 “权限对象”“权限字段” 等；还有复合角色，是多个单一角色的集合12。

权限对象与字段层面

• 权限对象：需要被访问或操作的数据实体或资源，如电子商务网站中的商品、订单等。是系统中基本的权限管理单元，一个权限对象最多包含 10 个权限字段23。
• 权限字段：权限对象中的具体属性或字段，用于进一步细化权限控制。比如在商品对象中，价格、库存等都可以是权限字段2。

权限类型层面

• 功能权限控制：赋予用户某个角色，用户可以访问且只能访问自己被授权的功能，如 “人力资源经理” 角色具有 “查询员工”“添加员工” 等权限。
• 数据权限控制：一般和企业的组织架构相关，是在功能权限基础上的扩展，比如控制用户可以 “查看哪些订单”，或不同岗位的人员审批金额的限制等。

操作与流程层面

• 权限配置与分配：通过事务码等工具进行操作，如使用 PFCG 创建角色并为角色分配事务码、权限对象等，将权限对象分配到角色，再把角色分配给用户123。
• 权限检查：在程序中使用 AUTHORITY-CHECK 关键字进行权限检查，判断当前用户是否有权执行特定操作或访问特定资源123。
• 特殊权限控制：对于供应商信息查看、薪资数据查看等特殊业务需求的权限控制，以及对 SAP Basis 或外部开发顾问的特殊权限管理，如限制 SE38 执行非法程序、SE16 查询敏感数据表等。

安全与管理层面

• 系统访问控制：限定用户终端登录，指定 MAC 地址或 IP 来源连接 SAP 系统，禁止非许可终端来源的用户登录；控制用户超时时间，可个性化设置。
• 审计与监控：通过工具或功能对用户操作和权限使用情况进行审计和监控，以便及时发现异常操作和权限滥用等情况，确保系统安全和合规。