SAP R/3账号权限管理方法及应用浅谈

摘要：介绍SAP R/3系统的账号权限控制概念，实现方法：包括ABAP程序检核“权限对象”，账号权限配置。涉及复合角色，单角色，权限对象，参数文件，账号参数之间的关系，以及合理赋予账号权限的方法。

关键词： SAP R/3 权限；单角色；复合角色；权限对象；参数文件

中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2013）20-4734-03

SAP R/3是一款世界领先的ERP软件，其包含例如MM，PP，SD，FICO，QM，PM等很多个模块，这些模块分别实现一个企业各种不同的业务功能需求，例如MM（物料管理）主要涉及采购，仓库管理；FICO涉及财务成本控制，SD涉及销售，每个模块都包含并通过许许多多的T-Code（事务码）来完成对应的业务操作，这些操作对应着业务流程中的各作业人员，这些人员负责的工作不同，所以工作权限也相应的不一样，例如负责收货的仓库保管员就不应当具有查询采购销售价格的权限，以保证价格这个敏感信息的保密。那么想要做到根据不同人员赋予不同的工作权限，SAP系统是如何实现的呢？我们在SAP权限运维过程中又是如何管理的呢？如下文详细叙述。

1 SAP程序控制权限的方法

1.1 ABAP程序检核权限的逻辑

SAP完成各种业务作业是通过执行T-Code来实现的，T-Code是包含ABAP程序（SAP专用程序语言）的一个代码，在这些ABAP程序中起到检核账号权限功能的是AUTHORITY-CHECK OBJECT...ID...语句行，其原理是判断运行程序的账号是否包含该程序所检核的AUTHORITY OBJECT（权限对象）ID（字段）值的，举例1来说：

例1：

AUTHORITY-CHECK OBJECT 'M_EINF_EKO'

ID 'ACTVT' 03

ID 'EKORG' FIELD 1000

该语句检核的是运行账号是否包含有权限对象M_EINF_EKO（采购价格的采购组织）中ACTVT 等于03（查询）并且EKORG 等于1000（采购组织）值，意即判断运行账号是否有查询采购部“1000”的采购价格数据的权限，如果该账号包含了该值，那么后续程序就会继续执行，即权限检核通过。这里的权限对象是跟T-Code关联，即不同的T-Code会检核不同的权限对象。

1.2 如何给账号赋予权限

了解了SAP程序检核权限的逻辑后，就可以理解要想给一个用户账号赋予某个业务作业权限，就是应当给该账号添加该业务T-Code所检核的权限对象的值以及该T-Code本身，权限对象值被创建在“参数文件”中，参数文件和T-Code等其他信息包含在“权限角色”中被赋予用户账号。这些对象的关系如图1所示。

SAP用PFCG这个T-Code来完成上述操作，如图2所示，权限角色主要包含了“菜单”，“权限”，“用户”页，分别包含并关联T-Code，参数文件，用户账号这三项信息，其中“权限”页中包含的“参数文件”可以实现各层级范围的权限管控配置，如图3所示的就是1.1节中的例子的权限配置方法。

2 合理组织分配SAP用户账号权限的方法

2.1 将T-Code分类组合成权限模板的方法

从上一节中可见理论上说，逐个T-Code地添加给用户账号即可完成权限的赋予工作，但是由于SAP有数万个T-Code，逐个添加的工作量会非常大，而且没有对权限分类不便于统筹管理，因此通常的做法是按照业务功能的相似性来分类汇总T-Code形成权限角色模板。拿MM（物料管理模块）来说，如下表1所示：根据涉及的三大类业务做第一级分类，再根据是否涉及价格敏感信息做第二级分类，最后根据是创建修改数据或是显示数据做第三级分类，以此实现对MM涉及的T-Code的权限分类，即权限模板范围的划定，对应到上节中权限角色“菜单”页的实现。

2.2 权限角色的参数文件的管理方法

这一节对应到权限角色“权限”页中参数文件的配置方法。在2.1节中分类好了T-Code后，对于相同T-Code分配给不同人员时，需要再配置不一样的企业组织范围来细分权限。例如同样是采购员都会用到查询采购价格的T-Code，但是往往采购部1000的采购员小张是无权查看采购部2000的采购价格信息的，这时只要按照上文中图3中的配置权限角色给采购员小张即可。

根据模块的不同，涉及的业务类型各异，用来限制权限范围的组织层级的类型也各不相同。依旧拿MM模块举例，涉及的组织架构主要是采购组织（采购部门），采购组（采购员，物料分类），工厂，仓库地点等等这些。为了便于从权限角色编码上直观逻辑包含的参数文件内容，一般会把这些组织架构编入权限角色的命名原则里面。

2.3 权限角色的用户账户分配的管理方法

这一节对应到权限角色“用户”的管理方法。通过将权限角色分配给用户账号来完成最后一步权限赋予工作，可以把多个单角色根据工作岗位汇总在一起形成复合角色，然后将该复合角色赋予用户账号。对于用户账号较多的企业这样可以减少权限赋予的工作量，也便于权限分类管理。对于账号较少，或者多个用户共用一个账号的情况，也可以逐个单角色赋给账号。完成这步后即完成了准确赋予用户所需要的权限作业。

参考文献：

[1] 孙士学.苏润.SAP权限管理浅谈[J].电脑知识与技术，2011（11）.

[2] 季红岩.SAP物料管理模块权限的实施与研究[J].电大理工，2012（3）.

[3] 徐焕，彭祥礼.SAP系统权限精细化管理方法研究[J].电力信息化，2011（12）.

[4] 李明，周伟.山东电力集团公司SAP系统权限深化应用[J].中国电力教育，2012（9）.

[5] 刘鹏，孟繁汀.基于石油销售企业SAP系统权限管理体系的构建[J].信息系统工程，2012（3）.

[6] 汪琼.浅谈SAP系统财务用户的权限设计与实施[J].全国商情（经济理论研究），2009（9）.