一、首先我們先來介紹以下這幅圖（事務代碼：PFCG），這里面包含幾個權限相關的概念。

標題

?

以上圖為例，我們來簡單的介紹上圖中的幾個概念：

1、Role角色：一堆TCODE的集合，當然還包含有TCODE必備的“權限對象”、“權限字段”、“字段值”等。這個大家比較熟悉，用戶如果要添加某些權限，那么可以把相關的角色賦予相應的用戶。

2、Authorization Objects權限對象：包含了若干權限字段、允許的操作和允許的值。有一個特殊的權限對象用來包含了若干事務碼，這個權限對象叫“S_TCODE”，該權限對象的權限字段叫“TCD”，該字段允許的值（Field Value）存放的就是事務代碼。

3、Authorization Group權限組：顧名思義，這個就是若干個權限對象的集合。

4、Authorization Field權限字段：是AuthorizationObjects的相關元素，比如：操作、公司代碼、一個事務等。有一種特殊的權限字段用來表示可以針對該權限對象做哪些操作，是允許創建、修改、顯示、刪除或者其他。該權限字段叫“ACTVT”，該字段允許的值（Field Value）存放的就是允許操作的代碼，01代表創建、02代表修改、03代表顯示等。

5、Field Value字段值：確定可進行的操作或操作范圍，如：權限字段是工廠，權限字段的值是1010，那么擁有該角色的用戶只能進行1010工廠的相關操作。

6、Profiles參數文件：當一個角色生成的時候，會生成一個相應的參數文件，同樣的，該參數文件也包含與相應角色一樣的權限對象。（可以把一些非生成的參數文件賦予相關的用戶）

介紹完以上幾個概念后，大家來看看我們平時用SU53得到的截圖（以下是在800用YLKJ_MM賬號操作ME21N的截圖）：

就可以很清楚知道圖中的意思了（該用戶缺少權限對象類MM_E中的權限對象M_BEST_EKO下的字段ACTVT的值01(創建)的權限，后續會介紹怎么根據該圖，查找相應的角色）。

二、介紹以上幾個概念后，接下來介紹一下用戶組（User Group）

用戶組，顧名思義就是用戶的集合，可以根據單位、部門對用戶進行分組，對相應的用戶組賦予相應的權限。

2、權限設置過程

下面以：為了控制事務代碼ZMM100的使用，而創建ZMM_TEST角色的過程為例介紹角色的創建。

1、? 權限對象類的創建

輸入事務代碼SU21,如下圖：

??

如上圖，點擊“Object Class”，如下圖：

?

按上圖填寫權限對象類的名稱及描述，填寫完后點擊保存，彈出如下對話框：

?

點擊“本地對象”，權限對象創建成功(注意：如果是正式情況不能點擊本地對象，要點擊保存)！

2、? 權限字段的創建

輸入SU20,如下圖：

?

點擊上圖中的按鈕，進入如下圖：

?

如上圖，填寫字段名及數據元素（注意：如果所需要的字段已經存在，比如：WERKS或者ACTVT等，則不需要操作此步驟），點擊保存，彈出如下界面：

點擊保存，即可！

3、? 創建權限對象及字段設置

選中創建好的權限對象類，點擊右鍵，選中“CreateAuthorization Object” ，如下圖：

彈出如下界面：

?

在上圖中填寫“對象名稱”、“對象描述”、“字段名”填寫完后，點擊保存，彈出如下界面：

點擊保存，彈出如下界面：

?

點擊，回到如下界面：

?

點擊，權限對象及字段設置成功，如下圖：

?

4、? 設置事務代碼的權限對象

輸入事務代碼SU24，如下圖：

?

?

如上圖，輸入需要維護的事物代碼，點擊，如下圖：

?

如上圖，每個事務代碼都有默認的一個相關權限對象S_TCODE用于檢查事務代碼，（大家平常可能會有疑問：有些自開發的程序，如果沒有對它設置權限控制的時候，為什么顧問的賬號可以操作該事務代碼，而一般用戶的賬號卻不能操作呢？？答案就在于顧問賬號中分配的Z_KEYUSER_DISP_NOHR（顯示權限ALL-非HR）角色中的S_TCODE權限對象字段值設置為如下：）

點擊上圖中的按鈕，維護相關的事務代碼，如下：

?

點擊上圖中的object按鈕，增加權限對象（其它按鈕的作用，大家自己測試一下就知道了），彈出如下對話框：

?

如上圖，在對話框中輸入已經創建的權限對象，點擊回車，如下：

增加完權限對象后點擊保存，會提示設置請求號，大家可以隨便創建一個，到時候把其釋放即可。創建完請求號后，彈出下圖提示，說明維護沒有問題了。

?

5、? 角色的創建（只介紹手工創建，復制、上載及繼承大家自己測試，還有種組件角色大家也可以去了解一下）

輸入事務代碼PFCG，如下圖：

?

如上圖，輸入角色的名稱，點擊“創建角色”按鈕，如下：

如上圖，輸入角色名稱，并點擊保存，然后點擊“菜單”分頁，如下：

點擊“事物”按鈕，如下：

如上圖，輸入要分配的事物代碼，點擊“分配交易”按鈕，如下：

點擊保存，后點擊“權限”分頁中的“更改授權數據”按鈕，如下圖：

點擊菜單欄上的“實用程序”——>“顯示技術名稱”再選擇角色，點擊上圖中的，如下圖：

從上圖中大家可以清楚的發現SU24中“Proposal Status”的作用了（當然，S_TCODE是不受影響的）

這邊只帶出權限對象ZMAT_CHECK，如果想繼續增加其他的權限對象，則可以點擊菜單欄上的“編輯”——>“插入權限”或者上圖中的“選擇標準”“人工的”按鈕進行權限對象的增加（注意：“選擇標準”不能添加自定義的權限對象）這邊點擊“人工的”，如下圖：

?

如上圖，輸入要增加的權限對象，點擊“更改授權數據”回車，如下圖：

點擊，對權限字段值進行維護，如下：

?

設置完字段值后，點擊上圖中的“生成”按鈕，角色的權限維護成功。

最后點擊“用戶”分頁進行相應用戶的維護，并進行用戶的比較。（比較簡單不再詳細說明）

6、? 程序中的權限控制

如果有的人認為以上操作完就，就可以進行權限控制了，那就錯了。其實以上的設置對權限限制完全起不到任何作用，真正的權限限制是在事務代碼相應的程序中增加如下代碼：

AUTHORITY-CHECK?OBJECT?'ZMAT_CHECK'
???????????ID?'ACTVT'?FIELD?'01'.
才能達到權限的控制，即以上的操作才起作用。

3、角色傳輸（只介紹批量角色的傳輸，單個傳輸就點擊即可）

1、請求號的生成：

輸入事務代碼PFCG ，如下圖：

?

進入大量傳輸界面，如下：

如上圖輸入要傳輸的角色名，點擊，如下圖：

?

點擊回車，如下圖：

回車，進行相應請求號的創建，這邊不再詳細說明。請求號創建完后，跳轉如下界面：

到此，角色相應的請求號生成成功。

2、請求號傳輸：（沒有權限操作，這邊不再詳細截圖）

跨集團傳輸：

STMS，在源系統操作，即如果要把120的角色傳輸至240，則在120系統執行STMS;

同一個集團不同客戶端傳輸:

SCC1，在統一集團的目的系統操作，即如果要把120的角色傳輸至160，則要在160系統進行SCC1的操作。

4、權限相關表及事務代碼（基本上所有的權限問題都可以根據下面的表或事務代碼進行處理，這邊留給大家自己研究吧）

1、相關事務代碼

?SU53

?當一個賬號反映沒有某個應有的權限時，可以輸入T-code：SU53，查詢系統出現沒有權限的信息。

?SUIM

?SUIM 其實就是Information 系統的一個集合界面。

?最常用的功能是：已知某個 T-code，查找含有這個T-code的角色。

?輸入 T-code后執行，就可以得到含有這個T-code 的角色的列表。

?注意：其判斷條件是角色的角色菜單，而不是 Profile參數文件。

?(一)創建Role(角色)的相關T-code:

?PFCG 創建角色

?PFAC 創建系統模板標準角色

?PFAC_CHG改變系統模板標準角色

?PFAC_DEL刪除系統模板標準角色

?PFAC_DIS顯示系統模板標準角色

?PFAC_INS新建系統模板標準角色

?PFAC_STR

?ROLE_CMP比較

?SUPC 批量建立角色參數文件

?SWUJ 測試

?SU03 檢測 authorization data（授權數據）

?SU25, SU26檢查 updated profile（更新的參數文件）

?(二)創建用戶的相關 T-code:

?SU0

?SU01 創建用戶

?SU01D

?SU01_NAV

?SU05

?SU50，SU51，SU52

?SU1

?SU10 批量創建用戶

?SU12 批量修改用戶

?SUCOMP維護用戶公司地址

?SU2 修改用戶參數

?用戶組

?SUGR 維護用戶組

?SUGRD顯示用戶組

?SUGRD_NAV維護用戶組

?SUGR_NAV顯示用戶組

?(三)關于 profile & Authorization Data

?SU02 直接創建角色參數文件，不用角色創建

?SU20 細分 Authorization Fields（授權范圍）

?SU21(SU03)維護 Authorization Objects（授權對象）

?對具體 transaction code（事務代碼）細分

?SU22，SU24維護事務權限對象的分配

?SU53 檢查缺失的 authorization objects（授權對象）

?SU56 分析 authorization data buffers（授權數據緩沖器）

?SU87 檢查用戶改變產生的 history（歷史記錄）

?SU96，SU97，SU98，SU99

?SUPC 批量產生角色

?

2、相關的表

?TOBJ All available authorization objects

?USR12用戶級 authorization（授權）值

?USR01主數據

?USR02密碼在此

?USR04授權在此

?USR03 User address data

?USR05 User Master Parameter ID

?USR06 Additional Data per User

?USR07 Object/values of last authorizationcheck

?USR08 Table for user menu entries

?USR09 Entries for user menus (work areas)

?USR10 User master authorization profiles

?USR11 User Master Texts for Profiles (USR10)

?USR12 User master authorization values

?USR13 Short Texts for Authorizations

?USR14 Surcharge able Language Versions perUser

?USR15 External User Name

?USR16 Values for Variables for UserAuthorizations

?USR20 Date of last user master reorganization

?USR21 Assign user name address key

?USR22 Logon data without kernel access

?USR30 Additional Information for User Menu

?USR40 Table for illegal passwords

?USR41當前用戶

?USREFUS

?USRBF3

?UST04 User Profile在此

?UST10CComposite profiles

?UST10S Single profiles

?AGR_1250角色與權限對象的關聯表

?AGR_1251角色與權限對象及操作值關聯表

?TSTC????事務代碼表

?UST12???參數文件與權限值的對應

?AGR_1016角色與參數文件對應表

?USRBF2??這個表是對應到所用的authorzizationobjects的.

?USOBX ???事務代碼與權限對象

總結

以上是生活随笔為你收集整理的【转】SAP 权限设定、分配及传输的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。