《中石油SAP权限培训.ppt》由会员分享,可在线阅读,更多相关《中石油SAP权限培训.ppt(65页珍藏版)》请在三一办公上搜索。
1、中国石油ERP系统权限培训文档,目录,二、SAP权限的架构 三、权限的基本概念 四、用户和角色的创建及命名规则 五、权限设置的步骤 六、权限实施计划表,一、权限的重要性,权限的重要性,权限本身的重要性 在SAP系统中,业务人员是否能够行使该业务范围的操作是由权限来实现的。权限工作的好坏是系统能否成功上线的基础之一。最终用户是权限的直接使用者,权限设计的好坏会直接影响到最终用户对使用ERP系统的信心。,权限的重要性,权限实施工作的重要性权限实施是ERP系统上线的必备条件之一,权限设计的合理性、实施的准确性和测试的精准度是系统能否成功上线的基础之一。在权限设计、实施和测试全过程,由于地区公司人员最
2、了解其自身业务,因此由地区公司权限组全程参与权限设计和实施工作,将从ERP技术角度和地区公司业务角度双重保障权限实施的质量,进而保证ERP项目的顺利上线。,权限的重要性,权限运维工作的重要性 在项目上线及运维阶段,系统处于稳定运行状态,权限变更安全合理才能防止越权和误操作发生,从而保证系统数据安全。通过ERP项目权限组和地区公司权限组在权限设计实施期间的相互配合,提高了地区公司权限组的问题处理能力,将在项目进入上线支持及运维期后,有效保证了权限变更工作的顺利进行。,5,日期Date:,目录,一、权限的重要性 三、权限的基本概念 四、用户和角色的创建及命名规则 五、权限实施中注意要点 六、权限工
3、作计划,二、SAP权限的架构,SAP权限的架构,SAP User ID-地址-登录数据-组.,分配,Role-描述-菜单-权限,分配,Bind with,Authorization profile-组织级别值-权限对象-用户.,日期Date:,目录,一、权限的重要性 二、SAP权限的架构 四、用户和角色的创建及命名规则 五、权限实施中注意要点 六、权限工作计划,三、权限的基本概念,权限的基本概念,名词解释:,User account就是我们平常说“USER ID”(注意用户类型)dialog用户、权限:它允许或禁止用户在系统中进行操作和处理事务,一般以角色分配给用户角色(Role)权限的集合,
4、基于业务要求创建 所谓的“角色”是sap4.0才开始有的概念其实就是对user的需求进行归类使权限的设定更方便。分为single role 和 composite role两种后者其实是前者的集合Profile:真正记录权限的设定的文件,和角色绑定在一起,一个角色生成一个PROFILE权限对象:被授权的业务对象,由字段值和参数组成,日期Date:,SPEX SAP R/3 Project Version 1.0 Authorization Concept,用 SAP 的语言来说.,权限的概念授权,权限的概念授权对象,授权对象=运行事务的权限,=,没有 授权对象,没有事务权限,日期Date:,S
5、PEX SAP R/3 Project Version 1.0 Authorization Concept,进入一个 SAP 事务代码 就好象.,权限的概念授权对象,日期Date:,SPEX SAP R/3 Project Version 1.0 Authorization Concept,即使只缺少一个对象,用户都不能够运行事务代码,权限的概念授权对象,授权级别图,用户是由几个角色组成的,角色下包括一些事务代码,角色下包括的事务代码,权限的概念授权Profile,Profile:真正记录权限设定的文件,Profile与Role是捆绑在一起的。,在建立Role的时候 Profile是会自动创建
6、的,(有弊端),我们根据每个项目每个模块的不同,根据需求表对每个角色定义一个profile。,Authorization Profile,Object class,权限对象(Authorization object),参 数,权限的概念权限对象,业务、岗位及用户之间的关系,用户:基于业务要求而赋予岗位相适合的角色,用户和角色一对多的关系角色:执行相关业务所需要的权限集合。,业务关键点,业务关键点,业务关键点,角色A,角色B,角色C,用户1,用户2,业务流程,岗 位,用 户,日期Date:,目录,一、权限的重要性 二、SAP权限的基本架构 三、权限的基本概念 五、权限实施中注意要点 六、权限工作
7、计划,四、用户和角色的创建及命名规则,USER ID 的命名规则,SAP系统分为门户和后台两类系统,后台系统包括ECC和BI系统。在所有SAP系统中,同一用户的ID是唯一的,用户ID最长不超过12位。ERP用户ID以中石油邮箱用户名为准,若超过12位,按如下方法进行处理:如果没有邮件地址,必须申请一个少于11位的邮箱地址。有邮件地址的用户,取邮件地址的用户名为用户ID;如果用户名超过11位,应另外申请一个少于11位的邮箱地址;举例如下:正常用户名:,ID:ZHANGXING 超长用户名:,重新申请:ZHANGXINGY注:保留一位是为区分CNPC和PetroChina不同邮箱,如果产生冲突,则
8、在用户名前加前缀,集团ERP用户ID前加前缀V,股份ERP用户ID前加前缀U。举例如下:CNPC:,ID:VZHANGXING PetroChina:,ID:UZHANGXING,日期Date:,相关事务代码,SU01用户维护,PFCG职责维护,SU24维护事务权限对象的分配,SU3维护用户参数文件,SU53显示用户的权限数据,SUGR 维护用户组,SUIM用户信息系统,SU10帐号批维护,日期Date:,USER ID 的建立,T_code SU01,SU01,SU01,USER ID 的建立,USER ID 的建立,选择“对话”类型,设定初始密码,用户组选择此用户对应的组,地区二级管理员管
9、理,USER ID 的建立,填好这些字段,注:1.通讯方法选择:INT E-mail2.如果输入座机号,分机号必须填写00,USER ID 的建立,这些都是必填项,USER ID 的建立,用户组最好跟前面设置的一样,这个用户组是总部技术组管理用户用的,USER ID 的建立,USER ID创建好了但这时这个ID没有赋予(Assign)任何权 限是什么都不能做的。USER得到这样的帐号没有任何意义。如何 Assign权限给一个帐号主要就是Assign一个 Role 给这个帐号了。下面我们看看如何建Role和给权限。,点击SAVE,这个用户就创建好了,帐号的批维护,有时我们需要对账户进行批量维护,
10、例如:当公司地址变了,需要变更所有用户的公司地址。月结时,需要将除了月结人员外,其它的所有用户暂时锁定。,T_CODE:SU10,帐号的批维护,全选用户后,点击transfer,可以批量修改“新疆油田咨询顾问”的前台信息,包括添加角色、锁定用户等,创建用户组,T_CODE:SUGR,例如:创建勘探与生产项目新疆油田咨询顾问用户组 EXJYTZZYH,业务板块缩写,项目名称缩写,最终用户,用户组 命名规则,ROLE 的建立,T_CODE:PFCG,ROLE 的建立,创建Role主要有三种方式:1.新建2.继承3.复制(COPY),ROLE 的命名,根角色的创建,输入role的角色,记录此Role
11、的创建者,描述须能表示Role的内容及属性,根角色的创建,点击“事务”添加tcode,按照profile命名规则进行命名,根角色的创建,标准T code所需要的Object,系统会自动带出来,OBJECT完全没有给值,OBJECT只有部分给值,OBJECT已经全部有值,请注意绿灯只是表示全部有值而已但不一定就是我们所需要的值,根角色的创建,根角色的创建,在这里介绍一下 的作用点击它就相当于给这个Object一个“*”(star)“*”的意义是All Authorization不卡任何权限。,根角色的创建,然后按 激活,退出,已经变成绿灯这表示权限的设定已经可用了,点击,再点击,此权限已经分配完
12、毕,test001这个帐号已经具有了主数据维护的权限,派生角色的定义,所谓派生角色,是指根Role和派生Role形成这样的母子关系派生Role的所有权限、权限对象(组织级别值除外)都源于根Role,并与根Role保持一致。根Role与派生Role是1对多的。,根角色与派生角色之间的关系,公司,组织机构,地区公司1,地区公司3,员工1,地区公司2,根角色A,角色,子角色A1,子角色A3,地区公司1,子角色A2,地区公司2,地区公司3,子角色B1,子角色B3,地区公司1,子角色B2,地区公司2,地区公司3,根角色B,根角色C,根据根据岗位分配,按限制范围派生出不同的子角色,员工2,员工3,员工1,
13、员工2,员工3,员工1,员工2,员工3,派生角色的创建,根据公司代码派生的,创建好后点击“创建角色”,组织级别代码字典表,派生角色的创建,角色继承就是通过这,派生角色的创建,这时候的派生角色还没有完全继承,要返回根角色里点击 生成派生角色,这时候一个派生角色就创建完成了,角色的复制,输入角色,点击copy复制角色,这时候一个角色就复制完成了,角色的创建-继承与复制,小结 用继承的方式建立新Role,继承后只需维护好组织级别Object就全部是绿灯了。用复制的方式全部是绿灯。这是两者操作上的最大特点。,角色的修改,对Role的修改最常见的就是T Code的新增/删除,这种改动一般是从菜单开始。,
14、添加VF01(创建客户发票),角色的修改,角色的修改,当Role所包含的TCode经过多次修改后可能产生多个同样的Object其Value可能互相包含。这时可以通过合并的动作使同一个Object内Value相同或者互相包含的Item合并起来使权限的条目更清晰,Debug/查看,有一些工具对权限的问题处理很有帮助 1.SU532.SUIM 3.SU24,Debug/查看-SU53,当一个帐号反映没有某个应有的权限时我们可以在系统出现没有权限的信息时马上输入“/NSU53”,Debug/查看-SU53,但是请注意SU53给出的信息并不详细大部分情况只能作为一个大方向的参考有时还可能指示不出来问题所
15、在。,Debug/查看-SUIM,SUIM其实就是Information 系统的一个集合界面。我们最常用的功能是已知某个TCode查找含有这个T Code的Role。,Debug/查看-SU24,查看XD01检查哪些权限对象,Debug/查看-SU24,查看F_KNA1_BED检查哪些Tcode,几点需要注意的地方,权限设定非常重要而且一旦有问题,排错非常繁琐、耗時,所以请大家设定时一定要非常谨慎,每次更改都要记录。权限设定除非特殊情況不允许在生产机直接更改请在开发机修改好再传到生产机。IT人员不是决定user权限的人而是user大大小小的leader所以要变更权限设定务必要求user提供经过
16、审核的申请表。当然对于user不合理的权限要求IT人员也有责任退回。,日期Date:,目录,一、权限的重要性 二、SAP权限的基本架构 三、权限的基本概念 四、用户和角色的创建及命名规则 六、权限工作计划,五、权限实施中注意要点,角色命名规则要慎重,在创建角色时需要遵循一个规则,这个规则要求权限管理员与业务顾问进行充分的讨论后,制定出一个能够满足业务需求的权限命名规则 在对角色命名过程中,最好把可变部分放到最后,不变的放在命名前。为以后上二级单位管理员做好准备。例:Z:E_XJYT _FI001_BS,第一轮权限测试要做细,在权限测试过程中,最少应进行两轮测试,第一轮测试需对每个模块抽取一个种
17、子角色进行测试,这个测试过程非常重要,在以后的角色创建过程中,都将会对这个角色进行复制工作。因此第一轮测试应该安排的时间最长,做的最完善,以免以后造成重复工作。在做第一轮测试时应注意事项有:,权限测试注意事项,权限测试要重视,要指派专门的业务人员与权限管理员共同完成整个测试过程。对事务代码的测试要详细,对每个事务代码都要完全测一遍,以免以后发现漏测的现象。种子角色中的权限对象要干净,对于重复的权限对象要对其进行合并,在角色中避免出现红色OBJECT值的现象。统一做权限的登录界面,建议全部以中文方式登录SAP系统进行操作。在做权限过程中,文档要注意更新,与系统保持同步。对权限的任何操作均需要先在开发系统完成后再传输至生产系统,严禁直接在生产系统进行更改。以免导致数据的不同步现象。,日期Date:,目录,一、权限的重要性 二、SAP权限的架构 三、权限的基本概念 四、用户和角色的创建及命名规则 五、权限实施中注意要点,六、权限工作计划,权限工作计划 权限实施工作的开始是以业务顾问提供需求文档为标志。下图是假设从2009年5月11日开始权限工作,共历时52个工作日。,权限工作计划,63,权限工作详细计划,谢 谢 大 家,
