SAP系统的权限管理主要是通过事务代码,权限对象,权限等3个关键对象构筑的.
1. 事务代码(Tcode)
SAP系统中,每个操作命令都是唯一对应一个事务代码.事务代码是操作命令的表现形式.用户通过输入相应的事务代码来执行相应的功能,事务代码一般是在SAP系统的命令栏中输入.
2.Profile
可以将权限对象看成是一个参数文件,它真正记录权限设定的文件.如果说权限是操作命令和操作命令范围的集合,那它就是控制集合范围的最小单元,用户的操作范围最终都是靠Profile(权限对象)实现的.
从权限结构上来讲,权限对象处于权限(Role)和事务代码(Tcode)之间. 一个权限一般包含若干个权限对象,并在透明表AGR_1250中存储二者之间的关系;而权限对象又包含了若干个权限字段,允许的操作和允许的值, 在透明表AGR_1251中存储权限(Role)/权限对象(Profile)/权限字段(Field)/允许的值(Value)之间的关系.
有一个特殊的权限对象用来包含若干个事务代码,这个权限对象叫作"S_Tcode",该权限对象的权限字段叫作"TCD',该字段允许的值(Field Value)存放的就是事务代码.
有一种特殊的权限字段用来表示可以针对该权限对象做哪些操作,是否允许进行创建,修改,显示,删除或者其他操作.该权限字段叫作"ACTVT",该允许的值(Field Value)存放的就是允许操作的代码,其中01代表创建,02代表修改,03代表显示.
SAP的权限控制是控制到字段级的,换句话说,其权限控制机制可以检查你是否有权限维护某张透明表的某一个字段.SAP系统自带有大部分的权限对象及默认控制的权限字段(对应到透明表的某些字段).可以通过事务代码SU20来查看权限字段,可以用SU21命令来查看权限对象.
由此可以看出事务代码与权限对象的区别.从权限控制的范畴来看,事务代码属于一种特殊的权限对象;一个事务 代码在执行的过程中,为了判断某个用户是否有权限执行此事务代码,不仅会检查是否有该事务代码的操作,还要检查是否具备该事务代码对应的权限对象.我们可以通过SU22命令来查看某个事务代码包含了哪些权限对象(事务代码与权限对象的对应关系存放在透明表USOBX中)
3 权限(Role)
SAP系统中的权限是指分配给用户的操作命令及操作范围.一般来说,同岗位的用户在使用SAP系统时,操作及操作范围都是相同的.所以当我们把某个岗位的用户需要的操作命令都归到一个集合中时,这个集合就是"权限(Role)",权限(Role)分为单独权限(Single Role)和复合权限(Composite Role)两种,后者是前者的集合.