系統中存在兩種角色:一種簡單角色,一種是繼承角色。Tcode只會和基本角色建立對應關係,因此使用了兩個查詢,再導出合併數據完成,查詢截圖如下:
1、基本角色的查詢;
2、繼承角色的查詢;
角色(Role)維護是SAP系統權限管理的重要組成部分,它將權限與用戶分離,角色只維護相關權限,維護完成賦予用戶使其具有某些操作的權限。
角色維護首先明確三個概念:1、角色(role),是權限的集合,是基於業務要求創建的;2、參數文件(profile),是真正記錄權限設定的文件,和角色綁定在一起,一個角色生成一個參數文件;3、權限對象(Authorization Object):被授權的業務對象,由字段值和參數組成。
角色分爲單一角色和複合角色,後者是前者的集合。單一角色按是否繼承又分爲普通角色和繼承角色兩大類。角色一般設置事物碼,並由事物碼引入默認的權限對象;但也有不設事物碼、只維護權限對象的角色。
SAP系統中的角色,除新建及複製外,還可以通過繼承的方式生成。首先設定一個普通角色作爲根角色,它一般不分配給用戶(User);然後再創建若干個派生角色,它們繼承了根角色的菜單項,並可以更改權限對象以適應實際場景需求,這些派生角色是分配給操作用戶的。角色繼承一般是兩級,但也可以多級繼承。
本文檔除繼承角色的介紹外,還介紹權限對象(Authorization Object)的操作;權限對象一般從菜單結點默認帶來,菜單結點的設定表明用戶可做哪些操作(事物碼或URL等),而權限對象的設定則是具體操作的範圍,例如在可操作的訂單類型、工廠等。權限對象的維護可以手工添加,派生角色的權限對象可從父角色複製並覆蓋。
維護及查看權限對象的事物碼是SU21事物碼包含的權限對象可用SU24查詢。
根角色如果擁有派生角色,則不可以刪除;只有當派生角色全部刪除後,它纔可做刪除操作。