2012年9月10日 星期一

SAP Users&Authorizations


Users in the R/3 Environment

R/3 User用SAP GUI登入的帳號
Apserver:OS User;Admin User
Dbserver:OS User;DB User
這些帳戶密碼作為Basis一定要掌握好,不要搞丟了,也不要設太簡單會被人猜中


PFCG建立一個Role
在ROLE裡頭加入 transaction code(Menu)
可以從SAP表準的menu中選取或按transaction直接加入transaction code
這裡做完這就是我們的用戶他的role需要那些transaction code

Authorizations
但這個Role到底有那些東西要到Authorizations裏頭修改(Change Authorization Data)
剛新建時Profile空白,Profile是通過ROLE自動生成
Profile是真正啟授權的作用,用戶有沒有權限不是role裏頭有,而是Profile裡有
按Change Authorization Data後要維護組織結構資料,*代表所有,維護完存檔,這些是顧問要告訴我們要去維護什麼
要變綠色profile才會生成,有些沒有維護可能會缺這個缺那個
Utilities→Technical names on
在Cross-application Authorization Objects→Transaction Code Check at Transaction Start→Transaction Code→t-code眼鏡,這裡頭都是剛剛加的tcode列表
可以在這裡把tcode刪掉,雖然在目錄裡看的到,他會檢查在這裡沒有她就不會有權限
這裡的設定是有Tcode的權限但Tcode到底有哪些權限要到SU24(授權對象)

Authorizations Concept1  授權對象第一部分
當我們在授權的時候,其實最主要的是要SAP的業務顧問給我們一個表,那些用戶有什麼權限可以去做什麼事
Profile→Transaction permitted?(先檢查有沒有事務碼權限)→Authorizations assigned?(授權對象到底能夠新增修改或看)
→objects needing protection?(vender.material.plant.company code)
當使用者在敲完TCODE要執行時,但不一定能用,他會去檢查在SU24這些權限是不是維護了,若沒有權限一樣不能用

Authorizations Concept2
user master record(用戶)→profile(可以有很多profile)→authorizations(授權對象)→file values
每個profile都有相應的授權對象
即便是有Profile沒有授權對象許可就做不了
每個profile可以可以賦予一個組合可以給一個人或多個人

authorizations object(授權對象) SU24
一個事務碼有很多授權對象,但是那些被繳活或再起作用必須是在Check/maintain狀態下他才會讓你去設置這些狀態
SU21會把所有在SAP的DDIC數據字典裏頭定義的授權對象全部列出,可以自己寫程式使用這裡的Object
當登入時你的授權對象就是PROFILE全部拿出來,在執行一個事務碼時這個事務碼就要跟PROFILE裡授權對象去對應,對應上了就可以用
當執行一個程式時,程式裡有加授權對象,如果沒有授權對象也就沒有權限
SAP的權限主要是以授權對象為基準來看,到底哪些可以用哪些不能用

Central User Administration
在一台系統裡維護的User(用戶)可以分發到其他系統上,所以只要維護一套User Master
(SALE)先定義Define Logical System(沒說明詳細再請教顧問)

Controlling User Logon控制用戶權限PROFILE參數
1.Set the minium password length login/min_password_lng 最小密碼長度 預設3 可以改3-8
2.Require change of password login/password_expiration_time 更改密碼時間 預設0 可設到999
3.Lock users after incorrent logons login/fails_to_user_lock 當登入失敗幾次鎖定用戶 預設12 可設1-99
4.Prevent automatic unlocking at midnight login/fails_to_session_end  預設1 可設0
5.Number of failed logon attempts permitted login/fails_to_session_end 預設3 可設1-99
6.Preventing multiple dialog user logons login/disable_multi_gui_login 預設0 可設1

System trace(ST01)
檢查授權對象,從這裡可以知道執行事務碼時,哪些授權對象被檢查,那些kernal or DB被訪問
張貼者:

沒有留言:

張貼留言

訂閱: 張貼留言 (Atom)