XXXX公司ERP系統

權限培訓文檔ERP系統實施工程2009年4月15日目錄二、SAP系統的環境三、權限的根本概念四、用戶和角色的創立五、權限設置的本卷須知

一、權限的重要性權限的重要性在SAP系統中，業務人員是否能夠行使該業務范圍的操作是由權限來實現的。權限工作的好壞是系統能否成功上線的根底之一。最終用戶是權限的直接使用者，權限設計的好壞會直接影響到最終用戶對使用ERP系統的信心。權限的重要性權限實施工作的重要性權限實施是ERP系統上線的必備條件之一，權限設計的合理性、實施的準確性和測試的精準度是系統能否成功上線的根底之一。在權限設計、實施和測試全過程，由于地區公司人員最了解其自身業務，因此由地區公司權限組全程參與權限設計和實施工作，將從ERP技術角度和地區公司業務角度雙重保障權限實施的質量，進而保證ERP工程的順利上線。項目準備藍圖設計系統實現權限設計、實施、測試最后準備上線支持權限的重要性權限運維工作的重要性在工程上線及運維階段，系統處于穩定運行狀態，權限變更平安合理才能防止越權和誤操作發生，從而保證系統數據平安。通過ERP工程權限組和地區公司權限組在權限設計實施期間的相互配合，提高了地區公司權限組的問題處理能力，將在工程進入上線支持及運維期后，有效保證了權限變更工作的順利進行。項目準備藍圖設計系統實現上線支持運維最后準備上線支持5日期Date:

目錄一、權限的重要性

三、權限的根本概念四、用戶和角色的創立五、權限設置的本卷須知二、SAP系統的環境RSAP系統環境PetroChinaSystemLandscape開發系統測試系統生產系統SAP系統采用SAP4SystemsLandscape架構,此架構中包含三套SAP系統：開發系統、測試系統、生產系統、生產支持系統。它們的作用分別如下。所有的開發和配置工作都應在開發系統中進行，修改的對象在開發系統上進行初步的測試后可以將其傳送到測試系統上。在測試系統中對新開發的內容進行全面的測試，由于是獨立的系統，這些測試都可以在不影響生產下進行。需要傳輸的對象在通過測試后才可以傳輸到生產系統。生產支持系統環境同步傳輸路徑RPetroChinaSystemLandscape開發系統測試系統生產系統開發系統Development(DEV)SAP工程的實施系統，各種業務模塊的客戶化工作、相關的應用開發等在該系統中進行。并提供進行單元測試的環境。生產支持系統環境同步傳輸路徑SAP系統環境RPetroChinaSystemLandscape開發系統測試系統生產系統測試系統QualityAssurance(QAS)為各種客戶化和開發工作提供完整測試的系統，其中存有企業實際業務數據，用以驗證客戶化和開發的正確性。同時，此系統亦用于關鍵用戶及最終用戶的培訓。生產支持系統環境同步傳輸路徑SAP系統環境RPetroChinaSystemLandscape開發系統測試系統生產系統生產系統Production(PRD)企業日常運轉實際使用的系統，其中存有企業的完整業務數據，生產系統中不允許直接做客戶化或開發。生產支持系統環境同步傳輸路徑SAP系統環境RPetroChinaSystemLandscape開發系統測試系統生產系統生產支持系統如果最終用戶在使用ERP系統過程中，遇到系統問題。需要運行支持人員在系統中重現其問題，并加以解決。通過定期將生產系統的數據復制到生產支持系統，可以完整模擬生產系統的數據。同時，生產支持環境可以模擬對生產系統進行系統壓力測試。生產支持系統環境同步傳輸路徑SAP系統環境日期Date:

目錄一、權限的重要性二、SAP系統的環境

四、用戶和角色的創立五、權限設置的本卷須知三、權限的根本概念權限的根本概念名詞解釋：Useraccount﹕就是我們平常說“USERID”(注意用戶類型〕dialog用戶權限：它允許或禁止用戶在系統中進行操作和處理事務，一般以角色分配給用戶角色〔Role〕﹕權限的集合，基于業務要求創立所謂的“角色”﹐是sap4.0才開始有的概念﹐其實就是對user的需求進行歸類﹐使權限的設定更方便。分為singlerole和compositerole兩種﹐后者是前者的集合，我們需要創立的是singlerole。Profile:真正記錄權限的設定的文件,和角色綁定在一起，一個角色生成一個PROFILE。權限對象：被授權的業務對象，由字段值和參數組成。日期Date:

SPEXSAPR/3ProjectVersion1.0AuthorizationConcept 授權就是給個人（或組）一個方式或權力來行使一些特殊的職責用

SAP

的語言來說….它允許或禁止用戶在系統中進行操作和處理事務權限的概念—授權日期Date:

授權級別圖權限的概念－授權對象授權對象

=

運行事務的權限=沒有

授權對象沒有事務權限日期Date:

SPEXSAPR/3ProjectVersion1.0AuthorizationConcept 進入一個

SAP事務代碼就好象….從一扇

門進入一個房間Transaction授權對象

就是開門的

鑰匙授權對象權限的概念－授權對象日期Date:

SPEXSAPR/3ProjectVersion1.0AuthorizationConcept 即使只缺少一個對象，用戶都不能夠運行事務代碼運行事務代碼需要先具備所有的授權對象!

(即整套鑰匙)授權對象1授權對象2授權對象3授權對象4授權對象5權限的概念－授權對象用戶是由幾個角色組成的角色下包括一些事務代碼角色下包括的事務代碼權限的概念－授權ProfileProfile:真正記錄權限設定的文件Profile與Role是捆綁在一起的。在建立Role的時候﹐Profile是會自動創立的，〔有弊端〕，我們根據每個工程每個模塊的不同，根據需求表對每個角色定義一個profile。AuthorizationProfileObjectclass權限對象〔Authorizationobject〕參數權限的概念－權限對象業務、崗位及用戶之間的關系用戶：基于業務要求而賦予崗位相適合的角色，用戶和角色一對多的關系角色：執行相關業務所需要的權限集合。業務關鍵點業務關鍵點業務關鍵點角色A角色B角色C用戶1用戶2業務流程崗位用戶日期Date:

目錄一、權限的重要性二、SAP系統的環境三、權限的根本概念

五、權限設置的本卷須知四、用戶和角色的創立日期Date:

USERID的命名規那么SAP系統分為門戶和后臺兩類系統，后臺系統包括ECC和BI系統。在所有SAP系統中，同一用戶的ID是唯一的，用戶ID最長不超過12位。ERP用戶ID以中石油郵箱用戶名為準，要求不超過11位〔預留出一位做為區分cnpc與petrochina郵箱〕。如果沒有郵件地址，必須申請一個不大于11位的郵箱地址。有郵件地址的用戶，取郵件地址的用戶名為用戶ID；如果用戶名超過11位，應另外申請一個不大于11位的郵箱地址；舉例如下：正常用戶名：，ID：ZHANGXING超長用戶名：，重新申請：ZHANGXINGY注：保存一位是為區分CNPC和PetroChina不同郵箱，如果產生沖突，那么在用戶名前加前綴，集團ERP用戶ID前加前綴V，股份ERP用戶ID前加前綴U。舉例如下：CNPC：，ID：VZHANGXINGPetroChina：，ID：UZHANGXING日期Date:

相關事務代碼SU01－用戶維護PFCG－角色維護SU24－維護事務權限對象的分配SU3－維護用戶參數文件SU53－顯示用戶的權限數據SUGR－維護用戶組SUIM－用戶信息系統SU10－用戶批維護日期Date:

USERID的建立T_code﹕SU01SU01SU01日期Date:

USERID的建立輸入要創建的UserID1單擊建立圖標2日期Date:

USERID的建立填好這些字段注：1、“姓”為必填項2、通訊方法選擇：INTE-mail3、如果輸入座機號，分機號必須填寫00USERID的建立選擇“對話”類型設定初始密碼用戶組選擇此用戶對應的組，地區二級管理員管理USERID的建立這些都是必填項USERID的建立用戶組要與前面設置相同，這個用戶組是總部技術組管理用戶用的USERID的建立點擊SAVE，這個用戶就創立好了帳號的批維護有時我們需要對賬戶進行批量維護,例如：當公司地址變了，需要變更所有用戶的公司地址。月結時，需要將除了月結人員外，其它的所有用戶暫時鎖定。T_CODE：SU10USERID批量修改全選用戶后，點擊transfer可以批量修改“新疆油田咨詢參謀”的前臺信息，包括添加角色、鎖定用戶等創立用戶組T_CODE：SUGR例如：創立勘探與生產工程大港油田參謀用戶組EDGYTZXGW業務板塊縮寫工程名稱縮寫咨詢參謀ROLE的建立T_CODE：PFCGUSERID創立好了﹐但這時這個USERID沒有任何權限﹐是什么都不能做的。USER得到這樣的帳號沒有任何意義。如何分配權限給用戶﹖主要是分配Role給這個帳號。下面我們看看如何建Role和分配權限。ROLE的建立創立Role主要有三種方式：1.新建2.繼承 3.復制〔COPY〕

根角色的創立輸入role的角色描述須能表示Role的內容及屬性根角色的創立點擊“事務”添加tcode按照profile命名規那么進行命名根角色的創立標準T-code所需要的Object,系統會自動列出來組織級別沒有維護OBJECT只有局部維護OBJECT已經全部維護請注意﹕綠燈只是表示全部維護﹐但不一定就是我們所需要的值。根角色的創立根角色的創立在這里介紹一下

的作用﹐點擊它﹐就相當于給這個Object一個“*”(star)﹐“*”的意義是AllAuthorization﹐不卡任何權限。根角色的創立然后按激活，退出已經變成綠燈﹐這表示權限的設定已經可用了點擊，再點擊此權限已經分配完畢，test001這個帳號已經具有了主數據維護的權限派生角色的定義所謂派生角色,是指根Role和派生Role形成這樣的母子關系﹕派生Role的所有權限、權限對象〔組織級別值除外)都源于根Role,并與根Role保持一致。根Role與派生Role是一對多的。根角色與派生角色之間的關系公司組織機構地區公司1地區公司3員工1地區公司2根角色A角色派生角色A1地區公司1地區公司2地區公司3地區公司1地區公司2地區公司3根角色B根角色C根據根據崗位分配按限制范圍派生出不同的子角色員工2員工3員工1員工2員工3員工1員工2員工3派生角色A1派生角色A1派生角色B1派生角色B1派生角色B1派生角色的創立根據公司代碼派生的，創立好后點擊“創立角色”組織級別代碼字典表派生角色的創立角色繼承就是通過這派生角色的創立這時候的派生角色還沒有完全繼承，要返回根角色里點擊生成派生角色這時候一個派生角色就創立完成了角色的復制輸入角色，點擊copy復制角色這時候一個角色就復制完成了角色的創立-繼承與復制

小結﹕

用繼承的方式建立新Role，繼承后，只需維護好組織級別﹐Object就全部是綠燈了。

用復制的方式﹐全部是綠燈。這是兩者操作上的最大區別。角色的修改對Role的修改最常見的就是T-code的新增/刪除，這種改動﹐一般是從菜單開始〔派生角色不能修改T-code〕。添加VF01〔創立客戶發票〕角色的修改角色的修改當Role所包含的T-code經過修改后﹐可能含有多個同樣的Object﹐其Value可能互相包含。這時可以通過合并的動作使同一個Object內Value相同或者互相包含的項合并起來﹐使權限的條目更清晰。Debug/查看有一些工具對權限的問題處理很有幫助1.SU53 2.SUIM3.SU24Debug/查看-SU53當一個帳號反映沒有某個應有的權限時﹐我們可以在系統出現沒有權限的信息時﹐馬上輸入“/NSU53”

Debug/查看-SU53但是請注意﹕SU53給出的信息并不詳細﹐大局部情況只能作為一個大方向的參考﹐有時還可能指示不出來問題所在。Debug/查看-SUIMSUIM其實就是Information系統的一個集合界面。我們最常用的功能是﹕某個T-code﹐查找含有這個T-code的Role。Debug/查看-SU24查看XD01含有哪些權限對象，哪些是需要檢查的Debug/查看-SU24查