系统中存在两种角色:一种简单角色,一种是继承角色。Tcode只会和基本角色建立对应关系,因此使用了两个查询,再导出合并数据完成,查询截图如下:
1、基本角色的查询;
2、继承角色的查询;
角色(Role)维护是SAP系统权限管理的重要组成部分,它将权限与用户分离,角色只维护相关权限,维护完成赋予用户使其具有某些操作的权限。
角色维护首先明确三个概念:1、角色(role),是权限的集合,是基于业务要求创建的;2、参数文件(profile),是真正记录权限设定的文件,和角色绑定在一起,一个角色生成一个参数文件;3、权限对象(Authorization Object):被授权的业务对象,由字段值和参数组成。
角色分为单一角色和复合角色,后者是前者的集合。单一角色按是否继承又分为普通角色和继承角色两大类。角色一般设置事物码,并由事物码引入默认的权限对象;但也有不设事物码、只维护权限对象的角色。
SAP系统中的角色,除新建及复制外,还可以通过继承的方式生成。首先设定一个普通角色作为根角色,它一般不分配给用户(User);然后再创建若干个派生角色,它们继承了根角色的菜单项,并可以更改权限对象以适应实际场景需求,这些派生角色是分配给操作用户的。角色继承一般是两级,但也可以多级继承。
本文档除继承角色的介绍外,还介绍权限对象(Authorization Object)的操作;权限对象一般从菜单结点默认带来,菜单结点的设定表明用户可做哪些操作(事物码或URL等),而权限对象的设定则是具体操作的范围,例如在可操作的订单类型、工厂等。权限对象的维护可以手工添加,派生角色的权限对象可从父角色复制并覆盖。
维护及查看权限对象的事物码是SU21事物码包含的权限对象可用SU24查询。
根角色如果拥有派生角色,则不可以删除;只有当派生角色全部删除后,它才可做删除操作。