2020-08-22 17:13发布
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
大家好,
我只是有一个关于角色中重复授权对象的问题。
例如,我有此授权对象S_ADMI_FCD,它的一个条目仅具有值AUDD,BTCH,COLA,并且该对象以相同的角色出现,其值为*。 SAP是在检查限制性更强的授权对象是哪一个,或者是带有*的对象? 还是SAP会同时检查对象并查看用户是否具有授权。
这与具有两个不同角色,相同授权对象但授权对象中不同角色的值不同的用户相同,SAP会检查哪个?
一直谢谢您。
此致
欢乐
您好Marjorie,
SAP检查完整的用户主记录,根据您的方案,该记录具有相同授权对象的不同实例(例如S_ADMI_FCD)。 SAP始终检查分配给用户的对象>>角色的每个实例。
例如:
实例-1
对象1:ABC
字段1:ABC1值:01
字段2:ABC2值:24
同一对象的不同实例(以相同或不同的角色存在)
实例-2
字段1:ABC1值:03
字段2:ABC2值:28
现在,如果存在用于检查以上任何值的授权检查,它将为您提供成功的检查,即用户将获得授权。 如果选中了以下内容,则会引发授权问题:
字段1:ABC1值:08
由于上述任何情况都不存在上述值。希望这可以澄清您的疑问。
现在,如果您在同一对象的"实例"下面添加一个角色,则它将为该对象提供完全访问权限,从而绕过所有值:
实例-3
字段1:ABC1值:*
字段2:ABC2值:*
因此,SAP检查特定对象的所有实例中的值,这些值是通过多个角色分配给用户的。 如果您需要更多信息,请告诉我们。
编辑者:sap.sec.akshay,2009年12月28日下午7:44
>
>所以,让我讲清楚这一点:
>如果用户具有2个角色,例如:
> 角色1:* Z DISPLAY_ALL_COMPANIES * _
>授权对象= ABC
>组织对象= *
>活动= 3
> 角色2:* Z CHANGE_ COMPANY_NL01 * _
>组织对象= NL01
>活动= 2
>实际上,该用户实际上也可以更改其他公司(例如BE01)中的数据,尽管他仅被授权按照角色2来更改公司NL01?
否,它们是单独的授权(值集)。 用户只能更改NL01的数据,并且只能显示所有组织的数据。
您只会得到您正在讨论的具有单个值的auth对象的情况。
如果确实如此,您将如何实现用户可以显示所有公司的数据,但只允许>更改特定公司的数据?
并非如此,您上面所详述的内容将提供您所描述的内容。
>尤其是当您为拥有多个分支机构/公司的跨国/全球公司工作时,您可以想象>特定用户应该能够(仅)显示所有分支机构/公司的数据,但是可以更改>分支机构的数据/负责heu201926的公司
啊,数据可见性的乐趣。 实现您所讨论的问题不是问题
>我很难相信这不能在SAP标准授权功能内实现
您的怀疑是有充分根据的
Akshay是正确的,在这种情况下需要进行一些调整,因为对象只有1个字段。
因此,从何处获得价值或与同一对象的其他字段的组合在任何实例,配置文件,角色中都可以找到,您将其命名为...
它要么在那里-作为一个值,通配符,一定范围内还是*……或者不是。
但是,系统可能会使用2个检查中的同一字段的2个值来共同构成检查的最终结果,但是同样重要的是,它们来自哪个授权来源:
FORM PROGRAM_INIT。 *其余所有允许该用户使用吗? 授权检查对象" S_ADMI_FCD" ID'S_ADMI_FCD' 字段" SPTD"。 如果SY-SUBRC <> 0。 * *没有客户独立的TemSe管理权限 授权检查对象" S_ADMI_FCD" ID'S_ADMI_FCD' FIELD'SPTR'。 如果SY-SUBRC = 0。 * *仅对依赖于客户的TemSe-Administration具有权限 MAY_THIS_CLIENT ='X'。 万一。 其他。 MAY_THIS_CLIENT ='X'。 MAY_ALL_CLIENTS ='X'。 万一。 MAY_I_KNOW ='X'。 ENDFORM。 " PROGRAM_INIT
干杯
Julius
检查此类角色的实际配置文件的内容(例如,通过SUIM),您可以自己查看配置文件中是否有空字段或禁用对象以及如何结束 。 对于授权检查而言,真正重要的是配置文件,而不是角色。
你好,
您还可以在ST01中对拥有此对象(具有不同实例)的任何用户进行跟踪,以了解对其进行检查的对象和值,
在上述情况下,您将为所有字段值的对象找到返回码= 0。
Julius是正确的,它会检查USer主记录中的所有实例。
您还可以尝试在角色中转到合并授权 Utilities->合并授权,我认为这将为同一对象合并不同的实例,因此很明显SAp会为所有可用实例提供服务。
谢谢
我的意思是属于该角色的个人资料。 维护角色角色的授权后,便会生成概要文件,因此PFCG是概要文件生成器。 转到事务SUIM->配置文件->按配置文件名称仔细查看其内容,并查看与PFCG授权标签中内容的区别。
如此处另一个线程中所建议,您还可以在分配此角色以查看有效授权之后查看用户的缓冲区(SU56)。
底线:空值不会带来意外的授权,停用的对象不会进入配置文件,因此它们都无效。
最多设置5个标签!
您好Marjorie,
SAP检查完整的用户主记录,根据您的方案,该记录具有相同授权对象的不同实例(例如S_ADMI_FCD)。 SAP始终检查分配给用户的对象>>角色的每个实例。
例如:
实例-1
对象1:ABC
字段1:ABC1值:01
字段2:ABC2值:24
同一对象的不同实例(以相同或不同的角色存在)
实例-2
对象1:ABC
字段1:ABC1值:03
字段2:ABC2值:28
现在,如果存在用于检查以上任何值的授权检查,它将为您提供成功的检查,即用户将获得授权。 如果选中了以下内容,则会引发授权问题:
对象1:ABC
字段1:ABC1值:08
字段2:ABC2值:28
由于上述任何情况都不存在上述值。希望这可以澄清您的疑问。
现在,如果您在同一对象的"实例"下面添加一个角色,则它将为该对象提供完全访问权限,从而绕过所有值:
实例-3
对象1:ABC
字段1:ABC1值:*
字段2:ABC2值:*
因此,SAP检查特定对象的所有实例中的值,这些值是通过多个角色分配给用户的。 如果您需要更多信息,请告诉我们。
编辑者:sap.sec.akshay,2009年12月28日下午7:44
>
>所以,让我讲清楚这一点:
>
>如果用户具有2个角色,例如:
>
> 角色1:* Z DISPLAY_ALL_COMPANIES * _
>
>授权对象= ABC
>组织对象= *
>活动= 3
>
> 角色2:* Z CHANGE_ COMPANY_NL01 * _
>
>授权对象= ABC
>组织对象= NL01
>活动= 2
>
>实际上,该用户实际上也可以更改其他公司(例如BE01)中的数据,尽管他仅被授权按照角色2来更改公司NL01?
否,它们是单独的授权(值集)。 用户只能更改NL01的数据,并且只能显示所有组织的数据。
您只会得到您正在讨论的具有单个值的auth对象的情况。
如果确实如此,您将如何实现用户可以显示所有公司的数据,但只允许>更改特定公司的数据?
并非如此,您上面所详述的内容将提供您所描述的内容。
>尤其是当您为拥有多个分支机构/公司的跨国/全球公司工作时,您可以想象>特定用户应该能够(仅)显示所有分支机构/公司的数据,但是可以更改>分支机构的数据/负责heu201926的公司
啊,数据可见性的乐趣。 实现您所讨论的问题不是问题
>我很难相信这不能在SAP标准授权功能内实现
您的怀疑是有充分根据的
Akshay是正确的,在这种情况下需要进行一些调整,因为对象只有1个字段。
因此,从何处获得价值或与同一对象的其他字段的组合在任何实例,配置文件,角色中都可以找到,您将其命名为...
它要么在那里-作为一个值,通配符,一定范围内还是*……或者不是。
但是,系统可能会使用2个检查中的同一字段的2个值来共同构成检查的最终结果,但是同样重要的是,它们来自哪个授权来源:
干杯
Julius
检查此类角色的实际配置文件的内容(例如,通过SUIM),您可以自己查看配置文件中是否有空字段或禁用对象以及如何结束 。 对于授权检查而言,真正重要的是配置文件,而不是角色。
你好,
您还可以在ST01中对拥有此对象(具有不同实例)的任何用户进行跟踪,以了解对其进行检查的对象和值,
在上述情况下,您将为所有字段值的对象找到返回码= 0。
Julius是正确的,它会检查USer主记录中的所有实例。
您还可以尝试在角色中转到合并授权 Utilities->合并授权,我认为这将为同一对象合并不同的实例,因此很明显SAp会为所有可用实例提供服务。
谢谢
我的意思是属于该角色的个人资料。 维护角色角色的授权后,便会生成概要文件,因此PFCG是概要文件生成器。 转到事务SUIM->配置文件->按配置文件名称仔细查看其内容,并查看与PFCG授权标签中内容的区别。
如此处另一个线程中所建议,您还可以在分配此角色以查看有效授权之后查看用户的缓冲区(SU56)。
底线:空值不会带来意外的授权,停用的对象不会进入配置文件,因此它们都无效。
一周热门 更多>