授权对象重复,SAP会检查哪些对象?

2020-08-22 17:13发布

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


大家好,

我只是有一个关于角色中重复授权对象的问题。

例如,我有此授权对象S_ADMI_FCD,它的一个条目仅具有值AUDD,BTCH,COLA,并且该对象以相同的角色出现,其值为*。 SAP是在检查限制性更强的授权对象是哪一个,或者是带有*的对象? 还是SAP会同时检查对象并查看用户是否具有授权。

这与具有两个不同角色,相同授权对象但授权对象中不同角色的值不同的用户相同,SAP会检查哪个?

一直谢谢您。

此致

欢乐

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


大家好,

我只是有一个关于角色中重复授权对象的问题。

例如,我有此授权对象S_ADMI_FCD,它的一个条目仅具有值AUDD,BTCH,COLA,并且该对象以相同的角色出现,其值为*。 SAP是在检查限制性更强的授权对象是哪一个,或者是带有*的对象? 还是SAP会同时检查对象并查看用户是否具有授权。

这与具有两个不同角色,相同授权对象但授权对象中不同角色的值不同的用户相同,SAP会检查哪个?

一直谢谢您。

此致

欢乐

付费偷看设置
发送
9条回答
软件心理学工程师
1楼-- · 2020-08-22 17:54

您好Marjorie,

SAP检查完整的用户主记录,根据您的方案,该记录具有相同授权对象的不同实例(例如S_ADMI_FCD)。 SAP始终检查分配给用户的对象>>角色的每个实例。

例如:

实例-1

对象1:ABC

字段1:ABC1值:01

字段2:ABC2值:24

同一对象的不同实例(以相同或不同的角色存在)

实例-2

对象1:ABC

字段1:ABC1值:03

字段2:ABC2值:28

现在,如果存在用于检查以上任何值的授权检查,它将为您提供成功的检查,即用户将获得授权。 如果选中了以下内容,则会引发授权问题:

对象1:ABC

字段1:ABC1值:08

字段2:ABC2值:28

由于上述任何情况都不存在上述值。希望这可以澄清您的疑问。

现在,如果您在同一对象的"实例"下面添加一个角色,则它将为该对象提供完全访问权限,从而绕过所有值:

实例-3

对象1:ABC

字段1:ABC1值:*

字段2:ABC2值:*

因此,SAP检查特定对象的所有实例中的值,这些值是通过多个角色分配给用户的。 如果您需要更多信息,请告诉我们。

编辑者:sap.sec.akshay,2009年12月28日下午7:44

CJones
2楼-- · 2020-08-22 18:05

>

>所以,让我讲清楚这一点:

>

>如果用户具有2个角色,例如:

>

> 角色1:* Z DISPLAY_ALL_COMPANIES * _

>

>授权对象= ABC

>组织对象= *

>活动= 3

>

> 角色2:* Z CHANGE_ COMPANY_NL01 * _

>

>授权对象= ABC

>组织对象= NL01

>活动= 2

>

>实际上,该用户实际上也可以更改其他公司(例如BE01)中的数据,尽管他仅被授权按照角色2来更改公司NL01?

否,它们是单独的授权(值集)。 用户只能更改NL01的数据,并且只能显示所有组织的数据。

您只会得到您正在讨论的具有单个值的auth对象的情况。

如果确实如此,您将如何实现用户可以显示所有公司的数据,但只允许>更改特定公司的数据?

并非如此,您上面所详述的内容将提供您所描述的内容。

>尤其是当您为拥有多个分支机构/公司的跨国/全球公司工作时,您可以想象>特定用户应该能够(仅)显示所有分支机构/公司的数据,但是可以更改>分支机构的数据/负责heu201926的公司

啊,数据可见性的乐趣。 实现您所讨论的问题不是问题

>我很难相信这不能在SAP标准授权功能内实现

您的怀疑是有充分根据的

clasier
3楼-- · 2020-08-22 18:06

Akshay是正确的,在这种情况下需要进行一些调整,因为对象只有1个字段。

因此,从何处获得价值或与同一对象的其他字段的组合在任何实例,配置文件,角色中都可以找到,您将其命名为...

它要么在那里-作为一个值,通配符,一定范围内还是*……或者不是。

但是,系统可能会使用2个检查中的同一字段的2个值来共同构成检查的最终结果,但是同样重要的是,它们来自哪个授权来源:

 FORM PROGRAM_INIT。

 *其余所有允许该用户使用吗?
   授权检查对象" S_ADMI_FCD"
                   ID'S_ADMI_FCD'
                   字段" SPTD"。
   如果SY-SUBRC <> 0。
 * *没有客户独立的TemSe管理权限
     授权检查对象" S_ADMI_FCD"
                     ID'S_ADMI_FCD'
                     FIELD'SPTR'。
     如果SY-SUBRC = 0。
 * *仅对依赖于客户的TemSe-Administration具有权限
       MAY_THIS_CLIENT ='X'。
     万一。
   其他。
     MAY_THIS_CLIENT ='X'。
     MAY_ALL_CLIENTS ='X'。
   万一。
   MAY_I_KNOW ='X'。

 ENDFORM。  " PROGRAM_INIT 

干杯

Julius

当学会了学习
4楼-- · 2020-08-22 18:10

检查此类角色的实际配置文件的内容(例如,通过SUIM),您可以自己查看配置文件中是否有空字段或禁用对象以及如何结束 。 对于授权检查而言,真正重要的是配置文件,而不是角色。

Tong__Ming
5楼-- · 2020-08-22 18:00

你好,

您还可以在ST01中对拥有此对象(具有不同实例)的任何用户进行跟踪,以了解对其进行检查的对象和值,

在上述情况下,您将为所有字段值的对象找到返回码= 0。

Julius是正确的,它会检查USer主记录中的所有实例。

您还可以尝试在角色中转到合并授权 Utilities->合并授权,我认为这将为同一对象合并不同的实例,因此很明显SAp会为所有可用实例提供服务。

谢谢

追夢秋陽
6楼-- · 2020-08-22 17:53

我的意思是属于该角色的个人资料。 维护角色角色的授权后,便会生成概要文件,因此PFCG是概要文件生成器。 转到事务SUIM->配置文件->按配置文件名称仔细查看其内容,并查看与PFCG授权标签中内容的区别。

如此处另一个线程中所建议,您还可以在分配此角色以查看有效授权之后查看用户的缓冲区(SU56)。

底线:空值不会带来意外的授权,停用的对象不会进入配置文件,因此它们都无效。

一周热门 更多>