SAP的权限一席谈

我们通过SUIM可以看到里面的一些SAP security的 object

 

论坛对话 :

sap权限管理主要涉及几个概念，profile，role，authorization objects.

 

不太明白sap是怎么实现权限管理的，比如说你新建一个用户，role和profile 是怎么起到权限控制的作用呢，他们的关系是什么？

 

真正的权限控制应该是profile吧，它怎么实施权限检查呢？比如你用tcode的时候，系统怎么检查你是否拥有合法权限？

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

正好倒过来，role->域名，profile->IP。

 

role可以从实际业务角度理解，应该设计成u201C最小单一工作角色u201D，比如仓库管理员工作角色可能粒度就粗了点，也许可以设计成：成品仓库管理员，原材料仓库管理员......，甚至设计成：成品仓库发货员，成品仓库收货员，成品仓库盘货员.....

 

Composite role只是role维护管理的方式。

 

profile是从SAP权限管理的技术概念，用来管理实际权限（权限对象的值），可以通过维护role来由系统生成profile，也可以手工维护。

 

权限对象authorization object，一般可以定义为操作某个业务元素所相应需要的权限。比如，需要对公司代码的操作做权限控制，就需要一个相应的权限对象。

 

权限对象由若干权限字段authorization field组成。换句话说，权限字段定义了权限对象的操作属性。

接上例，如果公司代码的权限对象中，创建一个u201C公司代码u201D的权限字段，那么该权限对象就可以提供对具体"公司代码"的控制。

如果再加一个activity的字段（一般为ACTVT），那么就可以控制到对某个公司代码(如0001)，做某种操作（如修改）的权限控制。

 

简单地说：

Role -> 实际工作中的角色

Profile -> 权限管理中的技术角色

authorization object->权限维护、检查的操作对象

authorization field->权限管理的最小单元，定义了authorization object拥有什么authorization field及其数量决定了authorization object的特性和粒度。