权限概念

不管是SAP系统，还是其他信息系统、操作软件或APP，都有一定的权限设置。在SAP系统中，用户拥有什么权限，是根据所分配的角色（Role）控制；SAP 权限系统结构复杂，包含大量单个权限场景及对应描述。中小型的企业对权限概念往往没有过多限制，大型公司则要求更加周密的方案。

权限概念通常应该根据特定公司的规模以及需求来进行定义。SAP 权限开发方案的大部分工作是由用户部门和项目小组成员执行的。必须在用户部门要求和基础安全战略的基础之上，将所有活动的单个事务分配给后续角色。

权限分配的目标是在确保安全的前提下，允许用户访问他们需要执行工作所必需的系统资源。它需要遵循最小权限原则，即用户仅获得其角色所必需的权限，避免赋予过多的权限造成安全风险。此外，权限分配还应保持灵活性，以适应组织结构和业务流程的变化。

经常能听到来自不同客户的询问，如何给某一个特定的事务代码设定权限呢。以下咱们就以一个简单的例子来说明。

问题描述

如何给事务代码KSBL设定管理会计控制范围（Controlling area  字段名: KOKRS)的特定权限，比如说，只能查看Controlling area 0001里面的数据呢，今天就来探讨一下这问题。

分析过程

第一、使用事务代码SU24，查看一下所有能够被KSBL使用到的权限对象：

第二、在查询出来的权限对象列表中，挨个查看"field values"，你就会发现，对于K_REPO_CCA这个权限对象，会对KOKRS，也就是控制范围做检查。

第三、到上一步为止，其实你已经找到了问题的答案，在这一步中，我们一起来验证一下，这个答案是否有效可用。

我们在Role（事务代码 PFCG)里面，维护一下K_REPO_CCA这个权限对象如下：

第四、在上一步的设定中，针对K_REPO_CCA这个权限对象，我们只分配了“BOWN”这个管理会计控制范围的权限，也就是说，针对其他的控制范围，都是没有权限的。这一步中，运行事务代码KSBL来验证一下，这个设定是否有效。

首先，我们使用“BOWN”这个管理会计控制范围：

可以运行出结果，我们看到是没有任何问题的。

然后，我们使用另外一个管理会计控制范围，举例说明，如“CAOO”：

在这一步中，根据我们的设定，和预想的一样，不能得到结果。

第五、为了进一步验证，可以使用事务代码SU53，查看一下刚才权限的问题出现在什么地方：

从上图中，可以看到，因为使用了管理会计控制范围CAOO，权限读取失败。

总结

任何多用户的系统不可避免的涉及到权限问题，系统的使用者越多、使用者本身的社会属性或分工越复杂，权限问题也就越复杂，SAP系统就是典型的一个多用户、多任务的系统。SAP作为一款企业管理软件，在企业管理领域取得了巨大的成功，这主要是因为SAP把先进的管理思想融入到软件产品内，以及软件本身具有的先进的设计架构，可以配置的业务模式，几乎无所不在的管理内容等，当然同它完善的权限管理功能也是分不开的。

SAP权限的重要性是毋庸置疑的，但是在项目实施过程中，项目经理往往都不太重视权限，主要的原因是在上线期间以及上线后的短期内负面效果往往体现不出来，突发的权限问题也可以立即处理掉。这样做的后果也是很严重的，可能在一段时间之后SAP系统的权限管理者会忽然发现在不知不觉中权限管理已经变成了无序的状态，各种流程也变成了一种形式。

这是一个逐步完善的过程，可以随着企业业务的不断规范而不断完善，每个企业可以拥有自己独有的一致性检查规则。

阅读原文：原文链接