SAP R/3 Системное администрирование
Шрифт:
Полномочия можно сгруппировать в профили полномочий, а несколько профилей полномочий — в один составной профиль. Компания SAP предлагает полный набор заранее определенных профилей полномочий, отвечающих большинству требований обычного использования.
Эти профили затем автоматически генерируются во время обслуживания роли, как описано ниже. Это одновременно простейшая и наиболее рекомендуемая процедура. Однако в исключительных случаях, таких как пользовательские разработки, может понадобиться изменить существующие профили вручную или создать новые. Обслуживание профилей вручную возможно в ►User Maintenance с помощью Environment • Profiles • Maintain profiles (в Basis Release 6.10 и более поздних выводится предупреждающее сообщение, указывающее, что для обслуживания полномочий необходимо использовать
Профили в R/3 могут иметь разные состояния:
► Активный/неактивный
► Обслуженный (т. е. адаптированный к текущим условиям) или оставленный без изменений (стандартный)
Если система стандартная (немодифицированная), то все ее профили еще не обслужены. Создаваемые новые профили должны активизироваться (т. е. о них должна знать вся система — лишь после этого они будут ей доступны в системе).
Хотя изменение существующих профилей технически возможно, ни при каких обстоятельствах не нужно этого делать, так как эти изменения могут быть затем перезаписаны при обслуживании роли и во время обновлений. Если необходимо обслуживать профили непосредственно, используйте копии существующих профилей в пространстве имен заказчика.
Составные профили
Можно также создать новые профили путем слияния определенных заказчиком или стандартных полномочий или профилей полномочий. Эти профили называют составными профилями. Чтобы вручную присвоить полученные профили пользователю, используйте при создании пользователя вкладку Profiles. На рис. 8.6 показаны профили, присвоенные пользователю SAP*. Ему присвоен профиль SAP_ALL, охватывающий все возможные операции в системе R/3.
Рис. 8.6. Профиль полномочий пользователя SAP*
Рис. 8.7. Иерархическая организация полномочий и профилей
Поля полномочий
Объекты полномочий (которые логически делятся на классы объектов) состоят из стандартного поля Activity и дополнительных полей полномочий. Полномочие определяется на основе значений для полей объекта полномочий, которые представляют разрешение для действия. Определяя различные значения можно создать разные полномочия для объекта полномочий.
Чтобы упростить администрирование, полномочия объединяются вместе как профили или генерируются автоматически во время обслуживания роли. Эти профили записываются в главной записи пользователя - либо автоматически, если используются роли, либо вручную.
Полномочия системного администрирования также должны разделяться в соответствии с областями ответственности и распределяться с помощью ролей (см. раздел 8.3.8). Система SAP имеет несколько профилей, которые особенно важны для администрирования и которые иногда должны назначаться явно (см. таблицу 8.4).
Таблица 8.4. Наиболее важные для администрирования профили полномочий
| Имя профиля | Назначение |
| SAP_ALL | Все полномочия в системе R/3 |
| SAP_NEW | Профиль полномочий для всех новых объектов полномочий существующих функций, добавленных в ходе обновления версии R/3 |
| S_A.ADMIN | Оператор без прав на внесение изменений в конфигурацию системы R/3 |
| S_A.CUSTOMIZ | Пользовательская настройка (для всех системных операций конфигурации) |
| S_A.DEVELOP | Разработчики со всеми полномочиями на АВАР Workbench |
| S_A.DOCU | Технические писатели |
| S_A.SHOW | Базовые полномочия — только отображение на экране |
| S_A.SYSTEM | Системный администратор (суперпользователь) |
| S_A.USER | Пользователь (базовые полномочия) |
| S_ABAP_ALL | Все
|
| S_ADDR_ALL | Все полномочия на центральное администрирование адресов |
| S_ADMI_SPO_A | Спул: все полномочия администрирования |
| S_ADMI_SPO_D | Спул: администрирование устройств |
| S_ADMI_SPO_E | Спул: расширенное администрирование |
| S_ADMI_SPO_J | Спул: администрирование заданий для всех клиентов |
| S_ADMI_SPO_T | Спул: администрирование типов устройств |
| S_LANG_ALL | Все полномочия на администрирование языков |
| S_SPOOL_ALL | Спул: все полномочия на администрирование запросов спула, включая чтение всех поступающих запросов на вывод |
| S_SPOOL_LOC | Спул: все полномочия на администрирование запросов спула, кроме общего чтения |
| A_SPO_ATTR_A | Спул: изменение всех атрибутов |
| S_SPO_AUTH_A | Спул: изменение всех запросов спула |
| S_SPO_BASE_A | Спул: возможность просмотра и единовременная печать |
| S_SPO_DELE_A | Спул: удаление очередей спула |
| S_SPO_DEV_A | Спул: администрирование всех устройств вывода |
| S_SPO_DISP_A | Спул: вывод на экран содержимого очередей спула |
| S_SPO_FEP | Спул: печать с клиентской системы |
| S_SPO_PAG_AL | Спул: неограниченное число страниц на всех устройствах |
| S_SPO_PRNT_A | Спул: единовременная печать |
| S_SPO_REDI_A | Спул: переадресация всех запросов |
| S_SPO_REPR_A | Спул: многократная печать всех запросов |
Роли
Роль (до Basis Release 4.6B: группа деятельности) является описанием рабочей среды, которое можно присвоить пользователю. Определение ролей существенно облегчает администрирование пользователей. Если нужно изменить полномочия, то необходимо только изменить роли. После генерации измененных ролей можно выполнить сравнение пользователей, чтобы изменения автоматически вступили в силу для всех соответствующих пользователей. Роль содержит следующую информацию:
► Имя роли
► Текстовое описание роли
► Рабочие операции роли
► Профили полномочий
► Пользователи, которым присвоена роль
► Данные индивидуализации
► MiniApps (в Basis Release 6.10 и более поздних версиях)
Когда пользователь регистрируется в системе, ему присваиваются все пункты меню и общий набор полномочий, соответствующий присвоенному профилю.
Подготовка к обслуживанию роли
Чтобы активировать обслуживание роли с помощью Profile Generator, необходимо сначала включить деактивацию проверки полномочий, для чего нужно задать следующий параметр в профиле инстанции:
Такая настройка используется по умолчанию в более новых версиях Basis, что означает, что генератор профилей полномочий активен. Этот параметр позволяет подавить проверку полномочий для отдельных транзакций (эта функция необходима для обслуживания роли).
SAP values
Следующий шаг в подготовке к использованию Profile Generator состоит в копировании индикаторной проверки для объектов полномочий транзакции и значений полей полномочий для Profile Generator, предоставленных SAP (значений SAP) в таблицы заказчика. Чтобы скопировать индикаторы проверки, используйте утилиты из ►SAP values (см. рис. 8.8).
Рис. 8.8. Интеграция значений SAP