Внедрение SAP R/3: Руководство для менеджеров и инженеров
Шрифт:
Объекты авторизации
Объекты авторизации — это элементы или объекты, необходимые для поддержания безопасности системы SAP. Объект авторизации содержит до 10 полей авторизации. Пользователям дозволяется осуществить системную функцию только после успешного прохождения проверки прав доступа во всех полях авторизации.
Для облегчения управления все объекты авторизации группируются в классы авторизации в зависимости от областей их применения. На рис. 11.4 представлен экран Обновление авторизации.
Рис. 11.4. Экран
Авторизации
Авторизации определяют допустимые значения полей авторизации по кодам компаний, областям приложений, группам пользователей и т. д. Авторизация может состоять из многих действительных значений или диапазонов значений для соответствующего поля авторизации. Символ «*» разрешает любые значения, отсутствие значения означает отказ авторизации.
Авторизации применимы к профилям авторизации с соответствующими объектами авторизации. Если авторизация изменяется, все профили, в которые входит данная авторизация также изменяются.
Авторизация и составные профили
Профиль авторизации состоит из многих объектов авторизации. Составной профиль состоит из комплекта профилей авторизации, что особенно удобно, если пользователям для выполнения своих обязанностей необходимо несколько авторизации. Это — высший уровень, на котором в основной записи пользователя авторизации могут задаваться для конкретного пользователя. На рис. 11.5 представлен начальный экран профилей авторизации.
Рис. 11.5. Начальный экран профилей авторизации.
Любые изменения в профилях вступают в силу и затрагивают права доступа пользователей только после активации измененных профилей и после завершения пользователем текущей сессии. Измененный профиль будет действовать только при следующем подключении этого пользователя.
Профиль авторизации SAP_ALL дает права доступа в масштабе всей системы, в том числе к техническим функциям и функциям, связанным с приложениями. Профиль авторизации S A P N E W подразумевает, что к нему добавляются все новые объекты авторизации для существующих функций, введенные в новые релизы R/3.
Несмотря на то, что один главный пользователь может осуществлять все администрирование пользователей в SAP, компания SAP настоятельно рекомендует распределять ответственности за поддержание основных записей по пользователям и авторизацию между тремя администраторами для обеспечения максимальной безопасности, а также для упрощения процедур администрирования. Обязанности этих трех администраторов могут распределяться следующим образом:
• Администратор пользователей — осуществляет наблюдение за всеми или несколькими группами пользователей, а также задает и обновляет главные записи пользователей и присваивает пользователям одну или несколько групп активности.
• Администратор профилей авторизации — может задавать или модифицировать авторизации и профили, но не может изменять основные записи пользователей или группы активности.
• Администратор групп активности — создает группы активности и определяет соответствующие транзакции R/3, но не может изменять основные записи пользователей или
Трассировка авторизации
Трассировка авторизации полезна в случае, если пользователь испытывает трудности с доступом к той или иной важной для него функциональности или транзакции. Авторизацию можно проверить двумя способами:
• Транзакция анализа авторизации — это быстрый метод, специально предназначенный для анализа авторизации, но он доступен только в текущей сессии пользователя. Получив сообщение об ошибке, пользователь может запустить это средство анализа из любого экрана, выбрав из меню «Система — Утилиты — Просмотр и проверка авторизации» (или использовать код транзакции SU53) для просмотра объекта авторизации и соответствующих значений.
• Системная трассировка — это инструмент общего назначения, который рассматривался в подразделе «Системные утилиты трассировки» в главе 7. Один из пунктов меню этого инструмента — проверка авторизации. Активизировать опцию и запустить сессию трассирования можно для любой транзакции или экрана. Имеется возможность записать на диск результаты трассировки для последующего исследования.
В SAP введен Генератор Профилей (Profile Generator) для автоматического присвоения профилей пользователям. Принцип его действия основывается на концепции авторизации, объектов авторизации и профилей авторизации, которая описывалась выше. В SAP предусмотрена обширная библиотека стандартных авторизации для различных областей деятельности.
Генератор Профилей взаимодействует со структурой групп активности. Как уже упоминалось выше, группы активности создаются для той или иной функциональной области, и им дается авторизация на использование подструктур меню предприятия. Генератор Профилей генерирует необходимые профили для групп активности, которые затем присваиваются конкретным пользователям администраторами. Одному пользователю может быть присвоено несколько групп активности.
Управление печатью
Администрирование принтеров в SAP осуществляется системой буферизации. Принтер должен быть подключен к одному или нескольким серверам приложений, и профиль режима уточняет, какой сервер приложений форматирует данные для печати. На рис 11.6 представлен экран администрирования спула.
Рис. 11.6. Начальный экран администрирования спула.
Система спула сохраняет выведенные на печать документы в базе данных или файлах операционной системы. На рис. 11.7 представлен экран соответствующего временного последовательного файла (TemSe).
Рис 11.7. Экран запроса временного последовательного файла.
Инфраструктура принтеров должна отвечать следующим целям:
• Группирование принтеров для облегчения администрирования
• Дифференцирование принтеров, предназначенных для крайне важных задач, специальных задач и больших объемов печати
• Обеспечение доступности принтеров, а также балансировки и распределения нагрузки между принтерами.