我今天看 SAP 授权配置时,又遇到一个老问题,系统里已经有一堆 SAP 交付的标准 Profile 和标准 Authorization,到底是直接拿来用,还是复制一份再改。这个问题在老的 SAP R/3、ECC、SAP NetWeaver AS ABAP、S/4HANA On-Premise 项目里经常出现,到了 S/4HANA Private Cloud 里也没有完全消失。只是现在我们更多从 PFCG 角色、SU24 默认值、用户主数据比较、传输和审计的角度来看它,而不是像早期那样手工维护 Profile。
SAP 的 ABAP 授权体系保护的是事务码、程序、服务和业务对象,避免用户在没有授权的情况下访问系统功能。这个体系不是单层结构,而是由 Authorization Object Class、Authorization Object、Authorization Field、Authorization、Authorization Profile、Role、User Master Record 逐层组合出来的。SAP Learning 对这些概念的定义很清楚,Authorization Object Class 是对象的逻辑分组,Authorization Object 由 1 到 10 个 Authorization Field 组成,Authorization 是某个授权对象上字段值组合的实例,Authorization Profile 则包含多个授权对象的授权实例。Role 通过 Role Maintenance,也就是 PFCG 维护,并可生成 Authorization Profile。(
)
