SAP BASIS Administration

SAP 基礎管理
2010/1
李政霖 /Basis 顧問 /SAP Enterprise Service
課程內容
• 使用者權限管理概觀
– 維護使用者
– 使用者種類
• SAP 權限應用說明
– SAP 權限運作方式
– Authorization Object ( 權限物件 )
– Role ( 角色 ) 的功用
課程內容 (cont.)
• 系統參數與統計資料
– 系統參數介紹及修改
– 使用者統計資訊
– 如何查詢使用者缺少的權限
• Client 維護
– Client 概觀
– Client Copy 注意事項
– Client Profile
– 新增 ; 複製 ; 刪除 Client
• SAP GUI 維護
使用者權限管理概觀

Inventec Confidential 4
使用者如何進入 SAP 系統開始工作

Inventec Confidential 5
維護使用者
• T-code: SU01
• 位址
• 登入資料
• 預設值
• 參數
• 角色
• 設定檔
• 群組

Inventec Confidential 6
使用者種類
• 對話 (Dialog)
– 可登入 GUI ，會檢查密碼是否失效
• 系統使用者 (System)
– 不可登入 GUI ，不檢查密碼是否失效，專供系統使用
• 通訊使用者 (Communications Data)
– 不可登入 GUI ，會檢查密碼是否失效，專供通訊使用
• 服務使用者 (Service)
– 可登入 GUI ，不檢查密碼是否失效，供大量登入使用
• 參考使用者 (Reference)
– 權限參考用，無法登入

Inventec Confidential 7
使用者種類比較

Inventec Confidential 8
實機演練
• 新增使用者
• 複製使用者
• 大量更改使用者

Inventec Confidential 9
實機演練 – 新增使用者
• 新增一個使用者名稱為 TRAIN<##> ，其中 <##> 為
您的桌面代號
• 編輯「位址」頁面的相關資訊
• 在「登入資料」頁面中指定初始密碼
• 在「預設值」頁面中指定登入語言為 EN
• 儲存
• 嘗試以此使用者登入

Inventec Confidential 10
實機演練 – 複製使用者
• 複製一個使用者名稱為 MONITOR<##> ，其中
<##> 為您的桌面代號，複製的來源使用者為
MONITOR
• 在「登入資料」頁面中指定初始密碼為 monitor
• 儲存
• 嘗試以此使用者登入

Inventec Confidential 11
實機演練 – 大量更改使用者
• Tcode - SU10
• 鍵入欲鎖住使用者
• 鎖住使用者
• 存檔

Inventec Confidential 12
權限應用說明

Inventec Confidential 13
SAP 權限運作方式
• 執行 T-code 時的檢查
• 進入程式後，對權限物件的檢查

Inventec Confidential 14
權限的概念
• SAP 的權限來自於權限物件 (Authorization Object)
• 權限 (Authorization) 定義了哪些人被允許針對某個
欄位進行什麼樣的操作
• 例如「屬於 SUPER 角色的使用者可以對 BUKRS 欄
位進行新增、修改、刪除的操作」，這就是一種
權限

Inventec Confidential 15
權限物件 (Authorization Object)

Inventec Confidential 16
同一權限物件可以組合出不同權限
• BUKRS = Company Code

Inventec Confidential 17
權限檢查

Inventec Confidential 18
權限檢查

Inventec Confidential 19
角色 (Role) 的概念
• 人類比較容易解讀
• 依照組織架構或者功能屬性來區分
• 角色內可指派多個權限
• 可設定使用者功能表

Inventec Confidential 20
角色 (Role) 的功用

Inventec Confidential 21
角色設定流程

Inventec Confidential 22
角色功能表的設定

Inventec Confidential 23
產生設定檔 (Authorization Profile)

Inventec Confidential 24
使用者與角色的關聯性

Inventec Confidential 25
角色 -> 設定檔 -> 權限

Inventec Confidential 26
使用者比較 (User Comparison)

Inventec Confidential 27
實機演練
• 複製角色
• 新增角色
• 將角色指派給使用者
• 確認使用者權限

Inventec Confidential 28
實機演練 - 複製角色
• Tcode – pfcg
• 複製角色 SAP_BC_ENDUSER 至 Z_BC_ENDUSER
• 檢查功能表的設定，也可以自己加入幾個功能
• 檢查權限的設定，確定每個都正確
• 將這個角色指派給使用者 TRAIN<##>
• 執行使用者比較
• 儲存

Inventec Confidential 29
實機演練 - 新增角色
• 新增一個角色名為 Z_TEST_<##>
• 將以下 T-code 加入功能表 : SM50, SM51, SM04,
SUIM
• 檢查權限的設定，確定每個都正確
• 將這個角色指派給使用者 TRAIN<##>
• 執行使用者比較
• 儲存

Inventec Confidential 30
實機演練 - 將角色指派給使用者
• 利用 T-code: SU01 維護使用者 TRAIN<##>
• 在「角色」頁面中加入 Z_TEST_ROLE_01 這個角色
• 儲存

Inventec Confidential 31
實機演練 - 確認使用者權限
• 嘗試以 TRAIN<##> 這個使用者登入，確認前面指
派的權限都正常運作

Inventec Confidential 32
系統參數與統計資料

Inventec Confidential 33
系統參數
設定參數 Tcode - RZ10; 觀看 RZ11

Inventec Confidential 34
使用者統計資訊
• 工具 > 管理 > 使用者維護 > 資訊系統

Inventec Confidential 35
如何查詢使用者缺少的權限
• T-code: SU53
• 使用者可將結果記錄下來交由管理者
• 管理者依照記錄，將缺少的權限補足

Inventec Confidential 36
特殊帳號

Inventec Confidential 37
實機演練
• 查詢統計資料
• 補足權限

Inventec Confidential 38
實機演練 - 查詢統計資料
• T-code: SUIM
• 查詢今天修改的設定檔有哪些
設定檔 > 按最後更改
• 查詢 TRAIN<##> 這個使用者的修改記錄
職能 > 按更改日期

Inventec Confidential 39
實機演練 - 補足權限
• 使用者 TRAIN<##> 執行 T-code: SM37
• 利用 SU53 查詢缺少的權限
• 使用者 TRAINADM 登入新增權限給 TRAIN<##>
• TRAIN<##> 重新登入並執行 T-code: SM37

Inventec Confidential 40
Client 維護

Inventec Confidential 41
Client 概觀
• Client Data 分類為三種類型
應用交易資料
客製化設定資料
使用者主檔資料

Inventec Confidential 42
Client Copy
• Client Copy 是將資料複製到另外一個 Client, 而非
結合原本資料

Inventec Confidential 43
Client Copy 注意事項
• 必須先建立目標 Client 並以 SAP* 登入後執行
• login/no_automatic_user_sapstar 參數必須不為 1
• Client Copy 可能耗時所以最好使用 Background Job
執行
• 確保資料一制性於目標 Client 禁止登入 , 於來源
Client 也建議停止交易
• 於系統裝機完成後須先由 Client 000 Copy 一個做
為基礎 Client

Inventec Confidential 44
Client Copy Profiles
• SAP 提供不同的 Profile 可供不同的 Client Copy 需
求

Inventec Confidential 45
實機演練
• 建立邏輯系統
• 新增 Client
• 複製 Client
• 刪除 Client

Inventec Confidential 46
實機演練 - 建立邏輯系統
• 執行 Tcode - SPRO
• 點選 SAP 參考 IMG 設定
• 定義邏輯系統中新增邏輯系統
• 儲存

Inventec Confidential 47
實機演練 - 新增 Client
• 執行 Tcode – SCC4
• 點選”新輸入項”按鈕
• 填入 Client 相關資訊
• 儲存

Inventec Confidential 48
實機演練 - 新增 Client
• Changes and transports for client-specific object:
1. 容許更改產生 CR 但不會提示要求產生
2. 自動產生 CR 會跳出詢問要求更改須產生 CR
3. 完全不允許更改
4. 可以修改但是不產生任何 CR
(CR 為 Change Request)

Inventec Confidential 49
實機演練 - 新增 Client
• Cross-Client Object Changes:
• 不可更動跨用戶端物件 (SAP 標準物件 )
• 不可寫 ABAP 程式物件 ( 無法寫 ABAP)
• 兩個皆不可
• 兩個皆可

Inventec Confidential 50
實機演練 - 複製 Client
• 以 SAP* 登入目標 Client
• 執行 Tcode - SCCL
• 選擇複製 Client 選項
• 排程複製 Client 背景作業
• 執行

Inventec Confidential 51
檢視 Client Copy 進度與問題解決
• 使用 SCC3 檢視 Client Copy 進度與問題解決

Inventec Confidential 52
實機演練 - 刪除 Client
• 執行 Tcode - SCC4
• 刪除 Client( 只是將 Client 登入刪除 , 並未刪除
Client DB 中資料 )
• 登入欲刪除的 Client
• 執行 Tcode – SCC5
• 勾選 T000 選項
• 排程刪除 Client 背景作業
• 執行

Inventec Confidential 53
SAP GUI ini 設定檔

Inventec Confidential 54
THANK YOU!
Questions and Answers

Inventec Confidential 55