基礎(chǔ)概念層面

• 用戶管理：創(chuàng)建、刪除、修改用戶賬戶，分配初始密碼和設(shè)置用戶個人信息等。每個用戶有唯一的登錄名和密碼，是權(quán)限控制的基礎(chǔ)4。
• 角色管理：角色是權(quán)限管理的中間層，代表一組具有相同職責(zé)和權(quán)限的用戶集合。包括單一角色，即一個事務(wù)碼的集合，包含控制事務(wù)碼操作的 “權(quán)限對象”“權(quán)限字段” 等；還有復(fù)合角色，是多個單一角色的集合12。

權(quán)限對象與字段層面

• 權(quán)限對象：需要被訪問或操作的數(shù)據(jù)實體或資源，如電子商務(wù)網(wǎng)站中的商品、訂單等。是系統(tǒng)中基本的權(quán)限管理單元，一個權(quán)限對象最多包含 10 個權(quán)限字段23。
• 權(quán)限字段：權(quán)限對象中的具體屬性或字段，用于進一步細(xì)化權(quán)限控制。比如在商品對象中，價格、庫存等都可以是權(quán)限字段2。

權(quán)限類型層面

• 功能權(quán)限控制：賦予用戶某個角色，用戶可以訪問且只能訪問自己被授權(quán)的功能，如 “人力資源經(jīng)理” 角色具有 “查詢員工”“添加員工” 等權(quán)限。
• 數(shù)據(jù)權(quán)限控制：一般和企業(yè)的組織架構(gòu)相關(guān)，是在功能權(quán)限基礎(chǔ)上的擴展，比如控制用戶可以 “查看哪些訂單”，或不同崗位的人員審批金額的限制等。

操作與流程層面

• 權(quán)限配置與分配：通過事務(wù)碼等工具進行操作，如使用 PFCG 創(chuàng)建角色并為角色分配事務(wù)碼、權(quán)限對象等，將權(quán)限對象分配到角色，再把角色分配給用戶123。
• 權(quán)限檢查：在程序中使用 AUTHORITY-CHECK 關(guān)鍵字進行權(quán)限檢查，判斷當(dāng)前用戶是否有權(quán)執(zhí)行特定操作或訪問特定資源123。
• 特殊權(quán)限控制：對于供應(yīng)商信息查看、薪資數(shù)據(jù)查看等特殊業(yè)務(wù)需求的權(quán)限控制，以及對 SAP Basis 或外部開發(fā)顧問的特殊權(quán)限管理，如限制 SE38 執(zhí)行非法程序、SE16 查詢敏感數(shù)據(jù)表等。

安全與管理層面

• 系統(tǒng)訪問控制：限定用戶終端登錄，指定 MAC 地址或 IP 來源連接 SAP 系統(tǒng)，禁止非許可終端來源的用戶登錄；控制用戶超時時間，可個性化設(shè)置。
• 審計與監(jiān)控：通過工具或功能對用戶操作和權(quán)限使用情況進行審計和監(jiān)控，以便及時發(fā)現(xiàn)異常操作和權(quán)限濫用等情況，確保系統(tǒng)安全和合規(guī)。