Классы объектов
Число объектов авторизации в системе R/3 весьма значительно, что связано с диапазоном функций R/3. Чтобы лучше различать их, объекты разделяются на классы объектов. Чтобы просмотреть все доступные в системе SAP объекты полномочий можно использовать ►Object Classes. Например, MM_E — класс объектов Materials Management-Purchasing (управление материалами-закупками). Выбрав эту область, можно получить все доступные для нее объекты полномочий. Небольшой текст дает описание объекта полномочий. Например, выберите M_BEST_EKG для заказа детали. Такой объект полномочий включает в себя поле полномочий ACTVT, содержащееся в каждом объекте полномочий по умолчанию, и специальное поле EKGRP (см. рис. 8.5). Назначение данных полей и значений, которые они могут содержать, описываются в документации по R/3.
Рис. 8.5. Объект полномочий M_BEST_EKG
В данном примере в поле EKGRP можно задать имя или диапазон имен определенных групп закупки. Щелкните на кнопке Permitted activities, чтобы определить все возможные значения для деятельности.
Таблица 8.3. Возможные значения в поле ACTVT и их описания
Значение Описание 1 Создание или генерация 2 Изменение 3 Вывод … Другие значения для других специфических видов деятельности можно определить здесь в зависимости от используемого конкретного объекта полномочий.
* Все возможные виды деятельности.
Большинство полномочий уже определены с помощью значения «*», поэтому нужно ввести для компании только необходимые специфические значения. Можно использовать ►Role Maintenance • Environment • Auth.Objects для вывода всех существующих полномочий для объекта полномочий, изменения существующих полномочий или добавления новых.
Если принять во внимание сложность системы R/3, станет очевидно, что, хотя можно определить и присвоить все необходимые полномочия каждому отдельному пользователю, требуемые громадные усилия не оправдывают такой подход. Это является причиной того, почему полномочия могут группироваться вместе. Для поддержания всех наборов полномочий одновременно можно использовать роли. Более ранние версии Basis используют для этой цели профили полномочий; система R/3 продолжает использовать эти профили полномочий в качестве технического инструмента.
8.3.3. Профили полномочийПолномочия можно сгруппировать в профили полномочий, а несколько профилей полномочий — в один составной профиль. Компания SAP предлагает полный набор заранее определенных профилей полномочий, отвечающих большинству требований обычного использования.
Эти профили затем автоматически генерируются во время обслуживания роли, как описано ниже. Это одновременно простейшая и наиболее рекомендуемая процедура. Однако в исключительных случаях, таких как пользовательские разработки, может понадобиться изменить существующие профили вручную или создать новые. Обслуживание профилей вручную возможно в ►User Maintenance с помощью Environment • Profiles • Maintain profiles (в Basis Release 6.10 и более поздних выводится предупреждающее сообщение, указывающее, что для обслуживания полномочий необходимо использовать роли).
Профили в R/3 могут иметь разные состояния:
► Активный/неактивный
► Обслуженный (т. е. адаптированный к текущим условиям) или оставленный без изменений (стандартный)
Если система стандартная (немодифицированная), то все ее профили еще не обслужены. Создаваемые новые профили должны активизироваться (т. е. о них должна знать вся система — лишь после этого они будут ей доступны в системе).
Хотя изменение существующих профилей технически возможно, ни при каких обстоятельствах не нужно этого делать, так как эти изменения могут быть затем перезаписаны при обслуживании роли и во время обновлений. Если необходимо обслуживать профили непосредственно, используйте копии существующих профилей в пространстве имен заказчика.
Составные профили
Можно также создать новые профили путем слияния определенных заказчиком или стандартных полномочий или профилей полномочий. Эти профили называют составными профилями. Чтобы вручную присвоить полученные профили пользователю, используйте при создании пользователя вкладку Profiles. На рис. 8.6 показаны профили, присвоенные пользователю SAP*. Ему присвоен профиль SAP_ALL, охватывающий все возможные операции в системе R/3.
Рис. 8.6. Профиль полномочий пользователя SAP*
Рис. 8.7. Иерархическая организация полномочий и профилей
Поля полномочий
Объекты полномочий (которые логически делятся на классы объектов) состоят из стандартного поля Activity и дополнительных полей полномочий. Полномочие определяется на основе значений для полей объекта полномочий, которые представляют разрешение для действия. Определяя различные значения можно создать разные полномочия для объекта полномочий.
Чтобы упростить администрирование, полномочия объединяются вместе как профили или генерируются автоматически во время обслуживания роли. Эти профили записываются в главной записи пользователя - либо автоматически, если используются роли, либо вручную.
8.3.4. Профили, имеющие важное значение в системном администрированииПолномочия системного администрирования также должны разделяться в соответствии с областями ответственности и распределяться с помощью ролей (см. раздел 8.3.8). Система SAP имеет несколько профилей, которые особенно важны для администрирования и которые иногда должны назначаться явно (см. таблицу 8.4).
Таблица 8.4. Наиболее важные для администрирования профили полномочий
Имя профиля Назначение SAP_ALL Все полномочия в системе R/3 SAP_NEW Профиль полномочий для всех новых объектов полномочий существующих функций, добавленных в ходе обновления версии R/3 S_A.ADMIN Оператор без прав на внесение изменений в конфигурацию системы R/3 S_A.CUSTOMIZ Пользовательская настройка (для всех системных операций конфигурации) S_A.DEVELOP Разработчики со всеми полномочиями на АВАР Workbench S_A.DOCU Технические писатели S_A.SHOW Базовые полномочия — только отображение на экране S_A.SYSTEM Системный администратор (суперпользователь) S_A.USER Пользователь (базовые полномочия) S_ABAP_ALL Все полномочия для АВАР S_ADDR_ALL Все полномочия на центральное администрирование адресов S_ADMI_SPO_A Спул: все полномочия администрирования S_ADMI_SPO_D Спул: администрирование устройств S_ADMI_SPO_E Спул: расширенное администрирование S_ADMI_SPO_J Спул: администрирование заданий для всех клиентов S_ADMI_SPO_T Спул: администрирование типов устройств S_LANG_ALL Все полномочия на администрирование языков S_SPOOL_ALL Спул: все полномочия на администрирование запросов спула, включая чтение всех поступающих запросов на вывод S_SPOOL_LOC Спул: все полномочия на администрирование запросов спула, кроме общего чтения A_SPO_ATTR_A Спул: изменение всех атрибутов S_SPO_AUTH_A Спул: изменение всех запросов спула S_SPO_BASE_A Спул: возможность просмотра и единовременная печать S_SPO_DELE_A Спул: удаление очередей спула S_SPO_DEV_A Спул: администрирование всех устройств вывода S_SPO_DISP_A Спул: вывод на экран содержимого очередей спула S_SPO_FEP Спул: печать с клиентской системы S_SPO_PAG_AL Спул: неограниченное число страниц на всех устройствах S_SPO_PRNT_A Спул: единовременная печать S_SPO_REDI_A Спул: переадресация всех запросов S_SPO_REPR_A Спул: многократная печать всех запросов
8.3.5. Управление ролямиРоли