Шрифт:
Чтобы упростить администрирование, полномочия объединяются вместе как профили или генерируются автоматически во время обслуживания роли. Эти профили записываются в главной записи пользователя - либо автоматически, если используются роли, либо вручную.
Полномочия системного администрирования также должны разделяться в соответствии с областями ответственности и распределяться с помощью ролей (см. раздел 8.3.8). Система SAP имеет несколько профилей, которые особенно важны для администрирования и которые иногда должны назначаться явно (см. таблицу 8.4).
Таблица 8.4. Наиболее важные для администрирования профили полномочий
| Имя профиля | Назначение |
| SAP_ALL | Все полномочия в системе R/3 |
| SAP_NEW | Профиль полномочий для всех новых объектов полномочий существующих функций, добавленных в ходе обновления версии R/3 |
| S_A.ADMIN | Оператор без прав на внесение изменений в конфигурацию системы R/3 |
| S_A.CUSTOMIZ | Пользовательская настройка (для всех системных операций конфигурации) |
| S_A.DEVELOP | Разработчики со всеми полномочиями на АВАР Workbench |
| S_A.DOCU | Технические писатели |
| S_A.SHOW | Базовые полномочия — только отображение на экране |
| S_A.SYSTEM | Системный администратор (суперпользователь) |
| S_A.USER | Пользователь (базовые полномочия) |
| S_ABAP_ALL | Все полномочия для АВАР |
| S_ADDR_ALL | Все полномочия на центральное администрирование адресов |
| S_ADMI_SPO_A | Спул: все полномочия администрирования |
| S_ADMI_SPO_D | Спул: администрирование устройств |
| S_ADMI_SPO_E | Спул: расширенное администрирование |
| S_ADMI_SPO_J | Спул: администрирование заданий для всех клиентов |
| S_ADMI_SPO_T | Спул: администрирование типов устройств |
| S_LANG_ALL | Все полномочия на администрирование языков |
| S_SPOOL_ALL | Спул: все полномочия на администрирование запросов спула, включая чтение всех поступающих запросов на вывод |
| S_SPOOL_LOC | Спул: все полномочия на администрирование запросов спула, кроме общего чтения |
| A_SPO_ATTR_A | Спул: изменение всех атрибутов |
| S_SPO_AUTH_A | Спул: изменение всех запросов спула |
| S_SPO_BASE_A | Спул: возможность просмотра и единовременная печать |
| S_SPO_DELE_A | Спул: удаление очередей спула |
| S_SPO_DEV_A | Спул: администрирование всех устройств вывода |
| S_SPO_DISP_A | Спул: вывод на экран содержимого очередей спула |
| S_SPO_FEP | Спул: печать с клиентской системы |
| S_SPO_PAG_AL | Спул: неограниченное число страниц на всех устройствах |
| S_SPO_PRNT_A | Спул: единовременная печать |
| S_SPO_REDI_A | Спул: переадресация всех запросов |
| S_SPO_REPR_A | Спул: многократная печать всех запросов |
Роли
Роль (до Basis Release 4.6B: группа деятельности) является описанием рабочей среды, которое можно присвоить пользователю. Определение ролей существенно облегчает администрирование пользователей. Если нужно изменить полномочия, то необходимо только изменить роли. После генерации измененных ролей можно выполнить сравнение пользователей, чтобы изменения автоматически вступили в силу для всех соответствующих пользователей. Роль содержит следующую информацию:
► Имя роли
► Текстовое описание роли
► Рабочие операции роли
► Профили полномочий
► Пользователи, которым присвоена роль
► Данные индивидуализации
► MiniApps (в Basis Release 6.10 и более поздних версиях)
Когда пользователь регистрируется в системе, ему присваиваются все пункты меню и общий набор полномочий, соответствующий присвоенному профилю.
Подготовка к обслуживанию роли
Чтобы активировать обслуживание роли с помощью Profile Generator, необходимо сначала включить деактивацию проверки полномочий, для чего нужно задать следующий параметр в профиле инстанции:
Такая настройка используется по умолчанию в более новых версиях Basis, что означает, что генератор профилей полномочий активен. Этот параметр позволяет подавить проверку полномочий для отдельных транзакций (эта функция необходима для обслуживания роли).
SAP values
Следующий шаг в подготовке к использованию Profile Generator состоит в копировании индикаторной проверки для объектов полномочий транзакции и значений полей полномочий для Profile Generator, предоставленных SAP (значений SAP) в таблицы заказчика. Чтобы скопировать индикаторы проверки, используйте утилиты из ►SAP values (см. рис. 8.8).
Рис. 8.8. Интеграция значений SAP
После начальной инсталляции все определенные SAP полномочия, включая все предложенные значения, копируются в таблицы заказчика, где их можно изменять с помощью Profile Generator. Эти значения необходимо синхронизировать только после обновления. Объекты в пространстве имен заказчика не изменяются.
Затем можно вручную изменить объекты полномочий или составных профилей для отдельных транзакций. Для этого используется ►Check Indicators в Customizing (см. рис. 8.9).
Рис. 8.9. Работа с присвоением транзакциям объектов полномочий
Эта функция позволяет вручную изменить назначение полномочий транзакции. Например, можно изменить все полномочия для поддержки всех групп закупок в полномочия для поддержки определенных групп закупок, которые начинаются с буквы «А».
Чтобы сделать эти изменения переносимыми, необходимо присвоить их классу разработки заказчика (в Basis Rerlease 6.10 и позже — пакету). Поэтому сначала необходимо определить как минимум один класс разработки заказчика.