SAP 使用者許可權管理系統(AMS-V 安全閘道器)產品是應用於SAP系統許可權風險控制及註冊使用者賬號管理為目標的SAP軟體資產精益化管理方案。
SAP 使用者許可權管理系統使用SAP GUI標準訪問協議,線上實時管理使用者賬號操作,精益化管理SAP license 賬號資源;在不改變使用者操作習慣的同時,實現賬號高效最佳化、許可權的實時動態分配、日誌的記錄追溯,極大的降低SAP系統的使用成本、提高SAP系統軟體資產的使用效率,並能有效控制系統許可權管理風險和系統審計風險。
SE93 查詢所有TCODE
或者 table: tstcSE16 display
SUIM 查詢使用者資訊的報表們
技術流
SAP常用的TCODE—BASIS事務碼 描述 ( 中英文 )SBIT Menu 選單SBTA Test background processing 後臺處理測試SBTU Background processing for user 對使用者的後臺處理SM36 Define Background Job 定義後臺作業SM37 Background Job Overview 後臺作業概覽SM39 Job Analysis 作業分析SM49 Execute external OS commands 執行外部 OS 命令SM61 Menu 選單SM62 Menu 選單SM63 Display/Maintain Operating Mode Sets 顯示 / 保持操作方式設定SM64 Release of an Event 事件的釋放SM65 Background Processing Analysis Tool 後臺處理分析工具SM67 Job Scheduling 作業排程SM68 Job Administration 作業管理SM69 Maintain external OS commands 維護外部 OS 命令SMX Display Own Jobs 顯示自己的作業SPBM Monitoring parallel background tasks 監控類似的後臺任務SPBT Test: Parallel background tasks 文字 : 匹配後臺任務DB16 DB system check (trigger/browse) DB system check (trigger/browse)DB17 DB system check (configure) DB system check (configure)DB20 No.of table tupels acc. to stat. No.of table tupels acc. to stat.DB21 Maintenance control table DBSTATC Maintenance control table DBSTATCRZ01 Job Scheduling Monitor 作業計劃監視器RZ02 Network Graphics for SAP Instances 網路圖 SAPRZ04 Maintain SAP Instances 保持 SAP 例項RZ06 Alerts Thresholds Maintenance 警報門限維護RZ08 SAP Alert Monitor SAP 報警監視器RZ12 Maintain RFC server group assignment 維護 RFC 指定伺服器組SM66 Systemwide Work Process Overview 系統工作過程概述SMLG Maintain Logon Group 維護登入組SRZL Menu 選單SM02 System Messages 系統訊息SM04 User Overview 使用者概覽SM13 Display Update Records 顯示更新記錄SM50 Work Process Overview 工作程序概述SM51 List of SAP Servers SAP 伺服器的清單SM54 TXCOM maintenance TXCOM 維護SM55 THOST Maintenance THOST 維持SM56 Number Range Buffer 數字範圍緩衝區SMGW Gateway Monitor 閘道器監控器ST07 Application monitor 應用程式監視器AL01 SAP Alert Monitor SAP 報警監視器AL02 Database alert monitor 資料庫警報監測器AL03 Operating system alert monitor 作業系統警告監視器AL04 Monitor call distribution 監視呼叫分配AL05 Monitor current workload 監視當前的工作負荷AL06 Performance: Upload/Download 執行 : 上載 / 下裝AL07 EarlyWatch Report 初期察看報告AL08 Users Logged On 登入的使用者AL09 Data for database expertise 專家資料庫的資料AL10 Download to Early Watch 下載早觀察AL11 Display SAP Directories 顯示 SAP 目錄AL12 Display table buffer (Exp. session) 顯示錶緩衝AL13 Display Shared Memory (Expert mode) 顯示共享記憶體 ( 輸出方式 )AL15 Customize SAPOSCOL destination 自定義 SAPOSCOL 目的地AL16 Local Alert Monitor for Operat.Syst. 作業系統的本地報警監視器AL17 Remote Alert Monitor f.Operat. Syst. 作業系統的遠端報警監視器AL18 Local File System Monitor 本地的檔案系統監視器AL19 Remote File System Monitor 遠端檔案系統監視器AL20 EarlyWatch Data Collector List EarlyWatch 資料收集器清單AL21 ABAP Program analysis ABAP Program analysisAL22 Dependent objects display Dependent objects displayDB01 Analyze exclusive lockwaits 分析互斥鎖定等待DB02 Analyze tables and indexes 分析表和索引DB03 Parameter changes in database 在資料庫中引數改變DB05 Analysis of a table acc. to index Analysis of a table acc. to indexDB11 Early Watch Profile Maintenance 初期察看描述檔案維護DB12 Overview of Backup Logs 備份日誌的概觀DB13 Database administration calendar 資料庫管理日曆DB14 Show SAPDBA Action Logs 顯示 SAPDBA 行為記錄DB15 CCMS – Document archiving CCMS – Document archivingOS01 LAN check with ping 透過 ping 檢查 LANOS02 Operating system configuration 作業系統配置OS03 O/S Parameter changes O/S 引數更改OS04 Local System Configuration 本地的系統配置OS05 Remote System Cconfiguration 遠端系統配置OS06 Local Operating System Activity 本地的作業系統作業OS07 Remote Operating System Activity 遠端作業系統活動性OSS1 Logon to Online Service System 註冊到聯機服務系統SDBE Explain an SQL statement 匹配碼物件(測試)ST02 Setups/Tune Buffers 設定 / 調諧緩衝ST03 Performance,SAP Statistics, Workload 效能 ,SAP 統計 , 工作負荷ST04 Select DB activities 選定資料庫中的活動ST05 Trace for SQL, Enqueue, RFC, Memory SQL 跟蹤ST06 Operating System Monitor 作業系統監視器ST08 Network Monitor 網路器ST09 Network Alert Monitor 網路敬報器ST10 Table call statistics 表呼叫統計ST4A Database: Shared cursor cache (ST04) Database: Shared cursor cache (ST04)STAT Local transaction statistics 本地事務統計STP4 Select DB activities Select DB activitiesSTUN Menu Performance Monitor 選單效能監視器TKOF Turn off Oracle trace 關閉 Oracle 跟蹤TKON Turn off Oracle trace 關閉 Oracle 跟蹤TKPR Display trace file 顯示跟蹤檔案TU01 Call Statistics 呼叫統計TU02 Parameter changes 引數改變SP00 Spool and related areas 假離線及相關區域SP01 Output Controller 輸出控制SP02 Display Output Requests 顯示輸出請求SP03 Spool: Load Formats 假離線 : 載入格式SP1T Output Control (Test) 輸出控制(測試)SPAD Spool Administration 假離線管理SPAT Spool Administration (Test) 假離線管理(測試)SPCC Spool consistency check 假離線一致性檢查SPIC Spool installation check 假離線安裝檢查SPTP Text elem. maint. for print formats 用於列印格式的文字元素維護SP11 TemSe directory TemSe 目錄SP12 TemSe Administration TemSe 管理SE92 Maintain System Log Messages 維護系統日誌訊息SM20 System Audit Log 系統審計日誌SM21 System Log 系統日誌S001 CASE 工具選單 CASE 工具選單S002 Menu Administration 選單管理SDW0 ABAP/4 Development WB Initial Screen ABAP/4 開發工作臺初始螢幕SYST Menu 選單SDMO Dynamic Menu (old) 動態選單 ( 舊 )SMEN Session Manager Menus 會話管理選單SU55 Call the Session Manager menus 呼叫會話管理選單RE_GGREPO1 Test report 1 測試報表 1RE_GGREPO2 Test report 1 測試報表 1SU24 Auth. obj. check under transactions 事務中許可權物件檢查SU25 Upgrade Tool for Profile Generator 配置檔案生成器的升級工具SU26 Upgrade tool for Profile Generator 配置檔案生成器的升級工具SUPC Profiles for activity groups 作業組的引數檔案SUPN Number range maint.: PROF_VARIS 編碼範圍維護 : PROF_VARISSUPO Maintain org. levels 維護初始級別SM0 Work Process Overview 工作處理概述SU02 Maintain Authorization Profiles 維護許可權引數檔案SU03 Maintain Authorizations 維護許可權SU10 Mass Changes to User Master Records 對使用者主記錄的大量修改SU12 Mass Changes to User Master Records 使用者主記錄的大量修改SU2 Maintain user parameter 維護使用者引數SU20 Maintain Authorization Fields 維護許可權欄位SU21 Maintain Authorization Objects 維護許可權物件SU22 Auth. Object Usage in Transactions 事務中許可權物件的用法SU23 Load Tables in TAUTL 在 TAUTL 中裝入表SU52 Maintain User Parameters 維護使用者引數SU53 Display Check Values 顯示檢查值SU54 Session Manager 會話管理器SU56 Analyze User Buffer 分析使用者緩衝區SU80 Archive user change documents 存檔使用者更改文件SU81 Archive user password change doc. 歸檔使用者口令更改文件SU82 Archive profile documents 檔案引數檔案文件SU83 Archive authorization docs. 存檔授權文件SU84 Read archived user change documents 閱讀已存檔的使用者修改文件SU85 Read archived password change doc. 閱讀已存檔的口令修改文件SU86 Read profile change documents 讀引數檔案更改文件SU87 Read authorization change documents 讀授權更改文件SU96 Table maint.: Change SUKRIA 表維護:修改 SUKRIASU97 Table maint.: Display SUKRIA 表維護:顯示 SUKRIASU98 Call report RSUSR008 呼叫報表 RSUSR008SU99 Call report RSUSR008 呼叫報表 RSUSR008SUIM Call AUTH reporting tree (info sys.) 呼叫 AUTH 報表樹(資訊系統)SU01 User Maintenance 使用者維護SU01_NAV User maint. to include in navigation 包含在導航中的使用者維護SU01D User Display 使用者顯示SU3 Maintain Users Own Data 維護使用者自己的資料SE01 Transport Organizer 傳送組織者SE03 Workbench Organizer: Tools 工作臺組織器:工具SE06 Set Up Workbench Organizer 設定工作臺組織器SE07 Transport System Status Display 傳輸系統狀態顯示SE09 Workbench Organizer 工作平臺組織者SE10 Customizing Organizer 自定義組織者SE17 General Table Display 通用表顯示STDR TADIR consistency check TADIR 一致性檢查
通常basis會使用PFCG做許可權管理,時你儲存時會產生一個系統外的profile name,記得SU01時使用者有profile 和role兩欄位嗎?它們的關係如何呢?
首先明白幾個概念.1.activity這樣說吧,我們從activity談起,activity是什麼意思這個你查下字典也就知道了,對就是規定可做什麼動作,比如說不能吸菸只能喝酒,不能多於2兩,不對,這是我老婆講的,SAP不是這樣子的,是隻能insert, update,display什麼的.這些東西當年德國佬是寫在tobj表中的.activity 也是可分activity group的.
2.activity category &Authorization groupRole Vs Profile你看看錶T020就知道了,就是什麼K,D, A, M什麼的.
profile是什麼呢?實際上可以理解為所有的authorization data(有很多authorization group–{你可使用OBA7填寫,許可權太細也不是好事^_^}和activity組成)的一個集合的名字,通常一個自定義的role產生一個profile,SAP許可權控制是根據profile裡的authorization data(objects)來控制的.
role又是什麼呢?role只是一個名字而已,然後將profile賦予給它, 比如你SU01建立一個使用者,我沒有任何role,但是加如SAP_All profile也是可做任何事情.SAP本身有很多default role & profile.
3.最常用的PFCG->authorizations->change authorization data->進入後選取selection criteria 可看到所有的authorization objectmanually可手工加authorization object,比如你使用某個t-code許可權出錯誤,abap使用SU53檢查就知道缺少哪個authorization objec,然後手工加入就可以.你選去authorization levels就可by account type再細分許可權.有些甚至直接到表字段.而且你甚至可給一個object分配快取buffer.
那麼SAP是如何做到許可權控制的呢,屠夫就用刀小宰一下.
4.關於許可權方面的幾個t-code.
(一)Role(角色)相關T-code:PFAC 標準PFAC_CHG 改變PFAC_DEL 刪除PFAC_DIS 顯示PFAC_INS 新建PFAC_STRPFCG 建立ROLE_CMP 比較SUPC 批次建立角色profileSWUJ 測試SU03 檢測authorzation dataSU25, SU26 檢查updated profile
(二)建立使用者相關T-code:SU0SU01SU01DSU01_NAVSU05SU50, Su51, SU52SU1SU10 批次SU12 批次SUCOMP:維護使用者公司地址SU2 change使用者引數SUIM 使用者資訊系統使用者組SUGR:維護SUGRD:顯示SUGRD_NAV:還是維護SUGR_NAV:還是顯示(三)關於profile&Authoraztion DataSU02:直接建立profile不用roleSU20:細分Authorization Fields
SU21(SU03):****維護Authorization Objects(TOBJ,USR12).對於憑證你可細分到:F_BKPF_BED: Accounting Document: Account Authorization for CustomersF_BKPF_BEK: Accounting Document: Account Authorization for VendorsF_BKPF_BES: Accounting Document: Account Authorization for G/L AccountsF_BKPF_BLA: Accounting Document: Authorization for Document TypesF_BKPF_BUK: Accounting Document: Authorization for Company CodesF_BKPF_BUP: Accounting Document: Authorization for Posting PeriodsF_BKPF_GSB: Accounting Document: Authorization for Business AreasF_BKPF_KOA: Accounting Document: Authorization for Account TypesF_BKPF_VW : Accounting Document: Change Default Values for Doc.Type/PsKy然後你進去還可細分,這些個東西是save在USR12表中的. 在DB層是UTAB.
對具體transaction code細分:SU22,SU24SU53:*** 就是你出錯用來檢查沒有那些authoraztion objects.SU56:分析authoraztion data buffers.SU87:用來檢查使用者改變產生的historySU96,SU97,SU98,SU99:幹啥的?SUPC:批次產生role
DB和logical層:SUKRI:Transaction Combinations Critical for Securitytables:TOBJ : All avaiable authorzation objects.(全在此)USR12: 使用者級authoraztion值—————————–USR01:主資料USR02:密碼在此USR04:授權在此USR03:User address dataUSR05:User Master Parameter IDUSR06:Additional Data per UserUSR07:Object/values of last authorization check that failedUSR08:Table for user menu entriesUSR09:Entries for user menus (work areas)USR10:User master authorization profilesUSR11:User Master Texts for Profiles (USR10)USR12:User master authorization valuesUSR13:Short Texts for AuthorizationsUSR14:Surchargeable Language Versions per UserUSR15:External User NameUSR16:Values for Variables for User AuthorizationsUSR20:Date of last user master reorganizationUSR21:Assign user name address keyUSR22:Logon data without kernel accessUSR30:Additional Information for User MenuUSR40:Table for illegal passwordsUSR41:當前使用者USREFUS:USRBF2USRBF3UST04:User Profile在此UST10C: Composite profilesUST10S: Single profiles (角色對應的UST12 : Authorizations…………………………
企業上SAP軟體為何選擇賽銳資訊作為實施商?
1、致力於SAP ERP系統應用的服務商;
2、已為國內200多家SAP系統客戶的ERP資訊化建設提供了諮詢及實施服務;
3、擁有完善的產品策劃、研發、實驗、測試、質量控制過程;
4、公司自主研發的AMS系列軟體產品是國內首個用於SAP許可權風險識別的增強系統;
5、為使用者管理、風險規避和資訊審計提供輔助工具;
6、幫助使用者規範企業的管理行為,建立合規的管控流程,有效提高企業IT資產投資回報率;
7、技術指標上擁有完全的、獨立的領先優勢,可以滿足市場競爭、技術許可和標準制定等方面的需要;