SAP R/3 Системное администрирование
Шрифт:
– Создать новые полные или отдельные полномочия с помощью команды Edit • Insert • Authorizations.
– Создать или изменить значения объекта полномочий, выбрав соответствующий символ в строке. Например, если обратиться к рис. 8.14, то рекомендуется создать значения полномочий на устройства в системе спула R/3. Эти значения описывают имена устройств, на которые распространяются полномочия. Например, D* означает все имена устройств, начинающиеся с D.
– Вручную удалить или добавить отдельные коды транзакций, соответствующие операциям.
3. После внесения изменений на всех светофорах должен быть зеленый свет. Сохраните изменения.
4. Выберите значок Generate Authorizations.
5. Создается профиль с присвоенными полномочиями и
6. Вернитесь к базовому обслуживанию. После завершения обработки статус обслуживания полномочий изменяется на зеленый.
Составные роли
Чтобы еще больше упростить администрирование, можно сгруппировать роли в виде составных ролей. Создание и обслуживание составных ролей в основном совпадает с обслуживанием отдельных ролей.
На начальном экране ►Role maintenance введите имя и щелкните на кнопке Create collective role, чтобы создать составную роль. Используйте вкладку Roles для определения ролей, которые желательно объединить вместе. Можно импортировать и обрабатывать меню отдельных ролей на вкладке Menu. Полномочия в этом месте редактировать нельзя.
В больших проектах R/3 обязанности системного администратора обычно распределяются по нескольким областям и присваиваются различным людям или группам. Пользователь SAP* имеет профиль SAP_ALL, который включает все виды деятельности, включая специфические для приложений. Поэтому этот пользователь не подходит для обычной деятельности и должен быть защищен от неавторизованного использования. Вместо этого необходимо определить специальных пользователей с ролями, созданными для специальных целей.
Таблица 8.5. Наиболее важные роли для администрирования
| Имя профиля | Описание |
| SAP_BC_BASIS_ADMIN | Базовое администрирование и мониторинг системы |
| SAP_BC_SPOOL_ADMIN | Администратор спулинга |
| SAP_BC_BATCH_ADMIN | Администратор фоновой обработки |
| SAP_BC_CUS_ADMIN | Администратор проектов настройки |
| SAP_BC_DWB_ABAPDEVELOPER | Разработчик АВАР |
| SAP_BC_SRV_GBT_ADMIN | Администратор коммуникации, папок, планирования сроков |
| SAP_BC_SRV_COM_ADMIN | Администратор внешних коммуникаций |
| SAP_BC_SRV_EDI_ADMIN | Администратор IDoc |
| SAP_BC_MID_ALE_ADMIN | Администратор ALE |
| SAP_BC_TRANSPORT_ADMIN | Администратор системы изменений и переноса (CTS) |
| SAP_BC_BMT_WFM_ADMIN | Системный администратор информационных потоков |
| SAP_BC_BDC_ADMIN | Администратор бизнес-потоков |
| SAP_BC_USER_ADMIN | Администратор пользователей |
| SAP_BC_AUTH_DATA_ADMIN | Администратор данных полномочий |
Есть два основных способа назначения ролей:
1. Роли назначаются пользователям в ►User Maintenance
2.
Пользователи назначаются ролям в ►Role MaintenanceЧтобы назначить роли в ►User Maintenance (см. раздел 8.2.1), выберите вкладку Roles. Затем можно ввести требуемые роли непосредственно для этого пользователя. При этом для данной роли сгенерированные профили автоматически добавляются на вкладку Profiles.
Сгенерированные профили не должны изменяются вручную, так как назначение или изменение вручную сделают недействительными функции управления и сравнения в Profile Generator. Кроме того, любые изменения в сгенерированных профилях теряются при следующем изменении роли.
Пользователей можно назначать роли на вкладке User при обслуживании роли.
1. Выберите вкладку User.
2. Введите нового пользователя в поле User ID (см. рис. 8.15 для пользователя MUSTERMANN). Пользователь уже должен быть определен.
Рис. 8.15. Назначение пользователя
Период действия
Это представление обслуживания роли позволяет определить ограничения по времени действия ролей и их назначений пользователям. Это позволяет, например, спланировать полномочия, которые потребуются в будущем или должны быть действительны только до определенной даты.
3. Щелкните на кнопке User compare, чтобы назначить созданные для роли профили полномочий выбранным пользователям (см. рис. 8.16). Этот процесс называется сравнением основных записей пользователей.
4. Выйдите из обслуживания ролей.
Это завершает пример. Транзакцию обслуживания пользователей можно использовать для подтверждения того, что сделанные изменения были сохранены. Все назначенные пользователи получили выбранную роль и сгенерированный профиль. На рис. 8.17 это показано для пользователя MUSTERMANN.
Рис. 8.16. Сравнение основных записей пользователей
Рис. 8.17. После сравнения основных записей пользователей
В предыдущем примере сравнение пользователей было начато во время их назначения. Сгенерированный для роли профиль не записывается в основной записи пользователя, пока не будет выполнено сравнение. В результате изменения назначения пользователей, изменения ролей и генерация профилей требуют сравнения пользователей, для которого есть различные способы:
► Сравнение пользователей во время назначения пользователей с помощью кнопки User compare (см. пример выше). В этом случае вывод статуса кнопки указывает, требуется ли другое сравнение. Этот метод хорошо подходит для обслуживания роли в системе разработки.
► Выбор пункта Automatic User Master Adjustment when Saving Role в ►Role Maintenance в меню SAP в разделе Utilities • Settings. Затем сравнение выполняется автоматически каждый раз при сохранении роли.
► Сравнение пользователей с помощью отчета PFCG_TIME_ DEPENDENCY. Необходимо планировать это задание периодически (ежедневно, если возможно) в качестве фонового задания. Это единственный способ гарантировать, что пользователи поддерживаются актуальными особенно в системах консолидации и производства, где изменения профилей импортируются как переносы. Этот отчет выполняет полное сравнение пользователей, удаляя все назначения, которые становятся недействительными.