SAP Knowledge Wiki
権限管理
の編集
Top
/
権限管理
-- 雛形とするページ --
(no template pages)
SAPにおける権限について。 ---- #contents ---- * 概要 [#s6c6b99d] 大きくは下記の二つの目的を充足するために定義する。 -[[実行者>SAPの共通用語/ユーザマスタ]]に対し、処理の実行やアクセスの範囲をコントロールすること -データに対して不正なアクセスやオペレーションを防ぎ、誤入力の機会を減少させること * 基本コンセプト [#r2a017d3] ** 実際の設定 [#l4213fa1] 内部的には、[[ユーザマスタ>SAPの共通用語/ユーザマスタ]]への[[権限プロファイル>権限管理/権限プロファイル]]の割当を基軸とする。 但し、後述するが[[権限プロファイル>権限管理/権限プロファイル]]は[[権限ロール>権限管理/権限ロール]]より生成されるため、実際は[[権限ロール>権限管理/権限ロール]]が主、[[権限プロファイル>権限管理/権限プロファイル]]が従と言える。 ** 注意点 [#k2739dcf] SAPの機能デザインコンセプトは、''足し算''である。 例えば、''100のうち、1の機能のみ実行不可・・・といった引き算はできず''、この場合は99を個別に割り当てることで充足する。 なお、プロジェクトサイドでは何をやってもよい[[SAP_ALL>権限管理/SAP_ALL]]が一般に割り当てられる。 但し、アレコレ制限があっても仕事にならんというのは当然ではあるが、[[内部統制>財務会計/内部統制]]上は[[本番機>SAPの構成/本番機]]のユーザに割り当てることは推奨されない。 ** 構成 [#c7927c52] SAPの権限管理は、下記の要素で構成される。 -[[権限クラス>権限管理/権限クラス]] [[権限オブジェクト>権限管理/権限オブジェクト]]を機能などで大括りに束ねる単位。販売管理ならSD。 --[[権限オブジェクト>権限管理/権限オブジェクト]] 権限をコントロールする最小単位で、例えば[[得意先マスタ]]の[[販売エリア>販売管理/販売エリア]]ならばV_KNA1_VKO。 ---[[権限項目>権限管理/権限項目]] [[権限オブジェクト>権限管理/権限オブジェクト]]の下位構造で、「チェックする対象」と「その対象が持ち得る値」で構成される。 V_KNA1_VKOで言えば、[[販売組織>販売管理/販売組織]]・[[流通チャネル>販売管理/流通チャネル]]・[[製品部門>販売管理/製品部門]]がある。 なお、[[品目マスタ]]や[[勘定コード>財務会計/勘定コード]]の項目である[[権限グループ>権限管理/権限グループ]]は、[[権限オブジェクト>権限管理/権限オブジェクト]]に割り当てられている[[権限項目>権限管理/権限項目]]の一つ。 -[[権限ロール>権限管理/権限ロール]] [[権限オブジェクト>権限管理/権限オブジェクト]]ごとに、実際の値を設定する。 V_KNA1_VKOで言えば、[[販売組織>販売管理/販売組織]]が1000・[[流通チャネル>販売管理/流通チャネル]]が10・[[製品部門>販売管理/製品部門]]が01など。 -[[権限プロファイル>権限管理/権限プロファイル]] [[権限ロール>権限管理/権限ロール]]に設定した内容について、内部的に生成したもの。 --[[権限プロファイル>権限管理/権限プロファイル]]ジェネレータ [[権限プロファイル>権限管理/権限プロファイル]]を生成する機能。 -[[ユーザマスタ>SAPの共通用語/ユーザマスタ]] [[権限ロール>権限管理/権限ロール]]を割り当てることで、[[ユーザマスタ>SAPの共通用語/ユーザマスタ]]ごとに権限を割り当てる。 なお、[[権限ロール>権限管理/権限ロール]]を割り当てて、その後[[権限プロファイル>権限管理/権限プロファイル]]を生成する。 * Tips [#p0548414] ** 権限絡みの[[移送>ベーシス/移送]]について [#ib569925] [[ユーザマスタ>SAPの共通用語/ユーザマスタ]]のコピー、[[権限ロール>権限管理/権限ロール]]や[[権限プロファイル>権限管理/権限プロファイル]]の[[移送>ベーシス/移送]]についてだが、実際には「マスタの一つ」という認識のもと、本番環境で直接行われることが多い。 SAP自体には開発環境から移送する機能もあるし、開発機も本番機も共通で1ユーザ1ライセンスとしているだろうから、開発機からユーザマスタを登録してロールを割り当てて移送してもよい話とも思えるが、「ロールまでは移送・ユーザ割当は本番機で直接」という運用をしているユーザ企業が多いように思う。 ** 権限チェックが走るタイミング [#a0785409] ログオン時、[[トランザクションコード>SAPのオブジェクト/トランザクションコード]]の開始時、データアクセス時の3つ。 なお、[[トランザクションコード>SAPのオブジェクト/トランザクションコード]]での判定について、ひとつのプログラムに値や必須チェックを設定したバリアントを複数用意し、それらを割り当てたトランザクションコードを用意し権限設定を住み分けるという手がよく使われる。 これは、権限オブジェクトでアクティビティを指定しコーディングでチェックするよりも明快だし簡単だという理由で採用されるのだが、その一方で、FIのチェックや代入・Open-FIおよびEXITなどで「トランザクションコードが○○だったら」という分岐を入れることもしばしばある。 実現手段が簡単だからという理由で冒頭の対応をした場合に抜け漏れが出やすいのがここで、会社コードの追加や同様のトランザクションコードを分けた際には注意されたい。 方法自体が間違っている・良くないという話ではなく、実現化で楽をした分ブラックボックス化や抜け漏れのリスクを孕む選択だということは、お忘れなく。 ** アドオンでの権限チェック [#k71cf1b2] [[AUTHORITY-CHECK>ABAP/AUTHORITY-CHECK]]という命令で、権限オブジェクトベースで実施する。 * 関連 [#v6abd598] [[権限管理/トランザクションコード]] [[権限管理/関連テーブル]] [[権限管理/分野メニュー]] ~ ~ CENTER:【スポンサードリンク】 #htmlinsert(amazon_book_sap_system_implement) ~ ~ ---- #pcomment(reply)
タイムスタンプを変更しない
SAPにおける権限について。 ---- #contents ---- * 概要 [#s6c6b99d] 大きくは下記の二つの目的を充足するために定義する。 -[[実行者>SAPの共通用語/ユーザマスタ]]に対し、処理の実行やアクセスの範囲をコントロールすること -データに対して不正なアクセスやオペレーションを防ぎ、誤入力の機会を減少させること * 基本コンセプト [#r2a017d3] ** 実際の設定 [#l4213fa1] 内部的には、[[ユーザマスタ>SAPの共通用語/ユーザマスタ]]への[[権限プロファイル>権限管理/権限プロファイル]]の割当を基軸とする。 但し、後述するが[[権限プロファイル>権限管理/権限プロファイル]]は[[権限ロール>権限管理/権限ロール]]より生成されるため、実際は[[権限ロール>権限管理/権限ロール]]が主、[[権限プロファイル>権限管理/権限プロファイル]]が従と言える。 ** 注意点 [#k2739dcf] SAPの機能デザインコンセプトは、''足し算''である。 例えば、''100のうち、1の機能のみ実行不可・・・といった引き算はできず''、この場合は99を個別に割り当てることで充足する。 なお、プロジェクトサイドでは何をやってもよい[[SAP_ALL>権限管理/SAP_ALL]]が一般に割り当てられる。 但し、アレコレ制限があっても仕事にならんというのは当然ではあるが、[[内部統制>財務会計/内部統制]]上は[[本番機>SAPの構成/本番機]]のユーザに割り当てることは推奨されない。 ** 構成 [#c7927c52] SAPの権限管理は、下記の要素で構成される。 -[[権限クラス>権限管理/権限クラス]] [[権限オブジェクト>権限管理/権限オブジェクト]]を機能などで大括りに束ねる単位。販売管理ならSD。 --[[権限オブジェクト>権限管理/権限オブジェクト]] 権限をコントロールする最小単位で、例えば[[得意先マスタ]]の[[販売エリア>販売管理/販売エリア]]ならばV_KNA1_VKO。 ---[[権限項目>権限管理/権限項目]] [[権限オブジェクト>権限管理/権限オブジェクト]]の下位構造で、「チェックする対象」と「その対象が持ち得る値」で構成される。 V_KNA1_VKOで言えば、[[販売組織>販売管理/販売組織]]・[[流通チャネル>販売管理/流通チャネル]]・[[製品部門>販売管理/製品部門]]がある。 なお、[[品目マスタ]]や[[勘定コード>財務会計/勘定コード]]の項目である[[権限グループ>権限管理/権限グループ]]は、[[権限オブジェクト>権限管理/権限オブジェクト]]に割り当てられている[[権限項目>権限管理/権限項目]]の一つ。 -[[権限ロール>権限管理/権限ロール]] [[権限オブジェクト>権限管理/権限オブジェクト]]ごとに、実際の値を設定する。 V_KNA1_VKOで言えば、[[販売組織>販売管理/販売組織]]が1000・[[流通チャネル>販売管理/流通チャネル]]が10・[[製品部門>販売管理/製品部門]]が01など。 -[[権限プロファイル>権限管理/権限プロファイル]] [[権限ロール>権限管理/権限ロール]]に設定した内容について、内部的に生成したもの。 --[[権限プロファイル>権限管理/権限プロファイル]]ジェネレータ [[権限プロファイル>権限管理/権限プロファイル]]を生成する機能。 -[[ユーザマスタ>SAPの共通用語/ユーザマスタ]] [[権限ロール>権限管理/権限ロール]]を割り当てることで、[[ユーザマスタ>SAPの共通用語/ユーザマスタ]]ごとに権限を割り当てる。 なお、[[権限ロール>権限管理/権限ロール]]を割り当てて、その後[[権限プロファイル>権限管理/権限プロファイル]]を生成する。 * Tips [#p0548414] ** 権限絡みの[[移送>ベーシス/移送]]について [#ib569925] [[ユーザマスタ>SAPの共通用語/ユーザマスタ]]のコピー、[[権限ロール>権限管理/権限ロール]]や[[権限プロファイル>権限管理/権限プロファイル]]の[[移送>ベーシス/移送]]についてだが、実際には「マスタの一つ」という認識のもと、本番環境で直接行われることが多い。 SAP自体には開発環境から移送する機能もあるし、開発機も本番機も共通で1ユーザ1ライセンスとしているだろうから、開発機からユーザマスタを登録してロールを割り当てて移送してもよい話とも思えるが、「ロールまでは移送・ユーザ割当は本番機で直接」という運用をしているユーザ企業が多いように思う。 ** 権限チェックが走るタイミング [#a0785409] ログオン時、[[トランザクションコード>SAPのオブジェクト/トランザクションコード]]の開始時、データアクセス時の3つ。 なお、[[トランザクションコード>SAPのオブジェクト/トランザクションコード]]での判定について、ひとつのプログラムに値や必須チェックを設定したバリアントを複数用意し、それらを割り当てたトランザクションコードを用意し権限設定を住み分けるという手がよく使われる。 これは、権限オブジェクトでアクティビティを指定しコーディングでチェックするよりも明快だし簡単だという理由で採用されるのだが、その一方で、FIのチェックや代入・Open-FIおよびEXITなどで「トランザクションコードが○○だったら」という分岐を入れることもしばしばある。 実現手段が簡単だからという理由で冒頭の対応をした場合に抜け漏れが出やすいのがここで、会社コードの追加や同様のトランザクションコードを分けた際には注意されたい。 方法自体が間違っている・良くないという話ではなく、実現化で楽をした分ブラックボックス化や抜け漏れのリスクを孕む選択だということは、お忘れなく。 ** アドオンでの権限チェック [#k71cf1b2] [[AUTHORITY-CHECK>ABAP/AUTHORITY-CHECK]]という命令で、権限オブジェクトベースで実施する。 * 関連 [#v6abd598] [[権限管理/トランザクションコード]] [[権限管理/関連テーブル]] [[権限管理/分野メニュー]] ~ ~ CENTER:【スポンサードリンク】 #htmlinsert(amazon_book_sap_system_implement) ~ ~ ---- #pcomment(reply)
テキスト整形のルールを表示する
