Книга: SAP R/3 Системное администрирование

8.3.5. Управление ролями

Роли

Роль (до Basis Release 4.6B: группа деятельности) является описанием рабочей среды, которое можно присвоить пользователю. Определение ролей существенно облегчает администрирование пользователей. Если нужно изменить полномочия, то необходимо только изменить роли. После генерации измененных ролей можно выполнить сравнение пользователей, чтобы изменения автоматически вступили в силу для всех соответствующих пользователей. Роль содержит следующую информацию:

? Имя роли

? Текстовое описание роли

? Рабочие операции роли

? Профили полномочий

? Пользователи, которым присвоена роль

? Данные индивидуализации

? MiniApps (в Basis Release 6.10 и более поздних версиях)

Когда пользователь регистрируется в системе, ему присваиваются все пункты меню и общий набор полномочий, соответствующий присвоенному профилю.

Подготовка к обслуживанию роли

Чтобы активировать обслуживание роли с помощью Profile Generator, необходимо сначала включить деактивацию проверки полномочий, для чего нужно задать следующий параметр в профиле инстанции:

? auth/no_check_in_some_cases = Y

Такая настройка используется по умолчанию в более новых версиях Basis, что означает, что генератор профилей полномочий активен. Этот параметр позволяет подавить проверку полномочий для отдельных транзакций (эта функция необходима для обслуживания роли).

SAP values

Следующий шаг в подготовке к использованию Profile Generator состоит в копировании индикаторной проверки для объектов полномочий транзакции и значений полей полномочий для Profile Generator, предоставленных SAP (значений SAP) в таблицы заказчика. Чтобы скопировать индикаторы проверки, используйте утилиты из ?SAP values (см. рис. 8.8).

Рис. 8.8. Интеграция значений SAP

После начальной инсталляции все определенные SAP полномочия, включая все предложенные значения, копируются в таблицы заказчика, где их можно изменять с помощью Profile Generator. Эти значения необходимо синхронизировать только после обновления. Объекты в пространстве имен заказчика не изменяются.

Затем можно вручную изменить объекты полномочий или составных профилей для отдельных транзакций. Для этого используется ?Check Indicators в Customizing (см. рис. 8.9).

Рис. 8.9. Работа с присвоением транзакциям объектов полномочий

Эта функция позволяет вручную изменить назначение полномочий транзакции. Например, можно изменить все полномочия для поддержки всех групп закупок в полномочия для поддержки определенных групп закупок, которые начинаются с буквы «А».

Чтобы сделать эти изменения переносимыми, необходимо присвоить их классу разработки заказчика (в Basis Rerlease 6.10 и позже — пакету). Поэтому сначала необходимо определить как минимум один класс разработки заказчика.

На рис. 8.10, например, показаны индикаторы проверки для всех объектов полномочий, используемых для транзакции AL09 (Download Monitoring Data). Индикатор проверки может иметь одно из следующих значений статуса:

? U — Индикатор проверки не определен, аналогично проверке для N

? N — Объект полномочий не проверяется для транзакции

? С — Объект полномочий проверяется для транзакции

? CM — Объект полномочий проверяется для транзакции и в Profile Generator предлагаются значения указанных полей

Однако в большинстве случаев предложения, предоставляемые SAP, удовлетворяют требованиям пользователей, и не нужно никаких изменений.

Рис. 8.10. Объекты полномочий и индикаторы проверки для транзакции AL09

Стандартные роли

Проще всего использовать стандартные роли, определенные SAP. Прежде, чем создавать свои собственные роля для сотрудников, необходимо проверить, не будут ли производственные процессы предприятия соответствовать стандартным ролям, которые поставляет SAP.

Можно вызвать обзор предоставленных ролей в информационной системе (см. раздел 8.6) или с помощью отчета RSUSR070. Если эти роли удовлетворяют требованиям, то можно присвоить их пользователям непосредственно (см. раздел 8.3.8); не требуется создавать роли самостоятельно.

Обслуживание ролей

Транзакция ?Role Maintenance (обслуживание ролей) позволяет копировать, создавать, изменять, присваивать, сравнивать и переносить роли. Обслуживание роли заказчика сострит в основном из двух шагов:

1. Присвоение меню пользователя

2. Настройка полномочий и полей полномочий, созданных при обслуживании роли, на основе меню пользователя, созданного на первом шаге.

Для иллюстрации этой процедуры используется относительно простой пример: требуется создать и отредактировать роль для системных администраторов R/3.

На первом шаге требуется создать роль или скопировать ее с существующей роли.

1. Выберите ?Role maintenance для создания ролей и обслуживания существующих. На рис. 8.11 показан начальный экран; в данном примере создается роль с именем zadmin.

2. Введите затребованное имя роли, такое как zadmin. Имена ролей, которые начинаются с «SAP_*», зарезервированы для стандартных ролей.

3. Выберите представление Basic maintenance.

Рис. 8.11. Создание ролей

Базовое обслуживание и полное представление

Для обработки ролей доступны три режима. При простом обслуживании обрабатывается только меню пользователя (например, для рабочего места). Базовое обслуживание включает меню, профили и персонализированные объекты. Описанная роль присваивается реальным пользователям R/3 позже. Полное представление, однако, значительно сложнее и непосредственно связано с HR Organizational Management. Вместо присваивания существующих пользователей R/3 по имени можно присваивать должности, рабочие места или организационные единицы, которые предоставляют большую гибкость. Этот подход имеет смысл только в том случае, если в R/3 используется HR Organizational Management. Соответственно следующий пример ограничен базовым обслуживанием.

4. Выберите Create.

5. Каждая вкладка при обслуживании роли (см. рис. 8.12) имеет цвет, который указывает на статус соответствующей части обслуживания роли:

- Еще не обслужено (красный)

- Устаревший (желтый)

- Обслужен и является текущим (зеленый)

В поле Description сделайте краткое описание назначения роли, укажите компоненты, из которых она скопирована (если такие есть), и задокументируйте историю изменений во время изменений.

6. Теперь можно создать меню пользователя на вкладке Menu. Можно использовать меню из меню SAP, из других ролей, из меню области приложений и импортировать из файла. Можно также добавлять отдельные транзакции, запросы и другие объекты, такие как адреса Web. Выберите из этих вариантов подходящие виды деятельности для роли.

Рис. 8.12. Базовое обслуживание ролей

7. Для данного примера выберите раздел Tools CCMS из меню SAP и добавьте транзакцию SM21 (оперативный анализ системного журнала) и адрес Web SAP Service Marketplace (см. рис. 8.13).

8. Сохраните результаты работы.

9. Вернитесь к базовому обслуживанию. После завершения деятельности по обслуживанию статус пункта Menu изменится на зеленый.

Рис. 8.13. Выбор видов деятельности

Меню пользователя

При выборе для роли разрешенных операций автоматически генерируется дерево меню, состоящее из этих операций. Это меню доступно всем пользователям, которые присвоены данной группе операций как меню пользователя. Меню пользователя можно впоследствии изменить при обслуживании роли, добавляя папки для структурирования. Можно также перемещать узлы меню, используя технологию буксировки, и настраивать иерархию меню в соответствии с существующими потребностями.

10. Далее для выбранных операций генерируется профиль полномочий. При обслуживании роли выберите вкладку Authorizations (см. рис. 8.14) и введите имя нового профиля полномочий. Все имена с «_» в качестве второго символа зарезервированы для стандартных профилей SAP. Можно позволить системе предложить значение, но оно состоит из трудно запоминаемой строки символов (см. рис. 8.17). Для упрощения последующего анализа рекомендуется использовать свое собственное имя или описательный короткий текст.

Рис. 8.14. Обслуживание полномочий

Необходимые полномочия определяются автоматически на основе выбранных видов деятельности и выводятся в иерархической форме. Сигналы светофора указывают состояние обработки узла:

? Зеленый — все полномочия имеют значения, но нужно их проверить.

? Желтый — по крайней мере, одно поле требует ввода значения (например, имя пользователя или устройства), которое необходимо задать вручную.

? Красный — существует поле, для которого не заданы организационные уровни.

Состояние группы операций, класса объектов, объекта, полномочий или поля может также быть следующим (выводится в обзоре как текст):

? Standard(стандартное) — во всех подчиненных узлах стандарты SAP не изменялись.

? Changed (измененное) — по крайней мере, в одном подчиненном узле стандарты SAP изменены.

? Maintained (обслуживаемое) — по крайней мере, в одно подчиненное поле, не заполненное SAP, были введены пользовательские значения.

? Manually (добавлено вручную) — по крайней мере, одно полномочие было вручную добавлено к подчиненным узлам.

? Old (старое) — после обновления R/3 сравниваются значения существовавших ранее и новых объектов и значений. Если все подчиненные значения идентичны, то узлу (хотя он все еще является текущим) присваивается состояние «старый».

? New (новое) — при сравнении обнаружилось, что были добавлены новые значения.

Теперь можно вручную внести изменения в выбранные полномочия и при необходимости присвоить значения. Можно также добавить или удалить полный набор полномочий. На рис. 8.14 показаны полномочия, выбранные для данного примера. Для этого нужно выполнить следующие шаги:

1. Выбрать узел и открыть его.

2. Теперь можно:

- Деактивировать нежелательные поддеревья или отдельные полномочия, выбрав пиктограмму, показанную справа от статуса (пиктограмма Legend выводит обзор различных символов, используемых этой транзакцией).

- Создать новые полные или отдельные полномочия с помощью команды Edit • Insert • Authorizations.

- Создать или изменить значения объекта полномочий, выбрав соответствующий символ в строке. Например, если обратиться к рис. 8.14, то рекомендуется создать значения полномочий на устройства в системе спула R/3. Эти значения описывают имена устройств, на которые распространяются полномочия. Например, D* означает все имена устройств, начинающиеся с D.

- Вручную удалить или добавить отдельные коды транзакций, соответствующие операциям.

3. После внесения изменений на всех светофорах должен быть зеленый свет. Сохраните изменения.

4. Выберите значок Generate Authorizations.

5. Создается профиль с присвоенными полномочиями и сохраняется с определенным на предыдущем экране именем.

6. Вернитесь к базовому обслуживанию. После завершения обработки статус обслуживания полномочий изменяется на зеленый.

Составные роли

Чтобы еще больше упростить администрирование, можно сгруппировать роли в виде составных ролей. Создание и обслуживание составных ролей в основном совпадает с обслуживанием отдельных ролей.

На начальном экране ?Role maintenance введите имя и щелкните на кнопке Create collective role, чтобы создать составную роль. Используйте вкладку Roles для определения ролей, которые желательно объединить вместе. Можно импортировать и обрабатывать меню отдельных ролей на вкладке Menu. Полномочия в этом месте редактировать нельзя.

Оглавление книги