SAP R/3 Системное администрирование
Шрифт:
Есть два основных способа назначения ролей:
1. Роли назначаются пользователям в ►User Maintenance
2. Пользователи назначаются ролям в ►Role Maintenance
Чтобы назначить роли в ►User Maintenance (см. раздел 8.2.1), выберите вкладку Roles. Затем можно ввести требуемые роли непосредственно для этого пользователя. При этом для данной роли сгенерированные профили автоматически добавляются на вкладку Profiles.
Сгенерированные профили не должны
Пользователей можно назначать роли на вкладке User при обслуживании роли.
1. Выберите вкладку User.
2. Введите нового пользователя в поле User ID (см. рис. 8.15 для пользователя MUSTERMANN). Пользователь уже должен быть определен.
Рис. 8.15. Назначение пользователя
Период действия
Это представление обслуживания роли позволяет определить ограничения по времени действия ролей и их назначений пользователям. Это позволяет, например, спланировать полномочия, которые потребуются в будущем или должны быть действительны только до определенной даты.
3. Щелкните на кнопке User compare, чтобы назначить созданные для роли профили полномочий выбранным пользователям (см. рис. 8.16). Этот процесс называется сравнением основных записей пользователей.
4. Выйдите из обслуживания ролей.
Это завершает пример. Транзакцию обслуживания пользователей можно использовать для подтверждения того, что сделанные изменения были сохранены. Все назначенные пользователи получили выбранную роль и сгенерированный профиль. На рис. 8.17 это показано для пользователя MUSTERMANN.
Рис. 8.16. Сравнение основных записей пользователей
Рис. 8.17. После сравнения основных записей пользователей
В предыдущем примере сравнение пользователей было начато во время их назначения. Сгенерированный для роли профиль не записывается в основной записи пользователя, пока не будет выполнено сравнение. В результате изменения назначения пользователей, изменения ролей и генерация профилей требуют сравнения пользователей, для которого есть различные способы:
► Сравнение пользователей во время назначения пользователей с помощью кнопки User compare (см. пример выше). В этом случае вывод статуса кнопки указывает, требуется ли другое сравнение. Этот метод хорошо подходит для обслуживания роли в системе разработки.
► Выбор пункта Automatic User Master Adjustment when Saving Role в ►Role Maintenance в
► Сравнение пользователей с помощью отчета PFCG_TIME_ DEPENDENCY. Необходимо планировать это задание периодически (ежедневно, если возможно) в качестве фонового задания. Это единственный способ гарантировать, что пользователи поддерживаются актуальными особенно в системах консолидации и производства, где изменения профилей импортируются как переносы. Этот отчет выполняет полное сравнение пользователей, удаляя все назначения, которые становятся недействительными.
Роли обслуживаются в системе разработки и могут переноситься оттуда в системы консолидации и производства. Во время этого процесса переносятся все автоматически сгенерированные профили. Поэтому не нужно вводить роль в запрос на перенос, пока она не будет полностью обслужена и не будут сгенерированы профили. Профили не должны генерироваться в целевой системе. При создании запроса на перенос можно решить, хотите ли вы также переносить назначение пользователей. При выборе этого варианта все существующие назначения пользователей перезаписываются в целевой системе.
При использовании Central User Administration (CUA, см. раздел 8.7.4), пользователей можно назначать только в центральной системе.
Пользователи не получают новые полномочия в целевой системе, пока не будет подтверждено сравнение пользователей (см. раздел 8.3.7) и они не зарегистрируются в системе снова.
Управление полномочиями претерпело несколько изменений в последних версиях. Поэтому после обновления необходимо выполнить некоторую дополнительную обработку для управления полномочиями и переноса существующих профилей или ролей в новую среду управления полномочиями. Эта деятельность будет различна в зависимости от того, использовался ли уже Profile Generator в исходной версии.
Преобразование в Profile Generator
Обновление версии системы R/3, которая не использует Profile Generator, в версию, использующую эту утилиту, крайне трудоемко. В этом случае SAP рекомендует заново создать систему управления полномочиями.
Альтернативно можно использовать ►SAP values (см. рис. 8.8) на шаге 6 для преобразования существующих профилей в роли. Преимущество этого подхода заключается в том, что можно продолжать использовать существующие проверенные профили. Однако обратите внимание: здесь нельзя применять значения, используемые SAP по умолчанию, меню могут создаваться только тогда, когда профили содержат соответствующие полномочия для кода транзакции.
Если исходная версия использует Profile Generator, то можно использовать ►SAP values (с шагами от 2А до 2С) для сравнения существующих данных полномочий с новыми данными.
Последующая обработка, т.е. синхронизация существующих и дополнительных данных и присвоение новых ролей и профилей, может требовать много времени. Соответственно каждое обновление поставляется с профилем SAP_NEW, который содержит все полномочия для проверки новых полномочий в существующих транзакциях. Можно временно присвоить этот профиль всем пользователям, пока не будет завершена синхронизация данных полномочий.