SAP CO模組許可權控制

2021-07-08 12:55:11 字數 3307 閱讀 2553

sap co

中成本中心費用處理的基本流程為: ①

平時/期末fi/hr/mm/sd

過帳-> ②

費用的分配分攤

(tcode:ksv5/ksu5)->

③成本中心實際費用分割

(tcode:kss2)->

④實際作業**計算

(tcode:ksii)-> ⑤

按實際作業**重估工單

(tcode:mfn1/con2等),

在集中伺服器中執行了處於不同地區的多個公司的業務

,這些步驟如果沒有細化到成本中心

/成本中心組的許可權

,就可能發生失誤的越權業務處理。簡單分析一下許可權控制,

co很多前期交易資料是從

fi/hr/mm/sd

整合而來,這些模組通常可以從公司**級控制許可權,基本可以滿足許可權控制的一般要求,而

co中大部分

tcode

的許可權控制的組織架構只粗放到控制範圍,顯然基本的

pfcg

滿足不了許可權控制的基本要求。

(1).

分配分攤

(tcode:ksv5/ksu5)

的跨公司**許可權控制

ksv5/ksu5

預設只到控制範圍

,為了防止跨成本中心/組

(即跨公司**

)的業務發生

,系統定義了

3個許可權檢查出口

,通過增強可以滿足所要求的許可權控制,

saplkal1:分配:

迴圈維護中許可權檢查(無效

) sapmkal1:分配:

迴圈維護中許可權檢查

(包括分攤)

sapmkga2:

分攤:執行迴圈授權檢查

(分配分攤執行許可權檢查增強出口)

(2).kss2/ksii

許可權控制失效

由於大部分交易性

co事務碼的許可權組織結構只到控制範圍級,如果找不到任何有效出口,除非修改標準許可權控制程式,目前總部禁止這樣做!

所以各分散企業只能是在執行這些月結事務碼上謹慎規範操作

,本人有一些輔助性的措施和相關建議。

i.執行kss2/ksii

時只選擇成本中心組

,由於成本中心組命名是規範的

,如字首

8+4位公司**編號+後

5位數字編號

,成本中心組也以此命名

,這個組原則上包括本公司**下所有的成本中心或下級成本中心組,這樣,單從編號上

co月結使用者就應該看出是否為其它公司**的成本中心組。

ii.co

月結的事務碼都可選擇

」測試執行

」,使用者應保持良好習慣

,事先測試執行一下

,如果選擇了其它公司**的成本中心組

,執行結果一看就能知道。

iii.

應用個人引數設定

(tcode:su3/su01)

如下圖為

kss2,

可以在個人引數中為螢幕選擇預設為選擇

」成本中心組

」和預設本公司**最頂層的成本中心

相關引數id:

ksg:

成本中心組

gjr:

會計年度

k70 :

螢幕選擇引數

id,其中:

s:表示選擇

」成本中心組」

a:表示選擇

」所有成本中心」

假設su3

將使用者個人相關引數

id設定為

:gjr 2009; ksg 8233100000;k70為s,

則kss2/ksii

時將自動選擇到

」成本中心組」選項

,成本中心預設值為

8233100000。

注:個人引數

id僅僅是提供相關變數的預設值,引數

id值總是保留最後一次的值

(set parameter id value)

,假設使用者最近檢視成本中心費用

s_alr_87013611

使用的成本中心組為

8233100010

,則下次執行

kss2/ksii

時系統自動從個人快取中獲取成本中心組

8233100010(get parameter id value),

而不再是

su3中設定的預設

ksg 8233100000,

個人快取的生命週期為本次登入到退出系統

,退出系統記憶體釋放,

如果下次在登進

,成本中心組又將預設使用

su3中的使用者個人引數

id值。

使用個人引數

id的方法雖不能完全杜絕使用者的失誤

,一定程度上可減少失誤。

(3).重估工單和工單結算許可權控制。

在後續工單重估計

con2

、在製品計算

kkao

和訂單結算

co88

都有相應的專門許可權控制出口,如

smod

:cocca002

可以對con2/co88

進行授權控制。

為什麼在使用者對應角色中增加

k_cca無效?

可以為使用者對應的角色人工增加授權物件

k_cca,

它就真的有效嗎

?如下圖:

為什麼許可權控制無效呢?首先

,sap tcode

不過是相關程式的捷徑

,通常許可權控制不過是在子程式中插入一段或多段許可權檢查程式而已

,人工增加授權物件生效

,一般還需要相應的許可權控制增強出口中去呼叫這些授權物件才能使之生效。

more……

su21:定義/檢查許可權物件
sm30:v_tbrg_co為許可權物件定義授權組
角色包含了若干許可權物件,在透明表agr_1250中有儲存二者之間的關係;
許可權物件包含了若干許可權字段、允許的操作和允許的值,在透明表agr_1251中體現了role/object/field/value之間的關係;
有一特殊許可權物件叫「s_tcode」, 用來包含了若干事務碼,該許可權物件的許可權欄位叫「tcd」,該欄位允許的值(field value)存放的就是事務**;
既然


sap提供了類似成本中心組


/利潤中心的東西


,並可將一公司**下的二級單位使用利潤中心處理


,.

模組展示許可權控制

元件增加belongto屬性後會獲取歸屬模組狀態碼 0正常 1不顯示 vue.mixin if module modules opt.computed.module opt.computed.modulestatecode 這裡的originalrender實際上取到的是opt.proto rend...

建立後台與模組許可權控制

1.複製執行模型中的home,改名為admin。2.複製index.php修改為admin.php讓後修改配置資訊 get m admin 入口檔案預設訪問模組,系統會預設訪問home模組,修改admin get c test 預設載入控制器 config設定模組訪問許可權 配置項 配置值 靜用和允...

elk許可權控制 Kibana訪問許可權控制

elk平台搭建完成後,由於kibana的服務也是暴露在外網,且預設是沒有訪問限制的 外部所有人都可以訪問到 這明顯不是我們想要的,所以我們需要利用nginx接管所有kibana請求,通過nginx配置將kibana的訪問加上許可權控制,簡單常見的方式可以使用如下三種方式 方案一 利用nginx使用者...