구조 및 컨텍스트 기반 구조 권한 이해

Objective

After completing this lesson, you will be able to 구조 권한의 메커니즘에 대해 설명하고 구조 기반 구조 권한과 컨텍스트 기반 구조 권한을 구분합니다.

구조 및 컨텍스트 기반 구조 권한

StructuralAuthorizations – 백그라운드

구조 프로파일, 트랜잭션(예: OOSP/OOSB)과 기타 현재 리포트 프로그램(예: RHAUTH01)과 같은 기존 구성 및 아티팩트는 완전히 재사용되고 CDS 뷰 및 DCL과 통합되어 구조 권한을 획득합니다. 구조 권한을 획득하고 사용자 레벨에서 분배하기 위해 아래 단계를 수행합니다.

  1. 단계: 구조 권한에 대한 프로파일 생성(트랜잭션 코드 OOSP)

    계획 버전, 오브젝트 ID, 오브젝트 유형, 평가 경로, 상태 벡터 및 처리 유형의 세부사항을 지정합니다.

    • 계획 버전: 권한 설정에 해당하는 계획 버전을 지정합니다.
    • 오브젝트 ID: 승인하려는 오브젝트의 고유 식별자를 입력합니다.
    • 오브젝트 유형: 작업 중인 오브젝트의 유형을 정의합니다.
    • 평가 경로: 평가 목적으로 사용되는 경로를 나타냅니다.
    • 상태 벡터: 권한 구조에 필요한 상태 벡터를 설정합니다.

    이러한 세부사항을 통해 생성한 프로파일이 시스템의 특정 구조적 요구사항에 맞게 조정되도록 할 수 있습니다.

  2. 2단계: 생성된 프로파일을 사용자에게 지정(T코드 OOSB)

    유효 기간 시작일/종료일을 지정하고 필요한 경우 제외 플래그를 설정합니다.

    • 유효 기간 시작일/종료일: 권한이 유효한 일자를 지정합니다. 이를 통해 임시 권한을 효과적으로 관리할 수 있습니다.
    • 제외 플래그: 필요한 경우 권한 설정에서 특정 사용자를 제외하려면 제외 플래그를 설정합니다.

    이 단계를 수행하면 생성한 구조 권한이 관련 사용자에게 올바르게 지정됩니다.

  3. 3단계: 프로그램 "DFS_FE_STRUC_AUTHZN"(TCode SE38) 실행

    OOSB 또는 OOSP 트랜잭션에서 변경이 발생할 때마다 이 프로그램을 실행하는 것이 중요합니다. 이 단계를 수행하면 모든 변경사항이 올바르게 통합되고 구조 권한이 최신 상태로 유지됩니다.

핵심 구성 요소

구조 권한은 다양한 시스템, 특히 HR 기능의 컨텍스트에서 액세스 및 권한을 관리하는 데 매우 중요한 요소입니다. 이해해야 할 주요 구성요소는 다음과 같습니다.

HR 기능 기반

  • 권한 프로파일(OOSP)

    프로파일에 편성 요소를 지정할 수 있습니다.

  • 권한 사용자(OOSB)

    사용자를 프로파일에 지정할 수 있습니다.

  • 편성 요소에 사용되는 HR 권한 오브젝트
  • 인력 계획(PLOG)

    HR 기능에서 권한 오브젝트는 특정 HR 작업에 대한 액세스를 제어하는 데 사용됩니다. 예를 들어 PLOG 오브젝트는 인사 계획 액티비티와 관련이 있으므로 권한이 있는 사용자만 이 영역 내에서 태스크를 수행할 수 있습니다.

국방 안보 구현

국방 및 안보 측면에서 구조 권한의 처리는 HR 오브젝트를 기반으로 합니다. 즉, 위에서 설명한 것과 동일한 원칙과 구성요소가 적용되지만 국방 및 안보 운영의 고유한 요구사항과 민감성에 중점을 두고 있다.

예제

  • User1은 Profile1에 바인딩되어 있으며 PLOG를 사용하면 액세스 권한을 제어할 수 있습니다.
  • User2는 Profile2에 바인딩되어 있으며 PLOG를 사용하면 액세스 권한을 제어할 수 있습니다.
  • 권한 오브젝트(PLOG)에 프로파일에 대한 연결이 없으므로 어떤 액세스 권한을 어떤 프로파일에 지정해야 하는지 세부적으로 제어할 수 없습니다.
  • 즉, 예를 들어 를 포기하는 경우 입니다. PLOG를 통해 사용자에게 권한을 생성합니다. 사용자는 (구조 권한에 의해) 지정된 모든 편성 요소에 대한 생성 권한을 갖습니다.

편성 요소 지정

구조 권한은 프로파일과 용도 유형 "조직 구조"를 사용하는 선택된 편성 요소(하위 레벨 구조 포함)에 대해 활성화될 뿐만 아니라 편성 요소 간의 모든 지정 유형에 대한 권한도 부여됩니다.

  • 요소 지정을 강제하는 편성 요소의 경우(예: sup, sup by, maint, maint by), 사용자는 이러한 지정을 조회/편집할 수 있도록 소스 및 대상 편성 요소에 대한 권한이 필요합니다.
  • 즉, 사용자에게 편성 요소에 대한 권한이 없으면 지정도 표시되지 않습니다.
  • 커스터마이징이 필요하지 않음
  • 신규 D&S 지정 오브젝트
    • DFS_ASSGM1(프로파일 처리 포함)

신규 D&S 지정 오브젝트:

SAP에서는 프로파일 관리를 원활하게 처리하는 새로운 D&S 지정 오브젝트인 DFS_ASSGM1을 도입했습니다. 이렇게 하면 권한 프로세스가 합리화되고 효율화됩니다.

DFS_ASSGM1과 함께 프로파일 처리가 통합되어 구조 권한과 편성 요소 지정을 보다 간단하고 사용자 친화적인 방식으로 관리할 수 있습니다.

구조 권한 커스터마이징

구조 권한은 사용자가 시스템 또는 응용 프로그램 내에서 수행할 수 있는 작업을 정의하는 권한 세트입니다. 이러한 권한을 커스터마이징하면 조직 또는 프로젝트의 특정 요구사항에 맞게 액세스 레벨을 조정할 수 있습니다. 이 프로세스는 향상된 보안, 간소화된 워크플로우, 효율적인 사용자 관리를 보장합니다.

컨텍스트 기반 구조 권한 - 백그라운드

역할 및 권한에 따라 사용자 액세스가 관리되는 시스템에서 컨텍스트 기준 구조 권한은 상호작용의 컨텍스트에 따라 사용자에게 올바른 수준의 액세스 권한을 부여하는 중요한 요소입니다. 이는 특히 편성 요소, 가변 자재 계획 오브젝트(FMPO, Flexible Material Planning Objects) 및 제품과 같은 복잡한 구조를 처리할 때 유용합니다.

FMPO 및 제품에 대한 제한된 액세스: 사용자에게 편성 요소에 대한 권한이 없는 경우 제한된 액세스가 해당 편성 요소에 지정된 FMPO 및 제품으로 확장됩니다.

핵심 구성 요소

구조 권한 개념 기준

  • 권한 프로파일(OOSP)

    프로파일에 편성 요소를 지정할 수 있습니다.

  • 권한 사용자(OOSB)

    사용자를 프로파일에 지정할 수 있습니다.

강제 요소에 사용되는 HR 권한 오브젝트

  • 컨텍스트가 있는 인력 계획(PLOG_CON)
  • 프로파일이 권한 오브젝트에 포함되어 있습니다.

    프로필에 클러스터된 액티비티(조회, 편집, 삭제 등)

HR 권한 오브젝트는 시스템 내에서 편성 요소를 관리하는 데 사용됩니다. 이 주요 컴포넌트는 권한 오브젝트 '컨텍스트가 있는 인력 계획'(PLOG_CON)입니다.

이 권한 오브젝트는 다음 작업에 유용합니다.

  • 프로파일 포함: 구조 프로파일이 권한 오브젝트에 포함되므로 프로파일에 정의된 권한을 효과적으로 고려할 수 있습니다.
  • 액티비티 클러스터링: 다양한 액티비티(조회, 편집, 삭제 등)가 프로파일 내에 클러스터되어 명확하고 체계적인 권한 구조가 가능합니다.

예제

  • 프로필 수준에서 액세스 권한을 제어할 수 있다는 것이 주된 차이점입니다. 즉, 권한 오브젝트 PLOG_CON에 프로파일을 지정할 수 있습니다. 
  • 이전에는 사용자 레벨에서만 액세스 권한을 지정할 수 있었습니다. 즉, 사용자가 PLOG와 함께 "조회"와 "생성"을 지정한 경우 트리의 모든 편성 요소에 대해 이 권한이 있습니다.
  • 이제 프로파일 레벨에 대한 액세스 권한을 정의하여 편성 요소 구조의 편성 요소 분기에 다른 액세스 권한을 지정할 수 있습니다.

FE에 지정

FMPO 에서 편성 요소 로의 지정이 있는 경우 구조 권한에 대해 FMPO 도 활성화됩니다.

  • 사용자에게 편성 요소에 대한 권한이 없으면 가변 자재 계획 오브젝트 관리 앱에 이 FMPO 가 표시되지 않습니다.
  • 사용자가 FMPO를 조회할 수 있으려면 지정된 편성 요소에 대한 조회 권한이 필요합니다.

지정된 제품에도 동일하게 적용됩니다.

  • 사용자에게 편성 요소에 대한 권한이 없으면 제품 마스터 데이터 관리 앱에 지정된 제품이 표시되지 않습니다.
  • 제품 마스터에 대한 컨텍스트 기반 구조 권한을 사용하기 위한 선행조건은 SNOTE "3081577 제품 앱 관리: 컨텍스트 기반 권한 지원"의 구현입니다.

가변 자재 계획 오브젝트(FMPO, Flexible Material Planning Objects)와 제품 마스터 데이터 어플리케이션을 효과적으로 관리하고 활용하려면 컨텍스트 기준 구조 권한 프로세스를 이해해야 합니다.

컨텍스트 기반 구조 권한 활성화

HR 매개변수 활성화
  • 'PLOG_CON'을 활성화하려면 해당 HR 매개변수를 활성화해야 합니다.
  • 이를 위해 'V_DFS_FE_PDCON' 뷰를 사용합니다. 트랜잭션 코드 SM30 을 통해 이 뷰에 액세스하고 수정할 수 있습니다.
  • 또는 적절한 커스터마이징 경로에서 이 매개변수를 SPRO(구현 가이드)의 일부로 찾을 수도 있습니다.

신규 DFS 권한 오브젝트

  1. 신규 권한 오브젝트 소개:
    • 컨텍스트 기준 구조 권한을 활성화하면 새로운 DFS 권한 오브젝트가 도입됩니다.
    • 이 권한 오브젝트는 CDS(Core Data Services) 뷰에서 컨텍스트 기반 처리를 활성화하는 데 필수적입니다.
  2. 더미 권한 오브젝트:
    • 이를 위해 더미 권한 오브젝트 "DFS_FE_CON"이 사용됩니다.
    • 이 권한 오브젝트의 액티비티(ACTVT)가 16(실행)으로 설정되어 있습니다.

비교

비교

구조 권한 - 사용자 레벨

컨텍스트 기준 권한 - 프로파일 레벨

편성 요소

  • 편성 요소의 하위 세트를 처리할 수 있습니다.
  • 구조 제외 가능
  • 사용자 레벨에서 조회, 편집, 삭제

편성 요소

  • 편성 요소의 하위 세트를 처리할 수 있습니다.
  • 단일 편성 요소 및/또는 편성 구조 레벨에서 조회, 편집, 삭제(권한 오브젝트의 프로파일 기준)

할당

  • 편성 요소 지정(예: 유지보수 및 공급 관계, 지원)

    소스 및 대상 편성 요소에 대한 권한이 필요합니다.

  • 사용자 레벨에서 조회, 편집, 삭제

할당

  • 편성 요소 지정(예: 유지보수 및 공급 관계, 지원)
  • 지정된 편성 요소를 기준으로 단일 지정 조회, 편집, 삭제(권한 오브젝트의 프로파일 기준)

    소스 및 대상 편성 요소에 대한 권한이 필요합니다.

 

FMPO(SNOTE 3081577이 적용되는 경우 제품)

지정된 FMPO(및 제품)가 프로파일에 따라 조회, 편집 및 삭제를 위해 처리됨

Learning

SAP FacebookSAP YoutubeSAP LinkedIn