StructuralAuthorizations – 后台
现有配置和部件(例如结构参数文件、事务,例如 OOSP/OOSB)和其他当前报表程序(如 RHAUTH01)将完全重用并与 CDS 视图和 DCL 集成,以实现结构权限。执行以下步骤以实现结构权限并在用户级别进行分配:
- 步骤:创建结构权限的参数文件 (TCode OOSP)
指定计划版本、对象标识、对象类型、评估路径、状态矢量和处理类型的详细信息。
- 计划版本:指定与您的权限设置相对应的计划版本。
- 对象标识:输入正在授权的对象的唯一标识符。
- 对象类型:定义您正在使用的对象类型。
- 评估路径:指示用于评估的路径。
- 状态矢量:根据权限结构的要求设置状态矢量。
这些详细信息将确保您创建的参数文件符合系统的特定结构需求。
- 步骤 2:将创建的参数文件分配给用户 (TCode OOSB)
根据需要指定有效期开始/结束日期并设置排除标志。
- 有效期开始/结束日期:指定权限的有效日期。这有助于有效管理临时权限。
- 排除标志:如果需要,设置排除标志以从权限设置中排除特定用户。
此步骤可确保您创建的结构权限正确分配给相关用户。
- 步骤 3:执行程序 "DFS_FE_STRUC_AUTHZN"(事务代码 SE38)
无论何时在 OOSB 或 OOSP 事务中进行任何更改,都必须执行此程序。此步骤可确保正确集成所有更改,并确保结构权限为最新。
核心组件
结构权限是在各种系统中管理访问和权限的关键方面,尤其是在人力资源功能的上下文中。以下是您需要了解的关键组件:
基于 HR 功能
- 权限参数文件 (OOSP)
武力元素可以分配到参数文件
- 授权用户 (OOSB)
可将用户分配到参数文件
- 用于武力元素的 HR 权限对象
- 人员计划 (PLOG)
在 HR 功能中,权限对象用于控制对特定人力资源操作的访问。例如,PLOG 对象与人事计划活动相关,确保只有授权用户才能在此范围内执行任务。
国防与安全行业实施
在国防和安全上下文中,结构权限的处理基于 HR 对象。这意味着应用上述相同的原则和组成部分,但重点关注国防和安全行动的独特要求和敏感性。
示例
- User1 已绑定到参数文件 1,通过 PLOG,我们可以控制访问权限
- 用户 2 绑定到参数文件 2,通过 PLOG,我们可以控制访问权限
- 但是,我们无法详细控制应将哪些访问权限授予哪个参数文件,因为权限对象 (PLOG) 与参数文件没有连接。
- 这意味着如果您放弃,例如通过 PLOG 为用户创建权限,用户拥有所有已分配武力元素(按结构权限)的创建权限
武力元素分配
不仅为使用参数文件和用途类型"组织结构"的选定武力元素(具有较低级别结构)启用结构权限,还可以为武力元素之间的所有分配类型启用结构权限。
- 对于武力元素到武力元素分配(例如 sup、sup by、maint、maint by),用户需要源武力元素和目标武力元素的权限才能查看/编辑这些分配。
- 这意味着,如果用户没有武力元素的权限,则分配也不可见。
- 无需定制
- 新 D&S 分配对象
- 含参数文件处理的 DFS_ASSGM1
新 D&S 分配对象:
SAP 引入了新的 D&S 分配对象 DFS_ASSGM1,可无缝处理参数文件管理。这可确保简化授权流程并提高效率。
通过 DFS_ASSGM1,集成了参数文件处理,使结构权限和武力元素分配的管理更加直接且用户友好。
结构权限的定制
结构权限是一组权限,用于定义用户可以在系统或应用程序中执行的操作。定制这些权限允许您定制访问级别,以满足组织或项目的特定需求。此流程可确保增强安全性、简化工作流和高效的用户管理。
基于上下文的结构权限 - 背景
在用户访问由角色和权限管理的系统中,基于上下文的结构权限是一个关键方面,可确保根据用户的交互上下文向用户授予正确的访问级别。在处理复杂结构(如武力元素、灵活物料计划对象 (FMPO) 和产品)时,这一点尤其相关。
受限访问 FMPO 和产品:当用户无权访问武力元素时,受限访问将扩展到分配给该武力元素的 FMPO 和产品。
核心组件
基于结构权限概念
- 权限参数文件 (OOSP)
武力元素可以分配到参数文件
- 授权用户 (OOSB)
可将用户分配到参数文件
用于武力元素的 HR 权限对象
- 含上下文的人员计划 (PLOG_CON)
- 参数文件包含在权限对象中
在参数文件上聚集的活动(显示、编辑、删除等)
HR 权限对象用于管理系统中的武力元素。其关键组件是权限对象"含上下文的人员计划"(PLOG_CON)。
此权限对象在以下方面起重要作用:
- 参数文件包含:结构参数文件包含在权限对象中,确保有效考虑参数文件中定义的权限
- 活动聚类:不同的活动(显示、编辑、删除等)在配置文件中聚类,从而形成清晰而有组织的权限结构。
示例
- 主要区别在于您可以控制参数文件级别的访问权限。这意味着您可以将参数文件分配给权限对象 PLOG_CON。
- 在此之前,您只能在用户级别分配访问权限。这意味着如果用户具有"显示"和"创建"分配 PLOG,则用户对树中的所有武力元素都具有此权限
- 现在,您可以在参数文件级别定义访问权限,这使您能够为武力元素结构的武力元素分支分配不同的访问权限。
到 FEs 的分配
如果存在从 FMPO 到武力元素的分配,则还会为结构权限启用 FMPO。
- 如果用户无权使用武力元素,则管理灵活物料计划对象应用不会显示此 FMPO。
- 用户需要已分配武力元素的显示权限才能显示 FMPO。
这同样适用于分配的产品。
- 如果用户无权使用武力元素,则管理产品主数据应用不会显示分配的产品。
- 为产品主数据启用基于上下文的结构权限的前提条件是实施 SNOTE"3081577 管理产品应用:启用基于上下文的权限"。
要有效地管理和使用灵活物料计划对象 (FMPO) 和产品主数据应用程序,了解基于上下文的结构权限流程至关重要。
激活基于上下文的结构权限
- 要激活 `PLOG_CON`,需要启用相应的 HR 参数。
- 使用视图 `V_DFS_FE_PDCON` 进行此激活。您可以通过事务代码 SM30 访问和修改此视图。
- 或者,您还可以在相应定制路径下找到作为 SPRO(实施指南)一部分的此参数。
新 DFS 权限对象
- 新权限对象简介:
- 激活基于上下文的结构权限后,将引入新的 DFS 权限对象。
- 此权限对象对于在核心数据服务 (CDS) 视图中启用基于上下文的处理至关重要。
- 虚拟权限对象:
- 虚拟权限对象 "DFS_FE_CON" 用于此目的。
- 此权限对象的活动 (ACTVT) 设置为 16(执行)。
比较
比较
结构权限 - 用户级别 | 基于上下文的权限 – 参数文件级别 |
|---|---|
武力元素
| 武力元素
|
短期岗位
| 短期岗位
|
FMPO(和产品,如果应用 SNOTE 3081577)根据参数文件为显示、编辑和删除处理分配的 FMPO(和产品) |