熟悉 SAP ECC 权限管理的朋友们都知道,以前我们主要和事务代码 (T-Code)、权限对象打交道;到了 S/4HANA 时代,特别是有了 Fiori 这个全新的用户界面,权限管理的理念和实践都发生了演变。
Fiori 界面带来的权限变革
Fiori 应用现在是 S/4HANA 的标准用户界面。用户不再主要通过 SAP GUI 输入 T-Code 来工作。他们通过 Fiori Launchpad(启动台)访问各种应用磁贴(Tiles);权限管理的核心,自然也要转向控制对这些 Fiori 应用的访问。几个新概念需要我们理解:
-
Catalogs (应用目录): 想象成一个应用商店的分类目录。它定义了一组逻辑相关的 Fiori 应用和目标映射。一个 Catalog 里包含了很多个应用。把 Catalog 分配给用户的 PFCG 角色,意味着这个用户 有潜力 使用该 Catalog 里的所有应用。
-
Groups (应用组): 这更像是用户 Fiori Launchpad 上的快捷方式分组。它决定了哪些应用磁贴会 实际出现 在用户的启动台界面上,以及如何组织排列。Group 也是分配给 PFCG 角色的。用户只能看到那些既包含在他们角色的 Catalog 里、又被分配到他们角色 Group 里的应用的磁贴。
-
OData 服务: Fiori 应用背后依赖 OData 服务来获取和处理数据。光有应用的访问权限还不够。用户的角色还需要包含对这些底层 OData 服务(以及可能的 ICF 节点)的调用权限。权限对象
S_SERVICE
在这里扮演着重要角色。当然,执行业务逻辑所需的传统后台权限对象(比如公司代码、工厂、成本中心等)依然不可或缺。
简单说,Fiori 权限的逻辑链条是:PFCG 角色 -> 分配 Group (决定显示) + 分配 Catalog (决定可访问应用池) -> Catalog 包含 Fiori App -> Fiori App 调用 OData 服务 + 后台逻辑 -> 角色需要包含 OData 服务权限 + 后台业务对象权限。
PFCG 角色构建的新要求
PFCG 事务代码依然是构建和维护权限角色的核心阵地。
现在创建或修改角色时,除了维护传统的“菜单”页签(T-Code、报表等)和“权限”页签(权限对象),还需要重点关注 Fiori 相关的分配:
- 在角色的菜单中,需要添加 SAP Fiori Tile Catalog。选择合适的 Catalog ID 分配给角色。
- 同样在菜单中,可能需要添加 SAP Fiori Tile Group,定义用户启动台的布局。
- 系统会根据添加的 Catalog 自动建议需要激活的 OData 服务(通常在 SU25 处理后或角色生成时体现),并在权限数据中生成对应的
S_SERVICE
对象条目。 - 运行这些 Fiori 应用最终触发的后台业务逻辑,依然需要通过传统的权限对象来控制。这些对象的检查和值维护,还是要在“权限”页签完成。
SU25 升级/转换的关键作用
对于从 ECC 升级到 S/4HANA,或者进行 S/4HANA 版本升级的项目,事务代码 SU25
的作用比以往更加关键。S/4HANA 引入了新的数据模型和业务流程,SAP 也随之更新了大量标准程序的权限检查点(SU24 数据)。运行 SU25 的核心步骤(特别是步骤 2a
到 2d
),就是将 SAP 最新的 SU24 默认值与你现有角色中的权限数据进行比较和合并。做好 SU25 的工作,能确保用户的角色:
- 包含对新 S/4HANA 事务代码和权限对象的检查。
- 自动带入 Fiori 应用所需的 OData 服务 (
S_SERVICE
) 授权默认值。 - 更新或废弃掉一些过时的权限检查。
忽略或草率处理 SU25,很可能导致升级后出现大量的权限缺失或错误问题。
其他值得关注的变化
- 业务伙伴 (Business Partner – BP): S/4HANA 用统一的 BP 模型取代了独立的客户主数据和供应商主数据。与此相关的权限对象也发生了变化。涉及客户、供应商管理的权限角色需要重点调整。
- 新的授权对象: S/4HANA 的功能简化和创新带来了新的权限对象。设计和测试角色时,需要关注这些新增的对象,确保覆盖所有必要的业务场景。SU24/SU25 是识别这些变化的重要工具。
- 嵌入式分析权限: S/4HANA 大量使用基于 CDS View 的嵌入式分析报表和 Fiori 应用。访问这些分析内容,除了应用本身和 OData 服务权限外,有时还需要特定的分析权限对象来控制数据范围。
SAP S/4HANA 的权限管理,是围绕 Fiori 用户体验和简化的核心数据模型构建的。理解 Catalog、Group、OData 服务这些新概念的作用机制,掌握在 PFCG 中构建包含这些元素的角色,以及在系统升级或转换时正确使用 SU25 工具,是确保 S/4HANA 系统安全、合规、高效运行的基础。设计清晰、遵循最小权限原则的角色,在 S/4HANA 环境下依然是权限管理的黄金法则。
企业在向SAP S/4HANA Cloud转型时,SAP 许可 (License) 从 On-Premise 时代的经典指定用户模型转向全新的 FUE 许可模式,且 SAP 产品的许可 (License) 包含诸如“组件授权、用户授权、计量模式”等复杂模型,这对企业来说如同一个黑匣子,难以理解其工作原理。此外,企业还面临 SAP 的 License 审计等合规性问题。赛锐信息在 SAP License 审计流程方面拥有丰富咨询经验,拥有自主研发的高效 SAP License 资产优化软件产品,欢迎企业在需要时随时联系我们,以获得我们的支持服务和软件产品试用体验。