SAP权限对象

# SAP权限对象

1. **记录笔记**
	1. 在分配权限时，明明已经为用户分配了ST22事务码权限，用户在打开ST22时，进入到tcode但提示无权限使用功能。
	2. 通过SU53功能跟踪，发现是没有授权对象xxx导致。
	3. 什么是授权对象？
2. **整理线索**
	1. **重点一**
		1. 权限字段
			1. 权限字段是权限范围中最小单位。
			2. 该字段有数据元素及其值定义。
			3. 是业务对象的属性。
		2. 个人总结
			1. 权限字段是根据tcode事务码的数据元素及值的不同范围进行用户权限管控
	2. **重点二**
		1. 权限对象
			1. 权限对象最多可对10个与AND相关的权限字段进行分组。
			2. 权限对象确保可针对多个条件运行复杂的权限检查。
		2. 个人总结
			1. 权限对象可以定义最多10个字段和相应的值，类似：where后面可以跟10个and条件
				1. 详细
				2. 个人总结
3. **定时回顾**
	1. 编写时间2023年11月22日
	2. 2023年11月27日回顾
4. **正文**

我们假设您创建业务服务。在服务实施期间，创建用于公开数据定义的服务定义。在 ABAP RESTful 应用程序编程模型 (RAP) 中，使用行为指定各个业务对象的操作和字段属性。稍后可以增强行为定义和实施以包括权限控制。有关 ABAP RESTful 应用程序编程模型 (RAP) 的详细信息，请参阅 [SAP - ABAP RESTful 应用程序编程模型](https://help.sap.com/viewer/923180ddb98240829d935862025004d6/Cloud/en-US/289477a81eec4d4e84c0302fb6835035.html)文档。ABAP RESTful 应用程序编程模型的文档还介绍了服务实施，即创建在下图中以中蓝色突出显示的所有对象。

![](/media/202311//1701056581.1698902.png)

要提供对您的业务服务的访问权限，还需在 ABAP 开发工具 (ADT) 中创建其他开发对象。这些附加对象有助于定义用户最终可以通过其权限访问哪些数据。此类对象可以是权限对象、权限字段、IAM 应用、IAM 目录等（在上图中以浅蓝色和深蓝色突出显示）。

我们来看一下每个对象。

## 权限字段

权限字段是权限范围中的最小单位。该字段由数据元素及其值定义；是业务对象的属性。权限字段的示例为**“产品类型”**，其值为**“物料”**或**“服务”**等，且具有相应业务对象**“产品”**。在本指南中使用的奖金管理解决方案示例中，可能的权限字段为**“奖金变式”**，其值为**“费率”**和**“金额”**。

已在系统中预定义且可重用于保护自定义应用程序的标准权限字段为**“活动”**。与每个权限字段一样，**“活动”**具有多个可检查用户权限的值，例如创建、更新、删除、发布等。

您可以为每个权限字段分配一个检查表。该表将作为在业务角色维护中配置权限期间使用该字段时的值帮助。

## 权限对象

权限对象最多可对 10 个与 AND 相关的权限字段进行分组。权限对象确保可针对多个条件运行复杂的权限检查。例如，您可以创建定义用户可以访问哪些产品的权限对象，例如**“物料”**类型、**“服务”**类型或两种类型的产品。通常，在权限对象中具有**“活动”**权限字段，因为您要定义用户可执行或不可执行的活动类型。根据业务上下文，您可以添加更多权限字段，例如采购订单类型。在权限对象中，还可以定义您认为相关的**“活动”**字段值。

创建权限字段和权限对象后，必须针对权限对象实施检查，以确保只有授权用户才能执行特定活动。在此检查期间，将程序中指定的值与用户的权限中包含的值进行比较。

## 权限检查

权限检查确定程序的当前用户是否具有特定权限。该检查会将特定权限对象内特定权限字段所需的编程（固定或实际运行时）值与当前用户授予的权限进行比较。作为开发人员，您可以使用语句 *AUTHORITY-CHECK* 或使用访问控制来实施 ABAP 编码的权限检查。

## 访问控制

ABAP 核心数据服务 (CDS) 具有自己的数据保护概念和访问控制权限。访问控制提供了一种实施保护的简单方法，以防止未经授权的读取访问。

有关访问控制的详细信息，请参阅 ABAP CDS 开发用户指南中的[访问控制](https://help.sap.com/viewer/f859579898c7494dbe2449bb7f278dcc/Cloud/en-US/7072ee4d6bf41014b5040bee4e204223.html)。

## 权限控制

RESTful 应用程序编程模型中的权限控制可保护您的业务对象免受未授权的数据访问。您可以使用全局和基于实例的权限控制。全局权限用于仅取决于用户的所有权限检查。总的来说，您可以定义全局权限，以检查是否允许用户执行操作。实例权限用于所有额外取决于相关实体实例状态的权限检查。通过实例权限，您可以定义取决于实例字段值的权限。

权限控制是业务服务行为实施的一部分。

有关权限控制的详细信息，请参阅 ABAP RESTful 应用程序编程模型文档中的[权限控制](https://help.sap.com/viewer/923180ddb98240829d935862025004d6/Cloud/en-US/375a8124b22948688ac1c55297868d06.html)。

## 默认权限值

可以为每个权限对象和业务服务定义默认权限值。业务服务添加到 IAM 应用或通信场景后，将自动分配这些默认权限值。但请注意，默认权限值可被 IAM 应用中设置的值以及业务角色或通信场景中的限制覆盖。

## 限制字段

限制字段基于权限字段。用于限制对业务对象实例（例如产品）的访问。仅在提供对业务用户的访问权限时，限制才可用。

通过限制字段，您可以授权管理员在限制字段中创建具有不同值的多个业务角色。如果没有限制字段，作为开发人员，您需要为每个业务角色创建单独的 IAM 应用和业务目录。

例如，管理员想要为在系统中维护产品的产品主数据专家创建不同的业务角色。通过包含不同可用产品类型值的限制字段，您可以通过以下方式微调业务角色：一些产品主数据专家仅获得维护类型为**“材料”**的产品的权限，其他产品主数据专家获得维护类型为**“服务”**的产品的权限。

## 限制类型

限制类型是一种可根据逻辑定义（例如，产品类型和产品类别）捆绑可用限制字段的权限实体。在限制类型中，还可以定义与限制相关的权限对象。您可以将限制类型添加到业务目录。

例如，您可以创建大量与在产品主数据中创建业务角色相关的限制字段。例如，您可以创建**“产品类型”**和**“产品类别”**等限制字段，然后使用限制类型**“产品”**对其进行捆绑。

## IAM 应用

IAM 应用是可用于为业务用户定义在 ADT 中创建的一个或多个服务的必要权限的开发部件。您可以在 ADT 中创建 IAM 应用，添加服务并定义服务所需的必要权限。之后，您可以在业务目录中包含 IAM 应用，进而允许您将 IAM 应用及其相关权限定义包含到业务角色中。

## IAM 业务目录

在 IAM 业务目录中，捆绑多个 IAM 应用及其预定义权限，例如特定业务范围的权限。业务目录将开发定义的内容与管理完成的设置相链接。业务目录由具有预定义权限的 IAM 应用组成，可在业务角色中重复使用。如果使用限制类型定义 IAM 业务目录，则允许管理员稍后在业务角色维护期间微调权限。

您可以在 ADT 创建 IAM 业务目录。作为开发人员，您在 ADT 中发布业务目录后，该业务目录可在 SAP Fiori 应用中用于开发系统的业务目录和业务角色维护，并可用于用户测试。

## 业务角色模板

您可以定义业务角色模板，以便于管理员更轻松地找到与公司中相应角色相关的业务目录。

对于 SAP Business Technology Platform，提供了面向管理员和开发人员的角色模板：业务角色模板 SAP\_BR\_DEVELOPER 包括使用 ABAP 开发工具 (ADT) 和创建此处提到的开发对象的权限。业务角色模板 SAP\_BR\_ADMINISTRATOR 包括创建业务角色的权限。

## 业务角色

业务角色是管理员用于对权限进行分组和微调并将其分配给业务用户的管理对象。要创建业务角色，管理员需为其添加一个或多个 IAM 业务目录。这些 IAM 业务目录包含允许用户访问 IAM 应用的预定义权限。在业务角色中，管理员可以为每个访问类别设置权限，包括不同业务对象实例的可用限制。如果 IAM 业务目录包含限制，管理员还可以在业务角色维护期间覆盖这些限制字段的权限。

## 访问类别

一个访问类别，用于定义为分配给业务角色的业务用户授予何种访问权限，例如，读取、写入或值帮助。

相应标准权限字段中的每个活动均根据访问类别进行键入，例如，活动**“显示”**具有访问类别**“读取”**，活动**“创建”**具有访问类别**“写入”**。

使用业务角色分配权限的活动在 IAM 应用中定义。允许业务用户执行的活动是业务角色中每个访问类别以及该业务角色中的 IAM 应用中定义的相应活动的限制设置结果。

例如，如果业务角色未提供写入访问权限，则不允许执行**“创建”**活动。尽管可以阻止写入访问，但无法在业务角色中完全禁止读取访问，因为**“无访问权限”**选项不可用。因此，允许读取访问，或使用限制字段，通过允许的限制字段值限制读取访问。在这种情况下，仅允许显示与允许的限制字段值匹配的业务对象实例。

## 权限上下文

CDS 行为定义可以定义列出多个权限对象的权限上下文。这些权限对象用于业务对象的 ABAP 行为池的实施方法中的 ABAP 语句 AUTHORITY-CHECK OBJECT。

权限上下文可按如下方式定义：

* 自有权限上下文：此类权限上下文使用 define own authorization context 语句进行定义。

**建议**

我们建议您为所有自定义业务对象定义自有权限上下文，以记录在每个业务对象逻辑中检查了哪些权限对象。

* 具有特定名称的权限上下文：此类权限上下文使用 define authorization context 语句进行定义。使用具有特定名称的权限上下文，您可以定义仅包含自有权限上下文中权限对象子集的权限上下文。

例如，权限上下文可用于启用业务对象的特权模式（请参阅[使用特权模式提供对业务服务的读取或写入访问权限](https://help.sap.com/docs/btp/sap-business-technology-platform/providing-read-or-write-access-to-business-service-using-privileged-mode)）。

有关详细信息，请参阅可在 ABAP 开发工具中找到的 ABAP 关键字文档。

## 特权模式

通过行为定义中的特权模式，RAP 业务对象使用者可以绕过权限检查，例如 RAP 权限控制或 CDS 访问控制。启用特权模式后，可对业务对象进行特许读取和写入访问。这种情况下，针对所有列出的权限对象的权限检查始终返回值 authorized。

有关详细信息，请参阅 ABAP 开发工具中的 ABAP 关键字文档和 ABAP RESTful 应用程序编程模型 (RAP) 指南中的[权限控制](https://help.sap.com/docs/BTP/923180ddb98240829d935862025004d6/375a8124b22948688ac1c55297868d06.html)。

## 通信场景

ABAP 环境中的通信场景是一个开发部件，介绍了两个通信合作伙伴如何相互通信。其提供了所使用入站和出站服务及其服务类型（例如 OData 或 SOAP）以及允许的通信安排实例数等技术信息。此外，您还可以在此处定义通信用户使用通信场景服务所需的权限。

有关详细信息，请参阅[通信场景](https://help.sap.com/viewer/65de2977205c403bbc107264b8eccf4b/Cloud/en-US/7ea7276c89a644d9867bf0f8627aed67.html)。

## 通信安排

ABAP 环境中的通信安排是特定通信场景的运行时实例。它向通信用户授予通信场景的入站和出站服务的权限。它仅授予来自指定合作伙伴的权限并且仅向指定合作伙伴授予权限，即所谓的通信系统。ABAP 环境的管理员在 SAP Fiori 快速启动板中创建通信安排。

有关详细信息，请参阅[通信安排](https://help.sap.com/viewer/65de2977205c403bbc107264b8eccf4b/Cloud/en-US/201de48e2f57404e9222181b019eff14.html)。

## 所有内容汇总：权限

用户权限受权限对象的每个权限字段中允许值组合的影响。权限使用户能够根据一组权限字段值执行系统中的活动。但是，该权限对象不是系统中唯一影响允许用户执行哪些操作的实体。IAM 应用、通信场景、业务角色以及业务角色中的限制仍可更改权限对象中定义的内容。