今天这类权限需求在 SAP 项目里很常见。公司已经启用了 SD 和 MM,但没有启用 HR,也没有启用 HR-ORG。MM 里也没有启用 Warehouse Management。业务上有五个工厂,每个工厂都有一个专门的员工负责维护本工厂的 Material Master Data。这些员工可以查看全公司范围内的物料主数据,但只能修改自己负责工厂的数据。
这不是一个单纯的 SU01 分配角色问题,而是一个典型的 PFCG 角色设计问题。权限设计如果只盯着事务码,很容易做成「能进事务码,但运行到一半报权限错误」或者「能维护本工厂,也顺手能改别的工厂」。真正稳妥的做法,是从菜单、事务码、授权对象、组织级别、授权字段值、Profile 生成、用户比较这几层一起看。
SAP 官方文档里也明确把 Profile Generator、SU25、SU24、角色授权数据维护、用户主数据比较放在同一条链路上。Profile Generator 激活后,PFCG 初始界面会出现 Authorizations 相关功能,SU25 用于把 SAP 交付的检查指示器和字段缺省值复制到客户表,SU24 则用于维护这些授权提案数据。(SAP Help Portal)
不要从用户开始,而要从岗位责任开始
很多权限设计失败,不是因为 BASIS 操作失误,而是因为一开始把问题理解成了「
