権限管理

権限の概要

R/3では権限管理を行うに際し次の構成要素がある。

権限に関するオブジェクト相関図
  1. 種々の操作対象の具体的な値(名前)。たとえばプリンタ XP01、PR* など。

  2. 項目名
    操作対象となるもの分類。たとえば「プリンタ出力」や「ファイルシステムへの出力」など

  3. 権限
    項目名と値の対。先の例を組み合わせれば「PR* というプリンタへの出力権限」など。

  4. 権限オブジェクト
    権限の集合。たとえばプリンタ「スプール:装置権限(S_SPO_DEV)」

  5. プロファイル
    権限の集合で、ユーザにまとめて権限を割り当てる単位となる。

  6. 複合プロファイル
    プロファイルの集合。複数のプロファイルをまとめることで、 同じような権限の集合をまとめて管理することが出来る。

  7. (権限)オブジェクトクラス
    権限オブジェクトの集合。モジュール単位/機能単位に存在するが、作成することはできない。 AM:資産管理、BC:ベーシス−セントラル管理など

権限の作成

権限は次の手順で作成する。
  1. 「権限管理」(SU03)の起動。
    権限オブジェクトが存在するクラスを選択(ダブルクリック)する。

  2. オブジェクトの選択
    このままでも良いが、ここでは[テクニカル名]ボタンを押し、 表示形式を変更している。

  3. 「オブジェクト一覧」
    先と同様に必用なオブジェクトを選択し、権限一覧を表示

  4. 「権限一覧」
    この表の意味は次の通り
    • 権限
      権限名。
    • Ty.(TYPE)
      アイコン表示されているが、●はプロファイルジェネレータにより 作成されたものを意味する。
    • A(Activate)
      チェック(レ)が付いているものは有効化されている なお有効化されていない権限はプロファイルに関連付ける事は出来ない
    今回は権限をコピーするので、対象となる権限にフォーカスをあて、 コピーボタンを押す。

  5. 権限のコピー
    新規作成ではなく既存の権限を別名でコピーし、その内容を変更する。 システムが最初から持つ権限は変更しないこと。
    特にネーミングルールはないが2文字目が下線(_) のものはシステム予約であるので、使用しないこと。
    コピーが終わると、項目名と値など、権限の詳細が表示される。

  6. 値の設定
    必用に応じて値の行を選択すると、値設定画面が表示されるので適時値を入れる。

  7. 有効化
    作成した権限はそのままではプロファイルに割り当てることができない。
    セーブし、有効化する。 有効化ボタンを2回押してもよい。

プロファイルの作成

プロファイルの作成手順も権限のそれに良く似ている。以下に手順をまとめる。
  1. 「プロファイル」(SU02)を表示させる。
    既存のプロファイルを参照したい場合は[作業領域の生成]ボタンを押す。

  2. 「プロファイル一覧」
    • プロファイル
      プロファイル名
    • Ty.(TYPE)
      プロファイルの種類。アイコンは2つあり●はプロファイルジェネレータで生成されたもの。 ノートマークは複合プロファイルを意味する。
    • A(Activate)
      有効化の有無
    • テキスト
      そのプロファイルの概要説明文
    今回はプロファイルを更新するので、当該エントリを選択(ダブルクリック)する。

  3. 「プロファイルの更新」
    登録済み権限一覧にフォーカスを移動し、[権限登録]ボタンを押せば、オブジェクトクラス が表示されるので、必用な権限を選び、挿入する。 また行削除ボタンでエントリを削除する。
    登録済み権限一覧はスクロールバーがないので、ボタンでスクロールさせる。 (
  4. 有効化
    権限登録同様、有効化する。

ユーザ管理

ここでは先に作成したプロファイルを使ったユーザ作成を解説する。

ユーザ作成

新規ユーザ登録は次の手順となる。
  1. 「ユーザ更新」(SU01)
    ユーザ欄に作成するユーザ名を入力し新規作成を押す。
    もしすでに作成したユーザを流用する場合はコピーによる。

  2. マスターレコード更新
    マスターレコードを設定する。主な項目に付いて解説する。
    • 初期パスワード
      同じパスワードを2回入力(表示されない)

    • ユーザタイプ
      動作に影響するが特に必要ないかぎり「●対話」を選ぶ

    • 権限プロファイル
      必要なプロファイルを設定する

  3. アドレスデータ更新
    この住所、氏名、会社名、電話番号などいわゆる連絡先に関する情報を定義する。

  4. 固定値更新
    タイトルは分かりづらいが、要は画面の表示形式などを定義する。
    主な項目
    1. ログオン言語
      J か、E などインストールされている言語コードを指定

    2. 出力プリンタ
      省略時に出力するプリンタ名を定義。

    3. 印刷コントローラ
      印刷する際の動作を指定。
      特にプログラマなど印刷物が多いユーザについては「印刷後削除」がお勧め

    4. 日付形式
      適当な形式を選ぶ。デフォルトでは DD.MM.YYYY なので YYYY/MM/DD がお勧め

    5. 小数点書式
      デフォルトはドイツ風にカンマ(,)なので、ピリオド(.)がお勧め。

  5. パラメータ
    特定のトランザクション(プログラム)について、入力項目の初期値を定義する。
    これに付いては、 「SAP 概要 − オペレーション」ユーザ設定/パラメータ に詳しく解説しているので省略。

ユーザマスタ管理

ユーザに関するマスタデータは、主だったテーブルだけでも以下のものがあり、 これらはクライアント依存である。
テーブル名内容
usr01ユーザマスターレコード(実行時データ)
usr02ログオンデータ
usr03アドレスデータ
usr04マスタレコード(権限)
usr05パラメータ
usr06,14ライセンスデータ
usr08,9,30ユーザメニュー定義
これらを矛盾なくクライアント間でコピーするには、クライアントコピー(SCC2)を用いる とよい。クライアント・コピーについては「移送」の資料で詳しく述べるので、割愛。
また定期的にこれらをアーカイブによりバックアップすることが推奨されている。 その場合のアーカイブオブジェクトは次の通りよる。
アーカイブオブジェクト内容
US_AUTH権限に関する変更部分
US_PROFプロファイルによる変更部分
US_USERユーザ情報
US_PASSパスワードおよびユーザマスタ情報

パスワード管理

R/3 のパスワード管理は伝統的な UNIX に比べるとかなり優れている。
パスワードとして相応しくない単語はテーブル USR40 に登録しておけば、利用できなくなる。 登録には専用のトランザクション SM30 を用い、ワイルドカード(* や ?)も使用できる。

またシステムパラメータでも有用なものがある。

パラメータ名意味省略値
login/password_expiration_timeパスワードの有効期限[日]0:無期限
login/min_password_lngパスワードの最小長さ
login/fail_to_session指定された回数ログオンに失敗すると、 セッションが終了する
login/fail_to_lock指定された回数ログオン失敗セッション終了にあうと、 そのユーザはロックされ管理者が解除しないかぎり利用できない 4(つまり3x4=12回パスワードを間違えるとロックされる)