本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# SAP 授權
設定 SDK 所需的授權取決於 SDK 版本。
**Topics**
+ [
## 組態的授權
](#configuration-authorizations)
+ [
## 最終使用者的 SAP 授權
](#user-authorizations)
## 組態的授權
如需詳細資訊,請參閱下列索引標籤。
------
#### [ SDK for SAP ABAP ]
設定適用於 SAP ABAP 的 SDK 需要下列授權。
+ S\$1`TCODE`
+ `TCD` = `/AWS1/IMG`
+ `S_TABU_DIS`
+ `ACTVT` = `02`, `03`
+ `DICBERCLS`
**從下列授權群組中選擇。**
+ `/AWS1/CFG`- 適用於 SAP ABAP 的 AWS SDK v1 - 組態
+ `/AWS1/MOD`- 適用於 SAP ABAP 的 AWS SDK v1 - 執行時間
+ `/AWS1/PFL`- 適用於 SAP ABAP 的 AWS SDK v1 - SDK 設定檔
+ `/AWS1/RES`- 適用於 SAP ABAP 的 AWS SDK v1 - 邏輯資源
+ `/AWS1/TRC`- 適用於 SAP ABAP 的 AWS SDK v1 - 追蹤
------
#### [ SDK for SAP ABAP - BTP edition ]
使用下列步驟,以允許適用於 SAP ABAP 的 SDK - BTP 版本存取組態。
1. 使用業務角色範本建立新的`SAP_BR_BPC_EXPERT`業務角色。此範本可讓您存取 Cutsom Business Configuration 應用程式。
1. 在**一般角色詳細資訊**下,前往**存取類別**,然後選擇**不受限制**的*讀取、寫入、值說明*。
1. 前往**商業目錄**索引標籤,並指派`/AWS1/RTBTP_BCAT`商業目錄以提供 SDK 組態的存取權。
1. 前往**商業使用者**索引標籤,並指派商業使用者來授予 SDK 組態的存取權。
------
## 最終使用者的 SAP 授權
**先決條件:定義 SDK 設定檔**
在 SAP 安全管理員可以定義其角色之前,商業分析師將在交易中定義適用於 SAP ABAP `/AWS1/IMG`的 AWS SDK 或適用於適用於 SAP ABAP 的 SDK 的自訂商業組態應用程式 - BTP 版本。一般而言,軟體開發套件設定檔將根據其業務職能命名:ZFINANCE、ZBILLING、ZMFG、ZPAYROLL 等。對於每個 SDK 描述檔,商業分析師將定義簡短名稱的邏輯 IAM 角色,例如 CFO、AUDITOR、REPORTING。這些將由 IAM 安全管理員映射至實際的 IAM 角色。
**定義 PFCG 或業務角色**
**注意**
PFCG 角色在 SAP BTP、ABAP 環境中稱為業務角色。
SAP 安全管理員接著會新增授權物件`/AWS1/SESS`,以授予對 SDK 設定檔的存取權。
驗證物件 `/AWS1/SESS`
+ 欄位 `/AWS1/PROF` = `ZFINANCE`
使用者也應對應到每個 SDK 設定檔的邏輯 IAM 角色,視其任務職能而定。例如,具有報告存取權的財務稽核人員可能獲得授權,擔任名為 的邏輯 IAM 角色`AUDITOR`。
驗證物件 `/AWS1/LROL`
+ 欄位 `/AWS1/PROF` = `ZFINANCE`
+ 欄位 `/AWS1/LROL` = `AUDITOR`
同時,具有讀取/寫入授權的 CFO 可能具有授權其 邏輯角色的 PFCG 角色`CFO`。
驗證物件 `/AWS1/LROL`
+ 欄位 `/AWS1/PROF` = `ZFINANCE`
+ 欄位 `/AWS1/LROL` = `CFO`
一般而言,每個 SDK 描述檔只能授權使用者一個邏輯 IAM 角色。如果使用者獲得多個 IAM 角色的授權 (例如,如果 CFO 同時獲得 `CFO`和邏輯 `AUDITOR` IAM 角色的授權),則 AWS SDK 會透過確保較高優先順序 (較低的序號) 角色生效來中斷關聯。
如同所有安全案例,使用者應獲得執行其任務職能的最低權限。管理 PFCG 角色的簡單策略是根據其授權的 SDK 描述檔和邏輯角色命名單一 PFCG 角色。例如,角色會`Z_AWS_PFL_ZFINANCE_CFO`授予對設定檔 `ZFINANCE`和邏輯 IAM 角色 的存取權`CFO`。然後,這些單一角色可以指派給定義任務函數的複合角色。每個公司都有自己的角色管理策略,建議您定義適合您的 PFCG 策略。