Hyowon's Archive

USR02 - 마지막 로그인 일자, 유저타입, 클래스, 잠금 여부 등 

USR06 - 사용자 유형(라이센스 타입)

USER_ADDR - 사용자 주소데이터(코스트센터, 부서 등)

CSKS  - 코스트 센터 정보

참고 URL

https://community.sap.com/t5/technology-blogs-by-members/difference-between-role-authorization-object-s-and-profile/ba-p/13537880

참고 문서

Analysis of Authorizations in SAP R/3 Untersuchung des Berechtigungskonzepts im SAP R/3 System
by Manuel Lamotte(2008)

Role, Profile, Authorization object 각각의 개념에 대하여

Role이란?

- SAP를 사용하는 USER가 시스템에서 특정 업무를 하기 위해서는 필요한 Role을 할당 받아야 한다.

- Role은 Profile을 생성하고 그 Profile 안 에는 여러 Authorization object가 있다.

- Role은 유저에게 권한을 부여하는 수단이다. Role을 사용자에게 부여하면 자동으로 Profile도 할당하게 된다.

Profile

- Profile은 권한 데이터를 저장하는 Object이다. Standard와 Generated 2가지 형태의 타입이 있다.

- Standard Profile은 유저에게 직접 부여가 가능하다.(역할에 독립적이다.)

- Generated Profile은 유저에게 부여하기 위해서는 Profile을 가지고 있는 역할을 부여해야 한다. 

A_ALL은 SAP에 미리 정의된 Standard 타입의 Profile이라 문제없이 독립적으로 부여되지만

T_BY690121 Profile은 SAP_AIO_COSTACC-S이라는 SAP가 가진 기본 Role에 딸린 Generated Profile이기 때문에 독립적으로 부여가 안된다.

Authorization(권한)이란?

- Authorization Object 에 의해 구별/식별된다( Authorization이 Authorization Object를 포함하고 있다.)

- Object class 는 권한 오브젝트 영역을 나타낸다.

- Authorization Object 는 최대 10개의 권한 필드로 이루어져 있다.

Profile이 여러 Authorization을 가질 수 있다. Authorization은 Authorization Object를 가진다.

- 위와 같이 한 profile에 여러 Authorization가 있는 경우에는 Union되어 권한 체크가 수행될 것이다. SAP의 권한 통제 방식은 access를 금지하는 것이 아니라 허용하는 것이기 때문이다. 

"Authorizations can only grant access to transactions/functions/data but they can’t forbid the access. Therefore, conflicts resulting from the union cannot occur because the union of access grants implies again access grants and never the denial to access something." - Analysis of Authorizations in SAP R/3 Untersuchung des Berechtigungskonzepts im SAP R/3 System
by Manuel Lamotte(2008)

- SU21 T-CODE에 들어가면 모든 Authorization Object를 볼 수 있다. 크게 Object class로 Authorization Object를 분류하고 있다. Authorization Object를 클릭하면 어떤 Authorization Field들이 들어있는 지 볼 수 있다.

- 위와 같이 관련 권한 필드들을 조회할 수 있다.

- 추가로 아래와 같이 Authorization Object에 필드가 없는 경우도 있다. 

- 자재 마스터 생성 Authorization Object를 보면 권한 필드에 일반적인 필드가 아니라 Dummy가 있다.

- 이는 권한을 필드로 통제하는 것이 아니라 권한 오브젝트 자체로 컨트롤한다는 의미이다. 따라서 profile이 이 Authorization Object를 담고 있느냐 아니냐에 따라 자재 생성 권한이 있느냐 없느냐가 갈리는 것이다. 

- SU24에서는 T-CODE에 필요한 Authorization Object들을 관리할 수 있다. 단점은 CBO로 만든 프로그램들은 권한 체크가 없는 경우가 대부분이다. 이런 경우 SU24에서 Custom T-CODE에 권한 오브젝트를 넣고 해당 프로그램의 소스코드에  

authority-check object 'V_VBAK_VKO' 과 같이 권한 점검 함수를 넣어주어야 한다.

- 권한 통제 목적으로 T-CODE와 Authorization Object를 따로 관리하고 싶다면 접근가능한 T-CODE를 위한 ROLE과 Authorization Object들을 모아놓은 ROLE을 서로 다른 명명규칙을 사용해 관리하면 되지 않을까 한다.

TODO : SU22와 SU24의 차이는 무엇인가 

 얼마전에 1년 간의 급여 대장을 조회하는 프로그램이 1시간이 지나도록 실행이 안되는 문제가 생겨 work process 런타임을 늘려달라는 요청이 왔음

RZ11에서 해당 파라미터를 수정할 수 있을 것 같아 찾아보니 rdisp/max_wprun_time 라는 변수를 조정하면 될 것이라 생각했다.

다만 런타임 변수를 시스템 재기동 없이 조정할 수 있을까에 대한 의문이 있었으나 RZ11에 매개변수 정보에는 동적으로 변경할 수 있는 지 없는 지 여부를 나타내는 필드가 있었다.

Can be changed dynamically.

If this field is selected, the value of the parameter can be changed dynamically, while the system is running.

-> SAP 도움말은 이 컬럼이 선택되어 있으면 파라미터가 시스템이 동작하는 중에도 동적으로 변경가능하다고 한다.

For all servers :

If this field is selected, the check will get the value of the parameter on every server and check whether the values are the same.

-> 그 밑의 필드는 CI와 DI 모두를 한 번에 적용할 것 인지 여부를 체크하는 필드인 듯 하다. 일단은 체크하지 않고 CI와 DI각각 변경해주었다.

Default value

Default value of the parameter as defined in the kernel or default.pfl.

-> 커널 레벨(운영체제)에서 정의된 파라미터 기본값이거나 프로파일 기본값

Profile value

Value of the parameter as defined in the instance profile. If the parameter is not defined in the instance profile, the default value is used.

-> 인스턴스 프로파일에 지정된 값(RZ10에서 정의)

Current value

Parameter value currently used by the system. The value can change while the system is running. (See "Can be changed dynamically)

-> 시스템이 현재 사용중인 값. 변경 가능한 경우 동적으로 변경할 수 있음

*EASY ABAP설명

T-CODE - RSPFPAR 에서 프로파일 매개변수를 조회할 수 있음

아래는 time 관련 변수들 조회한 것

profile 파일은

AL11에 들어가거나 OS 레벨에서

/usr/sap/SID/SYS/profile 경로에서 볼 수 있다.