我在做 SAP 权限治理时,最怕看到的一种状态,是系统里每个用户都能登录,每个业务也都能跑,但没有人真正说得清楚这些权限是怎么来的。某个采购员能改价格,某个财务用户能过账,某个接口用户能调用 OData 服务,某个外包顾问突然拥有跨公司代码的显示权限,表面上只是用户主数据里多了几个角色,往深处看,其实是授权对象、授权字段、授权值、角色、生成的授权配置文件、用户主数据比较,以及权限管理员职责边界一起在起作用。在 ABAP 系统里创建和维护授权,不能只盯着最终用户账号。更准确的做法,是同时维护两类授权组件。一类是具体的 Authorization,也就是允许用户执行某些系统行为的授权数据。另一类是 Authorization Profile,也就是被写入用户主数据并在运行时参与权限判断的授权配置文件。经典 SAP GUI 菜单路径里,可以通过 Tools → Administration → User maintenance → Manual maintenance → Edit authorizations manually 来维护授权,也可以通过 Tools → Administration → User maintenance → Manual maintenance → Edit profiles manually 来维护授权配置文件。SAP Help 对这个主题也保留了 Administration Tasks 的说明,核心观点就是授权和授权配置文件都需要创建并激活,才真正进入用户访问控制链路。(