很多老 SAP 系统里,权限管理并不是一上来就完全依赖 PFCG 的 Profile Generator。尤其是一些从 R/3 时代一路升级过来的系统,历史包袱里常常还保留着手工维护 Profile 和 Authorization 的做法。今天整理的这个主题,就是在不使用 Profile Generator 的情况下,SAP 系统里用户管理、权限维护、Profile 激活这三类工作该怎样拆开,怎样避免一个管理员拿到过大的权限。这件事看起来很老派,但并不冷门。只要系统里还存在手工维护授权 Profile 的历史机制,或者安全审计正在追查某些 S_USER 相关对象的分配边界,我们就会碰到这个问题。PFCG 很强大,但权限治理的核心从来不是工具按钮,而是职责边界。工具可以换,控制思想不能丢。在 SAP ABAP 授权体系里,用户主数据、授权对象、授权值、Profile 激活不是同一件事。把这些工作全部交给一个账号做,运维上最省事,审计上最危险。一个管理员如果既能创建用户,又能维护授权,又能激活 Profile,还能给自己或别人分配这些 Profile,这个账号就接近一个业务层面的超级管理员。哪怕没有 SAP_ALL,实际风险也很高。所以,在没有 Profile Generator 的组织方式下,我们仍然可以把用户管理拆给多个管理员。核心角色通常分成三类,User Administrator 负责用户主记录,Authorization Administrator 负责 Profile 和 Authorization 的创建维护,Activation Administrator 负责 Profile 和 Authorization 的激活。再往上,还有一个 Superuser,保留少量高风险动作,例如维护 SUPER 用户