SAPのユーザ管理業務というのは非常に重要なミッションであり、保守運用する上では欠かせない。
SAPはユーザ数によってライセンス料が変わってくるので、遊休ユーザはなるべく存在させない方が良い。また、ユーザIDの一つ一つに適切な権限が割り当てられている状態を維持する必要もあり、過大な権限を有するユーザがいれば、不正なシステム操作が出来てしまうかもしれない。
今回はSAPユーザメンテナンスを行う上で使えるSAPの機能をご紹介する。
SAPユーザメンテナンスで使える機能
ユーザ一括ロック(Tr:SU10)
Tr:SU10画面を起動すると、まずユーザIDを一括で複数入力可能な画面が現れる。
ここに複数のユーザIDを入力し、メニューの南京錠のボタンを押す。
入力した対象ユーザは、一括でロックされる。
・(参考)ユーザロックのBAPI
アドオン中でユーザロックを行う処理を入れたい場合は、BAPI_USER_LOCKというBAPIがある。
Tr:SU10より使いやすい画面を作りたかったり、ロックをするついでに権限ロールも一緒に外すなどの処理を実装したかったり、独自のクリティカル権限判定ロジックに引っかかったユーザをロックしたかったり等々で、アドオンを作る場合にこのBAPIが使える。
ユーザ情報の一括変更(Tr:SU10)
Tr:SU10起動後、ユーザIDを複数入力し、鉛筆アイコンのボタンを押下する。
するとTr:SU01に似た編集画面が表示される。Tr:SU01で実施するのと同じように、ユーザ情報を入力する。
各項目の横に「変更」というチェックボックスがあるが、これにチェックを入れた項目が一括更新の対象となる。
有効期限やロール、契約ユーザタイプを一括変更したい場合に使える機能だ。
・ユーザIDの一括登録、一括削除
Tr:SU01機能を使えば、ユーザを新規作成または削除することも出来る。
一括作成の場合は、新規作成したいユーザIDを入力し、メニュー上の白紙アイコンを押下する。
一括削除の場合は、削除したいユーザIDを入力し、メニュー上のゴミ箱アイコンを押下する。
遊休ユーザの確認方法(Tr:SUIM)
遊休ユーザかどうかを判別するのに、Tr:SUIMから【ユーザ >ログオン日付及びパスワード変更別】を選択する。
『ログオンデータとパスワード変更に基づくユーザ一覧』(Tr:RSUSR200)という画面が表示される。
「最終ログオンからの日数」「パスワード変更からの日数」といった項目、多数のフラグ項目による絞り込み検索が可能な画面となっており、遊休ユーザIDの検出に適している。
特定権限を持つユーザ検索(Tr:SUIM)
Tr:SUIMから【ユーザ >複合基準別ユーザ >権限値別】を選択する。
たとえば会計伝票の登録権限を持つユーザを特定したいのであれば、権限オブジェクト1の欄に「S_TCODE」を入力する。
すると権限オブジェクトに紐づく設定項目(S_TCODEの場合は「トランザクションコード」)の入力欄が表示されるので、「FB01」という会計伝票登録トランザクションを入力すると良い。
さらに「特定の伝票タイプの登録権限」という条件でユーザを絞りたい場合は、権限オブジェクト2の欄に「F_BKPF_BLA」を入力する。
すると「アクティビティ」と「権限グループ」という項目が表示されるので、伝票タイプに対応する権限グループを入力する。(権限グループは、FI伝票タイプのカスタマイズ(Tr:OBA7)で伝票タイプに対して設定する)
権限オブジェクト1と2はAND条件の関係にあるので、こうすることで「特定の伝票タイプを起票できるユーザ」を一覧表示させることが出来る。
権限オブジェクトの組み合わせ次第で色々な切り口での検索が可能だ。
ユーザ権限の比較(Tr:SUIM)
権限エラーが出た時のSAPユーザからの問合せに、「同じ部署の○○さんは出来る操作が、私には出来ない」というものがよくある。
誤って職位職階と違う権限が付与されていたり、部署移動や職務拡充があったが権限変更をしていない場合におこりがちだ。
日本の職場では役職の兼任者が多いので、1ユーザ1ロールというわけにいかず、権限設定が複雑化し、付与するロールも多くなる傾向にある。
こういった場合にTr:SUIMより【比較 >ユーザから】を選択する。
ユーザIDを入力する項目が左右に並んでいるので、それぞれ入力する。
そのまま実行を押すと、権限オブジェクト別の差異が一覧化される。(権限オブジェクトごとの設定値の差異は、各行をダブルクリックして確認する)
差異がある部分は赤く表示される。
権限ロールの比較(Tr:SUIM)
「ユーザ権限の比較」と同様の話ではあるが、権限ロール同士を比較することも出来る。
利用シーンとしては、似通った権限ロールを作る場合(特定ロールに一部権限を追加または取り除いた亜種ロールを作成することがたまにある)に、亜種ロールの設定が正しく行われたかを確認の目的で、元のロールとの比較することがある。
あるいは、権限ロールの移送が間違いなく行われたか、システム間(開発-検証-本番)でのロール比較をする場合もある。
移送管理をしっかり行えていれば差異は出ないのだが、オブジェクトが多いと手違いが起こることもある。そういった時に、このロール比較機能はバージョン比較を容易にしてくれる。
Tr:SUIMから【比較 >ロールから】を選択すると、権限ロールIDを入力する項目が左右に並んでいるので、それぞれ入力する。
システム間比較を行う場合には、メニュー上の「システム間」ボタンを押す。すると、対象システム(RFC宛先)を入力する項目が出現する。
(補足)Tr:SU10とTr:SU12は何が違う?
特に何も違いは無い。呼び出されるプログラムも「SAPLSUU5」となっており、トランザクションちがいの同一機能と言える。
(歴史的には、かつて何か違いがあったらしいが……)
より詳しく学びたい方へ(参考書、専門書のご紹介)
・ファーストステップABAP入門 (Espresso Tutorials)
ABAPを勉強したい人向けの入門書。めずらしく日本語で書かれており、図表付きで初学者の導入にはかなり良いカンジの参考書となっている。
・図解入門 よくわかる最新SAPの導入と運用
どちらかというと初学者向けの参考書がこちら。SAPの各モジュールを広く学習したい時にはおススメ。
にほんブログ村