SAP系統的許可權管理主要是通過事務程式碼,許可權物件,許可權等3個關鍵物件構築的. 1. 事務程式碼(Tcode) SAP系統中,每個操作命令都是唯一對應一個事務程式碼.事務程式碼是操作命令的表現形式.使用者通過輸入相應的事務程式碼來執行相應的功能,事務程式碼一般是在SAP系統的命令欄中輸入. 2.Profile 可以將許可權物件看成是一個引數檔案,它真正記錄許可權設定的檔案.如果說許可權是操作命令和操作命令範圍的集合,那它就是控制集合範圍的最小單元,使用者的操作範圍最終都是靠Profile(許可權物件)實現的.         從許可權結構上來講,許可權物件處於許可權(Role)和事務程式碼(Tcode)之間. 一個許可權一般包含若干個許可權物件,並在透明表AGR_1250中儲存二者之間的關係;而許可權物件又包含了若干個許可權欄位,允許的操作和允許的值, 在透明表AGR_1251中儲存許可權(Role)/許可權物件(Profile)/許可權欄位(Field)/允許的值(Value)之間的關係.       有一個特殊的許可權物件用來包含若干個事務程式碼,這個許可權物件叫作"S_Tcode",該許可權物件的許可權欄位叫作"TCD',該欄位允許的值(Field Value)存放的就是事務程式碼.      有一種特殊的許可權欄位用來表示可以針對該許可權物件做哪些操作,是否允許進行建立,修改,顯示,刪除或者其他操作.該許可權欄位叫作"ACTVT",該允許的值(Field Value)存放的就是允許操作的程式碼,其中01代表建立,02代表修改,03代表顯示.     SAP的許可權控制是控制到欄位級的,換句話說,其許可權控制機制可以檢查你是否有許可權維護某張透明表的某一個欄位.SAP系統自帶有大部分的許可權物件及預設控制的許可權欄位(對應到透明表的某些欄位).可以通過事務程式碼SU20來檢視許可權欄位,可以用SU21命令來檢視許可權物件.     由此可以看出事務程式碼與許可權物件的區別.從許可權控制的範疇來看,事務程式碼屬於一種特殊的許可權物件;一個事務 程式碼在執行的過程中,為了判斷某個使用者是否有許可權執行此事務程式碼,不僅會檢查是否有該事務程式碼的操作,還要檢查是否具備該事務程式碼對應的許可權物件.我們可以通過SU22命令來檢視某個事務程式碼包含了哪些許可權物件(事務程式碼與許可權物件的對應關係存放在透明表USOBX中) 3 許可權(Role) SAP系統中的許可權是指分配給使用者的操作命令及操作範圍.一般來說,同崗位的使用者在使用SAP系統時,操作及操作範圍都是相同的.所以當我們把某個崗位的使用者需要的操作命令都歸到一個集合中時,這個集合就是"許可權(Role)",許可權(Role)分為單獨許可權(Single Role)和複合許可權(Composite Role)兩種,後者是前者的集合.