几个月前，我遇到了一个与PPM安全性相关的问题。作为第一次对这个话题进行疑难解答，企业信息化软件，我发现向所有像我一样努力理解相关变量的人分享这个细节很有趣。我想介绍这个示例模型，因为模型对于更好地理解很有用。该模型提供了一个包含一些对象的公文包，设计将基于ACL功能和标准角色分配提供正确的访问？我们开始……

从

投资组合：彩虹仙境开始的例子的一些背景主要区域：粉色独角兽、绿色独角兽和蓝色飞马

每个区域分为2个主要部分：

超级秘密魔法元素公共魔法元素，魔法元素下面有更多代表不同魔法元素的木桶。

组合结构如下：

组合木桶规则

独角兽区域的魔法生物是各自颜色的管理员，对彼此的对象具有读取权限。他们不允许看到蓝飞马区域内发生的事情。

蓝飞马魔法生物不允许看到任何独角兽区域。

无论超级秘密魔法元素区域发生什么，其他人都看不到。只有分配到特定区域的生物才能看到那里发生了什么。

投资组合项目和项目规则

超级秘密魔法元素组件

投资组合项目指示正在开发的超级秘密魔法元素C上述投资组合项下的项目结构只有一个角色可以在这里创建新的项目组合，我称之为向导。如果需要，大数据与数据挖掘，巫师可以在超级秘密魔法元素中加入更多的魔法生物。

公共元素

操作魔法元素的投资组合项目-由魔法生物操作员管理在建魔术元素的投资组合项目-由魔术生物建造师管理。魔法生物项目经理将有权访问与在建魔法元素相关的C项目，魔法生物建造师将提供访问权限。

魔法问题

应如何使用ACL概念定义和分配角色？

为最终用户定义角色

有关PPM安全的一般信息，请参见：SAP Portfolio and Project的安全指南，以及PPM的快速实施

本示例中将使用标准的现有角色：

SAP\u XRPM\u USER–Portfolio Management中的普通用户。应为所有用户分配此角色。拥有使用项目组合管理的一般授权，但没有特定的对象访问权限。必须通过ACL将此访问权限分配给用户。

SAP\U XPRM\U ADMINISTRATOR–应分配给具有创建公文包和维护所有公文包对象等权限的公文包管理员。

SAP\U CPR\U user–使用项目管理，但无权在特定项目中执行任何活动。为此，用户需要特定于项目的授权，教育大数据，这些授权可以直接通过acl分发，也可以通过分配给角色分发。此角色必须包含在每个项目管理复合角色中。

如果用户通过Fiori访问：后端角色需要选择与Fiori tiles相关的信息。这是基于sapfiori Tile目录的。请参阅以下资料：

如何为SAP Fiori 2.0创建和生成后端安全授权

然后，根据Fiori tile的技术信息，我们还将包括更多的角色：

后端角色：SAP\u PPM\u PFMMITPR\u CHG\u APP

"壳"单一角色的想法

创建了一组壳角色，以包括相同对象和颜色下的魔法生物组。以下是应用于彩虹仙境投资组合的"壳"角色的设计。角色在内部是空的，仅为限制访问而创建，在本例中：

向导–Z-WG绿色/Z-WB蓝色/Z-WP粉色魔法生物操作员–ZMCOG绿色/Z-MCOB蓝色/Z-MCOP粉色Magic Creator Constructor–Z-MCCG绿色/Z-MCCB蓝色/Z-MCCP粉色魔法生物项目经理–Z-MCPMG绿色/Z-MCPMB蓝色/Z-MCPMP粉色

定义正确的粒度以实现正确的限制非常重要。在本例中，粒度由生物的颜色和活动类型定义。

复合角色后端

向导–Z-WIZ

SAP\u XPRM\u管理员SAP\u CPR\u USER

神奇生物–操作员Z-MCO/建造师Z-MCC/项目经理Z-MCP

SAP\u XRPM\u USERSAP\U CPR\U用户

注意：额外的安全访问需要这些标准角色的补充。与您的安全同事讨论。

重要的是不要向任何角色提供ACO\u超级对象，因为这将防止用户限制PPM对象，覆盖ACL限制。这个鬼鬼祟祟的恶魔是访问限制在您的设计中不起作用的原因之一。

用户角色分配示例：

绿色向导用户：FredZ-WIZ–这个角色提供对投资组合和项目管理的一般访问Z-WG–此角色将用于提供对公文包的bucket和items的访问

继承很重要，所以让我们使用它

当用户创建一个元素时，它将成为具有管理访问权限的人。如果Fred创建了公文包项目，他的用户id将自动填充为管理员授权。

继承规则：铲斗->铲斗Bucket->Item

彩虹仙境的图形是这样的：

操作员和施工人员是Bucket的管理员，他们用自己的颜色阅读其他部分。从Bucket到Cprojects的继承不起作用，只有直接分配到公文包项的角色或用户将继承到Cprojects（注意1249825）。然后，必须手动为项目分配项目经理角色。向导按颜色分配给自己的公文包存储桶。在超级秘密魔法元素级别，不会分配其他角色。如果Fred想要访问另一个不是他创建的项目组合，他将能够通过从Bucket超级秘密生物（绿色）继承角色

从Bucket继承到项目的示例：

shell role Green Wizard内的信息，它将显示分配给角色的所有用户

项目管理中的新超级用户概念

概念的信息在这里超级用户概念