SAP计划与合并系统使用环境作为一个整体对系统进行管理，其用户与权限的分配也是基于环境进行的。因此，SAP计划与合并系统中某一个环境中的用户是整个NetWeaver平台用户的一个子集。首先需要在NetWeaver平台创建用户，然后再分配给特定的SAP计划与合并系统环境。

14.1.1.1 创建NetWeaver用户

登录SAP计划与合并系统后端的NetWeaver平台，如图14-1所示。

图14-1 NetWeaver平台初始界面

在系统界面的“事务码”文本框中输入管理用户事务码SU01，系统进入用户管理界面，如图14-2所示。

图14-2 NetWeaver平台用户管理初始界面

在用户管理初始界面的用户字段中输入新建的用户名，这里以“DEMOUSER”为例，并单击工具栏中的“新建”按钮…，进入维护用户界面，如图14-3所示。

图14-3 NetWeaver平台维护用户界面

在维护用户界面的“地址”选项卡中输入用户的姓名等信息，如果需要使用SAP计划与合并系统的邮件通知功能，需要在这里维护好电子邮件地址。在“登录数据”选项卡中选择用户的类型，设置用户的初始密码等信息。选择“角色”选项卡，打开如图14-4所示的维护界面。

在SAP计划与合并系统安装完成后，系统预定义了大量与SAP计划与合并系统权限管理相关的角色。系统管理员可以直接使用这些角色为用户配置权限。下面列出了部分的角色及其权限范围。

(1)/POA/BUI_FLEX_CLIENT:包含了使用业务用户FLEX界面的权限。

(2)/POA/BUI_UM_USER:包含了使用业务用户管理界面的权限。

(3)/POA/CLM_BPC_USER:包含了SAP计划与合并系统的内容生命周期管理的权限。

(4)SAP_BPC_ADMIN:包含了SAP计划与合并系统的管理员权限。

图14-4 NetWeaver平台维护用户界面“角色”选项卡

(5)SAP_BPC_MDX_REPORTER:包含了SAP计划与合并系统中使用MDX建立连接的权限。

(6)SAP_BPC_WS_USER:包含了SAP计划与合并系统中使用SOAP webservice访问的权限。

(7)SAP_BW_CONTENT_ADMIN:包含了SAP_BW内容管理的权限。

(8)Z_BUI_S_ADMIN_USER:包含了登录SAP计划与合并系统网页界面的使用权限。

(9)Z_BUI_S_DISPLAY_USER:包含了登录SAP计划与合并系统网页界面的显示权限。

上面只是列出了一小部分示例的角色，这些角色是基于SAP NetWeaver平台提供的，用户可以通过事务码PFCG对这些角色进行修改或者创建自定义的角色。SAP计划与管理系统提供了相应的授权对象供管理员使用。下面是系统提供的一些授权对象。

(1)/POA/A_BUI:用于对业务用户界面中与内容类型、资源类型、数据模型及活动相关的授权定义。

(2)POA/A_BPT:包括分区在内的业务用户界面授权对象。

(3)S_DEVELOP:用于ABAP开发工作台和FLEX客户端的通用开发授权对象。

(4)POA/A_RST:SAP业务客户端REST授权对象，用于用户管理服务。

(5)S_USER_AGP:用于读取角色和用户信息的授权对象。

(6)S_USER_GRP:用于读取角色和用户信息的授权对象。

在本示例中，给DEMOUSER分配角色Z_BUI_S_ADMIN_USER与Z_BUI_S_DISPLAY_USER。完成用户的创建后，保存并退出如图14-4所示的用户维护界面。(www.daowen.com)

由于DEMOUSER用户拥有的角色权限是与具体的环境无关的。因此，即使在拥有这些角色后，用户仍然没有足够的权限登录SAP计划与管理系统。后续的权限管理是与SAP计划与合并系统密切相关的，可以在SAP计划与合并系统管理界面中进行。

14.1.1.2 在SAP计划与合并系统环境中添加用户

仍然以SAP_IFRS环境为例，使用具有系统管理员权限的用户登录SAP计划与管理系统的网页客户端，并进行系统管理界面。选择安全功能区下方的用户管理项目，如图14-5所示。

图14-5 SAP计划与合并管理系统用户管理界面

在系统的用户管理界面中，列出了当前环境中所有的用户。管理员可以单击工具栏中的功能按钮对这些用户进行添加、编辑和删除操作。当前列表中的用户是SAP NetWeaver用户的一个子集。如果要赋予创建的用户DEMOUSER访问当前环境的权限，要将DEMOUSER添加到当前列表中。

单击工具栏中的“添加”按钮，系统弹出“添加用户”对话框，如图14-6所示。

图14-6 SAP计划与合并管理系统添加用户对话框

在添加用户对话框的第一个步骤中，用户可以选择将SAP NetWeaver平台上的用户添加到当前环境中。在如图14-6所示界面的左边列表中，列出了SAP NetWeaver平台上的所有用户，管理员可以使用搜索功能找到需要添加的用户，并使用界面中的“添加”按钮将选择的用户添加到右边的列表中。在本示例中，将DEMOUSER添加到“选择的用户”列表，并单击“下一步”按钮，进入分配团队界面，如图14-7所示。

在分配团队界面的左边列表中，列出了当前环境中的所有团队。团队是在SAP计划与合并系统的管理界面中创建的，用于对用户进行分组管理，分配到一个团队中的用户可以拥有这个团队的所有权限。这是一个可选步骤，在本示例中直接单击“下一步”按钮，进入审核并添加界面，如图14-8所示。

图14-7 分配团队界面

图14-8 审核并添加界面

在审核并添加界面中，系统显示了本次添加用户进行修改的信息，管理员确认后，单击“完成”按钮完成添加用户操作。系统提示“已添加用户，可以关闭此窗口。”管理员单击“关闭”按钮关闭添加用户对话框。系统返回用户列表界面，示例中添加的用户出现在用户列表中，如图14-9所示。

图14-9 更新后的当前环境用户列表

14.1.1.3 创建与管理团队

在SAP计划与合并系统的管理用户界面中，选择安全区域下的团队管理项目，进入团队管理界面。单击团队列表工具栏的“新建”按钮可以创建新团队。添加团队对话框如图14-10所示。

图14-10 添加团队对话框

管理员在“新建团队”界面中输入新建团队的标识和描述，单击“下一步”按钮进入分配用户界面，如图14-11所示。

图14-11 分配用户界面

在分配用户界面中，左边的用户列表列出当前环境中的所有用户，管理员可以单击“添加”按钮将用户添加到“选定的用户”列表中，也就是添加到当前的团队中。在本示例中，将用户DEMOUSER添加到新建的团队DEMOTEAM。完成后，单击“下一步”按钮进入“审核并添加”界面。

“审核并添加”界面显示了当前操作修改的信息供管理员确定并完成当前操作。完成后，新建的团队出现在当前环境的团队列表中，如图14-12所示。

图14-12 管理员界面团队列表

值得注意的是，在示例中只是创建了用户并分配到当前环境。由于示例中的用户没有进行系统操作和访问任何一个数据模型的权限，所以示例用户仍然无法访问SAP计划与合并系统。