Cách tạo role giống SAP_ALL nhưng giới hạn quyền truy cập SU01, PFCG, STMS trong SAP

 Trong SAP, SAP_ALL là profile đặc biệt chứa toàn bộ quyền trong hệ thống. Tuy nhiên, việc gán trực tiếp profile này tiềm ẩn rủi ro bảo mật cao, dễ dẫn đến thao tác nhầm trên các T-code nhạy cảm như SU01, PFCG, STMS.

Thay vì dùng SAP_ALL, bạn nên tạo một role tương tự nhưng giới hạn các quyền không cần thiết để kiểm soát an toàn hệ thống.

---

📌 Tình huống thực tế

Một số user cần quyền gần giống SAP_ALL để test, vận hành hoặc hỗ trợ, nhưng không nên truy cập các chức năng quản trị hệ thống.

Ví dụ: Key user cần xử lý nghiệp vụ rộng nhưng không được phép tạo user, role, hoặc cấu hình hệ thống.

→ Trong trường hợp này, việc tạo một role sao chép từ SAP_ALL và giới hạn quyền trên các T-code nhạy cảm là giải pháp hợp lý.

---

✅ Các bước tạo role giống SAP_ALL nhưng giới hạn quyền truy cập 

Bước 1. Tạo role có quyền giống SAP_ALL

Mục tiêu: Tạo role với quyền tương đương SAP_ALL nhưng có thể điều chỉnh theo yêu cầu.

Các bước thực hiện:

• Vào transaction PFCG

• Nhập tên role ví dụ là: ZTEST_SAP_ALL → Nhấn Single Role 

Hình 1: PFCG tạo single role

• Nhập mô tả → Bấm Save

• Tab Authorizations → Chọn Change Authorization Data

Hình 2: PFCG - Change Authorization Data

• Chọn SAP_ALL làm template → chọn Adopt reference 

Hình 3: PFCG - Chọn SAP_ALL template

• Chọn Yes khi hệ thống hỏi xác nhận > Hệ thống báo Authorizations added with complete authorization là OK

• Nhấn Organizational levels → chọn Full authorization → Save

• Nhấn Generate > Tích V ở màn hình gen profile tiếp theo > Hệ thống báo Profile(s) was updated là OK.

Hình 4: PFCG - Full authorization rồi Generate

* Kết quả: Role đã có đầy đủ quyền như SAP_ALL, sẵn sàng để chỉnh sửa chi tiết.

---

Bước 2. Hạn chế quyền truy cập một số T-code

Mục tiêu: Deactive các authorization object tương ứng với T-code nhạy cảm như SU01, PFCG, STMS.

---

Các bước thực hiện:

• Mở thêm một session → chạy TCODE SU24

• Nhập T-code bạn muốn hạn chế (VD: SU01, PFCG…) → Execute

Hình 5: SU24 - Check các authorization object liên quan

• Copy text authorization object có biểu tượng check được đánh số 1 trong Hình 6.

Hình 6: SU24 - Object check khi tcode được chạy

• Quay lại role được tạo ở Bước 1 ZTEST_SAP_ALL → Tìm & deactive các object tìm được ở SU24 tương ứng → Generate lại role

Hình 7: PFCG - Tìm Object S_USER_GRP

Hình 8: PFCG - Deactive Object check khi tcode được chạy > Generate lại

---

Ví dụ cụ thể:

2.1. SU01 → Deactive object S_USER_GRP

2.2. PFCG → Deactive object S_USER_AGR

2.3. STMS → Deactive S_TRANSPRT

---

🎯 Kết luận

Việc tạo role dựa trên SAP_ALL rồi giới hạn quyền nhạy cảm là giải pháp cân bằng giữa quyền hạn và bảo mật. Cách này giúp:

• Đảm bảo user có đủ quyền thao tác

• Kiểm soát truy cập hệ thống

• Tránh sai lệch và rủi ro trong môi trường Production