安全方面 SAP Integrated Business Planning for Supply Chain 2105 股份有限公司或其关联公司版权所有，保留所有权利。 the BEST RUN 2021 SAP © 内容

安全指南 PUBLIC (公共) 文档版本： 1.5 – 2021-07-16

1 安全方面...... 5

2 技术系统架构...... 6

3 身份和访问管理...... 7 3.1 用户验证...... 9 3.2 用户权限和许可...... 11 角色和权限...... 12 数据过滤器...... 12 3.3 基本概念...... 48 员工...... 48 业务用户...... 49 业务角色...... 49 业务目录...... 50 限制...... 69 3.4 用于身份和访问管理的应用...... 82 维护员工（旧版本）...... 82 维护员工...... 84 信息生命周期管理...... 84 维护业务用户...... 90 维护业务角色...... 93 业务目录...... 98 业务角色模板...... 100 用户组...... 101 显示技术用户...... 102 IAM 信息系统...... 105 显示限制类型...... 106 显示通信场景...... 106 显示权限跟踪...... 107 IAM 关键指标...... 107 维护已删除的业务用户...... 108 管理升级后的业务角色更改...... 112 管理用户许可...... 116 我的许可...... 118 3.5 常见问题...... 119

PUBLIC 安全方面 2 公共内容管理员任务...... 119 与 Identity Authentication 服务集成...... 120 与 SAP Identity Access Governance 集成...... 121 与 Identity Provisioning 服务集成...... 121 登录到 Excel 加载项...... 122 用户配置...... 122 业务目录和 Fiori 应用...... 124 业务角色和限制类型...... 124 许可过滤器和属性许可...... 126 与 SAP Jam 集成...... 127

4 数据中心和外部审计的安全...... 128

5 数据集成...... 130 5.1 病毒扫描...... 132

6 集成的安全通信...... 133 6.1 内向集成的安全通信...... 133 6.2 外向集成的安全通信...... 133 6.3 维护证书信任列表...... 134 6.4 维护客户端证书...... 135

7 客户端保护...... 136 7.1 维护保护允许清单...... 136 7.2 管理内容安全策略...... 137 冻结模式下的内容安全策略 (CSP)...... 138

8 数据保护和数据隐私...... 140 8.1 词汇表...... 141 8.2 主数据记录...... 143 8.3 业务用户记录...... 144 8.4 相关业务目录...... 145 8.5 HTTP 会话期间的数据保护...... 147

9 数据加密...... 148 9.1 使用密钥管理服务切换到自控加密...... 148

10 安全审计日志记录...... 152 10.1 显示安全审计日志...... 152 如何显示审计分析报告...... 153 如何配置个性化视图...... 153 10.2 显示静态系统审计...... 155

安全方面 PUBLIC 内容公共 3 10.3 与 NTP 服务保持时间同步...... 155

11 漏洞管理...... 157 11.1 客户启动的渗透测试...... 158

PUBLIC 安全方面 4 公共内容 1 安全方面

目标受众

● 技术顾问 ● 安全顾问 ● 系统管理员

为什么需要安全性？

安全始终是包括产品开发、计划和质量保证在内的所有 SAP 产品整个产品生命周期中的重要元素。与其他 SAP 产品类似，SAP Integrated Business Planning for Supply Chain (SAP IBP) 旨在在经受来自 Web 的攻击和来自云的攻击的情况下均保护数据安全。

SAP 关注 SAP IBP 系统架构内的安全问题和数据保护。作为用户，需要确保：

● 创建相应业务角色并将其分配至业务用户 ● 保护正在运行适用于 Microsoft Excel 的 SAP IBP 加载项的客户端 ● 针对从中导入数据的系统设置安全数据集成 (面向数据服务的 SAP Cloud Integration)

相关信息

已发行平台： SAP Trust Center 我的信任中心面向数据服务的 SAP Cluld 集成 - 安全指南

安全方面 PUBLIC 安全方面公共 5 2 技术系统架构

SAP Integrated Business Planning (IBP) 是在 SAP 公有云或 hyperscaler 系统中运行的云产品。

由于来自 SAP 的云解决方案处理来自核心业务流程的业务数据，因此 SAP 恪守以下安全和质量需求：

● 业务数据安全地存储在 SAP 数据中心或客户的首选 hyperscaler 系统中。 ● 需要访问业务数据的用户必须对自己进行身份验证，并且其身份必须由 Identity Authentication 服务或企业预置身份提供者验证，具体视实际系统架构而定。 ● 用户只能针对已分配许可的业务角色和许可执行操作和查看或编辑数据。有关详细信息，请参阅第 9 页上的“用户验证”。 ● 客户数据始终属于客户。

使用唯一的客户特定 URL 可以访问来自 SAP 的云解决方案。通信通过 SAP Cloud Support 开发和维护的 SAP 数据中心中的反向代理组件 SAP Web Dispatcher 进行传输。设备和 SAP Cloud 之间的通信由顶尖开放加密标准和协议（如传输层安全 (TLS)）担保和保护。客户可通过 IBP Excel 加载项或使用 Web 浏览器访问 IBP。

IBP 提供多个面向 SAP S/4HANA 和其他 SAP Cloud 或客户服务的集成选项。要了解更多，请转到第 130 页上的“数据集成”。

IBP 由 SAP HANA 提供支持。所有客户数据存储在 HANA 数据库中，且受 SAP Cloud 的安全基础架构和操作过程保护。

系统架构

PUBLIC 安全方面 6 公共技术系统架构 3 身份和访问管理

身份和访问管理 (IAM) 是一组工具的总称，允许您管理对 Fiori 应用的用户访问并指定用户可在应用中执行和查看的内容。

IAM 的主要元素是业务目录、业务角色和业务用户。为组织中的每位员工提供可分配有业务角色的业务用户。业务角色包含一些限制，指定允许哪些活动以及每个角色的哪些数据集可用。对于每个业务角色，可分配提供应用访问权限的业务目录。

下图说明了如何组合这些元素：

IAM 的主要元素

用户不需要了解 IAM 授予的访问权限 - 打开快速启动板时，他们只能看到可用的应用。同样，在应用内，用户仅有权查看或使用可见的数据集和活动的命令。

示例

下图说明了 IAM 中的可能场景：

安全方面 PUBLIC 身份和访问管理公共 7 IAM 中的可能场景

在此示例中进行以下操作：

● 将两个应用分配到业务目录。 ● 基于不同的限制创建两个不同的业务角色，但是这两者都提供对同一业务目录的访问权限，反过来业务目录也提供对两个不同应用的访问权限。因此，两个业务角色提供对两个 Fiori 应用的访问权限，但为其施加不同的限制。 ● 为每个业务角色分配不同的许可过滤器。 ● 创建员工。 ● 基于员工创建业务用户。 ● 将两个业务角色都分配给其中一个业务用户，并将其中一个业务角色分配给其他业务用户。 ● 为每个业务用户分配附加许可过滤器。 ● 将两个业务用户都分配给同一用户组。

上线

想要以管理员的身份使用 SAP Integrated Business Planning，您需要以下条件：

● 用于激活管理员用户的定制 URL 和用于 Identity Authentication 服务的管理控制台的 URL。此信息会以激活电子邮件的形式发送至 IT 联系人。 ● 用于登录 SAP Integrated Business Planning 的定制 URL。此信息将发送到贵组织的 IT 联系人。

激活管理员用户之后，按第 9 页上的“用户验证”中所述创建员工和业务用户。

详细信息

要了解应用中需要执行的任务的详细信息，请参阅 SAP Community Network (SCN) 中的身份和访问管理 FAQ ，或 YouTube 的 SAP IBP - 演示视频播放列表中的视频。

PUBLIC 安全方面 8 公共身份和访问管理 3.1 用户验证

可以通过浏览器或适用于 Microsoft Excel 的 SAP IBP 加载项访问 SAP Integrated Business Planning。在这两种情况下，都需要用户验证。

 注意

适用于 Microsoft Excel 的 SAP IBP 加载项不支持含交互式验证的代理验证。如果贵组织需要使用验证方法的代理服务器访问 Internet，请按照 SAP Note 2092187 中的步骤进行操作。

在为您的用户提供 SAP Integrated Business Planning 访问权限时，您可以选择以下场景之一：

使用 SAP Cloud Platform Identity Authentication 服务验证

如果组织还未实施企业身份提供者，可以通过 SAP Cloud Platform Identity Authentication 服务提供给用户访问权限，此服务由 SAP Integrated Business Planning 提供。

可以通过以下操作将用户上载至 Identity Authentication：

1. 在“维护员工”应用中创建员工。 2. 基于“维护业务用户”应用中的员工创建业务用户。 3. 使用“维护业务用户”应用中的“下载”按钮将用户列表下载到 CSV 文件。 4. 登录到“身份验证管理控制台”并打开“导入用户”应用。 5. 上载 CSV 文件。

之后，用户将收到一封含有定向到 Identity Authentication 登录屏幕的 URL 和登录到 Identity Authentication 的凭据的电子邮件。登录之后，将自动重新定向到 SAP Integrated Business Planning。

SAP Integrated Business Planning 还支持使用与企业身份提供者的标识联合来通过 SAP Cloud Platform Identity Authentication 服务支持身份联合。有关详细信息，请参阅 https://help.sap.com/viewer/product/ IDENTITY_AUTHENTICATION/Cloud/en-US 的 SAP Cloud Identity 服务文档的以下部分

● “Identity Authentication” “用户指南” “操作指南” “企业身份提供者” “配置身份联合” ● “Identity Authentication” “操作指南” “配置租户设置” “配置 Kerberos 验证”

 注意

SAP Integrated Business Planning 中密码的使用由 Identity Authentication 应用的企业密码策略定义。

有关详细信息，请参阅位于 https://help.sap.com/viewer/product/IDENTITY_AUTHENTICATION/ Cloud/en-US 的 SAP Cloud Identity 服务文档，路径为： “Identity Authentication” “操作指南” “配置密码策略” “针对应用程序设置密码策略。”

安全方面 PUBLIC 身份和访问管理公共 9 利用企业身份提供者验证

如果组织已经实施了企业身份提供者 (IdP)，则 Identity Authentication 将充当身份提供者和 SAP Integrated Business Planning 之间的代理。在此场景中需要进行以下操作：

1. 在企业 IdP 中创建要求的用户。 2. 在“企业身份提供者”应用中将企业 IdP 配置为受信任的 IdP，并在“应用程序”应用中将其选中以供 Identity Authentication 使用。有关详细信息，请参阅位于 https://help.sap.com/viewer/product/IDENTITY_AUTHENTICATION/Cloud/en- US 的 SAP Cloud Identity 服务文档，路径为： “Identity Authentication” “操作指南” “企业身份提供者。” 3. 打开 SAP Integrated Business Planning 并在“维护员工”应用中创建员工。 4. 基于“维护业务用户”应用中的员工创建业务用户。进行此操作时，请确保输入的用户名与在企业身份提供者中的登录名完全一致。

 注意

IBP Excel 加载项使用嵌入式 Microsoft Internet Explorer 11。因此，仅当企业身份提供者使用 Internet Explorer 11 兼容的 Javascript 进行验证时，才能在适用于 Microsoft Excel 的 SAP IBP 加载项中进行自我验证。

条件验证

借助条件验证，可以通过为验证身份提供者定义不同的规则来控制对应用程序的访问。基于这些规则，用户可以通过企业身份提供者或 Identity Authentication 进行验证。有关详细信息，请参阅位于 https://help.sap.com/ viewer/product/IDENTITY_AUTHENTICATION/Cloud/en-US 的 SAP Cloud Identity 服务文档，路径为： “Identity Authentication” “操作指南” “配置应用程序” “验证应用程序的身份提供者” “配置应用程序的条件验证。”

 警告

请注意，SAP IBP 不支持社交登录和 SPNEGO 双因素验证。

 注意

如果您的组织已经实施了企业身份提供者，且 SAP CoPilot 已部署在您的系统架构中，您也必须将 SAP CoPilot 配置为使用企业身份提供者。有关详细信息，请参阅知识库文章 2633828 。

基于风险的验证

出于推广目的，可以利用 SAP IAS 基于风险的身份验证功能针对定义的用户组启用多因素验证 (MFA)。从风险角度来看，应首先关注能够访问允许更改所有用户和/或整个系统的 SAP IBP 用户，之后应涵盖所有最终用户。

 注意

为了保护您的业务，SAP 强烈建议针对所有客户最终用户引入多因素验证。

PUBLIC 安全方面 10 公共身份和访问管理如果您已经拥有其他支持 MFA 或需要 MFA 的身份提供者，也可以按照利用企业身份提供者验证部分中所述以代理模式配置 SAP IAS。

请注意，IBP Excel 加载项不支持 Web 验证作为双因素验证方法。

有关在 IAS（包括 MFA）内配置基于风险的验证的必要步骤的详细信息，请参阅位于 https://help.sap.com/ viewer/product/IDENTITY_AUTHENTICATION/Cloud/en-US 的 SAP Cloud Identity 服务文档，路径为： “Identity Authentication” “操作指南” “配置应用程序” “验证” “针对应用程序配置基于风险的验证。”

 警告

请注意，SAP IBP 不支持双因素验证方法 SPNEGO、SMS、Radius 和 Web 验证（适用于 Microsoft Excel 的 SAP IBP 加载项除外）。

3.2 用户权限和许可

用户许可形成安全访问 SAP Integrated Business Planning 的主干。

对业务应用的访问由身份和访问管理提供的基于角色的权限概念控制。该权限概念基于向业务角色分配业务目录和业务用户，并为角色指定限制。

计划数据内容的访问也由以下 IBP 特定数据过滤器控制：

● 许可过滤器 ● 属性许可

管理员通过以下方式确保业务和用户数据的安全性和完整性：

● 通过将业务目录分配至角色 ● 通过定义属性许可 ● 通过按角色授权对关键指标的访问 ● 通过创建许可过滤器

管理员可以在“管理用户许可”应用程序中维护用户的许可，用户可以在“我的许可”应用程序中显示自己的分配。

业务角色

使用身份和访问管理应用创建角色和权限，并向用户授予 SAP Fiori 应用的访问权限。创建角色后，将为其分配业务目录和业务用户。业务目录包含特定的限制和权限，可授予用户仅访问与其相关的类型信息的许可。这样可以防止访问特定用户没有许可查看的信息。例如，“关键指标”限制类型控制所选计划范围中关键指标的读/写访问权限。

安全方面 PUBLIC 身份和访问管理公共 11 属性许可

属性许可使用定义属性白名单的规则来限制对主数据属性的读写访问权限。属性许可使用“管理属性许可”应用维护，并可以直接或通过用户组分配给用户。

许可过滤器

许可过滤器通过过滤属性值组合来限制对关键指标值的读写访问权限。许可过滤器同样通过过滤属性值来限制对主数据类型中主数据记录的读取访问权限。

例如，允许对包含产品标识 XYZ 的组合进行读取访问，但可以拒绝对相同组合的写入访问。

对于用户，许可过滤器将应用于已通过业务角色授予用户访问权限的关键指标。

您可以使用“管理许可过滤器”应用维护许可过滤器。

可通过以下方法将许可过滤器分配给用户：

● 直接 ● 通过用户组 ● 通过业务角色

3.2.1 角色和权限

SAP Integrated Business Planning 使用“身份和访问管理”提供的权限概念。该权限概念基于向业务角色分配业务目录和业务用户，并为角色指定限制。

有关详细信息，请参阅 http://help.sap.com/ibp 上的 SAP Help Portal，路径为 “应用程序帮助” “SAP Integrated Business Planning” “管理” “身份和访问管理” “基本概念” “业务角色” 。

初始用户提供

将为您提供 SAP Integrated Business Planning 的超级用户，该用户具有设置系统的所有必需权限。通过此用户，可以创建员工记录和业务用户，并为用户分配所需业务角色。

请注意，在生产环境中不应使用此超级用户。完成用户和角色设置后，应取消激活超级用户。

3.2.2 数据过滤器

要限制对用户可以在 IBP 中读取或写入的数据的访问，请使用许可过滤器和属性许可。

PUBLIC 安全方面 12 公共身份和访问管理 3.2.2.1 许可过滤器

许可过滤器可用于定义对 IBP 中的数据进行读取和写入访问的访问控制规则。

主数据类型

读取访问的过滤条件适用于主数据记录，其中主数据类型中至少存在一个条件中的相应属性。因此，对用户可见的主数据条目有限。

有必要了解读取访问的过滤条件不适用于主数据类型，除非它们至少有一个条件属性。复合主数据类型也是如此。

如果有主数据类型属性没有应用读取访问的过滤条件，则用户可以访问任何相关数据。

 注意

写入访问的过滤条件不适用于主数据类型。

关键指标值

读取和写入访问的过滤条件适用于存储的关键指标值。该条件适用于与关键指标相关的属性的存储输入值。换句话说，当基础输入关键指标不可见或不可写入时，则顶级关键指标既不可见也不可写入。这确保了当用户无法访问组成关键指标值的基础信息部分时，不能从生成的关键指标值中提取信息。因此，必须仔细设计许可过滤器，以考虑所有存储的输入关键指标。

 注意

写入访问的过滤条件适用于在同一许可过滤器中定义的读取访问的过滤条件可见的一组数据。此外，写入访问的过滤条件适用于在“关键指标的写访问”下定义的一组关键指标。如果将这些关键指标设置为“非限制”，则写入访问的过滤条件适用于所有同一许可过滤器的读取访问的过滤条件可见的关键指标数据。

相关信息

第 14 页上的“管理许可过滤器” 第 15 页上的“使用许可过滤器” 第 16 页上的“使用运算符来定义过滤器条件” 第 17 页上的“许可过滤器的示例” 第 18 页上的“在许可过滤器中使用自动完成”

安全方面 PUBLIC 身份和访问管理公共 13 3.2.2.1.1 管理许可过滤器

许可过滤器允许身为管理员的用户限制对特定主数据类型和关键指标值的用户访问。通过指定属性值的条件，可针对用户可用的特定计划范围（以及关联的计划视图）定义这些许可过滤器。

可通过直接或间接的形式，将许可过滤器分配给用户：

● 针对单个用户的直接用户分配（在“已分配用户”标签中） ● 间接用户分配 ○ 分配到“已分配用户组”标签上的用户组 ○ 分配到业务角色（在“维护业务角色”应用中）

一次可以为同一用户分配多个许可过滤器。

 注意

通过向同一用户分配多个许可过滤器，可扩大访问权限。作用效果可累计，并非相互制约。

组合分配至用户的所有许可过滤器，使用户有权访问所有允许的属性组合集联合定义的数据。

可在“变更历史记录”标签上审核对许可过滤器进行的所有变更。变更历史记录显示了更改的内容以及更改者和更改位置。

您可以检查“许可过滤器报表”，以便对某个许可过滤器的管理数据和可访问关键指标以及系统生成的 where 子句有一个大致了解。

观看视频

支持的设备类型

● 台式机 ● 平板电脑 ● 智能手机

相关信息

第 15 页上的“使用许可过滤器”

PUBLIC 安全方面 14 公共身份和访问管理 3.2.2.1.1.1 使用许可过滤器

了解如何定义和更改许可过滤器。

可以按照以下步骤在“管理许可过滤器”应用中创建许可过滤器：

1. 单击“新建”，输入名称和描述（可选），然后选择计划范围。 2. 如果需要，在“读访问的过滤条件”、“关键指标的写访问”或“写访问的过滤条件”下指定过滤器属性。读访问的过滤条件选择您的过滤标准，或选择“无限制”。如果选择“无限制”，所有值可用于读取访问。关键指标的写访问选择一个或多个存储的关键指标或选择“无限制”。所选写入关键指标定义在写访问的过滤条件所定义的数据集上可编辑的关键指标。如果选择“无限制”，所有关键指标均可编辑。写访问的过滤条件指定您的过滤条件，或选择“无限制”或“禁止访问”。如果选择“无限制”，则允许进行读取访问的所有过滤器条件上的关键指标都可进行编辑。如果选择“禁止访问”，则不可编辑任何关键指标。请注意下列事项： ○ 如果您定义的过滤器多次使用相同属性，则这些条件由 OR 连接，如下列示例所示：

示例一

属性运算符值

客户标识等于公司 ABC

客户标识等于公司 XYZ

结果：可以查看客户标识为公司 ABC 或公司 XYZ 的所有数据。

○ 如果用“不等于”运算符多次使用相同的属性，则这些条件由 AND 连接。 ○ 如果您定义的过滤器使用两个或两个以上不同属性，则这些条件由 AND 连接，如以下示例所示。

示例二

属性运算符值

客户标识等于公司 ABC

客户标识等于公司 XYZ

位置地区等于美国

结果：可以查看同时满足以下条件的计划数据：

○ 属于位置地区美国 ○ 属于公司 ABC 或公司 XYZ

3. 选择运算符并输入值。有关运算符的详细信息，请参见第 16 页上的“使用运算符来定义过滤器条件”。 4. 定义所需的附加过滤条件。

安全方面 PUBLIC 身份和访问管理公共 15 5. 如果想要为给定关键指标的相关属性触发自动生成值，打开“自动完成过滤器条件值”功能。有关详细信息，请参阅第 18 页上的“在许可过滤器中使用自动完成”。

 注意

如果在过滤器中未定义计量单位或货币换算，则应用会将其视为可见。在所选的过滤器属性的顶部，基础计划级别可能会包含其他需要无效的属性。当开关处于活动状态时，该应用会通过包含在过滤器条件中的成员属性分析所有关键指标的数据模型，并为相关属性生成值。如果未在过滤器中定义任何计量单位或货币转换，则应用会将其视为可见。这样，您便不必担心自己来指定相关属性值。

6. 根据需要将许可过滤器分配到各个用户及用户组，或者如果要在更高级别定义过滤器，可在“维护业务角色”应用中将许可过滤器分配到业务角色。组合分配至用户以及用户的业务角色的所有许可过滤器，使用户有权访问所有允许的属性组合集联合定义的数据。在许可过滤器中，“读访问的过滤条件”下定义的条件适用于相应属性存在于主数据类型中的主数据记录。它们不适用于在过滤条件中没有属性的主数据类型。例如，您已经分配了以下许可过滤器： ○ 对业务用户 X 具有读取访问条件的过滤器 1：地区 = EMEA ○ 对业务角色 Y（其之后又分配至业务用户 X）具有读取访问条件的过滤器 2：产品组 = 监控器在主数据中，用户 X 现在可以看到所有区域（基于过滤器 2）和所有产品组（基于过滤器 1）。

3.2.2.1.1.2 使用运算符来定义过滤器条件

下表概述了可用的运算符，并说明了它们的工作原理。

运算符

运算符描述示例

等于用户可以查看属性值等于指定值的计划数规则：客户标识等于公司 ABC 据。结果：可以查看特定客户公司 ABC 的计  注意划数据。

如果不输入值，则用户可以查看特定属性不含值的所有数据。

不等于用户可以查看属性值不等于指定值的计划数据。

 注意

如果选择“不等于”运算符并且不指定任何值，则用户可以查看属性包含值的所有数据。

大于用户可以查看属性值大于指定值的计划数据。

PUBLIC 安全方面 16 公共身份和访问管理运算符描述示例

大于等于用户可以查看属性值大于等于指定值的计划数据。

小于用户可以查看属性值小于指定值的计划数据。

小于等于用户可以查看属性值小于等于指定值的计划数据。

介于用户可以查看属性值介于两个值之间的计划数据。

包含用户可以查看属性值与定义的模式相匹配规则：客户标识包含模式“公司*” 的计划数据。可以使用通配符 * 和 ?，如结果：可以查看公司 ABC、公司 9000 或下所示：任何其他带“公司”后缀的详细信息。 ● * 可以替代字符串中的其他多个字符规则：客户标识包含模式“公司?” ● ? 可以替代字符串中的任意单个字符结果：可以查看包含单个字符的公司的详细信息，例如公司 A 或公司 Z。

3.2.2.1.1.3 许可过滤器的示例

以下示例旨在帮助您了解许可过滤器的工作原理。

示例 1

许可过滤器 1 具有用于两个属性的读取访问的过滤条件：

● PRDFAMILY = Shampoo ● LOCID = LOC A

生成的读取访问的逻辑过滤器条件为 PRDFAMILY = Shampoo AND LOCID = LOC A。

PRDFAMILY = Shampoo 是主数据类型 PRODUCT 的属性

LOCID = LOC A 是主数据类型 LOCATION 的属性。

许可过滤器 1 授予对以下主数据记录和关键指标值的读取访问权限：

● PRDFAMILY 属性具有 Shampoo 值的 PRODUCT 中的产品记录 ● LOCID 属性具有 LOC A 值的 LOCATION 中的位置记录 ● 属性与上述条件相匹配且取决于 PRDFAMILY 或 LOCID 或二者的主数据类型的记录 ● 不取决于 PRDFAMILY 和 LOCID 的主数据类型的记录。

这同样适用于：

安全方面 PUBLIC 身份和访问管理公共 17 ● 属性未显式包含在 LOCATIONPRODUCT 复合主数据类型中的复合主数据类型，如 LOCATIONPRODUCT ● 具有基础计划级别的的存储关键指标值，包括具有属性 PRDFAMILY 和/或 LOCID 的主数据类型 ● 已计算的关键指标值取决于先前项目符号中提到的存储关键指标值

 注意

许可过滤器 1 不授予对关键指标的读取访问权限，这些关键指标是使用在最后两个项目符号中不起决定作用的关键指标计算的。

示例 2

有两个销售经理 - 销售经理 1 和销售经理 2，分别负责国家 CN1 和 CN2 中产品 P1 的计划。这些国家汇总至地区 R1。销售经理需要了解地区 R1 的所有销售预测，但只能编辑其分配的国家的销售预测。可通过定义以下业务角色和许可过滤器实现此场景：

角色 1

关键指标限制销售预测数量 = 读取、写入

许可过滤器 1

读访问的过滤条件地区 = R1

关键指标的写访问销售预测数量

写访问的过滤条件国家 = CN1

许可过滤器 2

读访问的过滤条件地区 = R1

关键指标的写访问销售预测数量

写访问的过滤条件国家 = CN2

将为销售经理 1 分配“角色 1” 和“许可过滤器 1”，为销售经理 2 分配“角色 1” 和“许可过滤器 2”。

3.2.2.1.1.4 在许可过滤器中使用自动完成

如果影响计算的所有已存储关键指标在其基础计划级别上均可见，则已计算的关键指标也可见。

要使已计算的关键指标对用户可见，需要为用户分配许可过滤器，以授予计算中涉及的输入已存储关键指标的基础计划级别可视性。

PUBLIC 安全方面 18 公共身份和访问管理可以使用自动完成过滤器条件“打开”或“关闭”定义许可过滤器。

将许可过滤器应用到计划级别时，自动完成设置会影响系统如何解释过滤器。以下示例参考过滤条件以获取许可过滤器的读取访问权限。系统向过滤条件应用相同的规则以获取写入访问权限，并突出显示自动完成设置如何影响过滤器。

自动完成处于关闭状态的许可过滤器

使用处于关闭状态的自动完成定义许可过滤器时，唯一可见的计划级别是包含过滤器条件中所有属性的计划级别，没有为这些过滤器条件定义任何“为空”（空值）条件。

 示例

许可过滤器，处于关闭状态的自动完成（含强制属性）

使用“读访问的过滤条件”定义的许可过滤器：

LOCID = LOCATION1 和 PRDID = PRODUCT1 仅使包含属性 LOCID 和 PRDID 的计划级别可见（例如，计划级别 WKPRODLOCCUST 可见，而计划级别 PRODUOMTO 不可见，因为它不包含 LOCID）。

在这种情况下，包含属性 LOCID 和 PRDID 是计划级别可见的必要条件。

 示例

许可过滤器，处于关闭状态的自动完成（含可选属性）

如果为许可过滤器中的属性定义为空条件，则该属性在可见的计划级别中为可选状态。

使用“读访问的过滤条件”定义的许可过滤器：

LOCID = LOCATION1、LOCID 为空且 PRDID = PRODUCT1 使至少包含 PRDID 的所有计划级别可见（例如，计划级别 WKPRODLOCCUST 和 PRODUOMTO 均可见）。

在这种情况下，存在满足为空条件的过滤器属性的计划级别是可选的：LOCID 为可选属性，而 PRDID 为强制属性。

 示例

许可过滤器，处于关闭状态的自动完成（仅含可选属性）

如果所定义的许可过滤器仅包含可选属性，则所有的计划级别均可见。请参阅以下示例：

使用“读访问的过滤条件”定义的许可过滤器：LOCID = LOCATION1、LOCID 为空且 PRDID = PRODUCT1、PRDID 为空。

在这种情况下，显示所有计划级别：SALESORDERDAILY、WKPRODLOCCUST、PRODUOMTO，以及 MTHCURRCURRTO。

安全方面 PUBLIC 身份和访问管理公共 19 自动完成处于开启状态的许可过滤器

当许可过滤器将“自动完成”设置为“开启”状态时，如果至少有一个许可过滤器条件属性作为计划级别中的属性存在，则将该计划级别视为可见。对于“自动完成处于开启状态”的许可过滤器，系统还会将计量单位和货币换算视为可见。

为空条件必须只能在用户想要在存在属性的计划级别上明确考虑该属性的 NULL 值时，才会在“自动完成处于开启状态”的许可过滤器中定义。否则，不得在将自动完成设为“开启”状态的许可过滤器中定义为空条件。

 示例

自动完成处于开启状态的许可过滤器

使用读访问的过滤条件定义的许可过滤器：

LOCID = LOCATION1 和 PRDID = PRODUCT1 仅使至少包含属性 LOCID 或 PRDID OR UOMTOID OR CURRTOID 之一的计划级别可见（例如，计划级别 WKPRODLOCCUST、PRODUOMTO、MTHCURRCURRTO 和 WKRESLOC 可见，而计划级别 SALESORDERDAILY 不可见）

3.2.2.1.2 SAP IBP 应用程序中的许可过滤器

此表包含 SAP Integrated Business Planning (SAP IBP) 中许可过滤器使用情况的完整概览。

按应用程序的许可过滤器

业务主题功能读取（可视性）条件写入（可编辑性）条件详细信息

管理 “系统监控”应用不适用不适用许可过滤器与管理应用无关，因为假设管理员具有所有权限。

管理 “链接到用户的数据”应用不适用不适用许可过滤器与管理应用无关，因为假设管理员具有所有权限。

管理 “内容管理”应用不适用不适用许可过滤器与管理应用无关，因为假设管理员具有所有权限。

管理 “用户组”应用不适用不适用许可过滤器与管理应用无关，因为假设管理员具有所有权限。

管理 “管理许可过滤器”应用不适用不适用许可过滤器与管理应用无关，因为假设管理员具有所有权限。

PUBLIC 安全方面 20 公共身份和访问管理业务主题功能读取（可视性）条件写入（可编辑性）条件详细信息

管理 “查看个人主数据更改”应不适用不适用许可过滤器与管理应用无用关，因为假设管理员具有所有权限。

管理 “清除变更历史记录数据” 不适用不适用许可过滤器与此应用程序应用程序作业作业无关，因为通常由管理员对其进行计划，且假设管理员具有所有权限。

管理 “清除关键指标数据”应用不适用不适用许可过滤器与此应用程序程序作业作业无关，因为通常由管理员对其进行计划，且假设管理员具有所有权限。

管理 “清除计划范围数据”应用不适用不适用许可过滤器与此应用程序程序作业作业无关，因为通常由管理员对其进行计划，且假设管理员具有所有权限。

管理 “清除不合格数据”应用程不适用不适用许可过滤器与此应用程序序作业作业无关，因为通常由管理员对其进行计划，且假设管理员具有所有权限。

管理 “清除计划范围计划区间外不适用不适用许可过滤器与此应用程序的关键指标数据”应用程序作业无关，因为通常由管作业理员对其进行计划，且假设管理员具有所有权限。

模型配置 “属性”应用否否许可过滤器与模型配置应用不相关。

模型配置 “主数据类型”应用否否许可过滤器与模型配置应用不相关。

模型配置 “时间参数文件”应用否否许可过滤器与模型配置应用不相关。

模型配置 “样例模型实体”应用否否许可过滤器与模型配置应用不相关。

模型配置 “原因代码”应用否否许可过滤器与模型配置应用不相关。

模型配置 “配置”应用否否许可过滤器与模型配置应用不相关。

模型配置 “传输模型实体”应用否否许可过滤器与模型配置应用不相关。

安全方面 PUBLIC 身份和访问管理公共 21 业务主题功能读取（可视性）条件写入（可编辑性）条件详细信息

模型配置 “计划范围”应用否否许可过滤器与模型配置应用不相关。

模型配置 “关键指标计算”应用否否许可过滤器与模型配置应用不相关。

模型配置 “全局配置”应用否否许可过滤器与模型配置应用不相关。

跨应用程序 “DISAGG” 运算符是否在读取源关键指标和比例因素的值时可以应用用户许可的可见性（读取）部分。将值写入目标关键指标时，将不使用任何许可过滤器。

数据集成 “数据集成作业”应用否否许可过滤器与此应用无关，因为在设置计划模型后，管理员通常会进行使用。此时，通常不需要许可过滤器，因为需要将该计划模型的完整数据集导入系统。只有使用不受限制的数据集时，管理员才能验证计划模型是否已正确设置。

数据集成面向数据服务的 SAP 是否缺省情况下，许可过滤器 Cloud Integration （可选）与通过面向数据服务的 SAP Cloud Integration 提交的数据集成作业不相关。但是，通过在 CI-DS 作业模板中启用可选的全局参数 $G_IBP_USER_ID ，从 SAP IBP 系统中读取数据时，该任务会应用作业所有者的许可过滤器。

PUBLIC 安全方面 22 公共身份和访问管理业务主题功能读取（可视性）条件写入（可编辑性）条件详细信息

流程管理 “管理流程”应用是是在流程管理中，将许可过滤器用于计划-数据许可即可定义流程步骤参与人可访问和可编辑的计划数据。流程步骤开始时分配许可过滤器，流程步骤完成时将其移除。有关详细信息，请参阅计划-数据许可

基于动因的 “基于动因的计划”应用是是用户的许可过滤器设置的计划可见性部分限制了此用户在动因计划视图中可以看到的属性值。

用户的许可过滤器设置的可编辑性部分确定用户可以在动因计划视图中更改关键指标值的关键指标-属性组合。

业务网络协数据共享是是对于提供者数据共享计作划，会使用用户许可过滤器的可视性（读取）部分与数据共享安排的许可过滤器的交集。

对于消费者数据共享计划，会使用数据共享安排中许可过滤器的可编辑性（写入）部分。

需求计划 “统计预测”应用程序作业是否预测算法考虑许可过滤器的可视性（读取）部分。

需求计划 “ABC/XYZ 分段”应用程序否否作业

需求计划 “预测自动化”应用程序作否否业

需求计划 “分配预测模型”应用是否许可过滤器用于确定可在分配流程期间更新的计划对象。

需求计划 “管理产品生命周期”应用是否仅针对第一个级别的属性（即产品）考虑许可过滤器。仅检查此属性的值。

安全方面 PUBLIC 身份和访问管理公共 23 业务主题功能读取（可视性）条件写入（可编辑性）条件详细信息

需求计划 “分析促销”应用是否

需求计划 “管理重新排列规则”应用否否

需求计划 “产品生命周期的设置”应否否用

需求计划预测误差计算是否基于参数文件的预测误差库存优化计算考虑了许可过滤器的可见性（读取）部分。

需求驱动补 “DDMRP 缓冲区分析”应用是否应用用户的许可过滤器设货置的可视性部分。

需求驱动补 “需求驱动补货参数文件” 否否未应用许可过滤器，因为货应用需求驱动补货算法会解决整个供应链问题。

库存优化库存优化运算符是否 “Multi-Stage Inventory Opt” 或 “Calculate Inventory Components” 运算符不考虑许可过滤器。如果应用过滤器，将绕过这些运算符，且解决整个供应链。

运行这些运算符的用户需要对计算所需数据具有访问权限。

“Single-Stage Inventory Opt” 运算符考虑许可过滤器的可视性（读取）部分。

基于时间序基于时间序列的供应计划是否读取供应计划关键指标的列的供应计算法值并将其传递到 S&OP 运划算符时，将应用用户的许可过滤器设置的可视性部分。将值写入供应计划关键指标时，将不使用任何许可过滤器。在任何情况下，我们都建议为供应计划员提供整个网络的完全可视性。S&OP 运算符运行可被限制为一个或多个子网络，但此限制不影响数据读取或写入许可。

PUBLIC 安全方面 24 公共身份和访问管理业务主题功能读取（可视性）条件写入（可编辑性）条件详细信息

基于订单的基于订单的计划的所有应否否由于基于订单的计划的计计划用和计划运行划运行和应用考虑供应链内的所有相关性，因此不应用任何许可过滤器。

分析 “分析 - 高级”应用是否应用用户的许可过滤器设置的可视性部分。

分析 “仪表盘 - 高级”应用是否应用用户的许可过滤器设置的可视性部分。

分析 “供应链网络”应用是否用户的许可过滤器设置的可视性部分影响可用于过滤的值，但不会影响显示的图表。当用户只能使用其有权访问的值定义过滤器时，将仍向所有产品显示用于指示物料清单内容的已生成产品节点。

异常管理 “自定义警报”应用是否应用用户的许可过滤器设置的可视性部分。

异常管理 “自定义警报概览”应用是否应用用户的许可过滤器设置的可视性部分。

异常管理 “定义自定义警报概览”应是否应用用户的许可过滤器设用置的可视性部分。

异常管理 “监控自定义警报”应用是否应用用户的许可过滤器设置的可视性部分。

异常管理 “管理案例”应用是否应用用户的许可过滤器设置的可视性部分。

异常管理 “定义自定义警报概览”应是否应用用户的许可过滤器设用置的可视性部分。

跨应用程序 “变更历史记录”应用是不适用在应用中显示变更历史记录时，将应用用户的许可过滤器设置的可视性部分。

跨应用程序适用于 Microsoft Excel 的是不适用在适用于 Microsoft Excel 加载项中变更历 SAP IBP 的 SAP IBP 加载项中显示史记录的影响视图变更历史记录时，将应用用户的许可过滤器设置的可视性部分。

安全方面 PUBLIC 身份和访问管理公共 25 业务主题功能读取（可视性）条件写入（可编辑性）条件详细信息

跨应用程序适用于 Microsoft Excel 的否不适用应用用户的许可过滤器设 SAP IBP 加载项中变更历置的可视性部分。史记录的原始变更视图

跨应用程序 “复制运算符” 是否在读取源关键指标值时应用用户许可过滤器的可见性部分。将值写入目标关键指标时，将不使用任何许可过滤器。

复制运算符既不需考虑目标关键指标是否已在计划范围配置中定义为可编辑关键指标，也不需考虑运行复制运算符的业务用户是否具有编辑目标关键指标的许可。

跨应用程序 “复制运算符（高级）” 是是在读取源关键指标值时应用用户许可过滤器的可见性部分。要在将值写入规范化系统中的目标关键指标时启用许可过滤器，计划员必须在“复制运算符参数文件”应用中选择“考虑许可过滤器（写入）”选项。

跨应用程序 “复制版本运算符” 否否由于复制版本运算符主要用于将完整的数据集从一个版本复制到另一个版本，因此它不考虑许可过滤器。如果考虑了许可过滤器，则可能无法复制完整的数据集。

跨应用程序 “删除版本运算符” 否否由于删除版本运算符主要用于从版本中删除完整的数据集，因此它不考虑许可过滤器。如果考虑了许可过滤器，则可能无法删除完整的数据集。

跨应用程序 “快照”运算符和“重做快照” 是不适用在获取关键指标的快照运算符时，将应用用户的许可过滤器设置的可视性部分，但不应用于级联现有快照。

PUBLIC 安全方面 26 公共身份和访问管理业务主题功能读取（可视性）条件写入（可编辑性）条件详细信息

跨应用程序 “基于滞后的快照”运算符否否在将数据从源关键指标复制到目标关键指标时不应考虑可视性过滤器，以避免在运行需求感知时由于缺少某些快照数据而导致数据不一致。

跨应用程序 “快照”（变更历史记录）否否在读取快照的源关键指标时不应直接或间接应用任何过滤。

基于 Web 的 “基于 Web 的计划”应用是是用户的许可过滤器设置的计划可见性部分限制了此用户在计划视图中可以看到的属性值。

用户的许可过滤器设置的可编辑性部分确定用户可以在计划视图中更改关键指标值的关键指标-属性组合。

跨应用程序 “应用程序日志”应用是不适用对于常规应用程序日志，不应用任何许可过滤器。下载统计预测和供应计划附件时，会将当前用户的许可过滤器应用于下载。

跨应用程序 “应用程序作业”应用是不适用如果提供作业模板的 SAP IBP 组件使用许可过滤器来检索属性值，则考虑许可过滤器的读取部分。

数据集成关键指标/主数据提取器是是应用用户的许可过滤器设（OData 服务）置的可视性部分。

 注意

由于 CC 用户对可视性过滤器无效，且在此情况下必须模仿业务用户，因此能够以参数形式传递用户十分重要。

数据集成 “关键指标和主数据外部是否该服务仅基于可视性过滤 API” 器检索用户允许的值。

安全方面 PUBLIC 身份和访问管理公共 27 业务主题功能读取（可视性）条件写入（可编辑性）条件详细信息

适用于适用于 Microsoft Excel 的是是使用 1802 实施的可编辑性 Microsoft SAP IBP 加载项中的计划检查。 Excel 的视图 SAP IBP 加载项

适用于适用于 Microsoft Excel 的是否应用用户的许可过滤器的 Microsoft SAP IBP 加载项中的主数可视性部分。 Excel 的据维护 SAP IBP 加载项

适用于适用于 Microsoft Excel 的不适用不适用 Microsoft SAP IBP 加载项中外部主 Excel 的数据类型的主数据维护 SAP IBP 加载项

适用于适用于 Microsoft Excel 的否否已在 SAP Note2536930 Microsoft SAP IBP 加载项中的计划和后续 SAP IBP 版本 Excel 的对象维护中记录，不支持此操作 SAP IBP 加载项

适用于适用于 Microsoft Excel 的不适用不适用 Microsoft SAP IBP 加载项中的作业 Excel 的状态 SAP IBP 加载项

适用于适用于 Microsoft Excel 的是否应用用户的许可过滤器的 Microsoft SAP IBP 加载项中的计划可视性部分。 Excel 的注释 SAP IBP 加载项

适用于适用于 Microsoft Excel 的是否应用用户的许可过滤器的 Microsoft SAP IBP 加载项中具有关可视性部分。 Excel 的键指标数据（主数据）的 SAP IBP 加计划对象载项

需求计划 “管理主数据”应用是是应用用户的许可过滤器设置。在计划范围无关的上下文中查看或编辑主数据条目时，如果用户具有任何计划范围中主数据条目的相关许可，则将授予许可。

PUBLIC 安全方面 28 公共身份和访问管理 3.2.2.2 管理属性许可

您可以使用此应用指定主数据属性的读取和写入访问权限，并限制业务用户可以显示或修改的属性。

关键功能

● 为用户和用户组指定主数据属性的读取和写入许可；不适用于时间参数文件属性和基于变更历史记录的计算属性 ● 通过使用“许可报表”应用属性许可功能来检查所有属性的读取和写入访问权限 ● 创建新的属性许可 ● 修改现有写入许可 ● 显示变更历史记录详细信息 ● 为用户分配多个属性许可 ● 为用户组添加或移除属性许可的分配 ● 复制现有属性许可 ● 从 Microsoft Excel 电子表格中复制内容并将其粘贴到不同的字段

前提条件

“管理属性许可” (SAP_IBP_BC_ATTPERM_PC) 业务目录必须分配到管理员角色，以便管理员查看“管理属性许可”应用。

活动

必须为所有业务用户分配属性读取和写入属性许可。如果用户没有分配，他们将无法查看或更改任何属性。同样，您可以在“管理属性许可”中为写入权限中包含或排除的属性分配复杂规则的各种组合。

 注意

写入属性许可取决于定义的读取属性许可。您只能修改您可以查看的属性（未经许可）。

创建新业务用户时，ATTPERM_ASSIGN_NEW_USER 全局参数会自动将新用户分配给 SAP_ALL_ATTRIBUTES 属性许可。这使用户可以查看所有属性。但是，您可以将用户分配给一些其他有更高限制的属性许可。您还可以将用户组分配给属性许可。

 注意

全局参数 ATTPERM_ASSIGN_NEW_USER 的值影响 SAP_ALL_ATTRIBUTES 到新创建用户的分配。

读取和写入许可可能是以下之一：

安全方面 PUBLIC 身份和访问管理公共 29 ● “无限制”：用户可以查看或修改所有属性 ● “受限”：用户只能查看他们具有许可的特定属性，并且只能根据其写入许可修改这些属性的子集 ● “禁止访问”：用户对他们可以查看的属性没有写入访问权限。

如果没有为属性许可分配用户或用户组，则可以将其删除。

检查“许可报表”以验证您的条目。

 示例

作为管理员，您必须为需要查看所有属性的 15 个需求计划员（除需求计划员 A 这一用户之外）设置属性许可。

需求计划员 A 可能对查看与产品的装运位置相关的属性不感兴趣。此外，制造产品单位的成本可能是您不希望需求计划员看到的敏感信息。因此，您决定阻止访问“发运位置”和“制造成本”属性。

要处理此问题，您必须创建一个排除“发运位置”和“制造成本”属性的属性许可，并将计划员 A 分配给该属性许可。

 示例

作为业务用户，您具有属性 CUSTOMERID、CUSTOMERNAME、CUSTOMERTYPE 和 CUSTPAYERID 的读取许可。您的写入属性许可允许您仅修改包含字母 P 的属性。因此，根据您的写入属性许可，您只能更改属性 CUSTOMERTYPE 和 CUSTPAYERID。

多个分配

用户可能没有属性许可。如果没有为用户分配属性许可，则用户将看不到任何属性。如果为用户分配了多个属性许可，则规则将组合使用每组属性许可的允许属性 (UNION)。

 示例

用户被分配到 SAP_ALL_ATTRIBUTES（查看所有属性）和另外一个属性许可 ATTPERM001，后者仅允许用户显示 LOCID 和 CUSTID。因此，用户仍会看到所有属性。

也就是说，组合使用 SAP_ALL_ATTRIBUTES 和 ATTPERM001 后，与使用 SAP_ALL_ATTRIBUTES 这个限制最少的属性许可的作用相同。

 示例

用户被分配到属性许可 ATTPERM001（仅限 LOCID）和属性许可 ATTPERM002（仅限 CUSTID）。

组合使用 ATTPERM001 和 ATTPERM002 (UNION) 允许您同时查看 LOCID 和 CUSTID。

 示例

计划员 A 具有属性许可 ATTPERM001 和 ATTPERM002。ATTPERM001 允许计划员 A 读取和写入 LOCID，但 ATTPERM002 仅具有对 LOCID 的读取属性许可，而没有写入（修改）许可。在这种情况下，获胜属性许可是 ATTPERM001，因为其限制最少，并允许计划员 A 读取和写入 LOCID。

PUBLIC 安全方面 30 公共身份和访问管理  建议

要查看为业务用户分配了哪些属性许可，可以在“管理属性许可”应用中使用过滤器。

复制属性许可

您可以使用“复制”按钮复制现有属性许可，并且可以创建一个新属性许可。

复制的版本包括在“复制”弹出窗口中设置为 true（启用）的部分的值。将以下值设置为缺省值：

● 读取条件 = True ● 写入条件 = True ● 用户分配 = False ● 用户组分配 = False

复制的属性许可最初作为草稿创建。您需要通过保存新属性许可来手动对其进行激活。与新创建的属性许可一样，任何新复制的属性许可都必须具有唯一名称，然后才能对其进行保存。

如果您想要回滚复制的属性许可，您可以取消操作，而不对其进行保存。

请注意，您一次只能复制一个活动属性许可。

从 Microsoft Excel 粘贴内容

可以复制 Microsoft Excel 电子表格中的内容并将其粘贴到不同字段。

 注意

当前格式化预期您的每一个含有数据的列会与一个空列相邻，以正确执行复制和粘贴操作。

相关信息

第 31 页上的“SAP IBP 应用程序中的属性许可”

3.2.2.2.1 SAP IBP 应用程序中的属性许可

您可以使用“管理属性许可”应用指定主数据属性的读取和写入许可，并限制业务用户可以显示的属性。

必须为最终用户配置读取属性许可，以使其能够选择以下各项的属性：

● “分析 - 高级”应用

安全方面 PUBLIC 身份和访问管理公共 31 ● “定义并订阅自定义警报”应用 ● “仪表盘 - 高级”应用 ● “管理案例”应用 ● “智能可视性”应用 ● “数据集成作业”应用 ● “计划过滤器”应用 ● “应用程序作业”应用 ● “基于 Web 的计划”应用 ● “基于 Web 的计划 - 客户”应用 ● “基于 Web 的计划 - 供应商”应用 ● 适用于 Microsoft Excel 的 SAP IBP 加载项 ● 外部 OData 服务 ● 使用子网络的 S&OP 运算符 ● “管理主数据”应用 ● “基于动因的计划”应用 ● 面向数据服务的 SAP Cloud Integration

在某些特殊情况下，属性许可不会影响主数据的可见性。即使许可设置为限制可见性，仍会显示属性。

统计预测和 S&OP 的业务日志

生成应用程序日志以用于统计预测和 S&OP 作业。可能存在其他业务日志。如果这些日志中的信息包含已为用户限制的属性，则用户无法看到任何业务日志，但可以看到业务日志为何不再可见的警告消息。

 示例

执行统计预测作业并生成日志。其中一项包含业务日志形式的进一步信息。这些业务日志包含不允许用户查看的属性（例如，“CUSTID”）。作为读取属性许可的结果，用户无法看到任何业务日志的内容，但会看到警告消息，告诉用户由于许可限制而无法看到内容。

转换属性

如果您设置了计划视图并且没有转换属性的读取许可，则其仍然可用于计划目的。其原因是没有转换就无法计算相应的关键指标。

上述逻辑也适用于计划作业时的转换属性。但是，它不适用于 Excel 加载项主数据维护，其中转换属性将不可见。

共享和保存的对象

使用模板或收藏夹时，将适用以下两种结果。

PUBLIC 安全方面 32 公共身份和访问管理 ● 如果其包含计划级别定义中业务用户没有读取许可的属性，则对于所述用户将不可见。

● 如果其包含过滤器定义中业务用户没有读取许可的属性，则将清除过滤条件。

如果之前保存的过滤器包含过滤器定义中业务用户没有读取许可的属性，则将清除过滤条件。

以上逻辑也适用于“计划过滤器”应用。有关详细信息，请参阅有关计划过滤器的部分。

基于 Web 的计划应用程序

“基于 Web 的计划”、“基于 Web 的计划 - 客户”、“基于 Web 的计划 - 供应商”应用支持属性许可。为确保业务用户可以查看需要使用的主数据属性，您需要检查他们是否具有所需读取许可。如果尚未分配相关许可，则需要将其授予业务用户。

适用于 Microsoft Excel 的 SAP IBP 加载项

如果用户没有属性的读取许可，则该属性将无法在 Microsoft Excel 用户界面中选择。在属性写入许可的情况下，读取许可是此设置的前提条件。

您可以在以下列表中找到有关读取和写入许可的特殊用例的更多信息。

● 属性标识和属性描述之间的链接您可以在计划视图中使用在属性标识和属性描述之间具有链接的属性（例如，CUSTID 和 CUSTIDDESC）以进行计划。属性标识的读取许可设置将定义两者的可见性。在下表中，您可以找到这些情况的详细信息。

属性标识读取许可属性描述读取许可属性可见性

是是属性标识和描述都将可见

否否属性将不可见

否是属性将不可见

是否只有属性标识将可见

● 子网络如果最终用户没有子网络的读取许可，则无法在计划范围或作业运行和计划中选择该子网络。这可能导致 S&OP 或 IO 运算符在整个网络中运行。 ● 主数据工作簿许可如果业务用户具有主数据类型（例如，包含产品标识和产品组属性的许可）的许可，则这些是读取许可设置的可能结果： ○ 如果业务用户没有关键属性的读取许可（例如，产品标识），则“主数据工作簿”中将不会显示主数据类型。 ○ 如果业务用户没有可选属性的读取许可，则“主数据工作簿”许可不会发生更改。 ○ 如果业务用户在计划级别中没有根属性的读取许可，则在主数据维护中将不会显示计划级别（具有关键指标数据的计划对象）。这与业务用户没有该特定计划级别许可时类似。 ○ 如果已授予主数据类型及其所有关键指标的读取访问权限，则该主数据类型可用于在工作表定义中进行选择。（具有只读访问权限的属性是灰色的，如果用户更改了只读属性的值，则会在保存时显示错误。）

安全方面 PUBLIC 身份和访问管理公共 33 如果业务用户具有主数据类型的许可（例如，包含产品标识和产品组属性的许可），且已分配读取写入许可，则这些是可行设置的可能结果： ○ 如果已为主数据类型、键值和所需属性设置写入访问权限，则可以创建新的主数据类型。（没有写入许可的属性无法维护。如果用户尝试创建新的主数据类型记录，则会在保存时显示错误，并且不会通过数据集成上载关键字段、必填字段和已更改字段。） ○ 如果已为主数据类型设置写入访问权限，并且已为用户想要更改的相应属性设置读取或写入访问权限，则可以更新现有主数据记录。此外，还为已更改属性设置了写入权限。（没有写入许可的属性无法维护，并且会在保存时显示错误。） ○ 如果已为主数据类型和关键属性分配了写入访问权限，则可以删除主数据记录。（如果为此操作设置的许可不足，则拒绝更改。） ● 限制要使用更改历史记录原始视图，业务用户需要具有所有属性的读取许可，这些属性是启用历史记录的关键指标的基础计划级别属性。 ● 离线使用登录时不会检查离线 Microsoft Excel 工作簿的属性许可。检查许可设置后，业务用户可以查看数据，或者将收到错误消息，具体取决于这些设置。如果您遇到此错误消息，请与您的管理员联系以检查您的属性许可。

 示例

离线工作簿由业务用户 A（未设置任何属性限制）创建。这些设置包含在工作簿中，稍后由另一个业务用户 B（设置了受限制的属性许可）打开。登录时，系统可能会显示错误消息，并且在刷新时将根据业务用户 B 的许可更新计划视图。

定义并订阅自定义警报应用

根据系统管理员配置的属性许可，“计算级别属性”字段将仅显示用户可以看到的属性。如果您没有看到预期会看到的某些属性，请与您的系统管理员联系，以确定您的用户角色是否包含必要的许可，以便您查看缺少的属性。

如果在一个或多个自定义警报定义中的“计算级别属性”字段中使用属性，并且此字段稍后通过添加属性许可（即，您不再具有读取访问许可）进行限制，则警报将不会返回任何结果。

如果您在警报上应用计划过滤器，请注意共享过滤器不会显示您没有读取许可的条件。

 示例

下表列出了主数据类型 LOCATION 的属性：

LOCID LOCDESCR LOCREGION LOCTYPE

LC1 LCD1 NA A

LC2 LCD2 NA A

LC3 LCD3 APJ A

LC4 LCD4 NA A

管理员希望限制具有用户角色 <角色名称> 的用户查看用户没有读取许可的属性 LOCREGION，用户无法看到列 LOCREGION 作为结果。对于已应用属性许可的用户，将显示下表：

PUBLIC 安全方面 34 公共身份和访问管理 LOCID LOCDESCR LOCTYPE

LC1 LCD1 A

LC2 LCD2 A

LC3 LCD3 A

LC4 LCD4 A

除“计算级别属性”字段外，订阅还使用属性来过滤数据。相同的原则适用于过滤器字段和属性过滤器。

分析 - 高级应用

根据系统管理员配置的属性许可，“分组依据”和即席过滤器字段将仅显示用户可以看到的属性。如果您没有看到预期可用的某些属性，请咨询系统管理员。您的用户角色可能不包含查看缺少的属性所需的许可。

仪表盘 - 高级应用

根据系统管理员配置的属性许可，即席过滤器将仅显示用户可以看到的属性。如果您没有看到预期可用的某些属性，请咨询系统管理员。您的用户角色可能不包含查看缺少的属性所需的许可。

 注意

如果现有仪表盘已使用某个属性作为过滤器，并且该属性在以后仅限于该用户，则受该属性影响的仪表盘上的任何图表将不再显示任何数据。

案例管理应用

实时警报显示计算级别信息和图表。如果对警报的某个属性有限制，则实时警报和快照将不会显示任何警报信息。

 注意

“历史记录”标签未使用属性许可功能进行更新，并且将继续显示受限制的属性。

智能可视性应用

基于系统管理员配置的属性权限，需要访问必需的 Location ID 和 Material ID 字段以使用“智能可见性” 应用。

安全方面 PUBLIC 身份和访问管理公共 35 如果您没有看到预期可用的某些属性，请咨询系统管理员。您的用户角色可能不包含必要的权限供查看缺少的属性（例如，显示补充图表或警报）。

“数据集成作业”应用

根据数据类型和用户希望在“数据集成作业”应用中执行的操作，该用户需要以下部分中描述的属性许可。

关键指标数据对于用户想要为关键指标数据执行的任何操作，该用户至少需要对关键指标的基础计划级别的根属性的读取许可。

主数据根据用户想要对主数据执行的操作，该用户需要对下表中列出的不同属性类型具有不同的许可：

操作关键属性所需属性非关键属性

下载模板，更新现有主数据读取写入写入

插入新的主数据，删除或替换写入写入写入现有主数据

 注意

用户应仅将这些属性添加到其有权访问的 CSV 文件中。如果文件包含他们没有许可的任何属性，则将拒绝该文件。除非只更新现有行，否则必须始终包含必需的属性，因为自此之后，除了更新的属性外，您只需要包含关键属性。因此，要对主数据类型执行任何操作，用户应具有对主数据类型的所有上载的必需属性的写入许可。

对于更新和插入数据，“数据集成作业”应用提供了包含这两个操作的选项“插入/更新”。但是，由于插入新主数据类型的许可要求比更新现有主数据的许可要求更严格，因此系统会在使用此选项上载主数据时区分这两个操作。

 示例

插入新主数据和更新现有主数据

您的主数据类型为 PRODUCT。此主数据类型包含以下属性：

● PRDID （关键属性） ● PRDDESC

用户 A 具有属性 PRDID 的读取许可和属性 PRDDESC 的写入许可。

下表中显示的数据已在系统中用于主数据类型 PRODUCT：

PRDID PRDDESC

PRD1 Product A

用户 A 想要将 PRD1 的产品描述从“产品 A”更改为“产品 1”，并同时插入新产品的记录。用户 A 使用“插入/ 更新”选项上载包含下表中显示的数据的 CSV 文件：

PUBLIC 安全方面 36 公共身份和访问管理 PRDID PRDDESC

PRD1 Product 1

PRD2 Product 2

由于用户 A 没有关键属性 PRDID 所需的写入许可来插入新记录，因此拒绝整个文件。

要更新 PRD1 的产品描述，用户 A 需要删除 PRD2 的新记录并再次上载 CSV 文件。

不允许用户 A 为此主数据类型插入任何新记录。如果此用户想要为此主数据类型插入新记录，则管理员必须首先授予该用户关键属性 PRDID 的写入许可。

计划过滤器应用

从“计划过滤器”应用创建计划过滤器时，您只能看到已为其分配了读取许可的属性。

如果稍后为您的用户更改了读取属性许可，则在修改许可后尝试编辑计划过滤器时，将不再显示该属性。由于共享计划过滤器还会考虑读取属性许可，因此您只能看到具有读取许可的属性。计划过滤器完全应用于作业执行中的所有条件。

 示例

在“计划过滤器”应用中，您可以使用属性 CUSTID、运算符 EQ 和值 ABC 创建计划过滤器。

您的用户是 X，您创建了计划过滤器 P1。

用户 Y 与您的用户 X 共享包含属性 “CUSTID” 的计划过滤器 P2。

几天后，您的管理员更改了 CUSTID 属性的读取属性许可，并且您不再具有读取许可。

您将无法继续在计划过滤器 P1 或 P2 中看到 CUSTID 属性。如果您现在尝试编辑最初创建的 P1，则过滤器下拉列表将不再包含 CUSTID 属性，并且列表为空。

外部 OData 服务

使用 /IBP/EXTRACT_ODATA_SRV 或 /IBP/PLANNING_DATA_API_SRV OData 服务请求数据时，将根据系统管理员配置的已分配业务用户的属性权限返回数据。但是，在请求这些 OData 服务的元数据时，不会考虑属性权限。

应用程序作业应用

根据属性许可限制“统计预测”和 “S&OP 运算符”作业模板中的参数选择。

安全方面 PUBLIC 身份和访问管理公共 37 使用子网络的 S&OP 运算符

您需要属性许可才能使用子网运行 S&OP 运算符。您必须具有 Subnetwork ID (PLUNITID) 属性的读取许可。

管理主数据应用

对于具有主数据类型许可的业务用户，属性的读取许可会影响“管理主数据”应用，如下所示：

● 如果业务用户没有属性的读取许可，则此属性将不可见 ● 如果业务用户没有主数据类型的任何关键属性或所需属性的读取许可，则主数据类型将不可见

对于具有主数据类型许可的业务用户，属性的写入许可会影响“管理主数据”应用，如下所示：

● 如果业务用户没有属性的写入许可，则此属性为只读 ● 如果业务用户没有主数据类型的任何关键属性或所需属性的写入许可，则不允许创建和删除主数据条目

基于动因的计划

为确保业务用户可以查看需要使用的主数据属性，您需要检查他们是否具有所需读取和写入许可。如果尚未分配相关许可，则需要将其授予业务用户。

面向数据服务的 SAP Cloud Integration

仅当作业模板中的所选 CI-DS 任务支持全局变量 $G_IBP_USER_ID 时，才能启用和编辑 User Permissions 参数。启用此参数后，意味着 CI-DS 任务从 SAP IBP 系统读取数据时，它将通过应用作业所有者的读取和写入属性许可权限来限制数据。使用全局变量 $G_IBP_USER_ID 将作业所有者的用户标识传递到选定任务。从适用于 Microsoft Excel 的 SAP IBP 加载项计划 CI-DS 作业模板时，始终应用用户上下文。

相关信息

第 29 页上的“管理属性许可”

PUBLIC 安全方面 38 公共身份和访问管理 3.2.2.3 关键指标的可编辑性区间

可编辑性区间是为关键指标定义的时间，在此业务用户可以编辑关键指标数据。

当用户手动更改关键指标值时，系统会考虑可编辑性区间，当系统流程完成更改时（例如，当预测运行更改关键指标值时），将忽略可编辑性区间。以下范围中考虑可编辑性区间：

● 适用于 Microsoft Excel 的 SAP Integrated Business Planning 加载项（Excel 加载项）可使用可编辑关键指标的格式化规则在 Excel 加载项中显示可编辑性区间。有关详细信息，请参阅用于可视化关键指标可编辑性的格式设置规则。 ● “基于 Web 的计划”应用 ● “基于动因的计划”应用

可编辑性区间定义相对于当前期间的时间，同时考虑可能已在计划范围的配置中设置的偏移。可编辑性区间可基于以下内容：

● 关键指标 ● 关键指标和属性（属性不必是关键属性） ● 关键指标和属性组合（属性不必是关键属性）

可以在不同于关键指标的存储级别中所定义的时间级别定义可编辑性区间。例如，即使关键指标存储在技术周级别，也可以按月定义可编辑性区间。

可编辑性区间可以是开放式的，例如，可将其定义为间隔，包括从当前时间段到计划区间结束的每个时间段。也可以将其定义为窗口，例如，从当前时间段 -3 个期间到当前时间段 + 5 个时间段。

注意事项

● 如果时间段由于可编辑性区间的定义方式而部分不可编辑，则系统会将该关键指标可编辑性区间视为不可编辑。 ● 对于定义了可编辑性区间基于聚合属性规则的时间段，如果其所有计划对象在该特定时间段内都可编辑，则该时间段也可编辑。 ● 如果关键指标具有多个为其定义的可编辑性区间，则可编辑性区间具有 OR 链接。

 示例

对于关键指标 “X”，将关键指标可编辑性区间 “A” 定义为 - 3 到 5，关键指标可编辑性区间 “B” 定义为 1 到 6，关键指标在期间 - 3 到 6 内可编辑。

● 如果已设置与时间参数文件属性的期间到期间比较（请参阅使用时间参数文件属性配置期间到期间的比较），为其设置时间参数文件属性的时间参数文件中时间段的可编辑性设置可确定值在适用于 Microsoft Excel 的 SAP IBP 加载项中是否可编辑。

安全方面 PUBLIC 身份和访问管理公共 39 3.2.2.3.1 管理关键指标的可编辑性区间

目的

可以使用“管理关键指标的可编辑性区间”应用为一组关键指标定义可修改关键指标的受限制时间区间。

可通过业务角色限制将使用应用定义的可编辑性区间分配给用户。这将授权用户在受限制时间区间编辑关键指标。用户必须已经有权通过“关键指标”限制类型和为其分配的许可过滤器来编辑关键指标。

关键功能

使用“管理关键指标的可编辑性区间”应用，可以执行以下操作：

● 创建新的可编辑性区间。 ● 复制、修改和删除现有可编辑性区间。 ● 根据分配了可编辑性区间的计划范围、关键指标、业务角色和用户，显示和过滤这些可编辑性区间。 ● 显示分配了每个可编辑性区间的业务角色的计数和详细信息。 ● 显示通过业务角色分配了每个可编辑性区间的用户的计数和名称。 ● 查找特定计划范围内尚未在具有 SAP 缺省可编辑性区间 (SAP_DEFAULT_HORIZON)、“就绪”状态的可编辑性区间中使用的关键指标。有关详细信息，请参阅第 44 页上的“使用缺省可编辑性区间”。

支持的设备类型

● 台式机 ● 平板电脑 ● 智能手机

相关信息

第 41 页上的“创建可编辑性区间” 第 42 页上的“可编辑性区间的限制级别” 第 44 页上的“使用缺省可编辑性区间” 第 45 页上的“将可编辑性区间分配给业务用户” 第 50 页上的“业务目录”

PUBLIC 安全方面 40 公共身份和访问管理 3.2.2.3.1.1 创建可编辑性区间

可以使用“管理关键指标的可编辑性区间”应用为关键指标创建新的可编辑性区间。

背景信息

可为一组关键指标定义时间区间，可在其中修改关键指标。可通过业务角色限制将使用应用定义的可编辑性区间分配给用户。可在特定计划范围中为关键指标创建受限制或无限制可编辑性区间。

 注意

创建新业务角色时，必须维护“关键指标的可编辑性区间”限制类型的写入访问权限。如果没有为用户分配可编辑性区间，或者限制级别未通过角色设置为“无限制”，则用户无法再编辑特定范围中的任何关键指标。有关详细信息，请参阅第 45 页上的“将可编辑性区间分配给业务用户”。

过程

1. 打开“管理关键指标的可编辑性区间”应用。

您会看到系统中已创建的所有可编辑性区间的概览。 2. 选择“创建”并输入新区间的标识和名称。

创建可编辑性区间时，名称和标识必须唯一，且可编辑性区间不得共享相同的标识或名称。 3. 选择计划范围。 4. 使用下拉列表选择状态。

可编辑性区间可以有两种状态 - “进行中”和“就绪”。

“进行中”状态表示可编辑性区间尚未准备就绪。“就绪”状态表示其处于活动状态，用户在编辑关键指标时系统会将其考虑在内。

 注意

创建或修改可编辑性区间时，系统将运行可编辑性检查以确保区间设置和规则定义的正确性。确保在进行更改后选择“就绪”，并且业务用户通过业务角色获得分配的可编辑性区间，以便可以成功运行关键指标的可编辑性检查。

5. 为要为其定义可编辑性区间的计划范围选择一组关键指标。

可分配到可编辑性区间的关键指标列表，取决于您选择的计划范围。可选择过去、当前或未来的活动、已存储且可编辑（但不可系统编辑）的关键指标。必须至少分配一个关键指标才能创建区间。可分配的最大关键指标数限制为作为所选计划范围的一部分列出并具有上述属性的关键指标数。

 注意

要使用“动态规则”，需要仔细选择关键指标，以便所有所选关键指标的基础计划级别都具有一些通用属性。

安全方面 PUBLIC 身份和访问管理公共 41 有关如何使用限制级别的详细信息，请参阅第 42 页上的“可编辑性区间的限制级别”。

6. 选择“区间”的限制级别，并选择时间段和规则（如果已选择限制区间）。

3.2.2.3.1.2 可编辑性区间的限制级别

可编辑性区间可以创建为受限制或无限制区间。

无限制区间允许您在任何时间段内编辑所选关键指标，并从计划范围的计划区间中定义的期间范围编辑所选关键指标，同时考虑计划范围配置中“允许编辑”字段的关键指标可编辑性设置。有关详细信息，请参阅第 46 页上的 “关键指标可编辑性的级联”。

如果选择创建受限制可编辑性区间，必须首先从分配到计划范围的时间参数文件中选择时间级别“时间段”。

要限制所选时间段，可从以下选项中选择：

● 固定规则 ● 动态规则 ● 固定规则和动态规则

 注意

如果两个规则都启用，则在运行时首先应用动态规则。对于不满足动态规则的属性值组合，应用固定规则。

固定规则

利用固定规则，可以为已分配给它的关键指标选择固定但滚动的可编辑性区间。

可选择将“自”和“至”字段设置为无限制，或指定开始和结束时间。过去和未来时间段都可以表示为负值或正值，并且相对于当前期间。

“自”时间的正值表示可编辑性区间在未来开始，负值指示可编辑性区间在过去开始。

 示例

如果当前期间为 2021 年 5 月并且将“时间段”设置为每月、“自” = 2、“至” = 5，则表示关键指标可在从当前时间段开始两个月到未来 5 个月的时间范围内进行编辑，这意味着介于 2021 年 7 月到 2021 年 10 月之间。

 注意

时间段值取决于所选计划范围的计划区间中允许的内容。

动态规则

利用动态规则，可以在属性值组合级别定义更精细的可编辑性区间。

PUBLIC 安全方面 42 公共身份和访问管理可以在计划级别和主数据之间进行选择，以定义所选关键指标的可编辑性区间。

计划级别

如果所有所选关键指标在其基础计划级别中通常至少有一个整数类型的属性（此属性的值用于定义区间）并且不属于时间参数文件，则使用此类型。

在“属性分配”下的“自”或“至”字段中，可以分配一个整数类型的公用属性，或者如果还启用了“固定规则”，则可以分配“固定从”和“固定到”选项。

如果选择的属性具有值“（空）”，则意味着以下内容：

● 如果在“至”字段中选择属性，则可编辑性区间在未来是无限制的。 ● 如果在“自”字段中选择属性，则可编辑性区间在过去是无限制的。

主数据

使用此选项根据参考主数据类型及其属性定义可编辑性区间。

定义的参考主数据类型必须处于活动状态，并且不一定与计划范围相关。参考主数据类型必须包含以下内容：

● 整数类型的属性，表示“自”和“至”滚动区间限制之一或两者 “自”值或“至”值可能是静态的，而另一个值是动态的，因此拥有来自主数据类型的值之一就足够了。 ● 其他属性，可以映射到所选关键指标的基础计划级别属性。

高级连接条件

在“参考的主数据类型”字段中指定参考主数据类型时，系统会自动生成连接条件。系统通过使用存在于区间内所选关键指标的所有基础计划级别中的属性以及存在于主数据类型中的属性来完成此操作。系统仅为基础计划级别和主数据类型中具有相同标识的属性生成连接条件。

可审核生成的连接条件并相应地进行调整。如果系统无法生成任何连接条件，则需要手动维护。

选择计划级别属性并将其分配给主数据类型属性。可选择的计划级别属性必须存在于所选关键指标的所有基础计划级别中。但是，属性不必是计划级别的根属性。

 注意

必须至少定义一个连接条件。

 示例

已使用以下属性定义主数据类型 PRDLOCHORIZON：

● 产品标识 (PRDID) ● 位置标识 (LOCID) ● 区间自 (HORIZONFROM) ● 区间至 (HORIZONTO)

将以下值上载到主数据类型 PRDLOCHORIZON：

产品标识位置标识区间自区间至

HT_001 HD_DC_CA_E 0 5

HT_002 HD_DC_CA_E 1 4

安全方面 PUBLIC 身份和访问管理公共 43 产品标识位置标识区间自区间至

HT_003 HD_DC_US_E 1 8

想要定义一个可编辑性区间，使得 PRDLOCHORIZON 主数据中定义的产品标识和位置标识的属性值组合的关键指标“销售预测数量” (SALESFCSTQTY) 可编辑，同时考虑“区间自”和“区间至”中定义的值（时间范围）。

对于其余的属性组合，希望仅针对从当前期间开始的前三个月允许 SALESFCSTQTY 可编辑。

为此，为关键指标 SALESFCSTQTY 定义可编辑性区间，并为每月“时间段”选择一个受限制区间。

启用“静态规则”选项，并将“自”设置为 0，将“至”设置为 3。

还可以启用主数据类型的“动态规则”。将创建的主数据类型 PRDLOCHORIZON 分配到“所参考主数据”类型，将属性 HORIZONFROM 分配到“自”字段，将属性 HORIZONTO 分配到“至”字段。

系统自动生成以下高级连接条件：

计划级别属性产品标识运算符主数据属性描述

LOCID 位置标识等于 LOCID 位置标识

PRDID 产品标识等于 PRDID

根据主数据动态规则定义，此可编辑性区间允许在从当前期间开始的前 5 个月，“产品标识 = HT_001” 和 “位置标识 = HD_DC_CA_E” 组合的 SALESFCSTQTY 关键指标可编辑。根据固定规则定义，对于 “产品标识 = HT_001” 和“位置标识 = HD_DC_DE” 组合，允许从当前期间开始的前 3 个月可编辑。

相关信息

第 47 页上的“动态规则中可编辑性区间的聚合”

3.2.2.3.1.3 使用缺省可编辑性区间

SAP 提供了缺省可编辑性区间 (SAP_DEFAULT_HORIZON)，它为“就绪”状态下没有定义可编辑性区间的所有活动计划范围的所有活动和存储的可编辑关键指标授予了无限制区间。

无法编辑缺省可编辑性区间，但是可以通过“可编辑性区间”限制字段将其分配给用户。

 示例

如果尚未在“就绪”状态下定义任何可编辑性区间，则缺省可编辑性区间包含所有已存储的可编辑关键指标，包括 CONSENSUSDEMANDQTY。

如果定义了包含 CONSENSUDEMANDQTY 且处于“就绪”状态下的可编辑性区间，则 CONSENSUDEMANDQTY 不再包含在缺省可编辑性区间中。

PUBLIC 安全方面 44 公共身份和访问管理  注意

缺省可编辑性区间可帮助您轻松地为不想显式定义可编辑性区间的关键指标分配无限制可编辑性区间。

 示例

您要定义两个受限制可编辑性区间：“EH1” 和 “EH2”（针对关键指标 DEMANDPLANNINGQTY 和 SALESFORECASTQTY 中的每一个）。其余关键指标必须具有无限制可编辑性区间。为此，必须在“可编辑性区间”限制字段中为业务角色分配缺省可编辑性区间：“EH1” 和 “EH2” 区间。

相关信息

第 42 页上的“可编辑性区间的限制级别”

3.2.2.3.1.4 将可编辑性区间分配给业务用户

关键指标的可编辑性区间可通过业务角色使用“关键指标的可编辑性区间”限制类型分配给业务用户，该限制类型具有名为“可编辑性区间”的限制字段。

此限制类型已分配到以下业务目录：

● “基础计划任务” (SAP_IBP_BC_EXCEL_ADDIN_PC) ● “基于 Web 的计划” (SAP_IBP_BC_WBP_PC ) ● “业务伙伴（客户）基于 Web 的计划” (SAP_IBP_BC_WBP_BUPA_CUST_PC) ● “业务伙伴（供应商）基于 Web 的计划” (SAP_IBP_BC_WBP_BUPA_SUP_PC) ● “基于动因的计划” (SAP_IBP_BC_DBP_PC) ● “库存分析” (SAP_IBP_BC_INVANA_PC)

用户必须已经有权通过“关键指标”限制类型和为其分配的许可过滤器来编辑关键指标。

 注意

创建新业务角色时，必须在“写入访问”中维护“可编辑性区间”限制字段。

如果未向用户分配可编辑性区间，且访问权限未通过业务角色在“可编辑性区间”限制字段中设置为“无限制”，则用户无法手动编辑以下范围中的关键指标：

● 适用于 Microsoft Excel 的 SAP Integrated Business Planning 加载项 ● “基于 Web 的计划”应用 ● “基于动因的计划”应用

安全方面 PUBLIC 身份和访问管理公共 45 相关信息

第 44 页上的“使用缺省可编辑性区间”

3.2.2.3.2 关键指标可编辑性的级联

按特定用户的关键指标值的可编辑性由多种因素决定。在定义关键指标值可编辑性的其他设置基础上，还会考虑关键指标的可编辑性区间。它用于限制并且不会扩展关键指标的可编辑性。

关键指标配置

在配置中定义关键指标时，在“允许编辑”字段中，可以指定是否允许编辑，如下所示：

● “不可编辑”：无法在适用于 Microsoft Excel 的 SAP IBP 加载项中编辑关键指标。此设置与我们的目的无关。 ● “在当前或将来期间可编辑”：系统用户和计划算法都可以更改关键指标，但只能在当前期间或未来期间进行更改。

PUBLIC 安全方面 46 公共身份和访问管理 ● “过去可编辑”：系统用户和计划算法都可以更改关键指标，但只能在过去期间进行更改。 ● “系统可编辑”：任何类型的计划算法（例如，预测算法）都可以更改完整时间区间的关键指标此设置与我们的目的无关。 ● “全部可编辑”：可以进行上述任何更改。

上述值描述系统中所有用户的关键指标的可编辑性。

业务角色中的关键指标限制

分配给业务用户的角色、权限和许可确定特定用户可以编辑的关键指标值的子集。有关详细信息，请参阅第 45 页上的“将可编辑性区间分配给业务用户”。

许可过滤器

单个业务用户对关键指标可编辑性的下一级别限制是分配了业务用户的许可过滤器。

 示例

假设许可过滤器仅为特定用户提供关键指标的读取访问权限，而不提供写入访问权限。如果将可编辑性区间定义为 -3 到 5，则许可过滤器不允许用户编辑关键指标，因此该特定用户的关键指标可编辑性区间为 0。

有关详细信息，请参阅第 14 页上的“管理许可过滤器”和基于许可过滤器的计划视图中单元格的可编辑性。

可编辑性区间

最后，在“管理关键指标的可编辑性区间”应用中定义的可编辑性区间进一步限制关键指标值的可编辑性。

 示例

假设关键指标在当前和未来期间可编辑。

如果将可编辑性区间定义为 -3 到 5，则配置中定义的关键指标可编辑性设置确定可在当前和未来期间编辑关键指标，因此关键指标的可编辑性为 0 到 5。

有关详细信息，请参阅第 40 页上的“管理关键指标的可编辑性区间”。

3.2.2.3.3 动态规则中可编辑性区间的聚合

聚合级别（请求级别）的可编辑性区间由关键指标存储级别（存储级别）上的关键指标可编辑性区间确定。

如果已设置动态规则来定义可编辑性区间，则只能更改聚合级别（请求级别）的时间段，其中所有时间段组合均可在存储级别进行更改。

安全方面 PUBLIC 身份和访问管理公共 47  示例

级别 “L1” 的 “产品 1”定义了可编辑性区间 -2 到 3。

级别 “L2” 的 “产品 1”定义了可编辑性区间 0 到 5。

在“产品”级别，“产品 1” 的可编辑性区间为 0 到 3。

除了“管理关键指标的可编辑性区间”应用中定义的可编辑性区间外，用户最终可以在适用于 Microsoft Excel 的 SAP IBP 加载项中编辑的关键指标值也由用户在计划视图中应用的关键指标配置、用户权限、许可过滤器和过滤器确定。

可编辑性区间不考虑在计算场景中可能发生的任何类型的属性推移，例如，时间属性的推移。仅检查哪些时间段指定为可编辑，哪些不是。

相关信息

第 42 页上的“可编辑性区间的限制级别”

3.3 基本概念

以下章节介绍了使用“身份和访问管理”的各种基本概念。

3.3.1 员工

员工为包含个人数据和雇用相关数据的员工记录。

您需要为您的组织中每个即将使用 SAP Integrated Business Planning 的人员创建员工。这是在“维护业务用户” 应用中创建业务用户必须进行的操作，您从此应用的所有员工清单中选择员工姓名，打开已经存储在“维护员工”应用中的员工个人数据。

相关信息

第 90 页上的“维护业务用户” 第 93 页上的“维护业务角色” 第 14 页上的“管理许可过滤器”

3.3.3 业务角色

业务角色会通过业务目录和限制为业务用户提供 Fiori 应用访问权限。

可以在“维护业务角色”应用中重新创建新的业务角色，或者通过复制和调整业务角色模板创建新的业务角色。

创建所需的业务角色后，可为其分配业务用户和业务目录。例如，如果创建“需求计划员”业务角色，并为其分配 M066521 业务用户和 SAP_IBP_BC_FORECATMODEL_PC 业务目录，则具有 M066521 业务角色的员工会获得 “管理预测模型”应用的访问权限。

如果还为该业务角色指定了限制，则会将业务用户的读取或写入权限限制到指定的项目集。

相关信息

第 93 页上的“维护业务角色” 第 50 页上的“业务目录”

安全方面 PUBLIC 身份和访问管理公共 49 第 69 页上的“限制” 第 100 页上的“业务角色模板”

3.3.4 业务目录

SAP Integrated Business Planning for Supply Chain 随附通过业务角色提供 SAP Fiori 应用访问权限的业务目录。

例如，如果将“预测模型”业务目录分配到其中一个或多个业务角色，则业务用户只能使用“管理预测模型”应用。可将业务目录分配至“维护业务角色”应用的“已分配业务目录”标签中的业务角色。

目录在预定义的组中提供，这些组可确定应用磁贴在快速启动板上的显示方式。例如，“需求计划员”是目录组的名称，也是快速启动板上磁贴组的名称。

您可以使用“业务目录”应用查看各个业务目录的详细信息，包括其描述和其为之提供访问权限的应用。

可用业务目录

下表列出了 SAP Integrated Business Planning for Supply Chain (SAP IBP) 中使用的业务目录。

 注意

您在应用中可以查看的业务目录数量要多于下表中列出的数量。请注意，这些附加业务目录与 SAP IBP 没有使用的特殊通用功能相关。仅表中列出的业务目录与 SAP IBP 相关。

业务目录名称业务目录标识已分配磁贴组分配的应用描述可用限制范围

“ABC - XYZ 段” SAP_IBP_BC_A “一般计划员” “管理 ABC/XYZ 允许用户创建、编辑和 “分段限制” BCXYZ_SEGMEN 分段规则” 删除 ABC 与 XYZ 分段 “关键指标” T_PC 的参数文件。 “预测模型的分配”

“许可过滤器标识”

“警报定义和订 SAP_IBP_BC_A “警报” “定义并订阅自定允许用户执行以下任 “主数据” 阅” LERTDEF_PC 义警报” 务： “关键指标” ● 创建、编辑和删除版本特定关键指标自定义警报定义 “ ”

● 订阅自定义警报 “许可过滤器标识” ● 与其他用户共享警报订阅

PUBLIC 安全方面 50 公共身份和访问管理业务目录名称业务目录标识已分配磁贴组分配的应用描述可用限制范围

“警报监控器” SAP_IBP_BC_A “警报” “监控自定义警允许用户分析图表和度 “许可过滤器标识” LERTMON_PC 报” 量并将新案例或现有案 “关键指标” 例链接至警报以进行解 “自定义警报概决。 “版本特定关键指标” 览” “订单详细信息”

“分析” SAP_IBP_BC_A “一般计划员” “分析 - 高级” 允许用户执行以下任 “主数据” NALYTICS_PC 务： “仪表盘 - 高级” “关键指标” ● 出于可视化目的过供应链网络版本特定关键指标 “ ” 滤和分组数据 “ ”

● 将可视化作为图表 “许可过滤器标识” 保存于库 ● 与其他用户共享图表或将图表导出到文件 ● 查看“分析 - 高级” 应用、“供应链网络”应用中创建的图表，以及“管理流程”应用中创建的流程实例

“应用程序作业模 SAP_IBP_BC_A “管理员” “应用程序作业模允许用户创建并维护应 – 板” PPJOBTEMPLAT 板” 用程序作业模板（包括 E_PC 作业链）。

“应用程序作业” SAP_IBP_BC_A “应用程序作业” “应用程序作业” 允许用户为其他应用创 – PPLICATIONJO 建计划运行并检查自己 “一般计划员” B_PC 或同事创建的计划运行结果。

“应用程序作业 - SAP_IBP_BC_R “常规响应计划 “应用程序作业 - 允许用户为基于订单的 – 基于订单的计划” MAPPLJOB_PC 员” 基于订单的计划” 计划的应用程序创建计划运行，以及检查自己或同事创建的计划运行结果。

“应用程序日志” SAP_IBP_BC_L “一般计划员” “应用程序日志” 允许用户访问所有应用 “应用程序日志” OG_PC 程序日志。

“Ariba Network SAP_CORE_BC_ “Ariba Network “管理 Ariba 允许用户定义共享密 – 集成” ARB 集成” Network 凭据和钥，以便在与 Ariba 交端点” 换业务网络协作中的数据共享消息时对其系统进行验证。

安全方面 PUBLIC 身份和访问管理公共 51 业务目录名称业务目录标识已分配磁贴组分配的应用描述可用限制范围

“基本功能” SAP_IBP_BC_B “基本功能” “适用于允许用户设置要在用于 – ASIC_PC Microsoft Excel Microsoft Excel 的 IBP 的 SAP IBP 加载加载项中使用的缺省计项” 划范围。

“用户首选项”

“需求驱动补货” SAP_IBP_BC_D “需求驱动补货计 “需求驱动补货参允许用户使用需求驱动 “管理计划参数文件” DR_PC 划员” 数文件” 补货的相关对象，维护和创建新的运算符。

缓冲区 “DDMRP SAP_IBP_BC_I “需求驱动补货计 “DDMRP 缓冲区允许用户查看并比较 – 分析” NV_DDMRP_PC 划员” 分析” DDMRP 场景与用户提供的相对于基线建议的分离点。

缓冲状 “DDMRP SAP_IBP_BC_D “需求驱动补货计 “DDMRP 缓冲状允许用户监控当天的缓 “关键指标” 态监控” DMRPSTATUS_P 划员” 态监控” 冲状态百分比、现有库 “许可过滤器标识” C 存、订单建议、净流动头寸和将来日期的预计现有库存。

允许用户使用变式（包括缺省变式）定义信息的排序和过滤。

“预测模型” SAP_IBP_BC_F “需求计划员” “管理预测模型” 允许用户执行以下任 “预测模型的管理” ORECASTMODEL 务： “分配预测模型” “关键指标” _PC ● 查看、创建、编管理预测自动化预测模型的分配 “ 辑、复制和删除预 “ ” 参数文件” 测模型 “许可过滤器标识” ● 将预测模型分配到 “需求感知管理” 指定计划范围中的计划对象 “管理计划参数文件” ● 查看、更改或删除现有分配 ● 查看、创建、编辑和删除预测自动化参数文件

PUBLIC 安全方面 52 公共身份和访问管理业务目录名称业务目录标识已分配磁贴组分配的应用描述可用限制范围

“计划基础” SAP_IBP_BC_P “计划基础” “计划日历” 允许用户执行以下任 “日历” LAN_BASICS_P 务： C ● 显示、创建和复制计划日历 ● 编辑和删除尚未生成的计划日历 ● 删除计划日历（如果其相关工厂日历已被删除）

“促销” SAP_IBP_BC_P “需求计划员” “分析促销” 允许用户检验促销数据 “主数据” ROMOTION_PC 并决定是否要在预测中 “关键指标” 包含促销。

一般计划员 “过程剧本” SAP_IBP_BC_P “ ” “过程剧本” 允许用户定义用于解决 “许可过滤器” BK_PC 供应链计划问题的标准 “关键指标” 化过程。

“管理产品生命周 SAP_IBP_BC_P “需求计划员” “管理产品生命周允许用户管理其产品的 “管理功能” 期” ROD_LIFECYC_ 期” 生命周期。 “主数据” PC “关键指标”

“产品生命周期管 SAP_IBP_BC_P “管理员” “产品生命周期的允许用户创建设置参数 – 理的设置” LM_SETTINGS_ 设置” 文件来定义流程并在“管 PC 理产品生命周期”应用中指定对需求计划员可用的设置。

“用于预测误差计 SAP_IBP_BC_K “需求计划员” “管理预测误差计允许用户管理需求计划 “许可过滤器标识” 算的参数文件” PIPROFILE_PC 算 - 需求计划” 的预测误差计算。 “关键指标”

“预测模型的分配”

“管理参数文件”

“用于库存预测误 SAP_IBP_BC_I “库存计划员” “管理预测误差计允许用户管理库存优化 “许可过滤器标识” 差计算的参数文 NV_KPIPROFIL 算 - 库存优化” 的预测误差计算。 “关键指标” 件” E_PC “预测模型的分配”

“管理参数文件”

“库存参数文件 ” SAP_IBP_BC_I “库存计划员” “库存参数文件 ” 允许用户查看、创建、 “管理计划参数文件” NV_PPF_PC 编辑并删除库存优化计划参数文件。

安全方面 PUBLIC 身份和访问管理公共 53 业务目录名称业务目录标识已分配磁贴组分配的应用描述可用限制范围

“库存分析 ” SAP_IBP_BC_I “库存计划员” “库存分析 ” 允许用户自发创建输入 “许可过滤器标识” NVANA_PC 需求、供应和策略变量 “关键指标” 库存相关更改的场景。创建后，用户可以查看 “计划运算符” 和编辑场景。 “子网络”

“版本特定关键指标”

“可编辑性区间”

“变更历史记录” SAP_IBP_BC_C “一般计划员” “变更历史记录分允许用户在“变更历史记 “许可过滤器标识” HANGEHIST_PC 析” 录”应用和“变更历史记 “关键指标” 录分析”应用中查看更改存储的关键指标及其相 “版本特定关键指标” 关已计算关键指标的更改。在“变更历史记录” 应用中，还允许用户将数据下载到 CSV 文件。

允许用户启用记录关键 “变更历史记录的 SAP_IBP_BC_C “管理员” “变更历史记录的 – 指标变更的源。设置” HANGEHISTSET 设置” _PC

“管理基于滞后的 SAP_IBP_BC_D “一般计划员” “管理基于滞后的允许用户为基于滞后的 “管理计划参数文件” 快照” MLAGSNAP_PC 快照” 快照创建、编辑和删除配置，其中基于滞后的快照可捕获需求感知和其他计划流程的预测。

“案例” SAP_IBP_BC_C “一般计划员” “管理案例” 允许用户执行以下任 – ASES_PC 务：

● 创建并查看案例 ● 向案例分配所有者和任务 ● 向案例和任务添加注释 ● 将与案例有关的任务标记为已完成

PUBLIC 安全方面 54 公共身份和访问管理业务目录名称业务目录标识已分配磁贴组分配的应用描述可用限制范围

“任务” SAP_IBP_BC_T “一般计划员” “任务” 允许用户执行以下任 – ASKS_PC 务：

● 查看并编辑相关任务 ● 在 SAP Jam 中创建流程相关任务 ● 将任务标记为已完成

“协作” SAP_IBP_BC_C “一般计划员” “协作” 允许用户执行以下任 – OLLABORATION 务： _PC ● 访问 SAP Jam 主页，在其中可以查看主页源，输入状态更新 ● 与其他人协作 ● 创建用于协作的组

“协作” SAP_CORE_BC_ “一般计划员” – 与 SAP Jam 集成所需 – SM 的技术业务目录。

“收藏夹” SAP_IBP_BC_F “一般计划员” “适用于允许用户从快速启动板 “模板” AVORITES_PC Microsoft Excel 直接访问适用于的 SAP IBP 加载 Microsoft Excel 的 SAP 项” IBP 加载项中的收藏夹计划视图。 “收藏夹”

“计划过滤器” SAP_IBP_BC_F “一般计划员” “计划过滤器” 允许用户查看、编辑、 – ILTER_PC 复制并删除在 SAP Integrated Business Planning for Supply Chain 其他范围中使用的过滤器。

安全方面 PUBLIC 身份和访问管理公共 55 业务目录名称业务目录标识已分配磁贴组分配的应用描述可用限制范围

“基本计划任务” SAP_IBP_BC_E “适用于允许用户执行一组计划 “管理功能” XCEL_ADDIN_P Microsoft Excel 任务，包括以下内容： “关键指标的可编辑性区 C 的 SAP IBP 加载 ● 审核与修改计划数间” 项” 据 “应用程序日志” “应用程序作业” ● 运行与计划库存优化和统计预测作业 “计划对象” “应用程序作业模 ● 计划针对计划运算板 “主数据” ” 符的应用程序作业 “变更历史记录” ● 计划与数据集成有 “基于时间序列的预测消关的多个任务耗（未对 S&OP 运算符 ● 查看更改历史记录启用）”

预测模型的管理  注意 “ ” “计划注释可编辑性” 自 2011 版本起，此业务目录对 “关键指标” 于希望使用适用于 “计划运算符” Microsoft Excel 的 SAP IBP 加载项的 “子网络” 用户是必需的。 “模板”

“版本特定关键指标”

“原因代码”

“重新排列执行”

“许可过滤器”

“可编辑性区间”

“下载 Excel 加载 SAP_IBP_BC_E “适用于允许用户下载适用于 – 项” XCEL_DOWNLOA Microsoft Excel Microsoft Excel 的 SAP D_PC 的 SAP IBP 加载 IBP 加载项。项”

“数据集成” SAP_IBP_BC_D “管理员” “数据集成作业” 允许用户导入包含多种 “关键指标” ATAINTEGRATI 数据类型和模型实体值 “主数据” ON_PC 的 CSV 文件，并查看这些上载作业的状态和属 “计划对象” 性。 “数据集成类型”

“类别” SAP_IBP_BC_C “管理员” “管理类别” 允许用户创建、编辑并 – ATEGORIES_PC 删除应用于“案例”和“自定义警报”应用中的类别。

PUBLIC 安全方面 56 公共身份和访问管理业务目录名称业务目录标识已分配磁贴组分配的应用描述可用限制范围

“计划模型” SAP_IBP_BC_P “管理员” “运输模型实体” 允许用户执行以下任 – LANMODEL_PC 务： “属性” ● 创建、复制、编辑原因代码 “ ” 和删除主数据类型

“主数据类型” 和属性、时间参数文件、计划范围、 “时间参数文件” 计划级别、关键指标、版本和计划运 “样例模型实体” 算符 “计划范围” ● 向关键指标添加计 “关键指标计算” 算 ● 创建或删除原因代 “多语种支持” 码和全局配置参数 “关键指标组” ● 在架构中将完整计划模型、模型的某些实体（主数据类型或预测模型）或许可过滤器从一个系统传输到另一个系统 ● 比较计划范围 ● 设置多语种支持

“计划模型传输” SAP_IBP_BC_P “管理员” “运输模型实体” 您可以使用此应用在架 – LANMODEL_TR_ 构中将完整计划模型、 PC 模型的某些实体（主数据类型或预测模型）许可过滤器或数据共享计划从一个系统传输到另一个系统。

安全方面 PUBLIC 身份和访问管理公共 57 业务目录名称业务目录标识已分配磁贴组分配的应用描述可用限制范围

允许用户执行以下任 “计划模型配置” SAP_IBP_BC_P “管理员” “运输模型实体” – 务： LANMODEL_CF_ “属性” PC ● 创建、复制、编辑 “原因代码” 和删除主数据类型和属性、时间参数主数据类型 “ ” 文件、计划范围、

“时间参数文件” 计划级别、关键指标、版本和计划运 “样例模型实体” 算符

“计划范围” ● 向关键指标添加计算 “多语种支持” ● 创建或删除原因代 “关键指标组” 码和全局配置参数 ● 比较计划范围 ● 设置多语种支持

“计划模型激活” SAP_IBP_BC_P “管理员” 允许用户激活计划范 – LANMODEL_ACT 围、时间参数文件和主 _PC 数据类型。

此目录不包含 SAP Fiori 磁贴。要使用此目录，必须将计划模型业务目录分配至相同的业务角色并提供读取访问权限。

“身份和访问管 SAP_CORE_BC_ “管理员” “维护业务角色” 允许用户执行以下任 – 理” IAM 务： “业务角色模板” ● 创建和编辑业务角维护业务用户 “ ” 色 ● 将业务用户分配到角色并指定角色的限制 ● 检查已提供的业务角色模板和模板是否通过升级发生更改 ● 创建和编辑业务用户并为其分配业务角色

允许用户显示已删除业 “身份和访问管理 SAP_CORE_BC_ “管理员” “维护已删除的业 – 务用户的详细信息（例 - 已删除用户的 IAM_UMD 务用户” 如保留期）并允许或阻用户管理” 止其重新创建。

PUBLIC 安全方面 58 公共身份和访问管理业务目录名称业务目录标识已分配磁贴组分配的应用描述可用限制范围

“身份和访问管理 SAP_CORE_BC_ “管理员” “IAM 关键指标” 允许用户获取有关业务 – - 用户管理” IAM_UM 用户和业务角色的严重问题的快速概览。

“身份和访问管理 SAP_CORE_BC_ “管理员” “维护业务角色” 允许用户将业务用户分 – - 角色分配” IAM_RA 配至业务角色。 “维护业务用户”

“身份和访问管理 SAP_CORE_BC_ “管理员” “维护业务角色” 允许用户创建并维护业 – - 角色管理” IAM_RA_RM 务角色。

“身份和访问管理 SAP_CORE_BC_ “管理员” “维护业务用户” 允许用户创建并维护业 – - 用户管理” IAM_RA_UM 务用户。

“员工 - 主数据” SAP_HCM_BC_E “管理员” “维护员工” 允许用户查看、编辑和 – MP_MDT_PC 删除个人和员工数据并在系统中创建新员工记录。

“安全 - 安全审计 SAP_CORE_BC_ “安全” “安全审计日志” 允许用户显示安全审计 – 日志” SEC_SAL 日志

“管理许可过滤 SAP_IBP_BC_V “管理员” “许可过滤器” 允许用户创建、编辑并 – 器” ISFILTER_PC 删除许可过滤器。

“用户组” SAP_IBP_BC_U “管理员” “用户组” 允许用户出于协作目的 – SERGROUP_PC 创建并编辑用户组。

“系统监控” SAP_IBP_BC_SY “管理员” “系统监控” 用户能够获取系统的性 – SMON_PC 能概览。 “监控系统任务” 允许用户显示与 SAP IBP 系统中执行的不同类型任务（流程）相关联的详细信息。

“管理关键指标的 SAP_IBP_BC_K “管理员” “管理关键指标的允许用户为一组关键指 – 可编辑性区间” FEH_PC 可编辑性区间” 标定义限制的时间窗口，可在其中修改关键指标。

“预测消耗参数文 SAP_IBP_BC_R “基于订单的计划 “预测消耗参数文允许用户查看、创建、 – 件” MFCSTPROFILE 配置” 件” 编辑并删除预测消耗参 _PC 数文件。

“基于订单的计划 SAP_IBP_BC_R “基于订单的计划 “基于订单计划的允许用户查看并编辑运 – 设置” MSETTING_PC 配置” 设置” 行基于订单的计划所需的初始设置。

安全方面 PUBLIC 身份和访问管理公共 59 业务目录名称业务目录标识已分配磁贴组分配的应用描述可用限制范围

“响应远程源” SAP_IBP_BC_R “基于订单的计划 “配置远程源” 允许用户在基于订单的 – EMOTESOURCE_ 配置” 计划和外部源系统之间 PC 建立连接。

SAP_IBP_BC_P 允许用户在计划运行期 “计划运行参数文 “基于订单的计划 “计划运行参数文 – LAN_PROF_PC 间创建要应用的参数件” 配置” 件” 集。

“位置物料” SAP_IBP_BC_L “常规响应计划 “查看位置物料” 允许用户查看供应链中 – OCMAT_PC 员” 的位置物料。

“运输通道” SAP_IBP_BC_T “常规响应计划 “查看运输通道” 允许用户查看供应链中 – LANE_PC 员” 的运输通道。

“位置” SAP_IBP_BC_L “常规响应计划 “查看位置” 允许用户查看供应链中 – OCATION_PC 员” 的可用位置。

“物料” SAP_IBP_BC_M “常规响应计划 “查看物料” 允许用户查看供应链中 – ATERIAL_PC 员” 的位置物料。

“场景” SAP_IBP_BC_S “常规响应计划 “管理所有场景” 允许用户保持跟踪他们 “响应管理场景实例” CENARIO_PC 员” 或其他用户创建并共享 “响应管理版本许可范围” 的所有场景。管理员可以跟踪系统中存在的所有场景。

“预计库存” SAP_IBP_BC_P “常规响应计划 “预计库存” 允许用户按物料或位置 “响应管理场景实例” ROJECTEDSTOC 员” 查看库存问题、创建收 K_PC 货并增加或重新计划收货。

“供应商” SAP_IBP_BC_S “供应计划员” “查看供应商” 允许用户查看供应链中 – UPPLIER_PC 的供应商。

“生产数据结构” SAP_IBP_BC_P “供应计划员” “查看生产数据结允许用户查看供应链中 – DS_PC 构” 的生产数据结构。

“资源” SAP_IBP_BC_R “供应计划员” “查看资源” 允许用户查看供应链中 – ESOURCE_PC 的资源。

PUBLIC 安全方面 60 公共身份和访问管理业务目录名称业务目录标识已分配磁贴组分配的应用描述可用限制范围

“门控因素” SAP_IBP_BC_G “供应计划员” “查看门控因素” 允许用户执行以下任 – ATINGFACTORS 务： _PC ● 查看门控因素，例如预计库存和产品分配 ● 检查门控因素对订单网络中销售订单和预测的影响 ● 根据需求优先级解决订单网络中出现的瓶颈

“销售订单” SAP_IBP_BC_S “科目计划员” “模拟销售订单” 允许用户执行以下任 “响应管理场景范围” ALESORDER_PC 务： “查看确认” ● 模拟销售订单项目 ● 在其他应用中打开已模拟的项目 ● 显示产品分配详细信息 ● 查看订单网络和竞争需求详细信息 ● 在计划运行之后检查确认销售订单 ● 接受或改进销售订单的确认状态 ● 模拟销售订单项目 ● 计划销售订单项目的行详细信息 ● 查看订单网络的详细信息 ● 显示产品分配详细信息 ● 查看订单网络和竞争需求详细信息

“按优先级的需 SAP_IBP_BC_D “科目计划员” “按优先级查看需允许用户执行以下任 – 求” EMANDBYPRIO_ 求” 务： PC ● 显示针对所选位置、物料、规则和版本划分优先级的需求 ● 导航到“查看确认” 应用 ● 查看规则详细信息

安全方面 PUBLIC 身份和访问管理公共 61 业务目录名称业务目录标识已分配磁贴组分配的应用描述可用限制范围

“产品分配参数文 SAP_IBP_BC_P “科目计划员” “产品分配参数文允许用户查看系统中可 – 件” ALPROFILE_PC 件” 用的所有产品分配参数文件。

“客户” SAP_IBP_BC_C “科目计划员” “查看客户” 允许用户查看供应链中 – USTOMER_PC 的客户

“数据生命周期管 SAP_IBP_BC_D “管理员” 不适用允许用户处理包括清除 “数据生命周期管理” 理” LM_PC 关键指标数据、关键指标变更历史记录、数据导入批处理和计划范围数据在内的数据生命周期管理任务。

“数据共享计划管 SAP_IBP_BC_D “管理员” “管理数据共享计允许用户创建、编辑、 – 理” ASH_PLM_PC 划” 查看或删除数据共享计划。数据共享计划包含管理共享哪个数据，如何共享以及与谁共享的设置。

“数据共享计划执 SAP_IBP_BC_D “管理员” “应用程序作业模允许用户为计划范围执 “数据共享” 行” ASH_EXE_PC 板” 行提供者计划和安排。

“供应使用情况” SAP_IBP_BC_S “供应计划员” “分析供应使用情允许用户查看供应数量 – UPPLYUSAGE_P 况” 和独立需求的消耗。 C

“通信管理” SAP_CORE_BC_ “管理员” “维护通信用户” 允许用户维护与远程系 – COM 统之间的内向和外向通 “维护通信安排” 信。 “维护通信系统”

“通信管理 – 消息 SAP_CA_BC_CO “消息监控” “为用户分配收件用户可为业务用户分配 – 监控配置” M_CONF_PC 人” 收件人。此分配允许业务用户查看在“消息仪表盘”应用中与 SAP Ariba network 交换的数据消息。

“通信管理 – 消息 SAP_CA_BC_CO “消息监控” “消息仪表盘” 用户可监控、分析、取 – 监控和错误处理” M_ERR_PC 消和重新启动与 SAP Ariba network 交换的数据消息。

PUBLIC 安全方面 62 公共身份和访问管理业务目录名称业务目录标识已分配磁贴组分配的应用描述可用限制范围

“通信管理 – 消息 SAP_CA_BC_CO “消息监控” “配置值映射” SAP Integrated – 监控和已扩展的 M_EXT_ERR_PC Business Planning 中不错误处理” 支持使用此业务目录。出于技术原因，此应用的业务目录仅在 IBP 中显示。

不适用 SAP_CORE_BC_ – SAP Integrated – – APJ Business Planning 中不支持使用此业务目录。出于技术原因，仅在 IBP 中显示。

“安全” SAP_CORE_BC_ “安全” “维护证书信任列允许用户配置安全相关 – SEC 表” 的设置。

“维护点击劫持保护白名单”

“管理内容安全策略”

“可调配量参数文 SAP_IBP_BC_A “基于订单的计划 “可调配量参数文允许用户创建参数文件 – 件” TDPROFILE_PC 配置” 件” - 可决定调配运行中所调配的订单类型。

“个人数据更改” SAP_IBP_BC_P “管理员” “查看个人主数据允许用户查看对主数据 – DCL_PC 更改” 记录中的个人数据进行的更改，并下载更改。

“链接到用户的数 SAP_IBP_BC_P “管理员” “链接到用户的数允许管理员查看与业务 – 据” DV_PC 据” 用户相关的对象。

“管理流程模板” SAP_IBP_BC_P “管理员” “管理流程模板” 允许用户创建、复制、 – ROCTEMPLATE_ 编辑和删除计划流程模 PC 板。

“管理流程” SAP_IBP_BC_P “一般计划员” “管理流程” 允许用户针对流程模板 – ROCINSTANCE_ 中具体的计划期间创建 PC 流程。也允许管理这些流程。

“管理重复流程” SAP_IBP_BC_R “一般计划员” “管理重复流程” 允许用户创建和编辑重 – ECINST_PC 复流程及其出现。

安全方面 PUBLIC 身份和访问管理公共 63 业务目录名称业务目录标识已分配磁贴组分配的应用描述可用限制范围

基于动因的计 SAP_IBP_BC_D 一般计划员基于动因的计允许用户创建动因计划 “ “ ” “ “管理功能” 划” BP_PC 划” 视图和影响供应链计划的动因。 “原因代码标识”

“许可过滤器标识”

“计划对象”

“主数据”

“关键指标”

“版本特定关键指标”

“可编辑性区间”

“信息生命周期管 SAP_CORE_BC_ “信息生命周期管 “ILM 策略” 允许用户删除员工和用 – 理 - 归档” ILM 理” 户数据 “ILM 审计范围”

“ILM 数据销毁”

“监控归档作业”

“管理归档变式”

“信息生命周期 - SAP_CORE_BC_ – SAP Integrated – – 数据时效 ” ILM_DAG Business Planning 中不支持使用此业务目录。出于技术原因，仅在 IBP 中显示。

“管理 SOP 运算 SAP_IBP_BC_S “时间序列供应计 “S&OP 运算符参允许用户创建、编辑和 – 符参数文件” OPOPERATOR_P 划配置” 数文件” 删除基于时间序列的供 C 应计划算法的 S&OP 运算符参数文件。

“时间聚合参数文 SAP_IBP_BC_T “时间序列供应计 “时间聚合参数文允许用户创建、编辑和 – 件” AP_PC 划配置” 件” 删除时间聚合参数文件，以便在基于时间序列的优化器的一个计划区间内启用不同的及时计划粒度。

“预测消耗参数文 SAP_IBP_BC_F “时间序列供应计 “预测消耗参数文允许用户创建、编辑、 – 件” CPP_PC 划配置” 件” 查看并删除预测消耗参数文件。预测消耗参数文件提供在用户指定的预测消耗级别预测所消耗销售订单的能力。

PUBLIC 安全方面 64 公共身份和访问管理业务目录名称业务目录标识已分配磁贴组分配的应用描述可用限制范围

“公平分配集参数 SAP_IBP_BC_F “基于订单的计划 “公平分配集参数此业务目录允许用户创 – 文件” SSPROFILE_PC 配置” 文件” 建、编辑和删除公平分配集参数文件。

“供应链相关性” SAP_IBP_BC_R “常规响应计划 “供应链相关性” 此业务目录允许用户查 – MSUPDEPEND_P 员” 看供应链中的对象之间 C 的连接。

“OBP 计划级别” SAP_IBP_BC_P “基于订单的计划 “OBP 计划级别” 此业务目录允许用户创 – LEVELS_PC 配置” 建、编辑和删除基于订单的计划中的计划级别。

“管理重新排列规 SAP_IBP_BC_R “管理员” “管理重新排列规此业务目录允许用户创 “主数据” 则” EALIGN_PC 则” 建、编辑、查看或删除 “需求计划员 “关键指标” 重新排列项目，以根据 (IBP)” 更改的业务需求调整计 “重新排列项目” 划数据，如主数据、计划对象和关键指标。

“导航框架” SAP_IBP_BC_N “管理员 ” “管理至其他系统允许用户创建、编辑和 – AVIGATION_PC 的导航” 删除从 IBP 到其他 SAP 企业预置系统的导航。

集成参数文件允许用户在基于订单的 “集成参数文件” SAP_IBP_BC_I “基于订单的计划 “ ” – 计划中创建、编辑和删 NT_PRF_PC 配置” 除逻辑系统和计划范围之间的分配。

“基于 Web 的计 SAP_IBP_BC_W “一般计划员” “基于 Web 的计允许用户使用 web 浏览 “管理功能” 划” BP_PC 划” 器检查并更改关键指标 “原因代码标识” 数据。 “许可过滤器标识”

“关键指标”

“版本特定关键指标”

“计划注释可编辑性”

“订单详细信息”

“可编辑性区间”

安全方面 PUBLIC 身份和访问管理公共 65 业务目录名称业务目录标识已分配磁贴组分配的应用描述可用限制范围

业务伙伴（客 SAP_IBP_BC_W 与业务伙伴协基于的计允许业务伙伴的用户在 “ “ “ Web “管理功能” 户）基于 Web 的 BP_BUPA_CUST 作” 划 - 客户” IBP 系统的所有者与其计划” _PC 共享的计划视图中查看 “原因代码标识” 和更改关键指标数据。 “许可过滤器标识”

“关键指标”

“版本特定关键指标”

“可编辑性区间”

业务伙伴（供应 SAP_IBP_BC_W 与业务伙伴协基于的计允许业务伙伴的用户在 “ “ “ Web “管理功能” 商）基于 Web 的 BP_BUPA_SUP_ 作” 划 - 供应商” IBP 系统的所有者与其计划” PC 共享的计划视图中查看 “原因代码标识” 和更改关键指标数据。 “许可过滤器标识”

“关键指标”

“版本特定关键指标”

“可编辑性区间”

“管理属性许可” SAP_IBP_BC_A “管理员 ” “管理属性许可” 允许用户为用户和用户 – TTPERM_PC 组的主数据属性创建读取许可

“身份和访问管理 SAP_CORE_BC_ “身份和访问管 “业务目录” 此业务目录使用户能够 – - 角色管理” IAM_RM 理” 创建和维护业务角色。 “业务角色模板”

“显示限制类型”

“IAM 信息系统”

“维护业务角色”

“身份和访问管理 SAP_CORE_BC_ “身份和访问管 “显示技术用户” 此业务目录使用户能够 – - 用户管理” IAM_UM 理” 维护业务用户。 “IAM 信息系统”

“维护业务用户”

“定义排序属性值 SAP_IBP_BC_S “科目计划员” “定义排序属性值允许用户为需求的排序 – 的顺序” SAV_PC 的顺序” 属性值定义自定义序列。

“供货源选择参数 SAP_IBP_BC_R “基于订单的计划 “供货源选择参数允许用户设置参数文件 – 文件” M_SOS_SEL_PR 配置” 文件” 以定义如何选择供货 F_PC 源。

“输出管理 - 电子 SAP_CORE_BC_ “输出管理” “显示电子邮件传允许用户显示发送的电 – 邮件队列” OM_EQ 输” 子邮件的队列。

PUBLIC 安全方面 66 公共身份和访问管理业务目录名称业务目录标识已分配磁贴组分配的应用描述可用限制范围

“智能可视性” SAP_IBP_BC_I “科目计划员” “智能可视性” 允许用户查看和监控地 “主数据” NTVIS_PC 理地图中的内部和外部 “智能可视性参数 “关键指标” 供应链流程。文件” “版本特定关键指标”

“许可过滤器”

“订单详细信息”

允许用户为供应计划中 “时间序列供应计 SAP_IBP_BC_T “时间序列供应计 “时间序列供应计 – 的业务含义灵活分配属划的设置” SSUPMAP_PC 划配置” 划的设置” 性和关键指标，并为库存的聚合约束设置转换因子。

允许用户创建、编辑、 “复制运算符参数 SAP_IBP_BC_C “一般计划员” “复制运算符参数 – 查看或删除“复制运算符文件” OPYOPRPROFIL 文件” （高级）”的参数文件。 E_PC

“管理用户许可” SAP_IBP_BC_U “管理员 ” “管理用户许可” 允许管理员根据分配给 – SRPERM_PC 用户的业务角色、许可过滤器和属性权限查看和编辑用户的访问权限。

“监控应用程序作 SAP_IBP_BC_J “管理员 ” “监控应用程序作允许用户实时监控应用 – 业” OBMONITOR_PC 业” 程序作业，并在出现故障或计划延迟时采取必要操作

● SAP_IBP_BC_APP LICATIONJOB_PC ：应用程序作业 ● SAP_IBP_BC_APP JOBTEMPLATE_PC ：应用程序作业模板

使用由相关目录提供的应用程序作业模板权限。

安全方面 PUBLIC 身份和访问管理公共 67 业务目录名称业务目录标识已分配磁贴组分配的应用描述可用限制范围

SAP_IBP_BC_O “用户许可” “用户管理” “我的许可” 向业务用户显示自己的 – WNPERM_PC 访问权限和其他与许可有关的信息

● SAP_CORE_BC_IA M_RA：身份和访问管理 - 角色分配 ● SAP_CORE_BC_IA M_UM：身份和访问管理 - 用户管理 ● SAP_IBP_BC_ATT PERM_PC：管理属性许可 ● SAP_IBP_BC_USE RGROUP_PC：用户组 ● SAP_IBP_BC_VIS FILTER_PC ：管理许可过滤器

导航到不同的权限对象应用以及编辑许可对象的分配需要这些目录。

SAP_IBP_BC_O 优化器运行详细信息 “优化器运行详细 “一般计划员” “应用程序作业” 允许用户在运行基于时 “ ” PTRUNDETAILS 信息” 间序列的供应计划优化 _PC 器后导航至“优化器运行详细信息”屏幕。要访问该屏幕，用户需要转到作业日志，然后单击行中读作版本的优化器运行详细信息的链接。

“优化器运行详细信息” 屏幕上提供的信息支持用户为优化器运行进行正确设置：适当的运行时和相应的成本设置。

“用户界面 - 配 SAP_CORE_BC_ “管理员” “管理快速启动板允许用户显示和更改参 – 置 UI 设置 ” ” 数以配置快速启动板的不同方面。

PUBLIC 安全方面 68 公共身份和访问管理业务目录名称业务目录标识已分配磁贴组分配的应用描述可用限制范围

用户界面 SAP_CORE_BC_ 管理员允许用户创建和管理快 “ - Fiori “ ” “管理快速启动板 – 快速启动板设计” UI_FLD 速启动板页面和空间、空间” 定义页面布局以及编辑、复制或删除现有页 “管理快速启动板面。页面”

“管理主数据” SAP_IBP_BC_M “一般计划员” “管理主数据” 允许用户显示、排序和 “主数据” AN_MASTERDAT 过滤主数据。 A_PC

导出软件集合 “可扩展性 - 运输 SAP_CORE_BC_ “传输管理” “ ” 允许用户将扩展项目添 – 管理 - 导出” SL_EXP 加到软件集合并导出软件集合。

导入集合 “可扩展性 - 运输 SAP_CORE_BC_ “传输管理” “ ” 允许用户导入软件集 – 管理 - 导入” SL_IMP 合。

可扩展性库存 “可扩展性 - 可扩 SAP_CORE_BC_ “可扩展性” “ ” 允许用户显示扩展项目 – 展性库存” EXT_INVENTOR 的概览，并查看各种扩 Y 展项目之间的关联或相关性。

“SAP IBP 实体的 SAP_IBP_BC_W “管理员” “关键指标的使用允许用户显示关键指标 – 使用位置信息” HERE_USED_PC 位置信息” 列表、复制运算符参数文件以及使用所选关键指标的计划视图模板和表。

相关信息

第 98 页上的“业务目录”

3.3.5 限制

通过使用业务角色中的限制，您可以为含有该业务角色的业务用户授予读取或写入各种数据类型或活动的权限。

用途

可为业务角色中的所有可限制业务目录指定限制。

有关详细信息，请参阅第 50 页上的“业务目录”和第 93 页上的“维护业务角色”。

安全方面 PUBLIC 身份和访问管理公共 69 将多个业务目录分配到一个业务角色时，用于这些业务目录的所有限制类型都会合并到一起。因此，指定的限制将适用于所有分配到该业务角色的业务目录。

 示例

如果“需求计划员”业务角色具有 “ABC/XYZ 段”以及为其分配的“预测模型”业务目录，并且将可写入的计划范围限制到“预测模型”业务目录的 PA10，则您的限制也将适用于 “ABC/XYZ 段”业务目录。因此，含有“需求计划员”业务角色的业务用户将仅拥有“管理预测模型”和“管理 ABC/XYZ 分段规则”应用中的 PA10 计划范围的编辑权限，因为这些应用分配到上述业务目录。

此外，向一个业务用户分配多个业务角色时，业务角色中包含的所有访问权限均将合并到一起。这意味着每个业务用户将可以访问分配的业务角色授予访问的所有内容。

活动

可按如下步骤指定限制：

1. 打开业务角色，在“维护业务角色”应用的主屏幕上编辑。 2. 选择“维护限制”。 3. 限制读取和写入访问类型的访问权限，或仅限制其中一种访问类型的访问权限。

 注意

虽然出于技术原因也会在应用中显示有关值帮助限制的信息，但是没有一个限制范围与 SAP Integrated Business Planning 中的值帮助相关。

对于读取访问，您可以选择“非限制”或“受限制”。对于写入访问，您也可以选择“无访问权限”。如果您为某个访问类型选择“非限制”或“无访问权限”，您不必进行任何进一步的设置。例如，如果您指定分配到业务角色的用户可具有非限制写入访问权限，则他们可以修改用户可以访问的应用程序中的所有设置和数据。如果为读取或写入访问选择“受限制”，则您可以进行进一步设置以指定分配到此角色的业务用户可以在应用程序中查看或修改的内容。例如，您可以指定分配到业务角色的业务用户只可以查看特定计划范围的主数据。即使为访问类型选择“受限制”，您仍可以向一些可用的限制范围授予非限制访问权限。例如，如果您指定业务角色在常规情况下具有受限制的写入访问，您可以通过选择主数据限制范围并选择“无限制访问”使“主数据”限制范围异常。 4. 指定限制值。如果已经为读取或写入访问选择“受限制”，您可以指定到底要如何限制访问类型。您可以通过选择访问类型下显示的限制范围中各种字段的值来进行此操作。限制范围是可用于分配给角色的业务目录的限制字段组。

 示例

例如，您可以指定特定计划范围中的关键指标对于具有特定业务角色的用户是可编辑的。要进行此设置，选择“写入”部分中“关键指标”限制范围内“计划范围”限制值所在行的铅笔图标，并选择您想要提供写入访问权限的计划范围的名称。

PUBLIC 安全方面 70 公共身份和访问管理  注意

当您指定各种业务角色的限制，然后将业务角色分配给业务用户时，角色中包括的所有访问权限会组合在一起。这意味着业务用户将可以访问分配的业务角色可以访问的所有内容。

5. 添加您选择的新限制范围（可选）。如果您想要在更加详细的级别上指定限制，附加的限制范围会很有用。例如，如果您想要指定“需求计划员”业务角色包含对计划范围 PL200 中 DELIVQTY 关键指标的写入权限和计划范围 PL300 中 CONSENSUSDEMAND 关键指标的写入权限，您需要将“关键指标”限制范围两次添加至该业务角色中（或者，如果缺省列出该角色的限制范围，就再添加一次）。

 注意

如果您想要在一个计划范围中定义一个关键指标集的限制，在另一个计划范围中定义另一个关键指标集的限制，您可以在具有已分组值计划范围/关键指标的相同业务角色中为关键指标多次添加相同的限制类型。

3.3.5.1 可用限制

“维护限制”屏幕上的各个部分（称为“限制范围”）包含用于为各种数据类型或任务授予读取或写入访问权限的限制字段。

下表列出了限制范围以及包含的限制类型和字段：

限制范围限制类型限制字段读取访问写入访问

“常规” “管理功能” “管理功能” 查看不同应用程序中使用的功更改不同应用程序中使用的可能。有关可用值的详细描述，用功能。有关可用值的详细描请参阅第 79 页上的“下表”。述，请参阅第 79 页上的“下表”。

安全方面 PUBLIC 身份和访问管理公共 71 限制范围限制类型限制字段读取访问写入访问

“常规” “原因代码” “原因代码标识” 使用户能够在 Excel 加载项、指定原因代码。有关详细信 “基于 Web 的计划”应用、“基息，请参阅“写入访问”。于 Web 的计划 - 客户”应用和 “基于 Web 的计划 - 供应商”应用中保存数据时指定原因代码。

 注意

可以在角色的读取或写入范围维护原因代码。对于在角色任一区域中维护的所有原因代码，用户均具有相应权限。

提供对读取或写入范围的无限制访问，允许您访问所有可用的原因代码。

“常规” “许可过滤器” “许可过滤器标识” 有关详细信息，请参阅“写入访在“许可过滤器”限制字段中，问”。您可以输入应该应用于分配了业务角色的用户的一个或多个许可过滤器。这些许可过滤器确定属性值的访问权限。

如果输入多个许可过滤器，则使用 OR 连接组合来自不同许可过滤器的访问权限。

 注意您在角色的哪个范围输入许可过滤器（在读取范围、写入范围或两者中）无关紧要。读取/写入权限由许可过滤器内的读取/写入过滤条件确定。

为许可过滤器标识提供对读取或写入的无限制访问，使所有计划范围的所有数据可见。

有关详细信息，请参阅第 13 页上的“许可过滤器”。

PUBLIC 安全方面 72 公共身份和访问管理限制范围限制类型限制字段读取访问写入访问

响应管理场景范围 “常规” “响应管理场景实例” “ ” 指定是否可编辑所有场景（限制值 “ALL”），还是只可编辑那些由用户创建的场景或其他人与用户共享的场景（限制值 “OWN”）。

应用程序日志应用程序日志 “常规” “ ” “ ” 查看由用户（限制值删除由用户（限制值 “USER”）或所有用户（限制值 “USER”）或所有用户（限制值 “ADMIN”）创建的业务应用程 “ADMIN”）创建的应用程序日序日志。志。

“常规” “需求感知管理” “需求感知管理” 查看和编辑所有需求感知参写入访问不可用。数。

“常规” “重新排列执行” “重新排列执行模式” 不适用。允许用户以所选执行模式运行重新排列项目。

“常规” “日历” “日历标识” 允许用户根据“日历标识”字段允许用户根据“日历标识”字段的设置查看计划日历。的设置更改计划日历。

“常规” “关键指标的可编辑 “可编辑性区间” 不适用。允许用户更改已分配可编辑性性区间” 区间定义的时间窗口中的关键指标。在“可编辑性区间”限制字段中，可以输入关键指标的一个或多个可编辑性区间。

安全方面 PUBLIC 身份和访问管理公共 73 限制范围限制类型限制字段读取访问写入访问

“数据集成类型” “数据集成类型” “数据类型” 仅可指定数据集成类型的写入允许用户使用“数据集成作业” 访问权限。应用导入包含各种数据类型和 “操作类型” 模型实体值的 CSV 文件。

可应用下列限制：

● “数据类型”：可在此处限制用户可以导入数据的数据类型（主数据、关键指标和时间段）。 ● “操作类型”：可在此处限制用户可在导入数据时执行的操作（插入/更新、替换或删除数据）。

 注意

对于数据类型时间段，唯一适用的操作类型为替换。

例如，如果在数据类型字段中选择时间段并选择 “插入/更新”或“删除”作为操作类型，则系统不会考虑此操作类型。

“关键指标” “关键指标” “计划范围” 允许用户查看所选计划范围中允许用户更改所选计划范围中的关键指标值。的关键指标值。 “关键指标标识”

“主数据” “主数据” “主数据类型” 允许用户查看所选主数据类允许用户更改所选主数据类型、计划范围和版本中的主数型、计划范围和版本中的主数 “计划范围” 据。据。 “版本标识” 对于主数据编辑范围，您可以 “主数据编辑范围” 指定可编辑所有主数据还是仅编辑由用户创建的主数据。

PUBLIC 安全方面 74 公共身份和访问管理限制范围限制类型限制字段读取访问写入访问

“版本特定关键指 “版本特定关键指标” “计划范围” 读取访问与版本相关：如果您为版本授予写入访问权标” 限，则为“关键指标”限制范围 “版本标识” ● 如果为版本授予读取访问权限，那么它会覆盖您为设置的限制也适用于该版本。 “版本的模拟” “关键指标”限制范围设置如果您为版本授予读取访问权的限制。这意味着对于该限但您允许版本的模拟，则用特定版本，虽然您已经为户需要针对用于模拟的目标关 “关键指标”限制范围设置键指标具备写入访问权限。了写入访问，但关键指标如果用户拥有相应版本的读取不可编辑。访问权限，或此关键指标限制如果您为版本授予读取访 ● 范围设置的限制为这些关键指问权限但您允许版本的模标授予写入访问权限，就可以拟，则允许用户通过复制在 Excel 计划视图中编辑特定该版本创建用户定义的场版本的关键指标。景。您为“关键指标”限制范围设置的限制也适用于模拟，但更改不能合并到原始版本中。对于版本中的源关键指标（用户复制用于模拟），用户需要具备读取访问权限。可在 Excel 计划视图中显示基础版本的关键指标值，无需为此版本授予显式读取访问权限。

“预测模型的管 “预测模型的管理” “计划范围” 允许用户查看所选计划范围中允许用户更改所选计划范围中理” 的预测模型。的预测模型。 “预测模型名称” 当应用于基本计划任务业务目录时，为此限制范围授予的写入访问权限允许用户执行预测模型。

“预测模型的分 “预测模型的分配” “计划范围” 允许用户查看所选计划范围和允许用户将预测模型分配至计配” 计划级别中的预测模型分配。划对象并更改所选计划范围和 “计划级别标识” 计划级别中的现有分配。

“计划运算符” “计划运算符” “计划范围” 不适用（不要使用）允许用户使用指定的运算符类型和运算符标识执行所选计划 “计划运算符类型” 范围的计划运算符。 “计划运算符标识”

“计划对象” “计划对象” “计划级别标识” 允许用户查看所选计划级别和允许用户使用所选计划级别和计划范围限制中的计划对象。计划范围限制中的计划对象。 “计划范围”

“版本标识”

安全方面 PUBLIC 身份和访问管理公共 75 限制范围限制类型限制字段读取访问写入访问

“子网络” “子网络” “计划范围” 可以指定子网络的读取访问。允许用户在所选子网络上运行有关详细信息，请参阅“写入访供应计划。有关详细信息，请 “计划单位” 问”。参阅“读取访问”。

 注意可以在角色的读取或写入范围维护子网络。对于在角色任一区域中维护的所有子网络，用户均具有相应权限。

提供对读取或写入范围的无限制访问，允许您访问所有可用的子网络。

“模板” “模板” “计划范围” 允许用户使用所选计划范围中允许用户使用所选计划范围中的所选计划视图模板。的所选计划视图模板。有关详 “计划视图：工作簿细信息，请参阅“写入访问”。标识”  注意可以在角色的读取或写入范围维护模板。对于在角色任一区域中维护的所有模板，用户均具有相应权限。

提供对读取或写入范围的无限制访问，允许您访问所有可用的模板。

PUBLIC 安全方面 76 公共身份和访问管理限制范围限制类型限制字段读取访问写入访问

数据生命周期管数据生命周期管理数据生命周期管理不适用（不要使用） “ “ ” “  注意理” 任务” 为了执行数据生命周期管 “计划范围” 理功能，用户需要“应用程序作业” “主数据类型” (SAP_IBP_BC_APPLICA TIONJOB_PC) 和“数据生命周期管理” (SAP_IBP_BC_DLM_PC) 业务目录。

允许用户执行以下操作（具体视所选限制字段而定）：

“数据生命周期管理任务”：可以为下列任务指定限制：

● “清除关键指标数据” ● “清除关键指标变更历史记录” ● “清除数据导入批处理” ● “清除计划范围数据” ● “清除主数据” ● “清除不合格数据” ● “清除计划范围计划区间外的关键指标数据”

这里，您可以列出允许用户执行的数据生命周期管理任务。如果要使用户执行所有的任务，则将此设置为“无限制”。

“计划范围”：此限制字段仅适用于以下数据生命周期管理任务：

● “清除关键指标数据” ● “清除关键指标变更历史记录” ● “清除计划范围数据” ● “清除不合格数据” ● “清除计划范围计划区间外的关键指标数据”

可以在此处列出用户可以为其执行数据生命周期管理任务的计划范围。如果要使用户在所

安全方面 PUBLIC 身份和访问管理公共 77 限制范围限制类型限制字段读取访问写入访问

有计划范围上执行任务，则将此计划范围设置为“无限制”。

“主数据类型”：此限制仅适用于以下数据生命周期管理任务：

● 清除计划范围数据 ● 清除主数据

可以在此处列出用户可以为其执行数据生命周期管理任务的主数据类型。如果要使用户在所有主数据类型上执行任务，则将此主数据类型设置为“无限制”。

“管理计划参数文 “管理计划参数文件” “计划范围” 允许用户查看以下应用中创建允许用户查看以下应用中创建件” 的参数文件、模型和配置： “计划参数文件类型” 的参数文件、模型和配置： ● “管理预测模型” “计划参数文件” ● “管理预测模型” ● “管理预测误差计算” ● “管理预测误差计算” ● “S&OP 运算符参数文件” ● “S&OP 运算符参数文件” ● “管理 ABC/XYZ 分段规 ● “管理 ABC/XYZ 分段规则” 则” ● “复制运算符参数文件” ● “复制运算符参数文件” ● “管理滞后快照” ● “管理滞后快照”  注意允许具有只读访问权限的用户创建新的快照配置，但不允许其进行编辑或删除。

“共享数据” “共享数据” “计划范围” 仅可指定数据共享的写入访问借此用户可针对计划范围执行权限。提供者计划和安排。 “数据共享计划”

“数据共享安排”

“计划注释可编辑 “计划注释可编辑性” “计划范围” 只能指定计划注释可编辑性的用户可以在所选计划范围中编性” 写入权限。辑自己的计划注释以及所选的 “已启用计划注释的已启用计划注释的关键指标的关键指标” 计划注释。计划注释编辑范围 “ ” 用户仅可以编辑自己的最新计划注释（限制值 LAST）或自己的计划注释，不考虑计划注释的期限（限制值 ALL）。

PUBLIC 安全方面 78 公共身份和访问管理限制范围限制类型限制字段读取访问写入访问

“数据重新排列 ” “重新排列项目” “计划范围” 允许用户查看所选计划范围中允许用户更改所选计划范围中具有所选状态的重新排列项具有所选状态的重新排列项 “重新排列项目状态” 目。目。

“基于时间序列的 “计划范围” “计划范围” 您只能指定写入访问权限，因在限制字段“预测消耗参数文件预测消耗（未对为此限制适用于执行基于 TS 标识”中，您只能指定未针对 “预测消耗参数文件 “预测消耗参数文件 S&OP 运算符启的预测消耗（未针对 S&OP 运 S&OP 运算符启用的预测消耗标识” 标识” 用）” 算符启用）。参数文件。

“订单详细信息” “订单详细信息” “计划范围” 允许用户查看所选计划范围中仅可指定订单详细信息的读取所选关键指标的订单信息。访问权限。 “关键指标”

“分段限制” “分段限制” “计划范围” 允许用户查看所选计划范围中允许用户创建并更改所选计划的 ABC/XYZ 分段参数文件。范围中的 ABC/XYZ 分段参数文件。

写入访问不可用。 “常规” “优化器运行详细信 “优化器运行详细信从应用程序日志导航后，查看息” 息” “优化器运行详细信息”屏幕，以查找由用户（限制值 “USER”）或所有用户（限制值 “ADMIN”）创建的日志。

“常规” “响应管理版本许可 “响应管理版本许可不适用（不要使用）。允许用户将其交互式更改保存范围” 范围” 到版本。

下表列出了限制字段“管理功能”（限制范围“常规”，限制类型“管理功能”）的可用值：

值可用功能读取访问写入访问

允许使用适用于 Microsoft 不适用（不要使用）允许用户在适用于 Microsoft PV_TMPLT（“计划视图模 Excel 的 SAP IBP 加载项中 Excel 的 SAP IBP 加载项中添板”） “SAP IBP” 功能区的“模板管加、更新、删除或组织计划视理”组中的以下模板对话框。图模板。

● 模板 ● 高级

不适用（不要使用）允许用户在适用于 Microsoft PV_LAYOUT（“计划视图布允许使用“布局”标签定义 Excel 的 SAP IBP 加载项中创局”） “SAP IBP” 功能区的“计划视建或更改计划视图布局。图”组中的计划视图。“布局”标签在从“新视图”和“编辑视图” 启动的对话框中均可用

安全方面 PUBLIC 身份和访问管理公共 79 值可用功能读取访问写入访问

允许使用 “SAP IBP” 功能区不适用（不要使用）允许用户在“基于 Web 的计划” SCENARIO（“场景”） “场景”组中的以下场景计划功应用、“基于 Web 的计划 - 客能。户”应用和“基于 Web 的计划 - 供应商”应用的适用于 ● 管理 Microsoft Excel 的 SAP IBP 加创建 ● 载项中管理场景数据并使用场景。

允许使用 “SAP IBP” 功能区不适用（不要使用）允许用户在“基于 Web 的计划” VERSION“（版本）” “版本”组中的以下版本计划功应用、“基于 Web 的计划 - 客能。户”应用和“基于 Web 的计划 - 供应商”应用的适用于 ● 管理 Microsoft Excel 的 SAP IBP 加计划 ● 载项中使用版本数据执行多个 ● 状态任务。有关详细信息，请参阅版本计划。

参数“属性组合”现已过时。已 ATTR_COMB（“属性组合”）替换为“计划对象”。该参数通过 PLAN_COMB 属性控制。

提供在适用于 Microsoft Excel 不适用（不要使用）允许用户在适用于 Microsoft PLAN_COMB（“计划对象”）的加载项的 “SAP IBP” 功能区 Excel 的 SAP IBP 加载项中创的“主数据”组中创建或删除计建或删除计划对象。划对象的权限。

提供查看应用于数据集的更改允许用户在适用于 Microsoft 不适用（不要使用） CHANGEHIST（“变更历史记影响的权限。如果启用，则此 Excel 的 SAP IBP 加载项（影录：影响视图”）功能在 “SAP IBP” 功能区的响视图）中查看变更历史记 “计划视图”组中可用。要访问录。变更历史记录，选择“新视图” “>”“当前工作表上的变更历史记录视图 > 变更对计划视图的影响 ”

提供查看 “SAP IBP” 功能区的允许用户在适用于 Microsoft 不适用（不要使用） CHANGEORIG（“变更历史记 “计划视图”组中的原始变更的 Excel 的 SAP IBP 加载项（原录：原始变更视图”）权限。要访问变更历史记录，始变更视图）中查看变更历史选择“新视图”“>”“当前工作表记录。上的变更历史记录视图 > 原始变更”

不适用（不要使用）支持用户使用作业模板“使用 HCI_SCHED（“计划 SAP CPI- 提供使用作业模板“使用适用适用于数据服务的 Cloud DS 任务”）于数据服务的 Cloud Integration 进行的数据集成” Integration 进行的数据集成” 计划面向数据服务的 SAP 计划面向数据服务的 SAP Cloud Integration 任务。 Cloud Integration 中任务的权限

提供在适用于 Microsoft Excel 不适用（不要使用）使管理员能够在适用于 USRSTTINGS（“管理缺省用的加载项“设置”下，管理 Microsoft Excel 的 SAP IBP 加户设置”） “SAP IBP” 功能区“关于”组中载项中管理用户设置。的用户设置的权限。

PUBLIC 安全方面 80 公共身份和访问管理值可用功能读取访问写入访问

提供与产品生命周期管理相关不适用（不要使用）允许用户在“产品生命周期的 ASSIGNLEV（“参考产品的分的计划范围设置权限设置”应用的计划范围设置中配级别”）更改其参考产品的流程设置和分配级别。

 注意

更改分配级别会删除所有现有产品分配。

TASKS（“任务”）为 Excel 加载项中的任务管理仅可指定此功能的写入访问权支持用户从 Excel 加载项完成提供权限限。流程管理中的任务。

提供关键指标（业务用户部允许用户在 Excel 加载项、“基允许用户在 Excel 加载项、“基 NOTES（“计划注释”）分）的计划注释权限于 Web 的计划”应用、“基于于 Web 的计划”应用、“基于 Web 的计划 - 客户”应用和“基 Web 的计划 - 客户”应用和“基于 Web 的计划 - 供应商”应用于 Web 的计划 - 供应商”应用中查看所有用户创建的计划注中创建计划注释。释。

提供关键指标（管理员部分）允许用户在 Excel 加载项和“基允许用户在 Excel 加载项和“基 ADM_NOTES（“管理计划注的计划注释权限于 Web 的计划”应用中查看所于 Web 的计划”应用中手动或释”）有用户、任何计划范围和任何使用“删除计划注释”应用程序关键指标的计划注释。作业模板来编辑和删除所有用户、任何期限、任何计划范围和任何关键指标的计划注释。

提供创建动因计划视图的权仅可指定此功能的写入访问权允许用户在“基于动因的计划” DBPVIEW（“动因计划视图”）限。限。应用中创建动因计划视图。

提供创建动因的权限。仅可指定此功能的写入访问权允许用户创建动因“基于动因 DBPOBJ（“动因”）限。的计划”应用。

CALERTNOT（“计划自定义警提供权限以计划任务，从而使仅可指定此功能的写入访问权允许用户使用作业模板“自定报通知”）用作业模板“自定义警报通知” 限。义警报通知”计划任务。为已计算出需要引起注意的自定义警报的用户或用户组触发通知。

对于一些业务目录，无可用的特定限制，但您仍可以限制业务用户可在属于此目录的应用中具有的访问类型。

下表显示了这些目录的内容以及访问类型如何限制活动范围：

业务目录读取访问写入访问

“计划模型” 不适用。允许用户创建、复制、编辑和删除计划模型。

“计划模型激活” 不适用。允许用户激活计划模型。

作为前提条件，您必须在分配给相同用户的单独业务角色中提供“计划模型”业务目录的读取访问。

安全方面 PUBLIC 身份和访问管理公共 81 业务目录读取访问写入访问

“ 个人数据更改” 允许用户查看对主数据记录中的个人数据进行的不适用。更改，并将更改导出到 CSV 文件。

“流程模板” 允许用户查看用于计划流程的模板。允许用户创建、复制、编辑和删除计划流程模板。

为了能够在“管理流程模板”应用中创建流程，您必须在分配给用户的业务角色中提供对“流程实例”业务目录的写入访问权限。

“流程实例” 允许用户查看流程的状态和进度。允许用户创建、复制、编辑和删除计划流程。同时还允许用户开始流程以及更改流程步骤的状态。

作为前提条件，您必须在分配给用户的业务角色中提供对“流程模板”业务目录的读取访问权限。

“管理重复流程” 允许用户查看重复流程的设置和状态。允许用户创建、编辑、禁用和删除重复流程。

作为前提条件，您必须在分配给用户的业务角色中提供对“流程模板”业务目录和“流程实例”业务目录的读取访问权限。

3.4 用于身份和访问管理的应用

3.4.1 维护员工（旧版本）

使用此应用，您可以创建员工记录并修改员工信息。

目的

由于旧应用已被弃用，因此该版本现已替换为第 84 页上的“维护员工”。

对于组织内所有 SAP Integrated Business Planning 用户，您可以在系统内使用此应用创建、编辑和删除员工。员工包含个人数据和雇用相关数据。

关键功能

您还可使用此应用执行以下操作：

PUBLIC 安全方面 82 公共身份和访问管理 ● 创建员工 ● 修改员工信息，例如个人数据（姓氏、名字和电子邮件）和员工数据（员工标识、有效期自、有效期至） ● 显示已对员工进行的更改 ● 搜索提供员工标识的员工详细信息 ● 批量上载员工

删除员工

如果在“维护员工”中删除员工，不会从数据库中实际删除该员工，而是将其标记为归档。这与 Fiori 应用“维护业务用户”应用相反，该应用会实际删除用户。

出于业务流程原因，不能立即删除员工。如果员工拥有为其分配的用户，则也无法在 Fiori 应用“维护员工”中删除员工。在这种情况下，您必须先在 Fiori 应用“维护业务用户”中删除该用户。

缺省情况下，将隐藏所有标记为归档（已删除）的员工。若要重用员工，您可以取消隐藏这些员工，同时还要撤消（删除）标记。为此，请执行以下步骤：

1. 在 Fiori 应用“维护员工”中选择“过滤器”。 2. 选择“更多过滤器”并选择“已删除”，然后选择“确定”。 3. 在“已删除”的下拉菜单中选择“是”或将其留空，然后选择“确定”。 4. 搜索已删除的员工。您可能必须更改表的设置才能添加可选列“已删除”。 5. 选择已删除员工以查看“显示员工”视图。 6. 选择“撤消删除”。归档标志随即从员工中移除。

现在便可再次使用该员工，如为其创建新用户。

支持的设备类型

● 台式机 ● 平板电脑 ● 智能手机

详细信息

下列视频中的第一部分提供了可以在应用中执行的任务的概览：。

安全方面 PUBLIC 身份和访问管理公共 83 3.4.2 维护员工

通过此应用，您可以创建员工并修改员工信息。

● 直接在应用中创建员工，或通过 csv 文件导入创建员工 ● 编辑员工信息 ● 检索变更日志以查看修改的员工数据 ● 选择要归档的员工 ● 导出员工数据

此外，该应用支持以下技术功能和选项：

导航至“维护业务伙伴”

支持的设备类型

● 台式机 ● 平板电脑 ● 智能手机

3.4.3 信息生命周期管理

通过“信息生命周期管理”应用，您可以销毁先前在“维护员工”应用中标记为删除的员工数据。使用这些应用，您可以将其从 SAP Integrated Business Planning 中的数据库中物理删除。

请注意，IBP 仅支持信息生命周期管理的有限功能。

销毁员工数据

前提条件

您必须具有包含业务目录信息生命周期管理 - 归档的角色 (SAP_CORE_BC_ILM)。

步骤

1. 在 “ILM 审计范围”应用中，使用“保留规则”策略类别将 ILM 对象 “SAP 业务伙伴” (CA_BUPA) 分配给 BUPA_DP 审计范围。 2. 在 “ILM 策略”应用中，为 BUPA_DP 审计范围中的 ILM 对象 “SAP 业务伙伴” (CA_BUPA) 创建保留规则策略。 1. 输入策略名称，例如 IBPBUPARET，并将 “BP_TYPE” 条件字段添加到所选条件字段。 2. 保存您的输入并编辑规则，为合作伙伴类别 1（人员）指定以下内容： ○ 一个时间，在此时间过后可以让 ILM 销毁“维护员工”应用中加了删除标记的员工记录。为此，您可以利用“最小保留期”、“最大保留期”和“保留期单位”字段。

PUBLIC 安全方面 84 公共身份和访问管理 ○ “最后更改日期”时间参考。请注意，IBP 不支持其他时间参考或时间偏移，因此必须留空。 3. 保存您的输入，然后选择“更改状态”以实时令策略生效。弹出窗口出现后，确认您的选择。 3. 在“管理归档变式”应用中，可以为销毁在“维护员工”应用中标记为已删除的所有业务伙伴记录的归档对象 “SAP 业务伙伴” (CA_BUPA) 创建和计划数据销毁变式。 1. 输入变式名称，例如 IBP_EMP_DEL。 2. 输入以下数据： ○ 变式类型：“写入” ○ 选择“数据销毁” ○ 常规数据：“X” ○ 业务伙伴：在选择屏幕上，导航到“定义条件”标签，并设置条件“业务伙伴编号”“大于”“ 1”。这样做可确保销毁在“维护员工”应用中加删除标记的所有员工。 3. 保存您的输入，然后返回，并在“所有变式”标签上，选择变式并选择“计划归档”。弹出窗口出现后，确认您的选择。 4. 您可以在“监控归档作业”应用中监控归档作业，这些作业每周运行一次。

相关信息

第 85 页上的“ILM 审计范围” 第 86 页上的“ILM 策略” 第 87 页上的“管理归档变式” 第 88 页上的“监控归档作业”

3.4.3.1 ILM 审计范围

使用此应用，可查看及编辑 ILM 对象 “SAP 业务伙伴” (CA_BUPA) 对象到审计范围 BUPA_DP 的分配。

关键功能

通过此应用，可将 ILM 对象 “SAP 业务伙伴” (CA_BUPA）分配到 BUPA_DP 审计范围：

1. 选择 BUPA_DP 审计范围和“保留规则”策略类别。 2. 选择“继续”，然后选择“编辑”。 3. 选中 ILM 对象 “SAP 业务伙伴” (CA_BUPA) 复选框，然后选择“保存”。

安全方面 PUBLIC 身份和访问管理公共 85 支持的设备类型

● 台式机 ● 平板电脑 ● 智能手机

相关信息

第 84 页上的“信息生命周期管理”

3.4.3.2 ILM 策略

使用此应用，您可以为 BUPA_DP 审计范围中的 ILM 对象 “SAP 业务伙伴” (CA_BUPA) 创建保留规则策略。

关键功能

可使用此应用执行以下操作：

● 创建策略 ● 编辑现有的非活动策略 ● 更改现有策略的状态 ● 查看所选策略的规则概览 ● 删除策略 ● 可对所选策略的规则进行添加、编辑、复制、检查和删除操作。

为您的 ILM 对象“ SAP 业务伙伴”创建保留规则策略

通过此应用，您可以为 BUPA_DP 审计范围中的 ILM 对象 “SAP 业务伙伴” (CA_BUPA) 创建保留规则策略。

1. 选择“保留规则”策略类别、审计范围 BUPA_DP 和 ILM 对象 “SAP 业务伙伴” (CA_BUPA)。 2. 选择“新建”，然后输入策略名称（例如 IBPBUPARET）。 3. 选择“可用条件字段”中的 “BP_TYPE”，然后选择“添加项目”来将其添加到“所选条件字段”列表中。 4. 选择“保存”，然后选择“编辑规则”。 5. 在“合作伙伴类别”字段中，输入 “1”（人员），然后指定一个时间，在此时间过后可以让 ILM 销毁“维护员工”应用中加了删除标记的员工记录。为此，您可以利用“最小保留期”、“最大保留期”和“保留期单位”字段。 6. 选择“最后更改日期”时间参考。请注意，IBP 不支持其他时间参考或时间偏移，因此必须留空。 7. 选择“保存”，然后通过在弹出窗口中选择“更改状态”确认策略生效。

PUBLIC 安全方面 86 公共身份和访问管理  注意

IBP 不支持归档，因此在保留期结束后会删除数据。

不会考虑驻留期策略，因此 IBP 不支持冻结员工。

保留策略的参考日期是员工记录的最后更改日期。

数据销毁仅影响已经在“维护员工”应用中加了删除标记的员工记录。

支持的设备类型

● 桌面计算机 ● 平板电脑 ● 智能手机

相关信息

第 84 页上的“信息生命周期管理”

3.4.3.3 管理归档变式

在此应用中，您可以为 ILM 对象 “SAP 业务伙伴”创建和计划数据销毁变式。

关键功能

通过此应用，您可以为销毁在“维护员工”应用中标记为已删除的所有业务伙伴记录的 ILM 对象 “SAP 业务伙伴” (CA_BUPA) 创建和计划数据销毁变式。

1. 选择归档对象 “SAP 业务伙伴” (CA_BUPA)。变式信息将在右侧显示。

 注意

仅在列表中显示与分配到审计范围的 ILM 对象相关联的归档对象。

2. 选择“添加新变式”，输入变式名称，例如 IBP_EMP_DEL。 3. 选择“写入”作为“变式类型”来创建写入变式。 4. 选择“数据销毁”作为“操作”来计划数据销毁作业。 5. 在“常规数据”字段中输入 “X”。 6. 在业务伙伴的选择屏幕中，导航到“定义条件”标签并设置条件“业务伙伴编号”“大于”“1”。这样做可确保销毁在 “维护员工”应用中加删除标记的所有员工。

安全方面 PUBLIC 身份和访问管理公共 87 7. 选择“保存”，将主屏幕返回到“所有变式”标签，并选择您的变式。 8. 选择“计划归档”。弹出窗口出现后，确认您的选择。

支持的设备类型

● 台式机 ● 平板电脑 ● 智能手机

相关信息

第 84 页上的“信息生命周期管理”

3.4.3.4 监控归档作业

使用此应用，可监控归档对象的作业状态。

通过此应用，您可以监控归档对象的作业状态。对于每一个具有与其关联的作业的归档对象，应用都会为其显示作业状态，例如已失败、已调度、处理中和已完成。

关键功能

通过此应用，您可以：

● 查看已失败、已调度、处理中和已完成作业列表 ● 查看作业详细信息，包括作业类型、调度人、持续时间、开始日期和时间 ● 终止已调度作业 ● 重新调度失败的作业

活动

监控归档作业

1. 打开监控归档作业应用。 2. 选择归档对象。

 注意

具有失败作业的归档对象显示在顶部。

PUBLIC 安全方面 88 公共身份和访问管理 3. 选择“失败”、“已计划”、“处理中”和“已完成”标签以查看作业。 4. 您可以单击作业以查看其详细信息以及相关的作业日志和应用程序日志信息。 5. 您可以删除或重新计划失败的作业。

支持的设备类型

● 桌面计算机 ● 平板电脑 ● 智能手机

相关信息

第 84 页上的“信息生命周期管理”

3.4.3.5 ILM 数据销毁

使用此应用，您可以计划文件的销毁运行。

使用此应用，您可以为过期归档文件计划销毁运行或使用数据销毁对象计划销毁运行。

● 在“归档文件”标签中，您可以查看包含过期归档资源的 ILM 对象。 ● 选择要计划用于数据销毁运行的过期资源。 ● 自动执行下一计划时将会删除标记为数据销毁的所有过期资源。 ● 在“销毁对象”标签中，您可以查看尚未计划销毁运行的数据销毁对象。 ● 选择要计划销毁运行的数据销毁对象。 ● 将自动执行数据销毁对象的计划运行。

 注意

请注意，当前 IBP 中不支持归档文件功能。

支持的设备类型

● 桌面计算机 ● 平板电脑 ● 智能手机

安全方面 PUBLIC 身份和访问管理公共 89 3.4.3.5.1 如何使用数据销毁对象计划销毁运行

先决条件

● 确保 ILM 对象具有可用的活动策略。

背景信息

此流程允许您使用数据销毁对象计划销毁运行。

过程

1. 打开 ILM 数据销毁应用。 2. 单击“数据销毁对象”标签。 3. 数据销毁对象列表显示在“未计划”页面中。

 注意

单击“已计划”页面查看已计划进行数据销毁的对象。

单击项目以查看作业日志。 4. 显示所有“项目”以及“映射的 ILM 对象”和“上次销毁运行”日期。 5. 选择数据销毁对象并单击“计划”以计划销毁运行。 6. 将显示一条确认消息，询问您是否要继续。 7. 单击“删除”继续，或单击“取消”中止任务。已计划删除的销毁运行，在运行计划时将数据删除。计划运行由技术作业触发，该作业在七天内执行一次。

3.4.4 维护业务用户

您可以使用此应用程序为业务用户提供访问权限和维护业务用户设置。

目的

业务用户通过业务角色获得 Fiori 应用的访问权限。业务角色可包含一个或多个业务目录，从而包含多个应用。

PUBLIC 安全方面 90 公共身份和访问管理关键功能

您还可使用此应用执行以下操作：

● 编辑业务用户数据 ● 向用户分配业务角色并移除现有分配 ● 更新用户角色分配 ● 锁定用户，使其无法登录系统 ● 解锁用户 ● 下载用户列表 ● 为每个业务用户设置用户界面语言

● 查看允许用户运行哪些应用程序作业模板

观看视频

支持的设备类型

● 桌面计算机 ● 平板电脑

3.4.4.1 创建和编辑业务用户

要创建新业务用户，在应用主屏幕中单击“创建”，选择要为其创建用户的员工，然后填写所需字段。

 注意

您只能为现有员工创建业务用户。有关如何在系统中创建员工的详细信息，请参阅第 82 页上的“维护员工（旧版本）”。如果已使用 CSV 文件上载多个员工，则会自动创建业务用户。

对于“用户名称”，输入与企业身份提供者为用户定义的登录名称相同的名称或标识。如果不使用企业身份提供者，则可以保留用户名，或者将其替换为员工标识。

如果使用 Identity Authentication 服务，可以通过选择 “下载” “下载用户” 以 CSV 文件下载用户列表。

接下来，转到 Identity Authentication 中的 “Cloud Identity 管理控制台”，使用“导入用户”应用上载 CSV 文件。

有关如何完成创建业务用户的过程的详细信息，请观看第 90 页上的“维护业务用户”中的演示视频。

要将业务角色分配至用户，单击“添加业务角色”并从打开的窗口中选择一个或多个角色。您还可以为新业务用户指定许可过滤器以及属性许可。

安全方面 PUBLIC 身份和访问管理公共 91 使用主屏幕中的按钮，可以锁定或解锁用户，还可以在不再需要现有业务用户时将其删除。

相关信息

第 93 页上的“下载用户” 第 13 页上的“许可过滤器” 第 29 页上的“管理属性许可”

3.4.4.2 锁定和解锁业务用户

您可以在“维护业务用户”应用中通过以下方式锁定和解锁业务用户：

● 在主屏幕中选择一个或多个业务用户，然后单击“锁定”或“解锁”。您还可以使用“搜索”字段查找要锁定或解锁的用户。 ● 打开业务用户进行编辑，然后选中“已锁定”或“已解锁”复选框。您可选择的选项取决于当前用户状态。

3.4.4.2.1 如何锁定未使用的业务用户

锁定非活动业务用户。如果业务角色中包含用户管理业务目录 (SAP_CORE_BC_IAM_UM)，则可以使用此功能。

背景信息

您可以计划作业以自动锁定特定天数内未登录的业务用户。

 注意

要计划此作业，可以按如下所述使用“应用程序作业”应用，或者如果要直接访问相应的计划屏幕，则可以使用“编辑主页”在 SAP Fiori 快速启动板上添加计划未使用业务用户锁定磁贴。

过程

1. 打开“应用程序作业”应用。 2. 在“作业模板”下，选择“锁定未使用业务用户”。 3. 在“参数”下，输入用于自动锁定的所需天数。 4. 单击“计划”。

PUBLIC 安全方面 92 公共身份和访问管理 3.4.4.3 将业务角色分配到业务用户

选择要编辑的业务用户后，可以查看分配至该用户的业务角色。可以在此屏幕中将新业务角色分配给用户或从列表中移除已分配的角色：

● 要分配新业务角色，请单击列表上的“添加”或屏幕底部的“添加业务角色”，在随即打开的窗口中选择所需业务角色，然后单击“确定”。 ● 要移除分配，请将其选中并单击列表上的“移除”或屏幕底部的“移除业务角色”，然后单击“确定”。

3.4.4.4 设置用户界面的语言

可以通过以下操作在“维护业务用户”应用中为每个业务用户设置用户界面语言：

1. 打开要编辑的业务用户 2. 在屏幕上的“地区设置”部分选择所需语言

3.4.4.5 下载用户

要将业务用户的完整列表上载到 SAP Cloud Identity，可以将其下载到 CSV 文件中。下载的文件包含每个用户的状态（活动或非活动）、用户名、电子邮件地址、名字和姓氏。

有关详细信息，请参阅第 9 页上的“用户验证”。

3.4.5 维护业务角色

使用“维护业务角色”应用，您可以通过组合预定义的业务目录来定义业务角色，并在必要时通过维护字段的允许值来定义读取和写入访问权限。

目的

利用“维护业务角色”应用，可以通过合并预定义的业务目录来定义业务角色，并可通过维护允许的字段值来定义值帮助、读取和写入访问权限（如有需要）。使用业务角色控制对应用程序的访问。预定义目录包含允许用户访问应用和允许定义基于实例的限制（必要时）的实际权限。业务目录将捆绑特定业务范围的权限。创建业务角色后，可将其分配给多个执行相似业务任务的业务用户。

关键功能

您还可使用此应用执行以下操作：

安全方面 PUBLIC 身份和访问管理公共 93 ● 从头开始创建业务角色（基于所选业务目录） ● 通过 SAP 提供的模板创建业务角色 ● 从测试系统中下载业务角色，并将它们以 XML 文件的形式上载到生产系统 ● 可将一个或多个业务角色分配给业务用户。 ● 复制业务角色 ● 删除业务角色

示例

通过使用“预测模型”、“IBP Excel 加载项”业务目录以及其他与该业务角色相关的业务目录来创建名称为“需求计划员”的业务角色。然后指定具有该角色的用户只能在特定计划范围中访问主数据。最终，将实际需求计划员的业务用户分配至该角色。

观看演示视频

支持的设备类型

● 桌面计算机 ● 平板电脑

3.4.5.1 创建和编辑业务角色

要创建新角色，请在应用的主屏幕上单击“新建”并填写必填字段。要编辑现有业务角色，请将其选中，然后在打开的屏幕上的不同标签页中进行更改。

使用主屏幕上的按钮，您也可以复制现有角色并对其进行修改以符合您自己的目的，并且，如果不再需要现有业务角色，可将其删除。

活动

您可以从头重新创建业务角色或根据业务角色模板创建业务角色。这些模板包含特定业务能力中所需的全部业务目录。当然，您仍可以根据需要添加和删除个人目录。选择“根据模板创建”，您可以找到这些目录。

有关 SAP 提供的所有业务角色模板的列表，请参阅第 100 页上的“业务角色模板”。

PUBLIC 安全方面 94 公共身份和访问管理 3.4.5.2 分配业务目录

可使用以下方式将业务目录分配到业务用户：

1. 转至快速启动板中的“维护业务角色”并从列表视图中选择业务角色。 2. 要向业务角色中分配一个或多个目录，打开“已分配的业务目录”标签并选择“添加”。 3. 在弹出框中，选择与相同名称的业务目录角色相对应的所需业务目录，单击“确定”或“应用”。如果单击“应用”，业务目录将分配至业务角色但窗口保持打开，您可以继续添加更多业务目录。 4. 要了解有关业务目录的详细信息，在“已分配的业务目录”标签中将其选中并单击“信息”。

3.4.5.3 将业务用户分配到业务角色

可以在“分配业务用户”标签页上查看已经分配到所选业务角色的业务用户列表，还可以从列表中添加新的业务用户或移除业务用户。

要分配新用户，请单击“添加”，在打开的窗口中选择所需业务用户，然后单击“确定”或“应用”。如果单击“应用”，则业务用户将分配至业务角色，但窗口保持打开，您可以继续添加更多业务用户。

3.4.5.4 激活或保存业务角色

处理完业务角色后，可以选择以下选项：

● 如果您只是分配了用户或移除了现有分配，则只需保存角色。 ● 如果您已经分配业务目录，并移除了现有分配或维护了限制，则必须保存角色以将其激活。

3.4.5.5 如何创建主要和派生的业务角色

背景信息

如果您需要创建多个具有通用特征的业务角色，则可以定义一个主角色，然后通过它派生其他业务角色。主角色包含访问限制等基本设置、已分配的业务目录以及“总账会计”等通用限制。无法在派生的业务角色中更改主业务角色中定义的值。但是，您可以为派生的角色定义其他值。

安全方面 PUBLIC 身份和访问管理公共 95 过程

1. 打开您希望定义为主业务角色的业务角色，然后单击“编辑”。 2. 选中“主业务角色”复选框，然后单击“保存”。现在，业务角色具有“主业务角色”标签。 3. 返回到列表视图，选择此主业务角色，然后单击“创建派生的业务角色”。 4. 系统会建议您可以增强的业务角色标识。 5. 输入角色描述，然后单击“确定”。系统显示业务角色维护屏幕。业务角色具有“派生的业务角色”标签。 6. 根据需要，向派生的业务角色添加其他值。 7. 保存条目。

3.4.5.6 比较业务角色

通过此功能，您可以在“比较业务角色”屏幕中显示常用功能以及业务角色之间的差异。

您可以比较并显示以下功能：

● 公用数据（如描述），等等 ● 限制和限制值 ● 分配的业务目录 ● 分配的业务用户

3.4.5.7 如何为业务角色创建空间和页面

背景信息

创建新业务角色时，可以创建新的快速启动板空间、使用现有快速启动板空间，或使用基于 SAP 提供的空间的快速启动板空间。如果需要，可以通过单击“已分配快速启动板空间”标签上的“添加”将多个空间添加到角色。如果快速启动板空间不再与角色相关，则可以单击“移除”。

有关详细信息，请参阅如何创建和分配空间和页面。

3.4.5.8 业务角色的字段维护状态

您可以在业务角色上下文中定义字段维护状态的详细信息。例如，您可以定义是否未有意维护字段。

PUBLIC 安全方面 96 公共身份和访问管理下表显示了哪些维护状态适用于哪种角色类型：维护状态常规角色主角色派生角色

首要限制 x x -

未维护 x x -

已在派生角色中维护 - x -

3.4.5.9 管理升级后的业务角色更改的最佳实践

了解季度版本变更如何影响您的生产业务角色对您而言非常重要。

业务角色更改通常具有技术原因，即新开发可能需要对现有应用程序、业务目录、限制类型和/或限制字段进行更改。需要相应地调整受影响的业务角色，以确保现有应用在升级之前和升级之后行为一致。

可能会出现以下典型更改：

● 业务目录已弃用或拆分，或者具有新的相关性，因此需要分配新的业务目录。 ● 已将新应用添加到现有业务目录。 ● 已添加、移除新限制类型或已更改访问类别。

3.4.5.10 如何管理升级后的业务角色更改

背景信息

对于每个业务角色，您可以显示自上次升级以来对限制类型、业务目录相关性、业务角色模板以及业务目录弃用的所有更改。如果需要，您可以在业务角色中采用这些更改以使其保持最新。

过程

1. 打开所需的业务角色。 2. 单击“编辑”。请注意，如果您只想显示更改，则不需要此步骤。单击编辑时，“显示升级后的更改”按钮更改为 “管理升级后的更改”。仅当自上次升级以来在以下至少一个区域中进行更改时，“显示升级后的更改”按钮才处于活动状态：限制类型、业务目录相关性、业务目录弃用或业务角色模板。 3. 单击“管理升级后的更改”。随即打开“升级后的更改”窗口。 4. 查看“限制类型”、“业务目录相关性”、“弃用的业务目录”和“业务角色模板”区域中的更改。 5. 更新您的业务角色以便其包含上次升级时引入的更改：

○ 已弃用业务目录和业务角色模板

安全方面 PUBLIC 身份和访问管理公共 97 如果要直接将更新传输到业务角色，请在列表中选择所需的条目，然后单击“采用更改”。 ○ 限制类型和值如果需要，导航到限制类型和值以进行相关更改。您可以通过单击列出详细更改的链接（例如，“写入已添加”）来执行此操作。这将转到限制和值的维护屏幕。 6. 完成后单击“保存”。

3.4.6 业务目录

您可以使用此应用在一个位置显示 SAP 所提供的所有业务目录。

目的

通过此应用，您可以获得有关业务目录、其状态（例如“已弃用”）及其在业务角色内的使用的概览。例如，可在升级后使用此应用程序查看由 SAP 提供的哪些应用程序和业务目录已更改。它们还可能已弃用。作为关键用户，需具有这些更改的概览以相应调整受影响的业务角色。

关键功能

您还可使用此应用执行以下操作：

● 显示业务目录、其在角色内的使用和常规描述 ● 显示业务目录更改：检查区域中的业务目录或应用是否已更改（例如，事务已由 SAP Fiori 应用替换），以及哪些业务角色受到这些更改的影响。 ● 显示弃用：检查区域中的任何业务目录是否已弃用及其将替换为哪些后继对象。选择受影响的业务角色并传输更改。 ● 显示相关性：检查业务目录是否取决于其他业务目录，或其他业务目录是否取决于某个业务目录，从而实现完全可操作。

业务目录修订

由于 SAP Integrated Business Planning 的不断发展（包括开发新功能和新应用），我们需要定期修订现有的业务目录。这意味着某些业务目录已被弃用，并由新的业务目录替代，您需要将业务角色和业务用户分配到这些新的目录。

您可以使用“业务目录”应用来检查有多少已弃用的业务目录仍在使用。您可以过滤已弃用目录的目录列表，但已弃用的目录会在正在使用的所有目录列表中被标记为附录（过时），使您一目了然。通过该应用可以轻松快捷地将旧的、已弃用的业务目录中的分配更改到新的活动目录。

通过“业务目录”应用宣布弃用业务目录后，在继续更新两个版本之后，系统才会将该目录删除。您可以在这两个版本中使用旧的或新的业务目录。在此期间，您可以选择最适合您的业务目录进行替换。在“业务目录”应用中，您可以看到宣布弃用业务目录时的版本。

PUBLIC 安全方面 98 公共身份和访问管理支持的设备类型

● 桌面计算机 ● 平板电脑

3.4.6.1 如何处理已弃用的业务目录

背景信息

由于正在开发新功能和新应用，因此需要定期修订现有业务目录。这意味着某些业务目录已弃用并已由新的业务目录替代，同时您需要向这些新目录分配业务角色和业务用户。

与消失不同，已弃用的业务目录会标识为即将过时，您可以直观地识别这些业务目录。您还可以通过“业务目录” 应用查看有多少已弃用的业务目录仍在使用中。您可以使用此应用来快速、轻松地更改从旧的弃用业务目录到新的活动目录的分配。

 注意

某些业务目录在每个版本中都会重新设计。请检查您的业务角色和业务用户的分配，并尽快对分配进行必要的更改。

过程

1. 在“业务目录”应用中，检查有多少弃用的业务目录仍在使用中。可以针对弃用的业务目录过滤目录列表，但仍会在正在使用的所有目录的列表中将弃用的业务目录标记为附录（已过时）。 2. 将旧的已弃用业务目录中的分配更改为新的活动目录。通过“业务目录”应用宣布业务目录弃用后，目录将仍然存在于未来两个版本中，之后才会删除。在使用这两个版本期间，新旧业务目录均可使用。在此时间范围内，可以在最适合的时候进行替换。在“业务目录”应用中，您可以查看已宣布弃用业务目录的版本。

示例：某业务目录自 Cloud 1811 版本起弃用。该业务目录将在 Cloud 1905 版本时删除。

安全方面 PUBLIC 身份和访问管理公共 99 3.4.7 业务角色模板

“业务角色模板”应用为您提供了 SAP Integrated Business Planning 中提供的业务角色模板的概览。

目的

通过此应用，您可以获取有关所提供的业务角色模板，升级中包含的任何更改以及是否需要调整业务角色以符合这些更改的概览。例如，升级后，可以检查业务角色模板是否已更改，因此与现有业务角色有所不同 - 可能已添加新的业务目录或将一个现有目录替换为另一个目录。可以查看哪些业务角色受到更改的影响，并根据需要进行调整。

关键功能

您可使用此应用执行以下操作：

● 显示业务角色模板 ● 显示业务角色模板在业务角色中的使用情况 ● 显示业务角色模板和业务角色之间的差异 ● 检查哪些业务角色受这些更改影响 ● 调整业务角色以适应更改 ● 创建业务角色

SAP 提供的业务角色模板

以下业务角色模板是创建个人业务角色的基础。这些模板包含特定业务能力中所需的全部业务目录。

业务角色模板的名称业务角色模板的技术名称

“科目计划员 (IBP)” SAP_BR_ACCOUNT_PLANNER_IBP

“管理员” SAP_BR_ADMINISTRATOR

“配置专家 (IBP)” SAP_BR_CONFIG_EXPERT_IBP

“需求计划员 (IBP)” SAP_BR_DEMAND_PLANNER_IBP

“库存计划员 (IBP)” SAP_BR_INVENTORY_PLANNER_IBP

“供应链分析者 (IBP)” SAP_BR_SC_ANALYST_IBP

PUBLIC 安全方面 100 公共身份和访问管理业务角色模板的名称业务角色模板的技术名称

“供应计划员 (IBP)” SAP_BR_SUPPLY_PLANNER_IBP

“需求计划员 - 业务伙伴 (IBP)” SAP_BR_DEMAND_PLNR_BUPA_IBP

“供应计划员 - 业务伙伴 (IBP)” SAP_BR_SUPPLY_PLNR_BUPA_IBP

支持的设备类型

● 桌面计算机 ● 平板电脑

3.4.8 用户组

员工利用此应用可以在允许协作和共享的应用中相互协作。首先在“用户组”应用中创建用户组，然后将用户组与在“协作”应用中创建的相应 SAP Jam 组相连接。

有关详细信息，请参阅协作。

活动

● 使用对员工有意义的名称和描述创建新用户组 ● 将用户添加至组 ● 从组中移除用户 ● 向同事发送邮件以审核所创建或更改的用户组 ● 共享在 SAP Jam 中创建或更改的用户组 ● 删除用户组用户组中的“使用位置”标签将在删除用户组之前显示它的具体使用位置。 ● 在“变更历史记录”标签中，审核对用户组的更改

支持的设备类型

● 台式机 ● 平板电脑 ● 智能手机

安全方面 PUBLIC 身份和访问管理公共 101 3.4.9 显示技术用户

此应用显示系统内存在的所有技术用户。

目的

通过此应用，您可以显示技术用户，这些技术用户可以是用于使系统中的技术任务自动化的服务，例如远程执行打印作业的打印队列用户。此外，软件提供者或托管提供者的服务和支持用户也是技术用户。

关键功能

您还可使用此应用执行以下操作：

● 锁定和解锁以下类型的技术用户：打印用户、通信用户和随新系统提供的初始用户 (SAP_CUST_INI) ● 更改某些类型的技术用户的用户名和密码

支持的设备类型

● 桌面计算机 ● 平板电脑

3.4.9.1 SAP 支持用户请求日志

在“显示技术用户”应用中，可以显示 SAP 支持用户在过去 12 个月访问您的客户系统的时间和原因的相关详细信息。单击“用户”清单中的所需条目时，将针对每个支持用户显示相关消息标识、访问级别、访问类别、客户用户、请求日期和有效期日期。根据 GDPR，虚拟 SAP 支持用户标识是为了尊重 SAP 员工的数据主体权。

3.4.9.1.1 访问级别

访问级别定义访问客户系统时 SAP 支持用户的权限。

PUBLIC 安全方面 102 公共身份和访问管理名称用途

SUPPORT_DEFAULT （平台分析、显示配置、无业务权限） SUPPORT_DEFAULT 访问级别提供对 ABAP 平台交易、定制表和视图的显示、带有 SAP 交付或在客户系统中传输内容的系统表显示的显示访问权限。它还提供显示、激活和取消激活临时日志和跟踪的权限，而无需访问有效负载数据。它授予自有用户调试和其他用户外部调试的权限。但不授予更改变量值或更改调试器中代码流的权限。如果支持需要业务权限，则在客户支持情况下会达成一致，并将其作为附加权限从特定客户业务用户或客户通信用户复制。

SUPPORT_EXTENDED（平台分析、有限管理、完整的业务授 SUPPORT_EXTENDED 访问级别继承 SUPPORT_DEFAULT 访问权）级别的所有权限。此外，它授予对应用程序表、大多数业务应用程序日志显示的显示访问权限以及对有效负载数据访问权限瞬态跟踪的显示、激活和取消激活。它还授予完整的业务应用程序权限。它包括所有后端事务和应用程序层的报表。它授予有限的 ABAP 平台管理权限、例如删除缓存。不授予更改系统配置、自定义数据或开发对象的权限。

SUPPORT_CUSTOMIZING（受限平台定制、完整业务定制） SUPPORT_CUSTOMIZING 访问级别继承 SUPPORT_DEFAULT 访问级别的所有权限。此外，它授予权限以维护选定 ABAP 平台定制以及不受限制的业务应用程序定制。

SUPPORT_DEVELOP_LOCAL（本地开发） SUPPORT_DEVELOP_LOCAL 访问级别继承 SUPPORT_EXTENDED 访问级别的所有权限。此外，它授予创建和执行本地开发对象的权限。可能需要使用此访问级别来支持在客户命名空间中生成本地开发对象的框架（例如，可扩展性或数据迁移）。利用该访问级别可测试执行所有功能模块和静态方法。还允许更改字段值和更改调试器中的代码流。不授予修改 SAP 交付的开发对象的权限。

SUPPORT_DEVELOP（不受限制的开发） SUPPORT_DEVELOP 访问级别继承 SUPPORT_DEVELOP_LOCAL 访问级别的所有权限。此外，它授予修改 SAP 交付的开发对象的权限。此类更改的标准程序是热修复补丁或紧急补丁。此访问级别只能在该流程不适用的紧急情况下使用。

SUPPORT_USER_ADMIN（用户和角色管理） SUPPORT_USER_ADMIN 访问级别继承 SUPPORT_DEFAULT 访问级别的所有权限。此外，它为本地用户和角色管理授予权限。此访问级别可用于与业务用户或通信用户管理相关的支持案例。

SUPPORT_SYSTEM_CONFIG（系统配置） SUPPORT_SYSTEM_CONFIG 访问级别继承 SUPPORT_EXTENDED 访问级别的所有权限。此外，它授予手动配置 SAP 管理的通信场景的权限。对于客户系统中的此类通信场景，必须进行自动设置。此访问级别用于自动设置失败的情况。

安全方面 PUBLIC 身份和访问管理公共 103 名称用途

（不受限制的系统管理） SUPPORT_SYSTEM_ADMIN SUPPORT_SYSTEM_ADMIN 访问级别授予不受限制的管理访问权限。它包括权限参数文件 SAP_ALL。云操作可能需要将其用于系统生命周期管理。对于无法通过其他访问级别解决的支持案例，支持团队可能需要请求将其作为最终权限提升。针对此类支持案例必须进行根案例分析。根本原因必须解决。

3.4.9.1.2 访问类别

访问类别对 SAP 支持用户访问客户系统的目的进行分类。

名称用途

操作操作访问类别用于中央云操作团队的系统访问，以进行系统生命周期管理、被动系统管理和主动系统管理。此类访问不基于单个支持案例。无法从客户业务用户或客户通信用户接管权限。

客户支持客户支持访问类别用于基于客户提出的支持案例进行系统访问。系统访问的目的记录在客户支持案例中，可以在客户服务管理中审查。

系统访问限于未完成的客户案例的处理器。针对生产系统创建的支持案例也允许访问非生产系统。但针对非生产系统创建的支持案例不允许系统访问生产系统。系统访问生产系统需要该特定系统的案例。

客户可能允许处理器复制特定客户业务用户或客户通信用户的权限。客户支持案例中记录对此的许可。然后，除支持访问级别外，案例处理器还可以复制这些权限。

系统会自动审批 SUPPORT_DEFAULT 支持访问级别，供客户支持案例的处理器访问客户系统。也会自动审批 SUPPORT_EXTENDED 支持访问级别，供客户支持案例的处理器访问非生产系统。对客户系统中更高特权支持访问级别的任何请求都强制实施使用 SAP 内部审批流程的双重控制原则。

健康检查支持健康检查支持访问类别用于基于自动健康检查在内部引发的支持消息的系统访问。系统访问的目的由 SAP 通过消息在内部记录。

访问级别的审批程序与客户支持访问类别的过程相匹配。这同样适用于对生产系统与非生产系统的访问限制。

PUBLIC 安全方面 104 公共身份和访问管理名称用途

紧急支持支持用户访问由中央云管理平台控制。在与中央云管理连接中断的情况下，紧急支持访问类别用于本地创建的支持用户。

紧急支持访问的目的记录在客户支持案例中，可以在客户服务管理中审查。

SAP 内部支持 SAP 内部支持访问类别用于系统访问 SAP 内部测试或演示系统。它不适用于对客户系统的系统访问。如果客户系统中有任何此类访问，我们建议您为云操作创建消息以验证支持用户访问的配置。

3.4.10 IAM 信息系统

使用此应用，您可以显示有关业务角色、业务目录、业务用户及其相关方式的使用情况的信息。

目的

使用此应用，可显示有关业务角色、业务目录、业务用户和限制的使用以及他们如何相关联的信息。例如，可使用此应用检查业务用户是否使用特定应用以及检查用户具有哪些权限。

如果要查找有关业务角色、派生的业务角色、业务用户、业务目录、业务角色模板或限制的详细信息，可以通过单击实体直接跳转到相应的应用。

您可以将此应用用作 SAP S/4 HANA Cloud 管理员日常工作的一部分。

关键功能

您可使用此应用执行以下操作：

● 检查以下实体的使用以及他们如何相关联：业务角色、派生的业务角色、业务角色模板、应用程序、业务角色、业务目录、限制 ● 例如，可检查哪些业务角色分配到业务用户，哪些业务目录和限制因此分配到业务用户以及用户可访问的应用程序。还可下载业务用户和业务目录的列表。

支持的设备类型

● 桌面计算机 ● 平板电脑

安全方面 PUBLIC 身份和访问管理公共 105 3.4.11 显示限制类型

您可以使用此应用显示访问限制及其有效期。

通过此应用，您可以显示限制类型分配、已分配字段和使用限制类型的业务目录。

关键功能

可使用此应用执行以下操作：

● 显示所有可用限制类型及其字段。 ● 检查限制字段是否支持编号范围。 ● 显示这些限制类型如何用于业务目录。

支持的设备类型

● 台式机 ● 平板电脑

3.4.12 显示通信场景

您可以使用此应用获得可用通信场景的概览。

通过此应用，您可以显示用于集成的通信场景，以及场景状态。

关键功能

可使用此应用执行以下操作：

● 显示所有可用通信场景 ● 显示场景详细信息和属性 ● 显示通信场景中使用的受支持的内向验证方法和内向服务 ● 显示通信场景中使用的受支持的外向验证方法、证书和外向服务 ● 下载特定用途的证书 ● 显示使用通信场景的通信安排 ● 基于通信场景创建新的通信安排

PUBLIC 安全方面 106 公共身份和访问管理支持的设备类型

● 台式机 ● 平板电脑

3.4.13 显示权限跟踪

使用此应用，您可以为业务用户启用权限跟踪。这有助于您分析是否缺少任何权限或权限不足。

● 激活或取消激活跟踪 ● 显示权限检查结果，包括已分配的权限和失败的检查

最多可以有 10.000 个数据集，因此我们建议在定义选择条件尤其是日期范围时考虑这一点。

可能的权限检查状态如下：

状态含义

成功权限检查成功。

失败权限检查失败。

已过滤在读取对象时，正在进行权限检查，并且过滤掉由 DCL（数据控制语言）定义的特定数据。

如果权限检查的结果为“已过滤”状态，您可以检查哪些业务角色公开了受影响的限制类型。一种可能的解决方案是经过检查的业务用户未分配到所需的业务角色，或尚未维护所需的值。

3.4.14 IAM 关键指标

通过此应用，您可以快速了解业务用户和业务角色的关键问题。例如，您可以检查业务用户是否已锁定或分配的业务角色是否过多。相关信息显示在详细图表中，因此您可以快速查看所需指标。

可使用此应用来显示以下信息：

● 分配给业务角色的业务用户数 ● 业务用户上次登录的月份 ● 锁定和解锁的业务用户数 ● 业务用户的有效性 ● 具有未维护限制的业务角色数 ● 具有无限制访问权限的业务角色数

安全方面 PUBLIC 身份和访问管理公共 107 支持的设备类型

● 桌面计算机 ● 平板电脑

3.4.15 维护已删除的业务用户

使用此应用，您可以显示已删除业务用户的详细信息（例如保留期），并允许或冻结其重新创建。

● 显示所有已删除用户的清单，包括删除时间、重新创建期间结束和重新创建状态 ● 通过显示联系人详细信息（例如电子邮件地址或电话号码）来解决已删除业务用户的身份 ● 将重新创建状态从“允许”更改为“不允许”或从后者更改为前者。 ● 查看系统删除检查以找出用户是否可以永久删除，或者该用户是否仍在使用中，或者找出未销毁已冻结用户数据的原因。

支持的设备类型

● 台式机 ● 平板电脑 ● 智能手机

3.4.15.1 冻结和删除业务用户

参考的示例包括字段条目，例如在系统、更改文档或应用程序数据库表中的“创建人”或“最后更改人”。结果包括以下内容：

● 无法再识别已删除用户主记录后面的人员。您只剩下一个用户标识。这通常是任何业务文档或对象管理数据中业务用户的用户名称。 ● 用户管理员可以使用相同的名称创建一个业务用户，但是该业务用户与一个完全不同的人员相关联。

对于配置和定制对象而言，后果更糟，因为它们在系统中的寿命很长。

前面的结果描述了系统的缺省状态。冻结和删除功能提供了更多功能，可帮助您管理业务用户的删除。这些功能在用户生命周期和附图中进行了描述。

PUBLIC 安全方面 108 公共身份和访问管理用户生命周期

为了使人们能够访问系统资源，您可以在系统中创建业务用户。

在业务用户的生命周期中，当您不再需要业务用户时，业务用户就已经达到其目的结束。业务用户所属的人员可能已经离开您的组织，或者不再需要访问系统资源。

安全方面 PUBLIC 身份和访问管理公共 109 删除后，系统将从主记录中删除用户数据。在值帮助中找不到用户，也无法通过应用程序记录中的用户标识访问该用户。系统禁止重新创建具有相同用户标识的用户。用户标识与键值信息（例如地址数据）一起保存在单独的冻结区域中。从这个时间点开始，用户的保留期开始。

要访问应用“维护已删除业务用户”，您需要将业务目录 SAP_CORE_BC_IAM_UMD 分配给特定业务角色。

使用 SAP Information Lifecycle Management (SAP ILM)，可以为用户定义保留期。一旦超过此期间，系统便可以从冻结区域删除用户数据。但是，在用户的生命周期中，用户可能已经在系统中创建或更改了记录。这些记录的存在可以延长用户的保留期。

具有参考用户数据的记录的应用程序可以为 ILM 销毁对象 IDENTITY 创建系统删除检查。当销毁运行在冻结区域中找到超出其保留期的用户时，ILM 销毁对象 IDENTIY 会相继执行系统删除检查，查找参考该用户的任何记录。如果系统删除检查发现了这样的记录，系统删除检查将停止并且不会从冻结区域删除用户数据。这样，用户数据将从参考该用户数据的任何记录继承保留期。

销毁运行下次运行时，系统删除检查会从上次停止的地方开始。如果参考该用户的记录不再存在，因为它已超过保留期并被删除，则销毁运行将继续其系统删除检查清单。如果通过所有系统删除检查，则销毁运行将从冻结区域删除用户数据，包括重新创建业务用户冻结。

PUBLIC 安全方面 110 公共身份和访问管理 3.4.15.2 如何为已冻结的业务用户配置保留策略

先决条件

您具有可向其添加 ILM 策略的活动审计范围。有关详细信息，请参阅第 85 页上的“ILM 审计范围”

背景信息

使用应用 “ILM 策略”创建 ILM 策略。

过程

1. 按第 86 页上的“ILM 策略”中所述为 ILM 对象 IDENTITY 创建 ILM 策略。信息：创建以下条目：

字段条目

“策略类别” 保留规则

“审计范围” 输入活动审计范围的名称。

“ILM 对象” IDENTITY

 注意

没有可用的选择字段。经过定义的时间段后将删除业务用户数据。

2. 保存您的输入内容。

3.4.15.3 如何计划业务用户的最终删除

使用 SAP Information Lifecycle Management (SAP ILM) 设置已冻结业务用户的最终删除。

先决条件

您已为业务用户配置保留策略。有关详细信息，请参阅第 111 页上的“如何为已冻结的业务用户配置保留策略”。

安全方面 PUBLIC 身份和访问管理公共 111 背景信息

使用 “ILM 数据销毁”应用计划和执行删除作业。

过程

按第 90 页上的“如何使用数据销毁对象计划销毁运行”中所述设置 ILM 对象 IDENTITY 的数据销毁。

3.4.15.4 如何启用业务用户的重新创建

背景信息

该系统可以防止重新创建冻结区域中的用户。该系统防止重新创建已冻结业务用户，以防止用户数据不一致。您不希望同一业务用户与两个不同的人员相关联。但是在某些情况下，您想重新创建的业务用户已删除。也许离开贵组织的人员又回来了。

 注意

如果您具有允许重新创建用户的权限，并且您正在重新创建被冻结的用户，则自动允许重新创建。

过程

1. 在应用“维护已删除业务用户”中，选择要重新创建的业务用户。 2. 单击“允许重新创建”

3.4.16 管理升级后的业务角色更改

通过此应用，您可以在升级后显示对业务目录和限制类型的所有相关更改。例如，如果将新的限制类型添加到业务目录中，则可以使用此应用维护相应的限制。

● 显示更改限制类型列表 ● 显示更改的详细信息 ● 过滤特定更改类型（例如“已添加”或“已移除”） ● 显示受影响的业务目录及其相关性

PUBLIC 安全方面 112 公共身份和访问管理 ● 显示已弃用的业务目录及其后继，并采用相应更改 ● 显示受影响的业务角色数量 ● 在“维护业务角色”应用中交叉导航到受影响的业务角色以查看更多详细信息 ● 批量维护相同访问类别的限制

支持的设备类型

● 台式机 ● 平板电脑 ● 智能手机

3.4.16.1 如何管理升级后的业务角色更改

背景信息

如果您想清楚了解升级后对限制类型所做的所有更改，并且想要在业务角色中维护相应的限制，请执行以下操作：

过程

1. 选择 SAP Fiori 快速启动板上的“管理升级后的业务角色更改”磁贴以打开应用。在初始屏幕上，查看“限制类型” 区域以获取上次升级更改的内容概览。如果需要，过滤特定更改类型，例如，如果只想查看已移除或已添加的限制类型。 2. 如果需要，下载包含所有最近已更改限制类型的 csv 文件。 3. 单击所需限制类型以查看更改的限制类型如何影响业务角色。受此限制类型更改影响的业务角色显示在列表中。通过单击列表上方的限制类型“名称”，可查看限制描述以及已更改此限制类型（例如，添加或移除）的业务目录列表。请注意，将从受影响的业务角色列表中过滤出所有派生角色，以便与主角色同步。 4. 要查找有关受影响业务角色的详细信息或者进行其他更改，可通过单击“业务角色标识”列中列出的链接交叉导航至“维护业务角色”应用。单击链接旁边的“信息”按钮时，将显示升级后影响业务角色且可能与您相关的所有其他更改的列表。 5. 要对业务角色进行必要的更改，请选择所需的业务角色并单击“维护（写入、读取、值帮助）限制”。可以批量维护对多个业务角色的限制，前提是这些业务角色具有相同的访问类别。如果它们具有不同的访问类别，则禁用按钮。在“维护限制”屏幕上，还可以查看相关的业务目录以及在上一屏幕中选择的业务角色。您会看到当前正在维护的限制的限制字段。要查看这些业务角色可能包含的其他限制，请单击眼镜图标（“显示限制”）以交叉导航至“维护业务角色”应用。 6. 单击“编辑”图标并分配所需的值或范围。如果您要明确未有意且并非意外维护字段，则点击“未维护”。

安全方面 PUBLIC 身份和访问管理公共 113 7. 单击“应用”。

3.4.16.2 如何管理升级后更改的限制类型

背景信息

如果您想清楚了解升级后对限制类型所做的所有更改，并且想要在业务角色中维护相应的限制，请执行以下操作：

过程

3.4.16.3 如何管理升级后更改的业务目录相关性

背景信息

如果要在升级后清楚了解业务目录相关性的所有更改，请执行以下操作：

PUBLIC 安全方面 114 公共身份和访问管理过程

1. 选择 SAP Fiori 快速启动板上的“管理升级后的业务角色更改”磁贴以打开应用。在初始屏幕上，查看“业务目录相关性”区域以获取上次升级更改的内容概览。如果需要，过滤特定更改类型，例如，如果只想查看已移除或已添加的相关性。 2. 如果需要，下载包含所有最近更改的业务目录相关性的 csv 文件。 3. 单击所需业务目录相关性以查看更改的相关性如何影响业务角色。受此相关性更改影响的业务角色显示在列表中。通过单击列表上方的业务目录“名称”，可查看业务目录及其新添加的相关性或升级后最近移除的相关性的描述。 4. 要查找有关受影响业务角色的详细信息或者进行其他更改，可通过单击“业务角色标识”列中列出的链接交叉导航至“维护业务角色”应用。

3.4.16.4 如何管理升级后弃用的业务目录

背景信息

如果要查看升级后的所有已弃用业务目录，您希望分配后继业务目录并在业务角色中采用相关更改，请按以下步骤操作：

过程

1. 选择 SAP Fiori 快速启动板上的“管理升级后的业务角色更改”磁贴以打开应用。在初始屏幕上，查看“弃用的业务目录”区域以获取上次升级更改的内容概览。 2. 如果需要，下载包含所有最近已弃用业务目录的 csv 文件。 3. 单击所需业务目录以查看弃用如何影响业务角色。受已弃用业务目录影响的业务角色显示在列表中。通过单击列表上方的业务目录“名称”，可以查看已弃用业务目录和后继业务目录的描述。 4. 如果要接受对业务角色的更改，请选择所需业务角色并单击“采用更改”。请注意，此操作可能会导致您失去维护的限制。建议您在自动采用后验证此业务角色。通过采用更改，可将所有后继业务目录添加到所选角色。将会移除已弃用的目录。 5. 如果需要，请选中“添加后继业务目录的相关业务目录”复选框。 6. 单击“确定”。完成后，系统将会显示进度条和更改结果列表。 7. 单击“关闭”返回到“弃用的业务目录”区域。

安全方面 PUBLIC 身份和访问管理公共 115 3.4.16.5 如何管理升级后的业务角色模板更改

背景信息

过程

○ 已弃用业务目录和业务角色模板如果要直接将更新传输到业务角色，请在列表中选择所需的条目，然后单击“采用更改”。 ○ 限制类型和值如果需要，导航到限制类型和值以进行相关更改。您可以通过单击列出详细更改的链接（例如，“写入已添加”）来执行此操作。这将转到限制和值的维护屏幕。 6. 完成后单击“保存”。

3.4.17 管理用户许可

您使用此应用检查业务用户的访问权限和其他许可相关信息。

目的

作为管理员，您可以使用“管理用户许可”应用根据已分配给用户的业务角色、许可过滤器和属性许可查看和编辑用户的访问权限。

PUBLIC 安全方面 116 公共身份和访问管理关键功能

作为管理员，您可以使用此应用显示任何业务用户的以下许可列表：

● 用户数据 ● 分配给用户的业务角色 ● 用户所属的用户组 ● 分配给用户的许可过滤器（通过直接分配、用户组分配或业务角色） ● 分配给用户的属性许可（通过直接或用户组分配） ● 用户具有读/写访问权限的每个计划范围的关键指标列表。这是用户业务角色中定义的关键指标限制与用户的许可过滤器报表中的可访问关键指标相结合的结果。

除上述内容外，您还可以执行以下操作：

● 显示用户具有读/写访问权限的主数据属性列表。这是用户属性许可的结果。 ● 在详细信息页面的相应部分编辑每种许可类型。 ● 复制现有用户许可并选择将目标用户与源用户的所有许可合并，或仅复制特定对象的许可。 ● （使用令牌）搜索多个用户。

 注意

上述功能仅供管理员使用。

活动

可以执行以下操作：

● 导航到用户的详细视图 ● 以 CSV 文件格式下载业务用户的许可详细信息

 注意

若选择图标，您只能下载带有所有用户许可列表的概览表；若在下拉菜单中选择第一个选项，您可以下载带有所有用户许可列表的概览表；若选择第二个选项，则可以下载所选单个或多个用户的许可详细信息。

● 复制现有用户许可

复制用户许可

可以通过以下方式将许可对象从一个用户复制到另一个用户：

● 从概览表中选择用户，然后选择概览表正上方提供的“复制用户许可”按钮。 ● 导航到用户的详细信息页面，然后选择“复制用户许可”按钮。

使用任一方法选择源用户后，系统将提示您选择目标用户，然后在“选择许可”对话框中，您可以选择以下复制选项之一：

安全方面 PUBLIC 身份和访问管理公共 117 ● 复制目标用户的所有可用许可（缺省行为） ● 将源用户的所选许可复制到目标用户 ● 合并所有许可（缺省行为），或仅合并源用户与目标用户的所选现有许可

 注意

如果不选择“合并”选项，系统将删除目标用户的现有许可。

相关信息

第 118 页上的“我的许可”

3.4.18 我的许可

使用此应用查看自己的访问权限和其他许可相关的信息。

目的

作为业务用户，您可以使用“我的许可”应用根据已分配的业务角色、许可过滤器和属性许可查看您的访问权限。

关键功能

您可使用此应用显示以下信息：

● 您的用户数据 ● 分配给您的业务角色 ● 分配给您的用户组 ● 分配给您的许可过滤器（通过直接分配、用户组分配或业务角色） ● 分配给您的属性许可（通过直接分配或用户组分配） ● 针对您具有读/写访问权限的每个计划范围分配给您的关键指标是业务角色中定义的关键指标限制与您的许可过滤器报表中的可访问关键指标相结合的结果 ● 您具有读/写访问权限的主数据属性是属性许可的结果

PUBLIC 安全方面 118 公共身份和访问管理 3.5 常见问题

使用以下部分查找有关身份和访问管理的多个常见问题的答案：

● 第 119 页上的“管理员任务” ● 第 120 页上的“与 Identity Authentication 服务集成” ● 第 121 页上的“与 SAP Identity Access Governance 集成” ● 第 121 页上的“与 Identity Provisioning 服务集成” ● 第 122 页上的“用户配置” ● 第 124 页上的“业务目录和 Fiori 应用” ● 第 124 页上的“业务角色和限制类型” ● 第 126 页上的“许可过滤器和属性许可” ● 第 127 页上的“与 SAP Jam 集成”

3.5.1 管理员任务

问题：我以管理员身份使用 IBP 需要哪些信息？

要将 IBP 用作管理员，需要以下信息：

1. SAP Integrated Business Planning 的定制 URL 和可用于登录到 IBP 的管理员凭据。您可以在发送给 IBP 合同中指定 IT 联系人的电子邮件中找到所有这些信息。 2. SAP Cloud Identity 管理控制台的自定义 URL。您可以在发送给 IBP 合同中指定 IT 联系人的第二封电子邮件中找到此信息。

 注意

如果您不是此电子邮件的收件人，则该电子邮件的收件人可以在 IBP 中为您创建管理员用户，将其上载到 SAP Cloud Identity Authentication 服务 (Identity Authentication)，这样您也会收到来自 Identity Authentication 的类似请求。

问题：在哪里可以找到应用程序、业务角色、业务目录和业务用户之间关系的相关信息？

“IAM 信息系统”应用提供此信息。

问题：我如何在 SAP IBP 系统中运行权限跟踪？

“显示权限跟踪”应用可用于运行权限跟踪。

故障排除

问题：我已在“维护员工”应用中更改电子邮件，但收到一条错误消息，指出员工标识已存在。

解决方案：删除员工并重新创建。始终确保在创建员工时输入正确的电子邮件。

安全方面 PUBLIC 身份和访问管理公共 119 问题：我在尝试创建业务用户时遇到问题。

解决方案：确保您在“维护员工”应用中输入的员工标识与您在“维护业务用户”应用中输入的用户名相同。

3.5.2 与 Identity Authentication 服务集成

问题：验证 SAP Integrated Business Planning (SAP IBP) 用户的前提条件是什么？

前提条件取决于正在使用的身份提供者：

1. 如果要使用 Identity Authentication 服务，还必须在其中创建所有用户。可以在 Identity Authentication 中手动创建用户，也可以通过上载创建的 SAP IBP 用户创建用户。 2. 如果要使用企业身份提供者 (IdP)，还必须在其中创建所有用户，将其配置为受信任的 IdP，然后在 Identity Authentication 服务中选择以用作身份提供者。

有关详细信息，请参阅第 122 页上的“用户配置”中的“如何创建业务用户”下的步骤 3。

问题：SAP IBP 中的密码策略是什么？

SAP IBP 中密码的使用由 Identity Authentication 服务中应用的企业密码策略定义。

有关详细信息，请参阅 SAP Help Portal（网址为 https://help.sap.com）并在 Identity Authentication 下搜索 “Operations Guide” “Set a Password Policy for an Application” 。

问题：管理员是否能够更改其他用户的密码？

否。管理员只能在创建业务用户时设置初始密码或发送激活电子邮件。之后，只有用户能够更改其密码。可以使用“忘记密码”功能在 Identity Authentication 的登录屏幕中完成此操作。

问题：作为初始设置，我们已在 Identity Authentication 中上载用户，现在我们想要上线其他用户；将对现有用户有哪些影响？

这会创建其他新用户。现有用户保持不变。如果再次上载现有用户信息，则会覆盖 SAP 系统中的旧信息。

问题：我们希望使用外部身份提供者来验证用户。我们是否仍需要 Identity Authentication 服务？

是。您可以使用外部身份提供者来验证用户。在此类场景中，必须在代理模式下配置服务，以将验证重定向到外部身份提供者。

问题：我正在使用 IdP。我是否必须将用户上载到 Identity Authentication？

否。如果将 IdP 配置为充当 Identity Authentication 的代理，会自动将用户复制到企业身份提供者。有关详细信息，请参阅第 122 页上的“用户配置”下问题如何创建业务用户？答案中步骤 3 的第二部分。

问题：用户是否需要 IdP 来登录到 SAP IBP？

否。SAP IBP 提供对 Identity Authentication 的访问，这使用户无需进行单点登录或其他公司 IdP 即可对自己进行身份验证。

有关详细信息，请参阅企业身份提供者。

PUBLIC 安全方面 120 公共身份和访问管理故障排除

问题：我已在 SAP IBP 中创建新员工，之后为员工创建新的业务用户，并且已将用户上载到 Identity Authentication。但是员工尚未收到来自服务的通知电子邮件。

解决方案：检查为员工输入的电子邮件地址是否正确。如果不正确，则同时删除业务用户和员工，然后重新创建它们。如果电子邮件正确，则可能存在技术问题 - 您必须在 Identity Authentication 服务的“用户管理”应用中删除用户并重新创建。

问题：登录时，有时会转到 SAP IBP 登录页面，而有时会转到 Identity Authentication。

解决方案：请确保使用登录电子邮件中所述的正确 URL。

问题：我在尝试登录 SAP IBP 或 Identity Authentication 时遇到问题。

解决方案：清除 Web 浏览器的缓存。

问题：我无法从 SAP IBP 访问 Identity Authentication 登录页面。

解决方案：刷新 Web 浏览器。

3.5.3 与 SAP Identity Access Governance 集成

问题：是否支持 SAP 和 SAP Identity Access Governance 集成场景？

是，通过通信场景 SAP_COM_0066 支持此集成场景。

问题：是否支持 SAP Integrated Business Planning (SAP IBP) 和 SAP governance, risk and compliance (GRC) 解决方案集成场景？

否。SAP IBP 是一款云产品，无法与 SAP GRC 集成。但是，SAP Cloud Identity Access Governance 可以连接到 SAP GRC Access Control 12.0。

问题：是否能够集成 SAP GRC Access Control 12.0 和 SAP IBP？是否存在集成这些工具的标准方式（如果没有，非标准方式亦可）？

无法将 GRC Access Control 12.0（企业预置）与 SAP IBP（云）集成。但是，SAP IBP 提供具有 SAP Cloud Identity Access Governance 的集成场景。有关详细信息，请参阅 SAP Help Portal 上的 “SAP Cloud Identity Access Governance”，网址为 https://.help.sap.com。

问题：我们是否能够针对 SAP IBP 角色执行权责分离/风险分析？

是，我们可以这样做。

3.5.4 与 Identity Provisioning 服务集成

问题：是否支持 SAP Integrated Business Planning (SAP IBP) 和 Identity Provisioning 服务集成场景？

是。可以通过 Identity Provisioning 服务在 SAP IBP 系统中配置用户。通信场景 SAP_COM_0193 用于此目的。

安全方面 PUBLIC 身份和访问管理公共 121 问题：通信场景 SAP_COM_0093 与通信场景 SAP_COM_0193 之间的差异是什么？

通信场景 SAP_COM_0093 对于通过 SOAP 服务在 SAP IBP 中配置用户和业务角色分配有效。

通信场景 SAP_COM0193 用于通过 Identity Provisioning 服务产品在 SAP IBP 中配置用户。

3.5.5 登录到 Excel 加载项

业务用户是否能够登录到 Excel 加载项？

为登录到 Excel 加载项，必须满足以下条件：

● 必须为用户分配计划范围或业务中的许可过滤器，“许可过滤器标识”字段的角色限制字段应设置为“无限制” ● 必须为用户分配一个角色，该角色对计划范围的关键指标具有已定义限制。 ● 业务目录 SAP_IBP_BC_EXCEL_ADDIN_PC （基本计划任务）中提供了登录到 Excel 加载项所需的限制类型。

3.5.6 用户配置

业务用户

问题：在 SAP Integrated Business Planning (SAP IBP) 系统中配置用户的不同方式有哪些？

可以使用以下方法在 SAP IBP 系统中配置用户：

● 创建单个用户：通过 SAP IBP 系统中的“维护员工”和“维护业务用户”应用创建用户。 ● 批量上载用户：通过 SAP IBP 系统中的“维护员工”应用上载 CSV 文件。这将在 SAP IBP 系统内创建员工和相应业务用户。 ● SOAP 服务 - 通信场景身份管理集成 (SAP_COM_0093) 允许您从外部身份管理系统中配置业务用户并将角色分配给业务用户。MANAGEBUSINESSUSERIN 和 QUERYBUSINESSUSERIN SOAP 服务可用于此目的。有关详细信息，请查看 SAP API Hub 上的业务用户。 ● Identity Provisioning 服务：通信场景 Identity Provisioning Integration (SAP_COM_0193) 使您可以将 Identity Provisioning 服务与 SAP IBP 连接。

问题：如何创建业务用户？

执行以下操作以创建业务用户：

1. 在系统中创建员工。 ○ 可以通过执行以下操作一次只创建一个员工： 1. 打开“维护员工”应用，然后选择“创建”。 2. 填写必填字段。对于“员工标识”，输入组织中通常使用的唯一名称或标识来识别员工。 ○ 可以选择通过单个 CSV 文件将多个员工上载到系统，如下所示：

PUBLIC 安全方面 122 公共身份和访问管理 1. 选择“导入”。 2. 在打开的窗口中，为 CSV 文件选择分隔符并选中“下载模板”链接。 3. 根据已下载的模板将员工添加至 Microsoft Excel 工作表，然后使用所选的分隔符（逗号或分号）以 CSV 格式保存文件。确保为每个员工指定一个唯一的电子邮件地址。 4. 选择“浏览”，然后查找您的 CSV 文件并选择“导入”。 2. 通过执行以下操作基于员工创建业务用户： 1. 打开“维护业务用户”应用，然后选择“新建”。 2. 搜索您刚创建的员工并将其选中。系统会立即创建业务用户。 3. 填写必填字段。系统会自动提供“用户标识”。也会显示在“用户名”字段中，但您必须将其替换为在企业身份提供者 (IdP) 中为该用户定义的登录名。如果不使用企业身份提供者，则可以保留用户名，或者将其替换为“员工标识”等。 4. 为所创建用户分配所有必需业务角色。为此，请选择“添加”，然后从打开的列表中选择业务角色。 3. 如果正在使用 Identity Authentication 服务，请按以下步骤操作： 1. 在 SAP IBP 中保持不变，然后使用“维护业务用户”应用中的“针对 IDP 下载”按钮将用户列表下载到 CSV 文件。 2. 登录到 Identity Authentication 服务的 “Cloud Identity 管理控制台”，使用“导入用户”应用上载 CSV 文件。用户会收到一封含 URL 的电子邮件，可将其定向到登录屏幕。 3. 激活后，用户可选择 Identity Authentication 服务的密码。用户登录到服务后，会自动重定向到 SAP IBP。 4. 如果正在使用企业 IdP，请按以下步骤操作： 1. 在企业 IdP 中创建同一用户。 2. 登录到 Identity Authentication 中的 “Cloud Identity 管理控制台”。 3. 打开“企业身份提供者”应用，然后在受信任的身份提供者集中添加企业 IdP。有关详细信息，请参阅企业身份提供者的应用程序帮助。 4. 打开“应用程序”应用并选择 SAP IBP 的 URL。可以在左侧的“自定义应用程序”菜单下找到此内容。 5. 选择“验证身份提供者”下的“身份提供者”。 6. 从列表中选择企业 IdP。

现在，将企业 IdP 配置为充当 Identity Authentication 的代理，并且现在会自动将用户复制到企业 IdP。

问题：用户标识和用户名之间有什么区别？

用户标识是由 SAP IBP 系统生成的技术标识，例如 CBXYZ。用户名类似于在 Identity Authentication 或企业 IdP 中使用的别名。

问题：如何下载 SAP IBP 业务用户的列表？

“维护业务用户”应用提供可下载的 SAP IBP 业务用户的列表。

故障排除

问题：我在“维护业务用户”应用中下载了业务用户列表，但该列表并未包含所有用户。

解决方案：请确保未删除缺少的业务用户所基于的员工。在删除相应员工之前，请始终删除业务用户。

安全方面 PUBLIC 身份和访问管理公共 123 技术用户

如何在我的 SAP IBP 系统中查看 SAP 技术用户？

“显示技术用户”应用提供 SAP 技术用户的列表。

3.5.7 业务目录和 Fiori 应用

问题：如何查看 SAP 提供的业务目录？

可以在“业务目录”应用中查看 SAP 提供的所有业务目录。

问题：如何查找将哪些 Fiori 应用（IBP 应用程序）分配到业务目录的相关信息？

可以在“业务目录”和 “IAM 信息系统”应用中找到此信息。

相关信息

第 50 页上的“业务目录” 第 105 页上的“IAM 信息系统”

3.5.8 业务角色和限制类型

问题：如何限制人员可使用的应用？

可以执行以下操作：

1. 在 IBP 中打开维护业务角色应用。 2. 通过选择“新建”并填写必填字段来创建业务角色。 3. 将这些业务目录分配到提供所需应用访问权限的角色： 1. 选择 “分配业务目录” “添加” 。 2. 选择要分配的业务目录。 3. 选择“确定”或“应用”。如果选择“应用”，则窗口保持打开状态，您可以继续添加更多业务目录。 4. 在应用的主屏幕上选择“保存”将其激活。 4. 将针对人员创建的业务用户分配到提供所需应用访问权限的业务角色： 1. 选择“已分配的业务用户”标签。 2. 选择“添加”，然后选择要分配的业务用户。 3. 选择“确定”或“应用”。

如果创建或编辑业务用户时业务角色已存在，还可以选择不同的方法：

PUBLIC 安全方面 124 公共身份和访问管理 1. 打开“维护业务用户”应用。 2. 选择要向其分配业务角色的业务用户。 3. 选择“分配的业务角色”部分顶部的“添加”。 4. 选择所需业务角色。 5. 选择“确定”或“应用”。

问题：是否可以下载业务角色的内容？

“维护业务角色”应用显示业务角色的内容，您可以将其下载到文件中。可以在新系统中上载文件，这些角色即在新系统中创建。

问题：如何限制人员可以在应用中查看的数据？

1. 打开维护业务角色应用。 2. 选择分配到您为相关人员创建的业务用户的业务角色。 3. 单击屏幕顶部的维护限制。 4. 指定读取和/或写入访问权限。对于读取访问，您可以选择受限制或非限制。对于写入访问，您也可以选择禁止访问。例如，您只能为一个计划范围指定受限制的写入访问权限。请注意，缺省限制值如下： ○ 读取：无限制 ○ 写入：禁止访问 5. 为设置为受限制的访问类型指定限制值： 1. 查找相关限制范围。例如，如果希望特定关键指标仅在特定计划范围中可见，请查找关键指标限制范围。

 注意

如果无法在屏幕上看到限制范围，则它不适用于您分配给该业务角色的目录。

2. 为限制范围内的各个字段选择值。例如，如果希望关键指标可编辑，请选择编辑模式，然后选择要提供写入访问权限的计划范围的名称。完成选择后，选择“确定”。

 注意

将限制相加 - 业务用户可以访问为其分配的业务角色具有访问权限的所有内容。

6. 添加新的限制范围（可选）。例如，如果您要指定业务角色应该对两个不同计划范围中的两个不同关键指标具有写入访问权限，您需要将关键指标限制范围两次添加至该业务角色中（如果缺省列出该角色的限制范围，则再添加一次）。

问题：是否随 IBP 提供任何标准业务角色？

SAP 仅提供业务角色模板。您可以在“业务角色模板”应用中找到这些模板，并在选择主页面上的“从模板创建” 后在“维护业务角色”应用中使用它们。

问题：如何查看 SAP 提供的业务角色模板？

可以在“业务角色模板”应用中查看 SAP 提供的所有业务目录。

问题：是否可以限制业务角色的有效期？

无法限制业务角色的有效期。但是，可以限制业务用户的有效期。

问题：是否可以将 IBP 业务角色从测试系统传输到生产系统

安全方面 PUBLIC 身份和访问管理公共 125 IBP 中不支持传输业务角色。在“维护业务角色”应用中，可以将角色从测试系统下载到文件中，并通过同一应用将其上载到生产系统中。

问题：用户是否可以仅具有对“维护业务角色”或“维护业务用户”应用的显示访问权限？

是。使用业务目录 SAP_CORE_BC_IAM_RM（“身份和访问管理 - 角色管理”）和 SAP_CORE_BC_IAM_UM（“身份和访问管理 - 用户管理”）创建业务角色，并将“读取访问”设置为“无限制”，将“写入访问”设置为“禁止访问”。将角色分配给用户。

问题：是否可以在 Fiori 快速启动板中编辑磁贴组？

可以使用“管理快速启动板空间”应用设计快速启动板布局。

3.5.9 许可过滤器和属性许可

问题：我如何将许可过滤器分配给业务用户？

可以通过多种方式将许可过滤器分配给用户：

● 通过单个用户的直接用户分配（在“许可过滤器”应用中） ● 通过间接用户分配 ● 到用户组（在“许可过滤器”应用中） ● 到业务角色（在“维护业务角色”应用中） ● 首先以限制形式将过滤器分配到业务角色（通过“许可过滤器”限制类型），然后将业务角色分配到业务用户。

可以在“分配用户”标签页下的“许可过滤器”应用中一次将多个许可过滤器分配给单个用户。将所有这些过滤器组合在一起，使用户有权访问由每个过滤器允许的一组属性组合的并集定义的所有数据。

问题：我如何按主数据类型属性限制可用数据？

1. 打开“管理许可过滤器”应用并选择“新建”。 2. 指定常规信息和一些过滤器条件。例如，如果希望某人仅看到与 PFA 产品系列相关的信息，请在过滤器中指定 PRDFAMILY 应该等于 PFA。保存输入内容。 3. 打开“维护业务角色”应用，然后选择分配给您为相关人员创建的业务用户的业务角色。 4. 将“读取”访问类型设置为“受限制”。 5. 在“读取”部分以及“许可过滤器标识”限制字段中查找“常规”限制范围。

 注意

如果无法在屏幕上看到此限制范围，则它不适用于您分配给该业务角色的目录。

6. 在编辑模式下，选择要应用的许可过滤器的名称，然后选择“确定”。

问题：业务角色限制与许可过滤器有何不同？

业务角色限制和许可过滤器协同工作。用户始终需要角色限制中关键指标的写入访问权限。在“许可过滤器”应用中，可以通过定义“读取”和“写入”过滤器条件进一步对此进行限制。

问题：我们是否可以传输许可过滤器？

是，如果架构已启用可扩展性开发，则可以通过“传输模型实体”应用或“导出软件集合”应用传输许可过滤器。

问题：我们是否可以传输属性许可过滤器？

PUBLIC 安全方面 126 公共身份和访问管理是，如果架构已启用可扩展性开发，则可以通过“传输模型实体”应用或“导出软件集合”应用传输属性许可。

问题：是否存在跟踪许可过滤器限制的方法？

无法直接跟踪许可过滤器限制类型，但可以使用“管理许可过滤器”应用提供的许可过滤器报表来分析由许可过滤器授予的读取和写入关键指标。如果要分析用户的多个许可过滤器的影响，可以使用“管理用户许可”应用和关键指标报表。

问题：是否可以通过业务角色向用户分配属性许可？

无法通过业务角色分配属性许可。可以直接或通过用户组间接将属性许可分配到用户。

3.5.10 与 SAP Jam 集成

问题：是否支持 SAP Integrated Business Planning 和 SAP JAM 集成？

是。您可以在 SAP Jam 集成指南中找到有关此主题的详细信息。

问题：我们能否限制配置到 SAP JAM 的用户数量？

如果使用 Identity Provisioning 服务，可以限制配置到 SAP JAM 的用户

有关详细信息，请参阅 Provisioning Users to SAP Jam 下的“限制已配置用户集”部分。

安全方面 PUBLIC 身份和访问管理公共 127 4 数据中心和外部审计的安全

保护数据中心

SAP 遵循一系列运营最佳实践来确保数据中心安全，例如：

● 在分隔的防火区域部署解决方案的计算和存储部分，以便在发生火灾时支持灾难恢复 ● 由冗余硬件存储系统定期备份，用于数据备份和恢复目的。为提供增强的数据集成，我们使用高级数据库管理解决方案来存储客户数据，并在客户自己的数据库实例中安全隔离客户的业务信息 ● 维护与若干电力公司的多个连接，从而实现近乎不可能的完整功率输出。即便本地电网出现故障，支持 SAP 的数据中心也会具有短期输出的不间断电力供应，以及可实现长期输出的柴油发电机备用电源，从而避免对客户数据或解决方案访问造成影响。 ● 逻辑分离和全年 365 天全天候人员配备。安全系统仅允许授权人员访问，并对数据中心进行分区，以便只有授权人员才能访问其指定区域。

有关详细信息，请参阅 SAP Trust Center 中的数据中心部分。

系统备份

云运营团队每天执行数据备份，重做日志备份每 15 分钟运行一次。备份存储在托管系统的主要数据域中，并且在 14 天内可用。此外，每天还会将备份复制到次要站点，并将同一副本保留 14 天。如果需要备份还原，请向 SCM-IBP-OPS-SRV 组件引发 ServiceNow 事件，然后 IBP 云运营团队将相应处理您的请求。

 注意

云运营团队无法恢复特定计划范围的备份，只能恢复整个系统的备份。

有关详细信息，请参阅 SAP Note 2459255 。

保护 SAP Integrated Business Planning 网络

IBP 网络使用了大量的安全技术。多层、分区、专属网络架构通过以下功能仅允许对支持 SAP 的数据中心进行授权访问：

● 负责对外界隐藏网络拓扑的 Web 分配器农场 ● 与网络冗余和分布式拒绝服务 (DDoS) 防护设备的多个 Internet 连接，从而有效防御 DDoS 攻击 ● 分层安全措施持续监控解决方案流量以防止可能出现的攻击。 ● 多个防火墙，将网络分为多个受保护段，并将内部网络与未授权 Internet 流量相隔离

PUBLIC 安全方面 128 公共数据中心和外部审计的安全外部审计

SAP 致力于我们用于维护客户安全、隐私和数据完整性的政策及过程的第三方验证、标准化以及认证。为此，全年执行的第三方审计用以支持尽早发现任何新引入的安全问题。

客户可用报表

SAP Trust Center 上提供了以下合规性文档，客户也可以通过其 CSM/CEE 提出请求。

● SAP Integrated Business Planning FSTEC 合规性证书 I-29/19 ● SAP Integrated Business Planning ISO 27018 ● SAP Integrated Business Planning ISO/IEC：27001 ● SAP Integrated Business Planning SOC 1 (ISAE3402) 审计报表 ● SAP Integrated Business Planning SOC 2 审计报表 ● SAP Integrated Business Planning：ISO/IEC 22301

安全方面 PUBLIC 数据中心和外部审计的安全公共 129 5 数据集成

为能够充分挖掘 SAP Integrated Business Planning for Supply Chain 提供的功能，可在企业预置应用程序（例如 SAP ERP 或 SAP APO）和 SAP Integrated Business Planning for Supply Chain 之间集成业务流程和数据。以下这些部分会提供数据集成安全方面的概览。

面向数据服务的 SAP Cloud Integration

利用 SAP Cloud Platform 集成服务，用户能够导入数据并从 SAP Integrated Business Planning for Supply Chain 中导出数据。有关这些数据流安全方面的信息，请参阅 SAP Help Portal（网址为 http://help.sap.com/ cpi_ds）上的面向数据服务的 SAP Cloud Integration 安全指南。

使用数据集成作业应用的数据上载

利用“数据集成作业”应用可将数据以 CSV 文件的格式上载到 SAP Integrated Business Planning for Supply Chain。

 注意

为确保 SAP IBP 系统安全，会对所有上载的文件进行病毒扫描。有关详细信息，请转到第 132 页上的“病毒扫描”。

将文件上载到适用于 Microsoft Excel 的 SAP Integrated Business Planning 加载项

通过适用于 Microsoft Excel 的 SAP IBP 加载项，可将计划视图保存至计算机、离线更改文件然后将文件上载回系统。用户也可以与其他用户共享 Excel 表（收藏项或模板）。

当用户与其他用户共享收藏项时，出于安全原因系统会暂时清除所有指标。收件人打开共享的收藏项时，系统将在加载指标前检查是否拥有所需权限。有关详细信息，请参阅 SAP Help Portal，网址为 http:// help.sap.com/ibp，路径为 “应用程序帮助” “SAP Integrated Business Planning for Supply Chain” “用户界面” “使用 Microsoft Excel 计划” “业务用户信息” “计划视图” “使用计划视图” “创建计划视图收藏夹” 。

 注意

为确保 SAP IBP 系统安全，会对所有上载的文件进行病毒扫描。有关详细信息，请转到第 132 页上的“病毒扫描”。

PUBLIC 安全方面 130 公共数据集成使用 OData 服务提取数据

要从 SAP IBP 云之外访问 SAP IBP 系统并使用此 OData 服务提取数据，需要执行以下操作：

● 通过 SAP_COM_0143 或 SAP_COM_0720 通信场景创建一个或多个通信用户并将其关联，具体取决于要使用哪个 OData 服务。此场景的通信用户有权访问 API。 ● 设置新的通信场景。 ● 创建 EXTERNAL_DATA_ACCESS 用户组并向其添加业务用户。只有代表这些业务用户时才能提取数据。

使用 OData 服务请求数据时，需要提供要提取数据的属性、关键指标和过滤器。服务以 JSON 格式返回请求的数据。可以为任何计划范围、版本或场景返回数据。有关详细信息，请参阅 SAP Help Portal，网址为 http:// help.sap.com/ibp，路径为 “集成” “数据集成场景” “使用服务进行数据集成” “集成关键指标和主数据” 。

 警告

不要使用 /IBP/EXTRACT_ODATA_SRV 服务批量提取关键指标。如果要提取大量关键指标，我们建议您使用面向数据服务的 SAP Cloud Integration 提取这些关键指标（请参阅从 SAP Integrated Business Planning for Supply Chain 导出数据，网址为 http://help.sap.com/ibp）。

与业务网络协作共享数据

通过业务网络协作，可以与业务伙伴共享关键指标数据，以便跨公司同步和优化供应链。有关这些数据流安全方面的信息，请参阅 http://help.sap.com/ibp 上的 SAP Help Portal，路径为 “业务网络协作配置指南” “安全” 。

SAP Jam 集成

SAP Integrated Business Planning for Supply Chain 支持与 SAP Jam 集成。通过此渠道可以共享可能包含外部用户敏感信息的业务对象和文档。如果正在使用 Internet Explorer 作为 Web 浏览器，完成以下步骤以便安全登录到 SAP Jam：

1. 在 Internet Explorer 中，转到 “工具” “Internet 选项” “安全” ，然后单击“可信站点”下的“站点”按钮。 2. 现在，同时向可信站点列表中添加或移除以下内容： ○ https://*.sapjam.com ○ https:/*.scmibp.ondemand.com 3. 如果已禁用 cookie，请转到 “工具” “Internet 选项” “隐私” “设置” ，然后单击“设置”下的“站点”按钮。 4. 现在可以将 https://*.sapjam.com 和 https:/*.scmibp.ondemand.com 添加到“每个站点的隐私操作”列表中。

有关保护此数据的信息，请参阅 SAP Help Portal 上的 SAP Library，网址为 http://help.sap.com/nw-uiaddon ，路径为 “应用程序帮助” “社交媒体集成” “管理员信息” “安全” 。

安全方面 PUBLIC 数据集成公共 131 5.1 病毒扫描

系统认为所有外部数据（如办公文档、图像、二进制数据）都是不安全的，除非对其进行恶意代码或可疑代码扫描。在 IBP 中，每次分享最喜欢的文档或使用 Microsoft Excel 的 IBP 加载项上载 excel 文件时，都会执行病毒扫描。上载期间，系统会检查正确的 MIME 类型的 xls 文件。支持以下 MIME 类型：

支持的 MIME 类型

文件扩展名 MIME 类型描述

xls application/vnd.ms-excel Excel 2007

xlsx application/ 没有宏的 Excel 2013 vnd.openxmlformats- officedocument.spreadsheetml.s heet

xlsm application/vnd.ms- 启用宏的 Excel 2013 excel.sheet.macroEnabled.12

如果文件中含有病毒，系统将不会允许其上载。同时我们强烈建议使用常见的客户端保护工具，例如用于客户端的病毒扫描程序。

PUBLIC 安全方面 132 公共数据集成 6 集成的安全通信

在本部分中，可以了解 IBP 和自己的系统之间基于证书的验证如何确保内向和外向通信场景安全。

使用基本验证时，系统仅受技术用户的用户名和密码保护。出于以下几个原因，这将为您带来泄露秘密的内在风险：

● 凭据访问超出系统监控范围 ● 凭据通常不会频繁更改

但是证书的使用可以降低泄露强大技术用户凭据的风险。为此，我们建议使用基于证书的验证。

除了本部分中突出显示的安全相关信息外，还可以在 https://help.sap.com/viewer/product/ SAP_INTEGRATED_BUSINESS_PLANNING/2102/en-US 中的 “管理” “通信管理” 下找到有关集成场景的完整配置指南。

6.1 内向集成的安全通信

客户系统到 IBP 内向集成的集成场景需要安全通信。

要在此类场景中启用基于证书的验证，必须使用相应认证机构 (CA) 签署的客户端证书。要查看 IBP 架构入站集成接受的 CA 列表，请转到 SAP Note 2871840 。

必须将相应客户端证书上载到相应“通信用户”。有关详细信息请参阅 IBP 帮助指南，路径为：https:// help.sap.com/viewer/product/DRAFT/SAP_INTEGRATED_BUSINESS_PLANNING/2105/en-US? task=discover_task 下的 “管理” “通信管理” “维护通信用户” “如何创建通信用户” 。

要了解有关配置 IBP 系统信任的详细信息，请转到 SAP Note 3018323 。

 注意

只能在具有以下模式的 API URL 上启用基于证书的验证：tenant –api tenant。

6.2 外向集成的安全通信

将 SAP Integrated Business Planning 连接到其他系统的所有集成场景都需要安全通信。

这些外向集成场景可能包括：

● 其他 SAP Cloud 系统 ● 客户企业预置系统

安全方面 PUBLIC 集成的安全通信公共 133 ● 第三方系统（云、非云）

建立安全通信时，外部系统必须使用由受信任的证书颁发机构 (CA) 签署的服务器证书来证明其身份。可使用第 134 页上的“维护证书信任列表”应用管理受信任证书。

要为出站集成启用基于证书的验证，需要在配置“通信系统”时上传私钥证书或选择“缺省客户端证书”。有关详细信息，请参阅 https://help.sap.com/viewer/product/SAP_INTEGRATED_BUSINESS_PLANNING/2102/en- US，路径为： “管理” “通信管理” “维护通信系统” “如何创建通信系统” 。

此外，可使用第 135 页上的“维护客户端证书”应用管理客户端证书。

6.3 维护证书信任列表

使用此应用，您可以维护受信任证书的列表。如果将通信伙伴的证书归类为受信任证书，则可以启用这些伙伴之间的外向通信。

通过此应用，您可以监控所有可用的受信任证书。

关键功能

您还可使用此应用执行以下操作：

● 显示所有现有受信任证书的列表 ● 上载新的证书 ● 显示详细信息 ● 检查证书信任的更新，并根据需要采用更改

 注意

SAP 为其系统提供预定义的受信任证书。如果受信任证书稍后发生更改，系统不会进行自动更新。因此，我们建议您定期使用“检查更新”功能，并采用对所需受信任证书的全部更改。

● 从列表中删除受信任证书。此功能仅对证书类型“由客户管理”启用。“由 SAP 管理”类型的证书无法被删除，因此会禁用“删除”按钮。

支持的设备类型

● 桌面计算机 ● 平板电脑

PUBLIC 安全方面 134 公共集成的安全通信相关信息

第 133 页上的“内向集成的安全通信”

6.4 维护客户端证书

通过此应用，可以上载您的区域的客户端证书，以实现安全的基于证书的外向身份验证。定义外向通信的通信系统时，可以维护集中证书清单以供使用。

关键功能

可使用此应用执行以下操作：

● 上载 PKCS #12 格式的证书 ● 下载证书 ● 显示通信安排和系统中的常规信息和使用情况。 ● 替换客户端证书 ● 创建签名请求

支持的设备类型

● 台式机 ● 平板电脑

安全方面 PUBLIC 集成的安全通信公共 135 7 客户端保护

通过浏览器和 SAP Integrated Business Planning 实施的客户端安全控制，可以降低各种攻击的风险，其中包括跨站点脚本、数据注入和点击劫持。

其中某些控件可以使用允许清单进行配置，如下所示：

● 可以将脚本、样式表和字体的受信任源添加到缺省内容安全策略中 ● 可为点击劫持保护和安全重定向定义受信任的主机

7.1 维护保护允许清单

使用此应用，您可以维护受信任主机的列表。

通过此应用，您可以通过向点击劫持保护允许列表添加受信任主机来定义安全的应用程序。缺省情况下，点击劫持保护处于激活状态以保护您的系统免受恶意点击劫持。如果系统嵌入到其他应用程序，会进行检查来确定其他的应用程序是否安全。为添加受信任主机，必须为每个受信任主机输入特定详细信息（如方案和端口），从而确保识别出恶意主机并防止其调用系统。

在受信任网络区域的第二个允许列表中，可列出允许或阻止重定向的 URL 模式。

关键功能

您还可使用此应用执行以下操作：

● 将受信任主机添加到“点击劫持保护”允许列表（名称、方案、端口）或将 URL 模式添加到“受信任网络区域”允许列表 ● 编辑受信任主机或 URL 模式 ● 删除受信任主机或 URL 模式

支持的设备类型

● 桌面计算机 ● 平板电脑

PUBLIC 安全方面 136 公共客户端保护 7.2 管理内容安全策略

内容安全策略是一个标准，支持禁用某些 HTML/Javascript 功能来减少浏览器中运行的应用程序的攻击面（例如，用作跨站点脚本攻击的第二道防线）。

通过此应用，您可以查看受信任源的允许列表。您可以添加自己的受信任内容，例如，如果您已开发自己的用于加载字体、脚本或样式等外部资源的 SAPUI5 应用。此外，您还可以在日志中显示任何违反策略的行为。

关键功能

您还可使用此应用执行以下操作：

● 显示允许源的白名单 ● 向白名单添加新的允许源字体使用 UI_RESOURCES_FONTS，脚本使用 UI_RESOURCES_SCRIPTS，样式使用 UI_RESOURCES_STYLES。 ● 显示列出违规的日志请注意，以下是浏览器相关影响在一些情况中可能导致其他违规的信息，但在其他违规情况中不会列出： ○ 违规日志可能包含指示已发生 EVAL 违规的记录。可忽略这些违规。这些违规是由 Google Chrome 中的异常行为造成的。 ○ Firefox 不会发送含有报告请求的会话 cookie。因此，后端将拒绝这些请求，所以不会包含在日志中。 ○ 有时，浏览器扩展会将不符合策略的代码插入到 HTML 页面。这会导致应用程序本身不会导致的违规日志条目。

支持的设备类型

● 桌面 ● 平板电脑

客户事件的组件

如果您需要支持或遇到问题，请在组件 SCM-IBP-SEC 下报告事件。

相关信息

第 138 页上的“冻结模式下的内容安全策略 (CSP)”

安全方面 PUBLIC 客户端保护公共 137 7.2.1 冻结模式下的内容安全策略 (CSP)

CSP 支持现在已从报告模式切换到冻结模式。

内容安全策略 (https://www.w3.org/TR/CSP3 ) 是一项标准，允许您禁用某些 HTML/JavaScript 功能以减少在浏览器中运行的应用程序的攻击面（例如，作为针对跨站点脚本攻击的第二道防线）。策略使用允许的源（可以从中加载脚本、样式和字体等资源）的显式白名单。

在冻结模式下，不仅会报告违反情况，而且浏览器还会阻止违反代码的执行。如果您已经开发了从 SAP Integrated Business Planning 后端提供的自己的 HTML 或 JavaScript 代码（例如，用以增强 SAP 应用或创建自己的应用程序），则需要检查此代码是否符合策略。行内脚本需要移除，需要在“管理内容安全策略”应用的可信站点列表中列出资源的其他源。还可以在此应用中显示已收集的日志。

 注意

不符合策略的代码将不再起作用。

HTML 页面加载自：

● /ui ● /sap/bc/ui2/ ● /sap/bc/ui5_ui5/ ● /sap/bc/bsp/

将收到以下策略：

default-src 'self' ;

script-src 'self' $UI_RESOURCES_SCRIPTS 'unsafe-eval' ; style-src 'self' $UI_RESOURCES_STYLES 'unsafe-inline' ; font-src 'self' data: $UI_RESOURCES_FONTS ; img-src 'self' https: http: data: blob: ; media-src 'self' https: http: data: blob: ; object-src blob: ; frame-src 'self' https: gap: data: blob: mailto: tel: ; worker-src 'self' blob: $UI_RESOURCES_SCRIPTS ; child-src 'self' blob: $UI_RESOURCES_SCRIPTS ; connect-src 'self' https: wss: ;

base-uri 'self'

HTML 页面加载自：

● /sap/bc/gui/ ● /sap/bc/webdynpro/

将收到相同策略，但指令 object-src 将设置为：

object-src 'self' blob: ;

HTML 页面加载自：

● /

将收到相同策略，但指令 script-src 将设置为：

script-src 'self' $UI_RESOURCES_SCRIPTS $nonce 'unsafe-eval' 'unsafe-inline' ;

在此策略中，以下占位符包含相应的受信任站点列表，该列表定义了可以从何处加载资源：

PUBLIC 安全方面 138 公共客户端保护 ● $UI_RESOURCES_SCRIPTS：https://ui5.sap.com https://siteintercept.qualtrics.com https://*.siteintercept.qualtrics.com https://*.api.here.com ● $UI_RESOURCES_STYLES：https://ui5.sap.com ● $UI_RESOURCES_FONTS：https://ui5.sap.com https://help.sap.com

 注意

出于技术原因，白名单可能仍会包含其他来源 https://*.int.sap.hana.ondemand.com。计划在下一版本中将其删除。

如果出现问题，可以取消激活策略。有关详细信息，请参阅“管理内容安全策略”应用的文档。

相关信息

第 137 页上的“管理内容安全策略”

安全方面 PUBLIC 客户端保护公共 139 8 数据保护和数据隐私

数据保护与许多法律要求和隐私问题相关联。除了遵守一般的数据保护和隐私行为，还必须遵守不同国家的行业特定法规。SAP 提供了特定的特性和功能，为遵守相关法律要求（包括数据保护）提供支持。关于这些特性和功能是否是支持公司、行业、地区或国家特定要求的最佳方法，SAP 未提供任何建议。此外，关于特定 IT 环境中所需的附加功能，不应将此信息视为意见或建议。有关数据保护的决策，必须根据具体情况，并考虑给定的系统架构和适用的法律要求进行制定。

SAP Integrated Business Planning 中的以下记录可能包含个人数据：

● 主数据记录：您在 IBP 中定义的任何主数据类型均可包含具有用户名、电子邮件地址等个人数据的属性。有关如何在 SAP Integrated Business Planning 中处理此类个人数据的详细信息，请参阅第 143 页上的“主数据记录”。

 注意

将这些属性视为 IBP Excel 加载项中的动态属性。

有关详细信息，请参阅动态选择主数据属性值

● 业务用户记录：任何已链接至您用户标识的数据均由 SAP Integrated Business Planning 存储，例如，您定义的收藏夹或已定制的 IBP 设置。有关如何在 SAP Integrated Business Planning 中处理此类个人数据的详细信息，请参阅第 144 页上的“业务用户记录”。

作为客户，在 SAP Integrated Business Planning 中处理个人数据时如果遇到任何疑问，请联系 SAP 云支持。

 注意

SAP 未提供任何形式的法律建议。SAP 软件通过提供安全特性和特定的数据保护相关功能（如简化个人数据的冻结和删除）为数据保护合规性提供支持。在许多情况下，产品功能不涉及遵守适用的数据保护和隐私法。本文档中使用的定义和其他术语不取自任何特定的合法来源。

 警告

技术手段对数据保护的支持程度取决于安全的系统操作。网络安全、安全注释实施、系统变更的充分日志记录以及系统的适当使用是遵守数据隐私法规和其他法规的基本技术要求。

支持数据保护的部分基本需求通常指技术和组织度量 (TOM)。以下主题与数据保护相关，且需要相应的 TOM：

● 访问控制：验证功能（请参阅位于 http://help.sap.com/ibp 的 SAP Help Portal，路径为 “应用程序帮助” “SAP Integrated Business Planning” “管理” “身份和访问管理” ）。 ● 权限：分配到业务角色的权限（请参阅 http://help.sap.com/ibp 中的 SAP Help Portal，路径为 “应用程序帮助” “SAP Integrated Business Planning” “管理” “身份和访问管理” “维护业务角色” “指定限制” ）。 ● 通信安全：如第 130 页上的“数据集成”中所述。 ● 可用性控制：如第 6 页上的“技术系统架构”中所述。 ● 按目的分离：受所实施的组织模型限制，且必须作为权限概念的一部分应用。

PUBLIC 安全方面 140 公共数据保护和数据隐私敏感个人数据

敏感个人数据是需要特殊处理的个人数据类别。不同法律范围或行业对敏感个人数据的定义可能不同。例如，敏感数据可能是有关种族或民族起源、政见、或银行和信用账户的信息（请参阅第 141 页上的“词汇表”）。SAP Integrated Business Planning 未设计用于存储和处理这种数据。

用户同意

SAP Integrated Business Planning 假设用户（例如在 IBP 中输入数据的 SAP 客户）同意收集其数据主体（自然人，例如客户、联系人或账户）中的数据或将其中的数据传输至解决方案。

披露个体的个人数据

数据隐私法规也可能需要提供有关个人所存储内容的相关信息。SAP Integrated Business Planning 的标准功能可用于此目的。

8.1 词汇表

以下术语对 SAP 产品通用。并非所有术语都可能与此 SAP 产品相关。

术语定义

冻结此方法用于限制访问主要业务目的已经结束的数据。

业务目的用于处理个人数据以完成端到端业务流程的合法、合同或其他形式的正当理由。用于完成该流程的个人数据在目的中预定义，此目的由数据控制方定义。必须先定义此流程，然后才能确定履行目的所需的个人数据。

同意数据主体确认其个人数据的使用应针对某种给定目的而被允许的操作。同意功能允许存储与特定目的相关的同意记录，并显示数据主体是否已经授予、撤消或拒绝同意。

数据主体与已识别或可识别的自然人（“数据主体”）相关的所有信息。可识别的自然人是指可直接或间接识别的人员，尤其是通过引用诸如姓名、身份证号、位置数据、在线标识符等标识符，或者引用特定于该自然人的物理、生理、遗传、精神、经济、文化或社会身份的一个或多个因素进行识别。

删除删除个人数据，这样该数据就不再可用。

安全方面 PUBLIC 数据保护和数据隐私公共 141 术语定义

业务结束定义活跃业务的结束以及驻留时间和保留期的开始。

目的结束 (EoP) 主要业务目的不再需要处理一组个人数据的时间点，例如，合同已履行。达到目的结束后，数据将被冻结，并且只能由具有特殊权限的用户（例如，税务审计员）进行访问。

目的结束 (EoP) 检查此方法用于在主要业务目的不再需要处理个人数据时识别数据集的时间点。达到目的结束后，数据将被冻结，并且只能由具有特殊权限的用户（例如，税务审计员）进行访问。

个人数据与已识别或可识别的自然人（“数据主体”）相关的所有信息。可识别的自然人是指可直接或间接识别的人员，尤其是通过引用诸如姓名、身份证号、位置数据、在线标识符等标识符，或者引用特定于该自然人的物理、生理、遗传、精神、经济、文化或社会身份的一个或多个因素进行识别。

目的指定处理一组特定个人数据的原因和目标的信息。作为一项规则，其目的是为处理个人数据提供相关法律依据。

驻留期数据集的业务结束和目的结束 (EoP) 之间的时间段，在此期间，数据保留在数据库中，并可在后续流程与原始目的相关的情况下使用。在配置最长的驻留期结束时，数据被冻结或删除。驻留期是整个保留期间的一部分。

保留期涉及特定对象（例如，业务伙伴）的最后业务活动的结束和根据适用法律删除相应数据之间的时间段。保留期是驻留期与冻结期的组合。

敏感个人数据此类别个人数据通常包括以下类型的信息：

● 特殊类别的个人数据，例如，用于揭示种族或民族起源、政治观点、宗教或哲学信仰、工会会员资格的数据，以及遗传数据、生物特征数据、健康或性生活或性倾向相关数据。 ● 保守职业秘密的个人数据 ● 与刑事犯罪或行政犯罪有关的个人数据 ● 关于保险和银行或信用卡账户的个人数据

技术和组织措施 (TOM) 支持数据保护和隐私的一些基本要求通常被称为技术和组织措施 (TOM)。以下主题与数据保护和隐私相关，需要适当的技术和组织措施，例如：

● 访问控制验证功能 ● 权限权限概念 ● 读取访问日志记录 ● 传输控制/通信安全 ● 输入控制/变更日志记录 ● 可用性控制 ● 按目的分离取决于实施的组织模型，必须作为权限概念的一部分应用。

PUBLIC 安全方面 142 公共数据保护和数据隐私 8.2 主数据记录

可将包含个人数据的主数据记录划分为两组：

● 已为用户配置的数据，其中包含您已定义的数据，如属性、主数据类型、关键指标等。可在“主数据类型”应用中，通过选中包含个人数据的主数据类型属性的“个人数据”复选框，将此属性定义为个人数据。在完成该操作后，系统会跟踪对该属性所做的更改。有关详细信息，请参阅本主题的“更改日志”部分。 ● 通过外部系统（如 SAP ERP 或 SAP S/4HANA）集成静态数据

信息报表

数据主体有权接收有关正在处理的个人数据的信息。个人数据记录功能允许您搜索和检索指定数据主体的所有个人数据，借此帮助您遵守相关的数据保护法律要求。搜索结果以全面和结构化的列表显示，其中包含指定数据主体的所有个人数据，并根据数据收集和处理的目的进行组织。

可使用以下选项显示或管理个人主数据：

● 在 IBP Excel 加载项中，可以通过按相应属性过滤来查看包含个人信息的主数据和关键指标数据。例如，可以显示按联系人姓名过滤的特定供应商的数据。有关详细信息，请参阅 SAP Help Portal，网址为 https:// help.sap.com/viewer/product/DRAFT/SAP_INTEGRATED_BUSINESS_PLANNING/2105/en-US，路径为 “业务用户信息” “管理主数据” 。 ● 还可以在基于 Web 的计划应用程序中配置包含个人信息的计划视图。有关详细信息，请参阅 SAP Help Portal，网址为 https://help.sap.com/viewer/product/DRAFT/SAP_INTEGRATED_BUSINESS_PLANNING/ 2105/en-US，路径为 “用户界面” “基于 Web 的计划” 。 ● 可以在“管理主数据”应用程序中管理个人主数据。有关详细信息，请参阅 SAP Help Portal，网址为 https:// help.sap.com/viewer/product/DRAFT/SAP_INTEGRATED_BUSINESS_PLANNING/2105/en-US，路径为 “跨应用程序主题” “管理主数据” “用于管理主数据的应用” “管理主数据” 。 ● 可以使用“数据集成作业”应用程序中的预配置模板上载个人主数据。有关详细信息，请参阅 SAP Help Portal，网址为 https://help.sap.com/viewer/product/DRAFT/SAP_INTEGRATED_BUSINESS_PLANNING/ 2105/en-US，路径为 “数据集成场景” “数据集成作业” 。

主数据和交易数据从外部系统复制，并且可能包含仅为源系统中的原始数据副本的个人数据。可在相应源系统中使用信息报表。

删除个人数据

在处理此个人数据的指定、明确和合法目的已经过期时，个人数据处理须遵守有关删除此数据的适用法律。如果不再有需要保留和使用个人数据的合法目的，则必须将其删除。删除数据集中的数据时，还必须删除与该数据集相关的所有引用对象。除一般数据保护法法律，还必须考虑不同国家的行业特定法规。在最长保留期到期后，必须删除数据。

SAP Integrated Business Planning 可能会处理需遵守特定国家适用的数据保护法律的数据（个人数据）。提取到 SAP Integrated Business Planning 的所有种类数据以及与个人数据相关的所有业务计划数据，均可使用 SAP

安全方面 PUBLIC 数据保护和数据隐私公共 143 Integrated Business Planning 提供的标准功能进行删除。首先删除与应该删除的个人数据相关的计划数据（关键指标），然后也会删除个人数据（诸如客户标识等主数据）。

可以按 SAP Help Portal 中所述配置计划数据和主数据的自动删除，网址为 http://help.sap.com/ibp，路径为 “应用程序帮助” “SAP Integrated Business Planning” “管理” “数据生命周期管理” 。除此之外，还可以使用以下选项执行手动删除：

● IBP Excel 加载项 – 有关详细信息，请参阅 SAP Help Portal，网址 http://help.sap.com/ibp，路径为 “数据集成场景” “数据集成作业” “从 CSV 文件中上载数据” “上载主数据” “删除主数据” ● 数据集成作业应用程序 – 有关详细信息，请参阅 SAP Help Portal，网址为 http://help.sap.com/ibp，路径为 “业务用户信息” “管理主数据” ● 管理主数据应用程序 – 有关详细信息，请参阅 SAP Help Portal，网址为 http://help.sap.com/ibp，路径为 “跨应用程序主题” “管理主数据” “用于管理主数据的应用” “管理主数据” 。

注意，只有连接到 SAP Integrated Business Planning 后端的视图的计划数据/主数据可以从 SAP Integrated Business Planning 数据库中安全删除。为此，应确保包含常规业务计划数据和专门个人数据的 Excel 表受到 Microsoft Office 安全机制（如密码保护）和客户端运行系统（如硬盘驱动器加密）的保护。同时也强烈推荐常见客户端保护工具，如客户端上的病毒扫描程序。

主数据和交易数据从外部系统复制，并且可能包含仅为源系统中的原始数据副本的个人数据。可在相应源系统中冻结此类数据，且此数据将自动从 IBP 中删除。

更改日志

需要记录个人数据的创建和更改。因此，出于审查目的或由于法律规则要求，可能有必要跟踪对这些数据所进行的更改。当记录这些更改后，您应该能够根据配置检查哪个员工进行了哪些更改、更改日期和时间，以及之前的值和当前值。也可以采用这种方式分析错误。

您可以在“查看个人主数据更改”应用中查看包含个人数据的主数据属性的更改日志。此应用还允许您以 Excel 文件下载更改。有关此应用的详细信息，请参阅 http://help.sap.com/ibp 上的 SAP Help Portal，路径为 “应用程序帮助” “SAP Integrated Business Planning” “管理” “用户相关的个人数据” “查看个人主数据更改” 。

主数据和交易数据从外部系统复制，并且可能包含仅为源系统中的原始数据副本的个人数据。可在相应源系统中使用更改日志。

8.3 业务用户记录

信息报表

PUBLIC 安全方面 144 公共数据保护和数据隐私 SAP Integrated Business Planning 允许您查看存储了哪些链接到特定用户标识的数据以及 IBP 如何使用这些数据。可在“链接到用户的数据”应用中查看此数据。有关详细信息，请参阅 http://help.sap.com/ibp 上的 SAP Help Portal，路径为 “应用程序帮助” “SAP Integrated Business Planning” “管理” “用户相关的个人数据” “链接到用户的数据” 。

可通过“身份和访问管理”查看员工数据。有关详细信息，请参阅 http://help.sap.com/ibp 上的 SAP Help Portal，路径为 “应用程序帮助” “SAP Integrated Business Planning” “管理” “身份和访问管理” 。

删除个人数据

可以从 SAP Integrated Business Planning 删除员工数据。首先应删除业务用户，然后再删除业务用户所基于的员工。有关详细信息，请参阅“维护业务用户”、“维护员工”和“信息生命周期管理”，网址为 http:// help.sap.com/ibp，路径为 “Application Help” “SAP Integrated Business Planning” “Administration” “Identity and Access Management” “App Descriptions” 。

此外，您还可以使用“维护已删除的业务用户”应用查看已删除业务用户的详细信息并允许或阻止其重新创建。在这之后，您可以销毁业务用户数据。有关详细信息，请参阅“维护已删除的业务用户”，网址为 http:// help.sap.com/ibp，路径为 “应用程序帮助” “SAP Integrated Business Planning” “管理” “身份和访问管理” “应用描述” 。

更改日志

可以在“维护员工”应用中查看员工数据记录的更改日志（请参阅 http://help.sap.com/ibp 上的 SAP Help Portal，路径为 “应用程序帮助” “SAP Integrated Business Planning” “管理” “身份和访问管理” “维护员工” ）。

8.4 相关业务目录

需要将下方介绍的业务目录分配到业务角色来维护个人数据：

安全方面 PUBLIC 数据保护和数据隐私公共 145 业务目录标识业务目录名称描述

SAP_IBP_BC_EXCEL_ADDIN_PC 基本计划任务允许用户执行一组计划任务，包括查看更改历史记录

SAP_IBP_BC_USERGROUP_PC 用户组允许用户出于协作目的创建并编辑用户组

SAP_IBP_BC_FILTER_PC 计划过滤器允许用户查看、编辑、复制并删除在 SAP Integrated Business Planning 其他范围中使用的过滤器

SAP_IBP_BC_PDV_PC 链接到用户的数据允许用户查看在 SAP Integrated Business Planning 中与其相链接的数据的更改，并下载更改。

SAP_IBP_BC_PDCL_PC 个人数据更改允许用户查看对主数据类型中的个人数据进行的更改，并下载更改。

SAP_CORE_BC_IAM_RA 身份和访问管理 - 角色分配允许用户将业务用户分配至业务角色

SAP_CORE_BC_IAM_UM 身份和访问管理 - 用户管理允许用户创建并维护业务用户

SAP_CORE_BC_IAM_RM 身份和访问管理 - 角色管理允许用户创建并维护业务角色

SAP_IBP_BC_PLANMODEL_CF_PC 配置允许用户执行一组任务，其中包括维护主数据类型和属性、时间参数文件、计划范围、计划级别、关键指标、版本和计划运算符

SAP_CORE_BC_IAM_UMD 身份和访问管理 - 已删除用户的用户管理允许用户显示已删除业务用户的详细信息（例如保留期）并允许或阻止其重新创建。

SAP_IBP_BC_SYSMON_PC 系统监控使用户能够监控与 IBP 系统性能以及 IBP Excel 加载项的登录详细信息相关的 KPI。

SAP_IBP_BC_MAN_MASTERDATA_PC 管理主数据允许用户创建、删除、复制或显示主数据，包括个人主数据。

SAP_IBP_BC_USRPERM_PC 管理用户许可允许管理员对分配给业务用户的特定许可对象进行更改。

SAP_IBP_BC_OWNPERM_PC 我的许可允许用户查看自己的许可。

有关详细信息，请参阅位于 http://help.sap.com/ibp 的 SAP Help Portal，路径为 “Application Help” “Identity and Access Management” “Basic Concepts” “Business Catalogs” 。

PUBLIC 安全方面 146 公共数据保护和数据隐私 8.5 HTTP 会话期间的数据保护

每个 SAP Integrated Business Planning Web 客户端会话都需要使用会话 cookie。这些 Cookie 不会存储任何个人数据，并且在关闭会话时会对其进行加密和删除。

持久 cookie 不是由 IBP 创建的 - 这些 cookie 用于在客户端计算机上存储数据，并在会话关闭后将数据保留在此计算机上。

SAP IBP 使用以下会话 cookie：

HttpOnly Cookie 标 SameSite Cookie 标 Cookie 名称描述志安全 Cookie 标志志

SAP_SESSIONID 此 cookie 包含会话标已设置已设置设置为“无” 识。系统会发出会话标识，该标识与来自同一客户端的所有后续请求相关联。

SAP-USERCONTEXT 此 cookie 的值不包含安未设置未设置设置为“无” 全性相关数据。

 注意

安全 cookie 标志：当服务器使用安全属性设置 cookie 时，浏览器一旦接收到此 cookie，便会仅通过使用 HTTPS 的请求发送 cookie，而不使用未加密的 HTTP 请求发送 cookie。

HttpOnly cookie 标志：当服务器将 cookie 声明为 HttpOnly 时，此 cookie 会提高系统的安全性，因为它免除了在 Web 浏览器中从客户端脚本、小应用程序、插件等访问此 cookie 的权限。

SameSite cookie 标志：自 Google Chrome 版本 80 开始，缺省情况下，Chrome 将 cookie 限制为第一方访问，并要求您明确标记 cookie 以在第三方或跨站点、上下文中访问。Chrome 通过处理未将 SameSite 值声明为 SameSite=Lax cookie 的 cookie 来实现此目的。仅具有 SameSite=None; 安全属性的 cookie 可用于跨站点访问并需要安全 HTTPS 连接。其他浏览器供应商正在查看对此新 cookie 行为的类似支持。

安全方面 PUBLIC 数据保护和数据隐私公共 147 9 数据加密

SAP Integrated Business Planning for Supply Chain 中使用的所有数据存储在 SAP HANA 中，并使用 SAP 生成的加密密钥进行保护。

SAP IBP 使用 SAP HANA 数据库存储客户数据。缺省情况下，每个 SAP IBP 系统使用唯一的加密密钥以及密码保护、静态数据加密和安全相关应用程序数据等其他加密服务进行保护。要了解有关 SAP HANA 的服务器端数据加密服务，请转到 SAP HANA Platform 帮助指南，网址 https://help.sap.com/viewer/product/DRAFT/ SAP_HANA_PLATFORM/2.0.04/en-US，路径为 “SAP HANA Security Guide” “Data Storage Security in SAP HANA” “Server-Side Data Encryption Services” 。

自控加密

除 SAP HANA 的服务器端数据加密服务外，客户还可以切换到自控加密，从而获得对加密密钥的完全控制。要了解更多，请转到第 148 页上的“使用密钥管理服务切换到自控加密”。

9.1 使用密钥管理服务切换到自控加密

通过在 IBP 中集成 SAP Data Custodian 的密钥管理服务 (KMS)，您可以完全控制用于加密存储在 SAP HANA 中的 IBP 数据的加密密钥。

缺省情况下，所有 IBP 数据都使用 SAP 为您生成的密钥进行加密。但是，您现在可以选择切换到自控加密，这意味着您可以完全控制加密密钥、其生命周期和所有 IBP 数据。

前提条件

切换到自控加密需要 SAP Data Custodian KMS 租户。

切换到自控加密

要管理加密密钥，必须执行以下步骤：

● 在 SAP ONE Support Launchpad 中创建服务请求。 1. 登录到 SAP ONE Support Launchpad。

PUBLIC 安全方面 148 公共数据加密 2. 选择 “服务请求” “+ 新建” 。 3. 导航到 “SaaS” 标签。 4. 为 “KMS：切换到自控加密”创建服务请求。 5. 选择要从缺省静态加密切换到自控制加密的 IBP 租户。

 警告

认真选择您的 IBP 租户。切换到 IBP 租户的自控加密后，将无法恢复到 SAP 管理的加密。

6. 输入负责管理密钥的密钥管理员的电子邮件地址。如果要添加更多密钥管理员，请选择加号图标 (+)。 7. 输入 KMS 租户标识。如果不知道您的 KMS 租户标识，您的密钥管理员可以从 SAP Data Custodian 为您检索。 8. 选择“审核”，然后勾选确认框并选择“提交”。 9. 这将通过电子邮件通知密钥管理员接受 KMS 中的连接请求。 ● 在 SAP Data Custodian KMS 中执行密钥连接。为此，您的密钥管理员必须： 1. 登录到 KMS。 2. 转到“连接服务”页面。如果列出了要连接的组，请转到步骤 3。如果没有要连接的组，请按如下所述创建一个组： 1. 选择“创建组”。 2. 输入组名称和可选描述。 3. 选择 “SaaS HANA”。 4. 选择 “审核” “创建” 。

 注意

创建组后，您将转到组的详细信息页面，可在其中创建密钥并添加用户。

5. 选择“创建密钥”。 6. 输入密钥名称和可选密钥描述。 7. 为密钥选择组。 8. 创建密钥后，选择“创建技术用户”。 9. 输入用户名和可选技术用户描述。 10. 选择 “审核” “创建” 。 11. 选择“连接”。 3. 再次选择“连接”。 4. 选择组，然后勾选确认框并选择“连接”。 5. 成功完成切换后，服务请求的创建者会收到一封通知电子邮件。密钥管理员必须登录 KMS 以查看流程状态。

流程的提前期取决于多个因素，包括服务请求加载和用户交互时间，但在大多数情况下，大约需要 10 分钟。但是，如果密钥管理员在 5 天内未对请求进行操作，则将取消该流程。在这种情况下，您需要创建另一个请求。

安全方面 PUBLIC 数据加密公共 149 禁用或删除您的密钥、技术用户或技术用户凭据

 警告

切换到自控加密后，如果您执行以下任一操作，SAP 将不再对服务停机或数据丢失负责：

● 禁用密钥 ● 禁用技术用户 ● 删除密钥 ● 删除技术用户 ● 删除技术用户凭据

删除密钥、技术用户或技术用户凭据无法撤销，并且可能导致数据丢失。禁用密钥或技术用户可由分配的密钥管理员撤销。要启用密钥，密钥管理员必须执行以下步骤：

1. 如果从“密钥”页面启动，请继续执行步骤 3。 2. 如果从“组”页面启动： 1. 请选择组。 2. 选择“密钥”标签。 3. 选择密钥或选择密钥旁边的菜单图标。 4. 选择 “操作” “启用” 。

要启用技术用户，请执行以下步骤：

1. 如果从组详细信息页面的“技术用户”标签启动，则继续执行步骤 3。 2. 如果从“组”页面启动： ○ 选择“用户”标签。 ○ 选择“技术用户”。 3. 选择要启用的技术用户。 4. 选择“启用”。

详细信息

有关 SAP Data Custodian 中的 KMS 的详细信息，请参阅 SAP Data Custodian 帮助指南中的以下主题，网址为：https://help.sap.com/viewer/product/SAP_DATA_CUSTODIAN/，路径为： “应用程序帮助” “SAP Data Custodian 帮助指南” :

● 密钥管理服务 ● 入门指南 ● 通知 ● 注册 SaaS 和 PaaS 应用程序（ “密钥管理服务” “KMS 登录” “登录您的 SaaS 和 PaaS 应用程序” ）

 注意

请注意，仅 SaaS 注册流程适用于 IBP。

PUBLIC 安全方面 150 公共数据加密  警告

KMS 是集成到 IBP 的唯一的 SAP Data Custodian 功能。不支持其他 SAP Data Custodian 功能。

安全方面 PUBLIC 数据加密公共 151 10 安全审计日志记录

检查 IBP 和 SAP Cloud Identity 服务 - Identity Authentication 系统中的安全相关事件。

在 IBP 中，可以使用第 152 页上的“显示安全审计日志”应用程序访问安全审计日志。

此外，还可以访问连接到 IBP 系统的 SAP Cloud Identity 服务 - Identity Authentication 的安全审计日志。有关详细信息，请参阅位于 https://help.sap.com/viewer/product/IDENTITY_AUTHENTICATION/Cloud/en-US 的 SAP Cloud Identity 服务文档，路径为： “Identity Authentication” “监控和故障排除” “访问审计日志” 。

要了解 IBP 系统如何与各种网络时间协议 (NTP) 服务同步，请转到第 155 页上的“与 NTP 服务保持时间同步”。

 注意

第 102 页上的“显示技术用户”应用显示系统内存在的所有技术用户。此外，还可以在第 102 页上的“SAP 支持用户请求日志”中显示有关过去 12 个月内 SAP 支持用户何时以及为何访问系统的详细信息。

10.1 显示安全审计日志

显示并访问有关安全相关事件的信息。

使用此应用，可以显示有关 SAP 系统中发生的与安全性相关的事件的信息。在审计情况下，这一点很有必要。

关键功能

此应用提供以下关键功能：

● 在您的 SAP 系统中记录与安全性相关的事件。 ● 以审计分析报表的形式访问以前指定的日志文件。

支持的设备类型

● 台式机 ● 平板电脑 ● 智能手机

PUBLIC 安全方面 152 公共安全审计日志记录 10.1.1 如何显示审计分析报告

“显示安全审计日志”生成包含审计活动的审计分析报告。通过使用审计分析报告，您可以分析已发生且已记录在 SAP 系统中的事件。

背景信息

使用不同的过滤器显示审计日志事件。

过程

1. 打开安全审计日志。 2. 使用过滤器定制审计日志报表。

可用过滤器：

○ 时戳使用此过滤器可更改显示日志的时间范围。 ○ 审计事件使用此过滤器可更改显示日志的时间范围。 ○ 程序使用此过滤器指定要将日志输出限制到的程序。 ○ 事务代码使用此过滤器指定要将日志输出限制到的事务。 3. 选择“执行”。

10.1.2 如何配置个性化视图

您可以使用应用程序设置来配置安全审计日志的个性化视图。您可以保存创建的视图并与其他用户共享。

背景信息

根据您的用例，配置安全审计日志的不同视图。

安全方面 PUBLIC 安全审计日志记录公共 153 过程

1. 选择  设置。 2. 选择“列”、“排序”或“组”。 3. 配置视图。

选项描述

列选择或取消选择要在审计日志报表中显示的列。可使用箭头符号更改列的顺序。

排序选择要用于对审计日志报表进行排序的列，然后选择“升序”或“降序”。可使用加号符号添加多个排序方法。

组选择要用于对审计日志条目进行分组的维度。

4. 选择“确定”。 5. 选择左上角的视图。 6. 选择“另存为”。 7. 选择名称。 8. 选择复选框之一。

选项描述

设置为缺省值您配置的视图将在打开安全审计日志应用程序时缺省显示。

公开您的视图可供安全审计日志的其他用户使用。

自动应用系统将应用为此视图指定的过滤器，单击报表后，报表将自动运行。

9. 选择“保存”。

您也可以通过电子邮件将报表发送给同事，在 SAP JAM 上共享或将报表另存为磁贴。要执行此操作，选择  共享然后选择以下选项之一：

○  发送电子邮件 ○  在 SAP JAM 上共享 ○  另存为磁贴

PUBLIC 安全方面 154 公共安全审计日志记录 10.2 显示静态系统审计

通过此应用，可以快速了解静态系统信息。

关键功能

在审计期间，可能需要快速了解静态系统信息。此应用支持以下关键功能：

● 显示与静态系统信息相关的不同主题。

 示例

例如，显示 ○ 安全审计日志事件定义的文档，或 ○ 租户的当前状态。

● 将信息下载到 Excel。

支持的设备类型

● 台式机 ● 平板电脑

10.3 与 NTP 服务保持时间同步

您可以同步不同 NTP 服务的时间，具体视 IBP 系统的托管位置而定。如果需要将本地 IT 系统的时钟与 IBP 系统时间保持同步，请使用以下 NTP 提供者之一。

SAP Converged Cloud NTP 服务

如果 IBP 系统托管在 SAP Converged Cloud 上，则会从地区 ntp.org 池中获取时间。例如，位于德国的服务器使用以下池：

● 0.de.pool.ntp.org ● 1.de.pool.ntp.org ● 2.de.pool.ntp.org ● 3.de.pool.ntp.org

安全方面 PUBLIC 安全审计日志记录公共 155 GMP NTP 服务

如果 IBP 系统托管在 GMP 上，则会与 SAP 的私有 Stratum 2 NTP 服务器同步时间。如果您希望将自己的本地 IT 系统时钟同步到 IBP 系统，建议您也使用 Stratum 2 时钟。

Hyperscaler NTP 服务

如果 IBP 系统托管在 hyperscaler 平台上，则可以将本地 IT 系统的时钟同步到以下 NTP 服务之一，具体取决于您的配置：

阿里云

● ntp7.cloud.aliyuncs.com ● ntp8.cloud.aliyuncs.com ● ntp9.cloud.aliyuncs.com

Google Cloud Platform (GCP)

● metadata.google.internal

PUBLIC 安全方面 156 公共安全审计日志记录 11 漏洞管理

SAP IBP 实施全面的安全措施，以确保信用、安全、可靠的服务。

这些安全措施包括漏洞评估、渗透测试、病毒扫描和安全软件开发等控制和实践。

漏洞评估和渗透测试

SAP 采取预防措施保护其云服务。这包括 SAP 或第三方应 SAP 请求执行的一系列漏洞评估和渗透测试。渗透测试侧重于网络和基础架构层，而漏洞评估则侧重于 SAP IBP 的业务功能。

安全软件开发

SAP IBP 的开发遵循 SAP 安全开发生命周期 (SDLC)，因此需要通过常规质量关口。使用语言特定的静态和动态安全扫描工具集（如 ABAP 代码漏洞分析器、HP Fortify 和 Checkmarx）持续扫描源代码以发现安全问题，并在开发过程中对已识别的结果进行内部审计和修复。作为 SAP SDLC 风险管理实践的一部分，SAP IBP 采用威胁建模技术确保提供给客户系统的代码和功能的安全。当 SAP IBP 使用开源组件时，会对这些组件进行扫描并监控已知的安全漏洞。此外，NIST 国家漏洞数据库用于检查已知漏洞，并根据需要应用修复。

病毒扫描

客户可以以各种文件格式将计划数据上载到 SAP IBP，这些格式受作为数据预处理流一部分的病毒扫描参数文件的约束。有关详细信息，请转到第 132 页上的“病毒扫描”。

客户可用报表

SAP Trust Center 上提供了以下合规性文档，客户也可以通过其 CSM/CEE 提出请求。

● SAP Integrated Business Planning FSTEC 合规性证书 ● SAP Integrated Business Planning ISO 27018 ● SAP Integrated Business Planning ISO/IEC：27001 ● SAP Integrated Business Planning SOC 1 (ISAE3402) 审计报表 ● SAP Integrated Business Planning SOC 2 审计报表 ● SAP Integrated Business Planning：ISO/IEC 22301

安全方面 PUBLIC 漏洞管理公共 157 客户启动的渗透测试

此外，客户还可以对其云产品执行漏洞测试。有关详细信息，请转到第 158 页上的“客户启动的渗透测试”

11.1 客户启动的渗透测试

除 SAP 管理的渗透测试外，您还可以请求对特定云产品执行年度漏洞测试

云漏洞管理

为妥善保护 SAP 的信息技术资产，SAP Global Security (SGS) 与 IT 服务部门协作，联手执行各种不同的漏洞评估。这些漏洞评估是不同服务的组合，例如 SAP 管理的渗透测试和客户启动的渗透测试，旨在改善 SAP 企业产品和云产品的整体安全状况。

客户启动的渗透测试流程

这是执行该流程的一般流程。

客户启动的渗透测试流程

1. 请求阶段请求审批以通过 SAP ONE Support Launchpad 执行漏洞评估。为此，请选择 “Vuln.Mgmt.” “Authorization for application testing” 。之后，网络安全团队会审查您的请求，如有必要，IBP 安全团队会确定该测试对其他客户或 SAP 的基础架构没有影响。请求获得批准后，您和您的测试管理员将通过电子邮件获得正式授权。审批流程通常需要 5-15 个工作日才能完成。通过 SAP ONE Support Launchpad 请求进行漏洞评估。 2. 测试阶段根据批准的测试范围和约定的参与规则执行请求的测试。 3. 验证和修复阶段完成测试后，请将加密后的测试报表连同分配的测试标识和完整的跟踪列表（在请求阶段都将提供给您）发送到 [email protected]。请注意，在提交测试报表之前，应从测试报表中消除假阳性结果。请确保测试报表包含所有必要的详细信息和支持证据，以便 SAP 可以复制和理解结果。只有测试报表足够详细，SAP 产品安全响应团队 (PSRT) 才能帮助您进行修复。如果将结果确定为需要修复的真正漏洞，PSRT 将进行跟进，直到解决为止。

PUBLIC 安全方面 158 公共漏洞管理  注意

在最初审批的测试日期之外发现的任何新结果都将视为重新测试，并且需要另行审批，以及新的测试标识、完整报表和新的跟踪列表。要重新测试，请按照请求阶段中的说明请求审批。

角色 SAP 产品安全响应团队 (PSRT) 为每个报表分配一名客户沟通官，并协调 SAP 产品团队与您的客户沟通官之间的沟通。时间范围验证阶段在提交测试报表后的两天内开始，将通过确认收据通知您。然后，通常在一到两周内，我们会向您发送已提交测试结果和初始反馈的审核。根据已提交结果的数量和复杂程度，这可能有所不同。任何关键或重优先级结果都将优先进行初始审核和响应。PSRT 将假定已适当处理所有中等或更高优先级的结果。低优先级结果将仅内部处理和跟踪。

 警告

在对您的帐户执行任何渗透测试或道德黑客之前，请通知 SAP 并请求其批准。不允许对与其他客户共享的任何资源进行测试。应将测试结果（如有）视为 SAP 保密信息并严格保密，未经 SAP 明确书面授权，不得与任何个人或实体共享。客户需要与 SAP 共享结果，并与 SAP 运营部门合作，以减少或修复任何安全问题。

更多信息请求

请注意，客户支持团队不会处理与客户发起的渗透测试相关的查询。如果您对此流程有任何疑问，请发送电子邮件至 [email protected]。

相关信息

SAP Note 2249479

安全方面 PUBLIC 漏洞管理公共 159 法律角度的重要免责声明

超链接

部分链接按图标和/或鼠标悬停文本分类。这些链接能够提供更多信息。关于图标：

● 带有图标的链接：您正访问不是由 SAP 托管的网站。使用这些链接，即视为您同意（除非您与 SAP 的协议中另有明确规定）以下内容：

● 链接的网站的内容不属于 SAP 文档。您不得基于这些信息对 SAP 提出任何产品索赔。 ● SAP 不对链接的网站的内容提出同意或反对，也不保证其可用性和正确性。SAP 不对使用此类内容造成的损害承担任何责任，除非损害是由于 SAP 的重大过失或故意的不当行为造成的。

● 带有图标的链接：您将离开该特定 SAP 产品或服务的文档，访问 SAP 托管的网站。使用这些链接，即视为您同意（除非您与 SAP 的协议中另有明确规定）您不得基于这些信息对 SAP 提出任何产品索赔。

外部平台上承载的视频

一些视频可能指向第三方视频承载平台。SAP 无法保证第三方平台上存储的视频将来可供观看。此外，这些平台上承载的任何广告或其他内容（例如，建议观看的视频或导航到同一站点上承载的其他视频）均与 SAP 无关，也不受 SAP 控制。

测试功能和其他实验功能

实验功能不一定是 SAP 未来版本官方交付范围的一部分。这意味着，SAP 可随时出于任何原因对实验功能做出更改，且不再另行通知。实验功能不得用于生产用途。您不得在上线运营环境中或者使用尚未充分备份的数据来演示、测试、评估或以其他方式使用实验功能。实验功能旨在尽早获得反馈，从而支持客户和合作伙伴相应地影响未来产品。您（在 SAP 社区中）提供反馈，即视为您接受文稿或衍生作品的知识产权应属于 SAP 的专有财产。

示例代码

任何软件编码和/或代码片段均为示例，不得用于生产用途。示例代码仅仅是为了更好地解释和呈现某些代码的语法和编写规则。SAP 不保证代码的准确性和完整性。SAP 不对使用示例代码造成的错误或损害承担任何责任，除非损害是由于 SAP 的重大过失或故意的不当行为造成的。

中性化的语言

我们尽量使用中性化的语言。但为适应上下文和可读性，SAP 可以使用阳性词来指代所有性别。

PUBLIC 安全方面 160 公共法律角度的重要免责声明安全方面 PUBLIC 法律角度的重要免责声明公共 161 www.sap.com/contactsap

未经 SAP 股份有限公司或其关联公司明确许可，任何人不得以任何形式或为任何目的复制或传播本文件的任何内容。本文件包含的信息可能会更改，且不再另行事先通知。

由 SAP 股份有限公司及其分销商营销的部分软件产品包含其它软件供应商的专有软件组件。各国的产品规格可能不同。

本资料由 SAP 股份有限公司或其关联公司提供，仅供参考，不构成任何形式的陈述或保证，其中如若存在任何错误或疏漏，SAP 或其关联公司概不负责。与 SAP 或其关联公司产品和服务相关的保证仅限于该等产品和服务随附的保证声明（若有）中明确提出的保证。本文件中的任何信息均不构成额外保证。

SAP 和本文件中提及的其它 SAP 产品和服务及其各自标识均为 SAP 股份有限公司（或其关联公司）在德国和其他国家的商标或注册商标。本文件中提及的所有其它产品和服务名称分别是其各自公司的商标。

如欲了解更多商标信息和声明，请访问：https://www.sap.com/about/ legal/trademark.html。

THE BEST RUN