SAP権限が分からないままPJに入った人へ【一から解説】

SAPテック

はじめに|「分からないまま」は、あなただけじゃない

SAPプロジェクトに参画したばかりの頃。
会議の中で当たり前のように出てくる、

「このロール入ってますか?」
「それ、権限の問題ですね」
「SU01で見てください」

正直、何を言っているのか分からない。
でも今さら聞けないし、分かったふりをしてしまう。

――そんな経験、ありませんか?

安心してください。
SAPの権限を最初から理解している人なんて、ほとんどいません。

SAP権限は、
・難しそう
・とっつきにくい
・後回しにされがち

という特徴を持つ分野です。
だからこそ、分からないままPJに入ってしまうのは、とても自然なことです。

この記事では、
「権限設計ができるようになる」ことよりも先に、
“怖くなくなる”“会話についていける”状態を目指して、SAP権限を一から解説します。

そもそもSAPの「権限」って何を守っているの?

SAPの権限というと、

  • セキュリティ
  • 内部統制
  • 不正防止

といった堅いイメージを持つ人が多いと思います。

もちろんそれも正解ですが、
現場目線で見ると、もっとシンプルです。

SAPの権限とは、「誰が・どの業務を・どこまでできるか」を決める仕組みです。

たとえば、

  • データを見るだけの人
  • 登録できる人
  • 変更や取消までできる人

これらを区別せずに運用すると、
業務ミスや不正が簡単に起きてしまいます。

SAPは会社の基幹業務を扱うシステムだからこそ、
権限が細かく、厳しく作られているのです。

SAP権限の全体像を一度でつかもう

細かい設定の前に、まずは全体像です。

SAPの権限は、だいたい次の要素で構成されています。

  • ユーザ
  • ロール
  • トランザクションコード
  • 権限オブジェクト
  • フィールド値

ここで大事なのは、
ユーザに直接細かい権限を設定しないという点です。

SAPでは、

  • ロールという「役割の箱」を作り
  • そのロールをユーザに割り当てる

という考え方をします。

ユーザ = 人
ロール = その人が担当する仕事のセット

このイメージを持てるだけで、
権限の理解は一気に楽になります。

「組織ロール」と「機能ロール」の考え方

プロジェクトではよく、

「組織ロール」
「機能ロール」

という言葉が出てきます。

これはSAPの正式用語というより、
権限を整理するための考え方です。

組織ロールは、

  • 会社コード
  • プラント
  • 販売組織

など、組織に関わる情報をまとめたもの。

一方、機能ロールは、

  • 受注登録
  • 請求書処理
  • 支払処理

といった、業務内容そのものをまとめたものです。

この2つを分けておくことで、

  • 組織が変わった
  • 担当業務が変わった

といった場合でも、
権限を柔軟に組み替えることができます。

「登録・変更・照会」はどこで決まるの?

SAPを使っていると、

「表示はできるのに、登録できない」
「変更しようとするとエラーが出る」

という場面によく遭遇します。

このとき重要なのは、
トランザクションコードだけで制御されているわけではない
という点です。

SAPでは、

  • 同じトランザクションでも
  • 表示だけできる人
  • 登録・変更できる人

を、権限オブジェクトの設定で制御しています。

つまり、「登録・変更・照会」は
権限の中身で決まっている、ということです。

この考え方を知っているだけで、
権限エラーに遭遇したときの混乱がかなり減ります。

権限を一から設定する流れを追ってみよう(実務編)

ここからは、
実際にSAPで権限を設定するときの流れを見ていきます。

すべて理解する必要はありません。
「こういう順番で作業しているんだな」と掴めれば十分です。

①ユーザを作成・確認する(トランザクションコード:SU01)

まず使うのが SU01 です。

SU01では、

  • ユーザの作成
  • ユーザ情報の変更
  • ロールの割り当て

を行います。

ここで覚えておいてほしいのは、
ユーザにはロールを割り当てるだけという点です。

細かい権限設定は、ユーザではなくロール側で行います。

②ロールを作成・編集する(トランザクションコード:PFCG)

SAP権限の中心となるのが PFCG です。

PFCGでは、

  • ロールの作成・コピー
  • トランザクションコードの登録
  • 権限データの生成・調整

を行います。

プロジェクトでは、
既存ロールをコピーして調整するケースが多いです。

③ロールにトランザクションコードを割り当てる

PFCGでロールを作成したら、
そのロールで使わせたいトランザクションコードを登録します。

ここで注意したいのは、

トランザクションを入れた=全部できる、ではない

という点です。

実際に何ができるかは、
次の「権限データ」で決まります。

④権限データを生成・調整する

トランザクションを登録後、
PFCGで「権限データの生成」を行います。

すると、

  • 権限オブジェクト
  • フィールド値

が表示されます。

最初は難しく見えますが、
主に調整するのは、

  • 組織レベル(会社コードなど)
  • 登録・変更・照会に関係する項目

です。

⑤組織レベルを設定する

会社コードやプラントなど、
組織に関わる項目をここで設定します。

これにより、

「同じ業務だけど、別会社では使えない」

といった制御が可能になります。

⑥ロールをユーザに割り当てる(トランザクションコード:SU01)

ロールが完成したら、
再び SU01 に戻り、ユーザにロールを割り当てます。

これで初めて、

「このユーザは、この業務を、この範囲でできる」

という状態が完成します。

⑦権限エラーが出たときに確認する(トランザクションコード:SU53)

操作中に権限エラーが出た場合は、
直後に SU53 を実行します。

SU53では、

  • どの権限オブジェクトが
  • 何に引っかかったのか

を確認できます。

最初は内容を読めなくても構いません。
「権限の問題だ」と切り分けられるだけで十分です。

実務でよくある「権限が分からないあるある」

  • このロール、何のためにあるのか分からない
  • とりあえず強い権限を付けられそうになる
  • 設定ミスか権限不足か判断できない

これは、誰もが一度は通る道です。

SAP権限は、
後から理解が追いつく設計になっているため、
最初は分からなくて当たり前です。

PJで最低限ここだけ分かっていれば大丈夫

最初からすべてを理解する必要はありません。

最低限、次の3つが分かっていれば十分です。

  • ユーザとロールの関係
  • 登録・変更・照会の考え方
  • 権限エラー時にSU53を見る、という発想

これだけで、
PJでの立ち位置がかなり楽になります。

まとめ|SAP権限は「慣れ」ではなく「構造」

SAP権限は、暗記するものではありません。
必要なのは、構造を理解することです。

一度全体像が見えると、
権限は「怖いもの」から「読めるもの」に変わります。

この記事が、
SAPプロジェクトで少し肩の力を抜くきっかけになれば嬉しいです。

コメント

タイトルとURLをコピーしました