我今天在整理 SAP S/4HANA Cloud 里的 IAM 权限治理材料时,重新看了一遍 Maintain Business Roles 这个应用里的 Display Changes 功能。这个入口看起来很小,甚至很容易被忽略,但在真实项目里,它常常是定位权限问题、解释审计疑问、追踪上线变更、复盘角色维护事故的关键线索。在 SAP S/4HANA Cloud, public edition 的授权模型里,Business Role 不是一个简单的角色名称,而是业务用户能够访问哪些 SAP Fiori 应用、能够读取或修改哪些业务数据、能够进入哪些 Launchpad Space 的核心载体。SAP Learning 对这个模型有一个很清楚的描述,Business User 通过 Business Role 获得业务应用访问能力,Business Role 里分配 Business Catalog,管理员又在 Catalog 相关范围里维护限制条件,从而控制读写权限和数据访问边界。(SAP Learning)也正因为 Business Role 处在这个核心位置,角色一旦被改动,影响范围通常不会只停留在一个按钮、一张页面或者一个用户
从 Maintain Business Roles 看业务角色变更记录,权限治理里最容易被忽略的一条审计线
我今天在整理 SAP S/4HANA Cloud 里的 IAM 权限治理材料时,重新看了一遍 Maintain Business Roles 这个应用里的 Display Changes 功能。这个入口看起来很小,甚至很容易被忽略,但在真实项目里,它常常是定位权限问题、解释审计疑问、追踪上线变更、复盘角色维护事故的关键线索。在 SAP S/4HANA Cloud, public edition 的授权模型里,Business Role 不是一个简单的角色名称,而是业务用户能够访问哪些 SAP Fiori 应用、能够读取或修改哪些业务数据、能够进入哪些 Launchpad Space 的核心载体。SAP Learning 对这个模型有一个很清楚的描述,Business User 通过 Business Role 获得业务应用访问能力,Business Role 里分配 Business Catalog,管理员又在 Catalog 相关范围里维护限制条件,从而控制读写权限和数据访问边界。(SAP Learning)也正因为 Business Role 处在这个核心位置,角色一旦被改动,影响范围通常不会只停留在一个按钮、一张页面或者一个用户
