三崎レイナ
社会人1年目。新卒でITコンサルティングファームに就職。初配属がSAPプロジェクトにアサインされる。SAPがわからないことだらけで悩んでいたところ、会社の先輩にSAPラボの所長を紹介され、毎週末に所長とSAPのお勉強中!
博士
SAPラボの所長。SAP大好き博士!SAP導入プロジェクトを構想策定~運用保守まであらゆるフェーズを数多く経験。
いまは優しきおじいちゃんだが、プロマネバリバリの時代はかなり怖かったらしい。現在は引退しSAPの後進育成と啓蒙活動に従事中!
若者に負けぬようX(旧Twitter)も奮闘中。
この記事を読むメリット
「SAPの権限管理って、結局なにをどう設定しているの?」
言葉だけ聞くと難しく感じますが、やっていることは現実の会社とそっくりです。
社員証を配り(ユーザー)、職務に応じた鍵束を渡し(ロール)、その鍵が「どのドアを・どこまで」開けられるかを決める(権限)。
本記事では、架空の「サクラ商事」に配属された新人レイナがSAPを使い始めて一人前になるまでを追いながら、ユーザーと権限設定の全体像を業務目線で解説します。
博士それでは、ユーザーと権限管理について説明していくぞい!
【リモート可】【PM/PL候補】【東京】SAP(S/4HANA)エンジニア ※フレックスタイム制/ワークライフバランス◎(S/4HANA)
SAP会計領域コンサルタント(管理職)/キリングループ唯一のIT会社(FI/CO)
SAPコンサルタント/キリングループ唯一のIT会社(SD/MM/PP)
【SAPコンサルタント】経営戦略実現を全社横断変革で支援/平均年収1,350万円
【年収1000万円可】【リモート可】【上流工程】【SAP導入コンサルタント】リモート・ハイブリッド勤務OK|平均残業月10時間/HOPES ※基幹系業務システムの導入推進を行っていただける方を募集
【ITサービス/S/4HANA新規導入(MM)】大阪府(リモート併用)/要件定義から本番稼働までのプロセス推進
【製造業/S/4 HANA海外展開・国内ロジ導入(SD,MM,PP,FI,CO)】大阪(リモート併用)/SAPコンサルタント
【製造業/SAPグローバルロールイン(QM,SD,MM,PP)】新橋(リモート併用)/SAPコンサルタント
【製薬業/S/4HANAグローバルロールイン(SD,MM,PP)】東京都(オンサイト)/SAPコンサルタント
【半導体/アジア展開システム要件定義支援(その他)】東京都(フルリモート)/SAPコンサルタント
【自動車部品メーカー/SAPグローバル導入・ロールアウト(SD,MM)】大手町(オンサイト)/SAPコンサルタント
【商社/海外拠点向けSAP導入(SD,MM,FI)】内幸町(リモート併用)/SAP設計者、SAP開発者
【製造業向けシステム刷新(PP)】都内/S/4HANA標準機能の活用および生産管理領域のSE業務
【製造業向けシステム刷新(CO)】都内/管理会計領域における標準機能導入および検証業務
【製造業向けシステム刷新(FI)】品川近辺/S/4HANAにおける顧客側支援および運用保守
レイナの初日。先輩からこう言われます。
「SAPは“誰でも・なんでもできる”ようにはなっていないからね。あなたには購買の仕事に必要なところだけ開けておくよ」
もし全社員が何でもできてしまったら、どうなるでしょうか。
権限設定が無かったら…
こうしたリスクを防ぐのが権限管理です。基本は次の2つの考え方です。
博士権限管理は“縛り”ではないのじゃ。
ミスと不正から会社と本人を守る仕組みなんじゃ!
SAPの権限は、ざっくり3つの登場人物で成り立っています。現実の「オフィスビルの入館管理」に置き換えると一気にイメージできます。
| SAPの用語 | 役割 | 現実のたとえ |
|---|---|---|
| ユーザー | 誰がシステムを使うか | 社員証(本人を識別する) |
| ロール | その人が何をできるか(権限の束) | 職務に応じて渡される鍵束 |
| 権限オブジェクト/権限項目 | どのドアを・どこまで開けられるか | 鍵1本ごとの対応ドアと「開ける/見るだけ」の区別 |
この後、レイナがアカウントをもらい(ユーザー)→ 購買担当の鍵束を受け取り(ロール)→ 実際に発注作業をして「あれ、開かない!」とつまずく(権限の中身)、という順で見ていきます。
入社初日、レイナのSAPアカウントが作られます。これがユーザーの登録です。担当する管理者は、トランザクションコード SU01 で次のように作成します。
ユーザーにはいくつか種類があり、目的で使い分けます。レイナのような“人”が使うのはダイアログユーザーです。
| 種類 | 用途 | 例 |
|---|---|---|
| ダイアログユーザー | 人がログインして操作する | 購買担当のレイナ、経理担当 など |
| サービスユーザー | 複数人で共有して使う | 研修・デモ用アカウント |
| システムユーザー | システム間連携やバッチ処理 | 夜間バッチ、外部システム連携 |
| 参照ユーザー | 既存ユーザーの権限を共有する | 共通権限をまとめて参照させる |
レイナ私のアカウントは「ダイアログユーザー」なんですね。
博士そうじゃ。ちなみにユーザー情報はテーブルにも格納されておる。
仕組みを深掘りしたいなら、下の関連記事も読むとよいぞ!
アカウントだけでは、レイナはまだ何もできません。ここで渡されるのがロール=仕事に必要な権限をひとまとめにした“鍵束”です。
サクラ商事では、職務ごとにロールが用意されています。
レイナは「購買担当」なので、作成ロール+照会ロールを受け取りました。ロールは管理者がトランザクションコード PFCG で作成・メンテナンスします。
博士ポイントは「人に合わせて鍵を作る」のではなく、
「職務に合わせて鍵束を作り、それを人に配る」ことじゃ。担当者が増えても同じロールを配ればよいから、管理がぐっと楽になる!
ロールをもらったレイナ。さっそく発注を作ろうと ME21N(購買発注の作成) を開いて入力し、保存ボタンを押すと……「権限がありません」。
なぜでしょう? ここで初めて、ロールの“中身”を分解して見る必要が出てきます。SAPの権限は次の3階層になっています。
レイナが持つ「購買発注 作成ロール」。この中に、後述の権限オブジェクトと項目が詰まっています。ロールを構成する代表的な要素は次の3つです。
権限オブジェクトは「このドアを開けてよいか」をチェックする単位です。たとえば ME21N を実行するとき、SAPは内部で次をチェックします。
博士S_TCODEは、トランザクションコードを実行するための“必須”権限オブジェクトじゃ!
権限項目は、鍵が「どのドアの・どこまで」効くかを表す細かい設定です。レイナのケースを書き出すと、上の図のように S_TCODE:TCD=ME21N/M_BEST_EKO:アクティビティ=01(作成)、購買組織=1000 となります。
レイナのエラーの原因はここでした。
彼女のロールには購買組織1000しか設定されておらず、入力していた発注は購買組織2000(別拠点)だったのです。
鍵は持っていたけれど、“効く範囲”の外のドアを開けようとしていた、というわけです。
博士こういうとき便利なのが SU53。直前に「どの権限が足りずに弾かれたか」を表示してくれる。レイナはこれで「購買組織2000の権限がない」とすぐ分かったわけじゃ!
レイナ鍵は持っていても、“開けられるドアの範囲”まで決まっているんですね……!
「見るだけ」にしたい場合は、作成用の ME21N ではなく照会用の ME23N を渡し、アクティビティを 03(照会)に絞ります。これで「発注内容は見られるが、作成・変更はできない」ユーザーが作れます。
| やりたいこと | T-code | アクティビティ |
|---|---|---|
| 発注を作成する | ME21N | 01(作成) |
| 発注を変更する | ME22N | 02(変更) |
| 発注を見るだけ | ME23N | 03(照会) |
購買部に人が増えてきました。担当者A・B・C…とロールを1つずつ手で割り当てるのは大変ですし、付け忘れも起きます。そこで役立つのが単体ロールと集合ロールの使い分けです。両者の関係は「部品」と「完成品」に例えられます。
この方式のうれしいところ
博士レイナが「購買担当者」止まりで承認の鍵(ロールB)を持っていないのは意地悪じゃない。発注者と承認者を分けることで、会社全体のチェック機能が働くんじゃ!
最後に、運用で頻出するシーンを押さえておきましょう。
本記事では、新人レイナの目線を借りて、SAPの「ユーザーと権限設定」を業務の流れで解説しました
ポイント振り返り
適切な権限設計は、システムの安全性を高めるだけでなく、日々の業務をスムーズに回すための土台になります。
とくに「単体ロールと集合ロールの使い分け」や「権限オブジェクト・権限項目の詳細設定」は、実際のプロジェクトで必ず役立つ知識になります。
レイナ「権限」って制限のことかと思っていましたが、安心して仕事を任せてもらうための仕組みなんですね!
博士その通りじゃ。今日学んだことを、運用・保守・開発の現場で活かしていくのじゃ!
本記事はこれで以上じゃ!
【リモート可】【PM/PL候補】【東京】SAP(S/4HANA)エンジニア ※フレックスタイム制/ワークライフバランス◎(S/4HANA)
SAP会計領域コンサルタント(管理職)/キリングループ唯一のIT会社(FI/CO)
SAPコンサルタント/キリングループ唯一のIT会社(SD/MM/PP)
【SAPコンサルタント】経営戦略実現を全社横断変革で支援/平均年収1,350万円
【年収1000万円可】【リモート可】【上流工程】【SAP導入コンサルタント】リモート・ハイブリッド勤務OK|平均残業月10時間/HOPES ※基幹系業務システムの導入推進を行っていただける方を募集
【ITサービス/S/4HANA新規導入(MM)】大阪府(リモート併用)/要件定義から本番稼働までのプロセス推進
【製造業/S/4 HANA海外展開・国内ロジ導入(SD,MM,PP,FI,CO)】大阪(リモート併用)/SAPコンサルタント
【製造業/SAPグローバルロールイン(QM,SD,MM,PP)】新橋(リモート併用)/SAPコンサルタント
【製薬業/S/4HANAグローバルロールイン(SD,MM,PP)】東京都(オンサイト)/SAPコンサルタント
【半導体/アジア展開システム要件定義支援(その他)】東京都(フルリモート)/SAPコンサルタント
【自動車部品メーカー/SAPグローバル導入・ロールアウト(SD,MM)】大手町(オンサイト)/SAPコンサルタント
【商社/海外拠点向けSAP導入(SD,MM,FI)】内幸町(リモート併用)/SAP設計者、SAP開発者
【製造業向けシステム刷新(PP)】都内/S/4HANA標準機能の活用および生産管理領域のSE業務
【製造業向けシステム刷新(CO)】都内/管理会計領域における標準機能導入および検証業務
【製造業向けシステム刷新(FI)】品川近辺/S/4HANAにおける顧客側支援および運用保守
SAPラボでは、SAPの知識を活かして副業をしたい方を募集してるのじゃ!
SAPラボのライターの特徴
・ライティング初心者OK!
・報酬高単価!
・業務委託契約なので副業として最適!
SAP記事執筆者としての活動実績として利用可能なので、転職時や案件探しの際に企業へのアピール材料にもなります。
募集要項
・SAP導入や運用保守プロジェクトへの参画経験1年以上
ご応募/お問合せ先
info@sap-labo.com
少しでもご興味ある方、ぜひお気軽にご連絡下さい!
