从 PFCG 创建角色开始,理解 SAP 权限设计的真正入口 在 SAP 系统里做权限,很多人第一眼看到的是事务码 PFCG。界面看起来并不复杂,一个角色名称,一个菜单页签,一个授权页签,一个用户页签,点几下就能生成 profile。可真正做过企业项目的人都知道,PFCG 不是一个单纯的维护工具,它更像是业务岗位、系统菜单、授权对象、组织边界和用户生命周期之间的连接器。一个角色不是简单地把几个 T-Code 塞给用户。角色承载的是一个岗位在系统里被允许看到什么、进入什么、执行什么、处理哪些组织范围内的数据。销售内勤可以创建销售订单,但不一定能审批信用额度。采购员可以维护采购订单,但只能处理某个采购组织和工厂。财务会计可以过账凭证,但不能跨公司代码查看所有账套。这些看似来自业务部门的职责边界,落到 SAP 系统里,最终往往就体现在 PFCG 角色的菜单和授权字段值里。角色名称不是随便取的进入事务码 PFCG 后,创建角色的第一步就是输入角色名称。这里有一个很容易被忽略的小细节,角色名称不要以 SAP 开头,也不要使用命名空间前缀。SAP 标准交付的对象通常会使用 SAP 前缀,我们自建角色如果混在同一个命名区域里,后续升级、审计、迁移和角色清理都会变得很混乱。在项目里更推荐使用清晰的企业命名规则。比如销售订单创建角色可以叫 Z_SD_SO_CREATE,采购订单显示角色可以叫 Z_MM_PO_DISPLAY,财务总账过账角色可以叫 Z_FI_GL_POST。命名不只是为了好看,而是为了让权限团队、业务顾问、Basis 管理员、审计人员都能通过名称大概判断这个角色服务于哪个模块、哪个业务动作、哪个权限层级。如果企业已经有全球模板,还可以在名称里加入区域或组织维度。例如 Z_CN_MM_BUYER_1000 可以