如何在 Cloud for Customer自定义BO中创建访问控制

举报
汪子熙 发表于 2021/10/31 13:51:06 2021/10/31
【摘要】 文章作者: Yi 已获得Yi的转载许可。 访问控制方式和使用注意事项 1. C4C中的访问控制有两种方式RelevantForAccessControlAccessControlContext 2. 要使用访问控制,必须满足下面条件每一个业务对象(BO),只能存在唯一一个访问控制.与之关联的源节点必需是业务对象(BO)的根(Root)节点对于RelevantForAccessControl...

文章作者: Yi

已获得Yi的转载许可。

访问控制方式和使用注意事项

1. C4C中的访问控制有两种方式

  • RelevantForAccessControl
  • AccessControlContext

2. 要使用访问控制,必须满足下面条件

  • 每一个业务对象(BO),只能存在唯一一个访问控制.
  • 与之关联的源节点必需是业务对象(BO)的根(Root)节点
  • 对于RelevantForAccessControl,它所关联的节点也必须是根节点(Root).
  • 对于RelevantForAccessControl,它所关联的节点,必须存在访问控制.查看方法可以进studio中的Repository Explorer,点击对象查看.在业务对象(BO)文档中的Supported Access Contexts中查看.
  • 对于AccessControlContext.,它是通过UUID做访问控制的,所以定义的元素必定要与UUID相关.

如何创建BO我们这里不再论述, 这编文章重点讲解的是C4C中的控制的运行原理.

语法

1. RelevantForAccessControl

这个关键词的语法是

[RelevantForAccessControl] association toBusinessPartner to BusinessPartner;

2. AccessControlContext

这个关键词的语法是

[AccessControlContext (Employee)] element UID : UUID;
[AccessControlContext (Employee)] association ToEmployee to AP.FO.BusinessPartner.Global:Employee using UUID ;

创建访问控制

下面我们以AccessControlContext为例,看看C4C的访问控制是如何动作的.

第一步,在我们创建的BO中添加访问控制字段

[AccessControlContext(SalesOrganization)] association toOrganisationalUnit to OrganisationalUnit using UUID;

在BeforeSave中把上面访问控制字段的值添加上.
激活并生成屏幕

第二步…打开WCView屏幕文件,打开属性面板

更改AccessContextCode属性为9001-PDI:SalesOrganisation
这步非常重要,而且必须是访问控制字段相对应的访问控制代码
下面是个人收集的访问控制字段与访问控制代码表

如果这一步设置错误,访问控制不会生效,详细我会在后面说.

第三步.更改WCView下面包括的子屏幕的访问权限,例如(QC,OWL,TI)

打开其中的Access Controlled Business Object

把Unrestricted Access设置为False
这一步也是非常重要,如果不把Unrestricted Access设置为False的话,屏幕中的字段是不会继承WCView中设置的访问控制属性的.

第四步.更改OWL页面中的Query,让他绑定带有SAP_AccessControlList的Query

QueryByElements或者自定义的Query都可以.

做完以上部署后,系统就能使访问控制生效了,之后要做的事情就是把WCView分配给角色,然后设置访问控制权限.

访问控制的工作原理

当我们在Business Object中创建完访问控制字段并激活后

系统会给该BO增加一个新的Dependent Node

AccessControlList中包含下面字段

上图来自SAP社区博客Implementing Access Control on Custom Business Objects
其中最重要的两个字段是ACCESS_CONTEXT_CODE和OBJECT_UUID-CONTENT

  • ACCESS_CONTEXT_CODE中储存了该BO数据的访问控制代码
  • OBJECT_UUID-CONTENT中储存了该BO数据的访问控制内容

当我们保存时, AccessControlContext中关联的值被填充上,然后系统会把关联中的UUID值保存到SAP_AccessControlList中的OBJECT_UUID-CONTENT, AccessControlContext括号内的对象会转化为CODE,存放到SAP_AccessControlList中的ACCESS_CONTEXT_CODE.

转化的CODE是根据上表中的值来转化的.所以上在第二部的WCView中的AccessContextCode值不能乱选.不然对不上的话,访问控制是不会生效的.

当我们在系统中为用户分配访问权限时,系统会为每个用户访问每个业务对象生成一个表

只有当用户的访问权限中的数据与BO中的SAP_AccessControlList中的OBJECT_UUID-CONTENT匹配,用户才能看到该条数据.

Tips 1

如果我们在系统中创建了多个访问控制字段,系统只会以最后一条访问控制字段

例如这里,有两个访问控制字段,一个是Employee(1010),另一个是SalesOrganisation(9001),当出现多个访问控制字段时,系统只会以最后出现的访问控制字段为主.

Tips 2

别忘了设置其它相关的屏幕(QC,TI,QAF,OWL),不然这些屏幕就不受访问控制字段影响了,会看到系统中所有数据.

Tips 3

假设变更了访问控制类型后,那么之前设置的访问控制字段是不受新的访问控制类型影响的,解决方法是进去变更之前的数据中更改任何数据,然后保存.

Tips 4

PDI USER账号是个神奇的账号,他是不会受到ACL影响的唯一账号,所以如果遇到ACL的一些问题,不防试试使用PDI USER去测试一下.

参考文章

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。