在 SAP S/4HANA 公有云(Public Cloud)环境中,系统取消了传统的 SAP GUI 界面和后台事务码(如 SU53、/IWFND/MAINT_SERVICE 等)。当用户在操作(如:过账、报表预览)过程中遇到报错或按钮置灰时,可以使用系统内置的 "显示权限跟踪" App进行精准的自主排查。
第一部分:核心工作原理
"显示权限跟踪"应用就像一个系统的"行车记录仪"。
- 工作机制:当用户启动该功能后,系统会在后台实时录制该用户在网页上的每一个操作步骤。
- 核心价值:一旦某个操作因权限不足被系统拦截,该应用会精确捕获并生成一条 "失败 (Failed)" 日志,直接指出是哪个底层数据视图(CDS View)、技术权限对象或前端接口服务(InA/OData)导致了报错。这为系统管理员(Basis/Security)调整角色提供了直接的证据,避免了盲目猜测。
第二部分:标准操作指引
请按照以下 "开启 ➡️ 复现 ➡️ 关闭 ➡️ 查看" 四步法进行操作:
步骤 1:激活权限跟踪
- 登录 Fiori 启动板,在主页搜索框输入并打开 显示权限跟踪 (Display Authorization Trace) App(应用 ID:
F2385)。 - 点击页面右上角的 "激活跟踪 (Activate Trace)" 按钮,会弹出选择需要跟踪的 "业务用户",确保选择正确需要跟踪的账号。
- 此时系统页面左上角会显示跟踪状态为"活动",跟踪的用户是谁,开始跟踪时间,此时表示后台录制已开始。
(注:请保持此浏览器标签页开启,不要关闭。)
步骤 2:复现报错现场
例如在S4HC创建嵌入故事选择数据源时报错
- 在浏览器中新建一个标签页,登录进入您原本报错的业务界面(例如:SAC 嵌入式故事编辑界面)。
- 正常进行业务操作,直到再次触发并弹出报错窗口。
- 看到报错后,说明系统已成功记录"案发现场",此时可关闭该业务标签页。
步骤 3:关闭跟踪并生成报告
- 回到"显示权限跟踪"的应用标签页。
- 点击右上角的 "取消激活跟踪 (Deactivate Trace)" 按钮(必须先取消激活,否则最新的日志无法刷新渲染)。
- 点击右侧蓝色的 "执行 (Go/Execute)" 按钮,系统将在下方生成该时段的权限检查明细列表。
第三部分:排查结果与状态深度解读
上述报错示例,列表中有两个关键的红字"失败"记录,直接证实了当前用户缺少访问该数据源所需的底层权限。具体问题出在以下两点:
- 核心权限对象失败:
SDDLVIEW(失败)
- 代表含义:在 S/4HANA Cloud 中,
SDDLVIEW是控制能否读取底层 CDS 视图(SQL 视图) 的核心技术权限对象。 - 问题所在:由于该状态为"失败",说明您的业务角色虽然可能被分配了财务菜单,但底层用来读取
C_GLACCOUNTLINEITEMQUERY的数据权限被卡住了。
- 启动应用程序失败:
UI_INA_GLACCOUNTLINEITEM(失败)
- 代表含义:这是该总账明细数据源在公有云中对应的 InA (Information Access) 服务/组件接口。
- 问题所在:最后一行记录显示,在
08:27:35您尝试加载故事视图时,系统在启动此 UI 服务时直接判定为"失败"。
在生成的"权限检查"明细列表中,需重点关注 "权限检查状态 (Authorization Check Status)" 这一列。状态通常分为以下三类:
| 状态图标/文字 | 状态定义 | 业务含义与应对策略 |
|---|---|---|
| 失败 / 丢失 (Failed / Missing) | 首要排查对象 | 用户触发了该对象的检查,但当前拥有的所有业务角色(Business Roles)中均无此授权。必须记录该技术名并提交管理员修复。 |
| 已过滤 (Filtered) | 部分限制 | 用户拥有该对象的"大门钥匙",但内部的"某个抽屉"被锁了。通常是因为角色中配置了 "实例级限制条件"(例如:允许看供应商数据,但限制了只能看 A 公司代码,当访问 B 公司代码时会显示已过滤)。 |
| 成功 (Success) | 安全通过 | 权限完全匹配并正常放行,不需要做任何调整。 |
第四部分:管理员对症下药指引
当业务用户将带有 失败 记录的截图或技术名称提交给系统管理员后,管理员无需盲目排查,只需在 维护业务角色 (Maintain Business Roles) App 中进行"对症下药"。
例如上述报错修复方案:
- 底层视图失败(如:
SDDLVIEW失败)
- 原因:用户缺乏读取该核心 CDS 视图或总账明细 SQL 视图的底层数据权限。
- 修复:管理员需找到对应的业务角色,在"维护限制条件 (Maintain Restrictions)"中,将该对象的读取权限(Read Access)从"无访问权限"调整为"无限制"或指定对应的业务范围(如特定的公司代码、控制范围)。
- 前端接口服务失败(如:
UI_INA_...失败)
- 原因:负责将后端数据传输到 SAC 故事前端的 Information Access (InA) 或 OData 服务未对该用户启用。
- 修复:管理员需在角色的"分配的业务目录 (Assigned Business Catalogs)"中,确保为该用户勾选并包含了能够调用此类分析服务的标准目录(例如:财务场景下需包含 总账核心分析 General Ledger - Analytical Queries 目录)。
💡 运维小贴士:管理员更新并保存业务角色后,报错用户必须完全退出当前公有云系统并重新登录,新权限才能在前端嵌入式故事中正式生效。