Business Partner 계좌번호 수정 못하도록 권한 관리 방안

[ 배경 ] 
1. 계좌번호(Bank Account)는 민감성 정보여서 잘못 수정되면 금융사고로 연결될 수 있다.
2. 권한 부여 정도에 따라서 계좌번호(Bank Account) 관리가 세부적으로 가능하도록 할 필요가 있다. 
 
[ 기본 요구사항 ] 
1. Business Parnter 의 권한 설정 시 조회(Display)권한만 있는 사용자는 계좌번호 조회만 가능해야 한다.
2. Business Parnter 의 권한 설정 시 변경(Change)권한이 있는 사용자도 계좌번호는 수정이 불가능해야 한다. 
3. Business Parnter 의 권한 설정 시 Admin 권한이 있는 사용자만 계좌번호의 등록 및 수정이 가능해야 한다.
 
[ 결론  ]
변경 권한이 있는 경우라 하더라도 계좌번호는 변경할 수 없도록 Standard 권한 설정으로 가능하다.


[ 조치방안 요약 ] 

1. Configuration
- Path : Cross-Application Components > SAP Business Partner > Business Partner > Basic Settings  
            > Authorization Management > Define Field Groups Relevant to Authorizations
- "Define Field Groups Relevant to Authorizations"에서 Fld gr 9 - Bank Details 등록한다.

 

 
2. T-code : PFCG
- 변경 권한을 가진 Role 의 Authorization Object "B_BUPA_FDG"에 FLDGR "0009" 를 제외한다.
- 하기와 같이 “0009"를 제외하면 Busniess Parnter 변경 시에 계좌번호(Bank Account) 필드가 보이지 않게 된다.  
 

 
 
 
[ 테스트 시나리오 #1. BP 계좌 조회만 가능한 지 확인 ]
 
1. T-code : PFCG
 
Standard가 제공하는 Role 중에 "SAP_CA_BP_DISPLAY_FS"이 있다.
이를 Copy 하여 Role "ZZ_SAP_CA_BP_DISPLAY_FS" Role 을 생성한다.

2. T-code : SU01

User ID "TEST_BP01"을 생성한다.
"TEST_BP01"은 BP 조회만 가능하도록 테스트하기 위한 용도이다. 

 
3. T-code : PFCG

Role "ZZ_SAP_CA_BP_DISPLAY_FS" 에 User ID "TEST_BP01"을 연결한다.
User Comparison 을 통해 정상적으로 연결되었는 지 확인한다. 

 
 
4. T-code : BP

User ID "TEST BP01"로 로그인하고, BP Code "1000179"를 조회한다. 
User ID "TEST BP01"은 BP 조회 권한만 가지고 있기 때문에 BP 변경이 되어서는 안 된다.   

 
Payment Transaction Tab 에 Bank Details와 Payment Cards 정보가 보인다.

 
Change 버튼을 클릭했을 때, 하기와 같이 "R1276. No authorization to change partner in role Business Partner (Gen.)"
메시지가 발생하여 변경이 불가능하다. 

User ID "TEST BP01"로는 계좌번호(Bank Account)의 조회만 가능하다.
테스트 완료.  
 

반응형

 
[ 테스트 시나리오 #2. BP 변경 시 계좌번호 수정 못하는 지 확인 ]
 
1. T-code : PFCG
 
Standard가 제공하는 Role 중에 "SAP_CA_BP_MAINTAIN_FS"이 있다.
이를 Copy 하여 Role "ZZ_SAP_CA_BP_MAINTAIN_FS" 을 생성한다.

2. T-code : SU01

User ID "TEST_BP02"을 생성한다.
"TEST_BP02"은 BP 변경 권한이 있는 데 계좌번호 수정은 하지 못하도록 테스트하는 용도이다. 

 
3. T-code : PFCG

Role "ZZ_SAP_CA_BP_MAINTAIN_FS" 에 User ID "TEST_BP02"을 연결한다.
User Comparison 을 통해 정상적으로 연결되었는 지 확인한다. 

 
Role "ZZ_SAP_CA_BP_DISPLAY_FS" 에 User ID "TEST_BP02"를 추가로 연결한다. 
User ID "TEST_BP02"는 BP의 변경과 조회가 모두 가능하도록 하는 설정이다. 

 
 
4. T-code : BP

User ID "TEST BP02"로 로그인하고, BP Code "1000179"를 조회한다. 
User ID "TEST BP02"은 BP 변경 권한을 가지고 있지만, 계좌번호(Bank Account) 변경이 되어서는 안 된다.   

 
Payment Transaction Tab 에 Bank Details와 Payment Cards 정보가 보인다.

 
Change 버튼을 클릭했을 때, 하기와 같이 Payment Transactions Tab의 Bank Details 정보는 조회만 가능하게 된다.
그리고 Bank Details와 무관한 Payment Cards Tab은 변경이 가능한 상태가 된다. 

User ID "TEST BP02"로는 계좌번호(Bank Account)의 조회만 가능하고, 변경은 불가능하다. 
테스트 완료.  
 
 
[ 권한 설정 세부 내용 ] 
 
1. T-code : PFCG

Role "ZZ_SAP_CA_BP_MAINTAIN_FS" 로 들어가서 Autorization Tab 에서 "Change Authorization Data"를 클릭한다. 

 
 
Authorization Object "B_BUPA_FDG" (Business Partner: Filed Groups)의 Value를 조정한다. 

 
Authorization Object "B_BUPA_FDG" Value를 하기와 같이 "0009"을 제외시킨다.