很多 SAP 老系统里,权限问题并不是从 PFCG 开始的,而是从一个更古老、更直接、也更容易被误用的入口开始,SU02。项目上只要出现手工维护的 Profile,事情就不能只按一个菜单操作来理解。因为 Profile 不是普通配置项,它连接着 Authorization、用户主记录、传输请求、审计记录,以及后续在 QAS 和 PRD 里能不能稳定复现权限行为这一整条链路。SAP 官方资料里,手工创建的 Profile 可以通过 SU02 进入手工 Profile 维护界面,创建 Profile List 之后通过 Profile 菜单发起 Transport,并在弹窗里为每个 Profile 或 Profile Group 输入传输请求号。系统还会询问只传输 Profile 本身,还是连同其中包含的 Authorization 一起放入传输请求,Profile 和 Authorization 的文档也会一并进入传输范围,选定完成后再通过 Workbench Organizer 执行传输请求。(SAP Help Portal)这段流程看上去很短,但在真正的 SAP 权限治理里,它背后有两层语义。表层语义是如何把对象从一个系统搬到另一个系统。深层语义是,我们到底愿不愿意让一个手工创建的授权结构,绕过现代 Role Maintenance 的设计模型,直接进入系统组里的后续环境。