在 SAP 权限项目里,最容易被低估的一类数据,不是用户主记录,也不是 PFCG 角色本身,而是藏在 SU22 和 SU24 背后的权限检查指示符与授权默认值。很多团队在 DEV 系统里把角色调到绿灯,以为传到 QAS 和 PRD 以后就万事大吉,结果一到回归测试,业务顾问打开 VA01、ME21N、FD03 这类事务码,SU53 里跳出缺失授权对象,PFCG 里又出现一堆手工维护过的红灯和黄灯。问题看起来像是角色没有维护好,往深处查,往往会落到 SU24 proposal 数据不一致,或者 SAP 新交付的默认值没有被正确合并。SU22 和 SU24 的关系,很多人知道个大概,却没有真正放到系统 landscape 的工程链路里理解。SU22 更偏向 SAP 数据和开发者视角,开发者在这里定义某个应用需要哪些授权对象,系统也会基于 trace 结果把应用上下文中触发过的授权对象展示出来,再由开发者判断哪些对象属于核心功能,哪些只是测试路径或底层框架带出来的噪音。SAP Help Portal 对 SU22 的描述很明确,开发者在 SU22 中维护应用需要的授权对象,系统会展示 trace 记录到的对象,开发者需要给这些对象分配 authorization default status。(SAP Help Portal)SU24 则更接近客户系统里的角色生成入