参加
最後オンライン
最近の投稿
税務に投稿されました 続きを読む

概要

法人税等には、法人税の他、都道府県民税、市町村民税および利益に関連する金額を課税標準とする事業税が含まれます

税率

税金の種類東京都23区内の場合その他都道府県の場合
400万円以下400-800万円800万円超400万円以下400-800万円800万円超
法人税15.00%15.00%23.90%15.00%15.00%23.90%
地方法人税0.66%0.66%1.05%0.66%0.66%1.05%
法人法人税------
  都民税1.94%1.94%3.08%---
  道府県民税---0.48%0.48%0.76%
  市町村税---1.46%1.46%2.32%
法人事業税3.40%5.10%6.70%3.40%5.10%6.70%
地方法人特別税1.46%2.20%2.89%1.46%2.20%2.89%
合計22.46%24.90%37.62%22.46%24.90%37.62%
法定実効税率21.42%23.20%34.34%21.42%23.20%34.34%

主な仕組

会社は「収益」から「費用」を引いて「利益」を求めますが、税法上は「益金」から「損金」を引いて「所得」を算出します。この収益と益金、費用と損金はイコールではありません。
会社の経営状態を調べるには、正確な情報が必要です。そのため、決算では「収益」「費用」「利益」を求めます。対して法人税の計算の場合は、課税の公正さや国の税務政策を優先する性質上、会社が費用だと考えるものでも、税法上は費用にならないというものが出てくるのです。よって益金と収益、損金と費用は同じにはならないのです。

申告書の構成

損金不算入

損金不算入となるのは以下のものがあります。

  1. 交際費等

  2. 減価償却の超過額など
  3. 事前に届け出のない役員給与・過大な役員報酬など
  4. 法人税や法人住民税(租税公課)
    別表五(二)租税公課の納付状況等に関する明細書
  5. 一定以上の寄付金

納税充当金

法人税の申告書の別表5⑴や別表5⑵には、「納税充当金」という文言が頻繁に出てきます。

ここの納税充当金とは、納税に用いるお金のことであり、簿記や会計用語にある「未払法人税」に該当します。

納税充当金の処理方法は下記の二つがあります。

繰入

納税充当金を繰り入れるとは

別表5⑵に繰入額と取崩額という欄があります。

損金経理により納税充当金に繰り入れるとは、会計的に言い換えると「法人税等を、相手勘定科目を未払法人税等として計上する」ということになります。

仕訳すると

法人税・住民税及び事業税 ××× / 未払法人税等 ×××

取り崩し

納税充当金を取り崩しにより納付するとは、会計的に言い換えると「未払法人税等を反対(借方)に仕訳して法人税等を納付する」ということになります。

仕訳で表すと

未払法人税等 ××× / 現金 ×××

BASISに投稿されました 続きを読む

このトピックでは、リポジトリ情報が格納される各システムテーブルを抜粋して説明します。

技術名称説明主要項目
TADIRリポジトリオブジェクトのディレクトリPGMIDプログラムID
OBJECTオブジェクトタイプ
OBJ_NAMEオブジェクト名称
SRCSYSTEM マスタシステム
DEVCLASSパッケージ
MASTERLANGマスタ言語
COMPONENTソフトウェアコンポーネント
技術名称説明主要項目
TAPLPアプリケーションディレクトリAPPL アプリケーションカテゴリ名
KTEXT アプリケーション短文テキスト
技術名称説明主要項目
DD02L DBテーブルTABNAME テーブル名
TABCLASS テーブルカテゴリ
BUFFERED バッファリング
CONTFLAG 出荷クラス
DD08LDBテーブル 外部キーTABNAME テーブル名
FIELDNAME 項目名
CHECKTABLE チェックテーブル
FRKART 依存度
DD05SDBテーブル 外部キー 項目TABNAME テーブル名
FIELDNAME 項目名
PRIMPOS 位置
FORTABLE外部キーテーブル
FORKEY外部キー項目
DD09LDBテーブル 技術設定TABNAME テーブル名
TABKATサイズカテゴリ
TABARTデータクラス
PUFFERUNGバッファタイプ
TRANSPFLAG透過フラグ
BUFALLOWバッファ可能
DD12LDBテーブル 二次索引SQLTABテーブル名
INDEXNAME索引 ID
DD17SDBテーブル 二次索引 項目SQLTABテーブル名
INDEXNAME索引 ID
POSITIONテーブル位置
FIELDNAME項目名
DESCFLAG降順
DD03LDBテーブル 項目TABNAME テーブル名
FIELDNAME項目名
POSITIONテーブル位置
KEYFLAGキー項目
MANDATORY必須項目
ROLLNAMEデータエレメント
CHECKTABLEチェックテーブル
INTTYPE ABAP データ型
DATATYPEデータ型
DD35LSAPテーブル項目 検索ヘルプ割当TABNAME テーブル名
FIELDNAME項目名
SHLPNAME検索ヘルプ名
DD36SSAPテーブル項目 検索ヘルプパラメータTABNAME テーブル名
FIELDNAME項目名
SHLPFIELD検索ヘルプ Para
SHTYPE割当タイプ
SHTABLE割当テーブル
SHFIELD割当項目
DARTT技術設定 データクラス
DGKAT技術設定 サイズカテゴリ
DD25LテーブルビューVIEWNAMEビュー名
ROOTTAB一次テーブル
VIEWCLASSビュータイプ
CUSTOMAUTH出荷クラス
VIEWGRANT更新ステータス
GLOBALFLAGテーブル更新
DD26Sテーブルビュー 基本・結合テーブルVIEWNAMEビュー名
TABNAME基本テーブル
OBJPOS反復グループ位置
DD27Sテーブルビュー項目VIEWNAMEビュー名
OBJPOS反復グループ位置
VIEWFIELDビュー項目
TABNAME基本テーブル
FIELDNAME基本項目
KEYFLAGキー項目
ROLLNAMEデータエレメント
RDONLY更新フラグ
DD28Sテーブルビュー 選択条件CONDNAME選択条件 ID
POSITION反復グループ位置
TABNAMEテーブル名
FIELDNAME項目名
NEGATION否定
OPERATOR演算子
CONSTANTS定数
CONTLINE継続行フラグ
AND_OR
DD29LテーブルビューとマッチコードIDの選択条件CONDNAME選択条件 ID
VIEWNAMEビュー名
LINE_CNT反復グループ位置
DD01LドメインDOMNAME ドメイン名
AS4LOCAL有効化ステータス
DATATYPE データ型
LENG 長さ
DECIMALS 小数点以下桁数
ENTITYTAB  値テーブル
CONVEXIT 変換ルーチン
DD07Lドメイン値DOMNAME ドメイン名
AS4LOCAL有効化ステータス
VALPOS ドメイン値キー
DOMVALUE_L  ドメインの値:下限/単一値
DOMVALUE_H  ドメインの値:上限
DD30L検索ヘルプSHLPNAME検索ヘルプ名
SELMETHOD選択メソッド
SELMTYPE選択カテゴリ
SELMEXIT検索ヘルプ Exit
DD32S検索ヘルプ 項目SHLPNAME検索ヘルプ名
FIELDNAME検索ヘルプ Para
FLPOSITION検索ヘルプ項目位置
ROLLNAMEデータエレメント
SHLPINPUT IMPORT param.
SHLPOUTPUT EXPORT param.
SHLPSELPOS 選択位置
SHLPSELDIS 選択表示
DATATYPE データ型
DD31S複合検索ヘルプ 割当SHLPNAME検索ヘルプ名
SUBSHLP検索ヘルプ
VIASHLP検索ヘルプ (親)
DD33S検索ヘルプ 項目割当SHLPNAME検索ヘルプ名
FIELDNAME検索ヘルプ Para
SUBSHLP検索ヘルプ
SUBFIELD参照パラメータ
DD25Lロックオブジェクト
DD26Sロックオブジェクト 二次テーブル
DD27S ロックオブジェクト 項目
DDLOGバッファ同期
DDSYNバッファ同期化のパラメータ
技術名称説明主要項目
REPOSRCレポートソースコードPROGNAMEプログラム名
CLASPGM クラス
SUBCプログラム Type
APPL Application
SECU権限グループ
DATA Source Code
TLIBG汎用グループ
TFDIR汎用モジュールFUNCNAME汎用モジュール
PNAMEプログラム名
FMODEモード
UTASK更新
FUPARAREF汎用モジュール(パラメータ)FUNCNAME汎用モジュール
PARAMETERパラメータ名
PARAMTYPEパラメータ Type
STRUCTURE関連する型
DEFAULTVALデフォルト値
OPTIONALオプション params
ENLFDIR汎用モジュール(追加属性)FUNCNAME汎用モジュール
AREA汎用グループ
ACTIVE有効
GENERATED生成済
FREEDATEリリース日付
D020SDynpro 内容PROGプログラム名
DNUM  Dynpro番号
TYPE  Dynproタイプ 
FNUM 
DGRP
D021TDynpro キーワードテキストPROGプログラム名
LANG言語
FLDN項目名
DTXT画面のキーワードテキスト
VARIDバリアント一覧REPORTレポート名
VARIANTバリアント
VARIS選択画面へのバリアント割当REPORTレポート名
DYNNR Dynpro 番号
VARIANTバリアント
D342LGUIステータスPROGNAME プログラム名称
STATUS GUI ステータス
TYPEロードタイプ
D347TGUI表題PROGNAMEプログラム名称
SPRSL言語
OBJ_CODE表題番号
SEOCLASSクラス/インタフェースCLSNAME クラス名称
CLSTYPEクラスタイプ
UUID
SEOCLASSDFクラス/インタフェース定義CLSNAME クラス名称
VERSIONバージョン
CATEGORYカテゴリ
EXPOSURE可視性
STATEステータス
RELEASEリリース
CLSEMBED埋込可能
CLSABSTRCT抽象
CLSFINAL 最終クラス
SEOCOMPOクラス/インタフェースコンポーネントCLSNAME クラス名称
CMPNAMEコンポーネント
CMPTYPEコンポーネントタイプ
MTDTYPEメソッドタイプ
SEOCOMPODFクラス/インタフェースコンポーネント定義CLSNAME クラス名称
CMPNAMEコンポーネント
VERSIONバージョン
EXPOSURE可視性
STATEステータス
SEOFRIENDSクラス/インタフェース フレンド属性CLSNAME クラス名称
REFCLSNAME参照クラス名称
FRIENDTYPEフレンドタイプ
VERSIONバージョン
STATEステータス
SEOIMPLRELクラス/インタフェース 属性(参照型定義)CLSNAME クラス名称
CMPNAMEコンポーネント
VERSIONバージョン
REFCLSNAME参照クラス名称
IRLTYPE関係タイプ
SEOMETARELクラス/インタフェース スーパークラス・インタフェース定義CLSNAME クラス名称
REFCLSNAME参照クラス名称
VERSIONバージョン
STATEステータスステータス
RELTYPEクラス間の関係タイプ
RELNAME関係タイプ名
SEOREDEFクラス/インタフェース 定義のオーバーライド)CLSNAME クラス名称
REFCLSNAME参照クラス名称
VERSIONバージョン
MTDNAMEメソッド名称
MTDABSTRCT抽象
MTDFINAL Final
ATTVALUE初期値
SEOSUBCOクラス/インタフェース サブコンポーネントCLSNAME クラス名称
CMPNAMEコンポーネント
SCONAMEサブコンポーネント
CMPTYPEコンポーネントタイプ
MTDTYPEメソッドタイプ
SEOSUBCODFクラス/インタフェース サブコンポーネント定義CLSNAME クラス名称
CMPNAMEコンポーネント
SCONAMEサブコンポーネント
VERSIONバージョン
LOCKEDロック
PARDECLTYP宣言レベル
PARPASSTYP引渡しタイプ
TYPTYPE型指定
SEOTYPEPLSクラス/インタフェース データ型グループ割当CLSNAME クラス名称
TYPEGROUPタイプグループ
SHDSVCI画面バリアントSCVARIANT画面バリアント
PROGNAMEプログラム
DYNPRO Dynpro番号
SHDSVFVCI画面バリアント: 項目内容SCVARIANT画面バリアント
FIELDNAME項目名
STEPLステップループ行
FIELDVALUE項目値
--
SHDTVUクライアント依存トランザクションバリアントTCVARIANT トランザクションバリアント
TCODE トランザクションコード
SHDTVクライアント依存トランザクションバリアントTCODE トランザクションコード
TCVARIANT トランザクションバリアント
SHDTVCIUクライアント非依存トランザクションバリアントTCVARIANT トランザクションバリアント
TCODE トランザクションコード
SHDTVCIクライアント非依存トランザクションバリアントTCODE トランザクションコード
TCVARIANT トランザクションバリアント
TSTCトランザクションコードTCODEトランザクションコード
PGMNAプログラム
DYPNO Dynpro
--
技術名称説明主要項目
WDY_COMPONENTWeb Dynpro: ComponentCOMPONENT_NAMEコンポーネント名称
VERSIONプログラムステータス
TYPEタイプ
MODULE‗POOL_NAMEモジュールプール名
技術名称説明主要項目
MODSAP拡張プロジェクト(カスタマEXIT)NAME拡張プロジェクト名称
構成要素TYPタイプ
MEMBER拡張名称
DEVCLASSパッケージ
MODACT拡張実装(カスタマEXIT)NAME拡張名
TYP構成要素タイプ
MEMBER拡張
BADI_SPOTBAdi定義BADI‗NAME BAdi定義名称
ENHSPOTNAME拡張スポット名称
ENHOBJ拡張オブジェクトENHNAME拡張実装
VERSIONバージョン
OBJ_TYPオブジェクトタイプ
OBJ_NAMEオブジェクト名称

BASISに投稿されました 続きを読む

このトピックでは、移送に関わるシステムテーブルを抜粋して説明します。

概要

以下の表でテーブル一覧を示します。

No.カテゴリ技術名称名称説明
1システム構成TCETRAL移送レイヤ移送レイヤの情報を格納
2TCERELE移送レイヤの詳細-
3TMSCDOM移送ドメイン移送ドメインの情報を格納
4TMSCDES宛先宛先の情報を格納
5TMSCNFS移送グループ移送ドメインの情報を格納
6TMSCSYSシステムシステムの情報を格納
7変更管理E070依頼/タスクのヘッダ依頼/タスクのヘッダ情報を格納
8E070A依頼の属性依頼の属性情報を格納
9E070C依頼/タスクのソース/対象クライアント依頼/タスクのソースクライアントを格納
10E070L依頼/タスクの番号割当用索引最後に割り当てれた番号を格納
11E071依頼/タスクの明細変更されたオブジェクト情報を格納
12E071K依頼/タスクのキーエントリテーブルデータの場合のキー情報を格納
13TTOBJECTS翻訳関連に応じた移送オブジェクト-
14移送管理TSYIMPSTAT移送依頼インポートステータス-
15TMSBUFREQ移送バッファの移送依頼-

 TCETRALテーブル 

移送レイヤ、移送レイヤの情報を格納

 項目一覧 

No.PK技術名称名称説明
1VERSIONバージョン-
2TRANSLAYER移送レイヤ-

 TMSCDOMテーブル 

移送ドメイン、移送ドメインの情報を格納

 項目一覧 

No.PK技術名称名称説明
1DOMNAM移送ドメイン-
2 DOMCTLドメインコントローラ-

 TMSCDESテーブル 

宛先、宛先の情報を格納

 項目一覧 

No.PK技術名称名称説明
1RFCDESRFC宛先-
2LIMBOフラグ-
3 RFCTYPE接続タイプ-
4 RFCLIBFLG負荷分散-
5 RFCHOST対象ホスト-
6 RFCSERVサービス-
7 RFCCLIENTクライアント-
8 RFCUSERユーザ-
9 RFCAUTHパスワード-
10 DOMNAM移送ドメイン-

 TMSCNFSテーブル 

移送グループ、移送ドメインの情報を格納

 項目一覧 

No.PK技術名称名称説明
1DOMNAM移送ドメイン-
2NFSGRP移送グループ-

 TMSCSYSテーブル 

システム、システムの情報を格納

 項目一覧 

No.PK技術名称名称説明
1DOMNAM移送ドメイン-
2SYSNAMシステム名-
3LIMBOフラグ-
4 NFSGRP移送グループ-
5 DESADMRFC宛先-
6 INSTNOインストール番号-

E070テーブル

依頼/タスクのヘッダ

 項目一覧 

No.PK技術名称名称説明
1TRKORR依頼/タスク番号-
2 TRFUNCTIONタイプ依頼の場合、K(ワークベンチ依頼)やW(カスタマイジング依頼)といった分類が格納されます
3 TRSTATUSステータスD(修正可能)、R(リリース済)などがあります
4 TARSYSTEM移送対象-
5 KORRDEVカテゴリCUST(クライアント依存)、(クライアント非依存)があります
6 AS4USER所有者-
7 STRKORR上位移送-

 E070Lテーブル 

CTS: 依頼/タスクの番号割当用索引

 項目一覧 

No.PK技術名称名称説明
1LASTNUM識別-
2 TRKORR移送/タスク番号-

E070Lには何番から採番すれば良いのかという情報を保持しています。 開発機を何らかの理由で過去の状態に戻すと、移送依頼番号も、また若い番号から採番されてしまいます。 例えば、KDA0900100 まで採番された状態に戻ると、KDA0900100 から KDA0900200 までは2回繰り返されることになってしまい、それらの移送依頼をリリースしようとすると、移送ディレクトリに存在する過去の移送ファイルと重複してしまうため、エラーになってしまいます。 このような「移送依頼番号の重複」を回避するためには、移送依頼番号の情報を管理しているテーブル E070L の内容を移送依頼番号が重複しないような大きい番号に編集してあげればOKです。 ただ、このテーブルは編集不可に設定されているため、T-cd:SE16 では編集できません。 データベースレベルで直接 SQL を実行して編集します。 update E070L SET TRKORR = 'KDA0900300' WHERE LASTNUM = 'TRKORR';

E071テーブル

依頼/タスクのオブジェクトエントリ

 項目一覧 

No.PK技術名称名称説明
1TRKORR依頼/タスク番号-
2AS4POS明細行番号-
3 PGMIDプログラムID-
4 OBJECTオブジェクトタイプ-
5 OBJ_NAMEオブジェクト名-
6 LOCKFLAGロックステータス-

BASISに投稿されました 続きを読む

このトピックでは、権限に関わるシステムテーブルを抜粋して説明します。

概要 

カテゴリ技術名称名称説明
ユーザUSR01ユーザマスタレコード基本属性を定義
USR02ユーザログオンデータユーザログオンデータを定義
USR03ユーザアドレスデータユーザアドレスデータを定義
USR04ユーザ権限ユーザに割り当てられた権限プロファイル情報を格納
USR05ユーザマスタパラメータIDユーザパラメータ値を格納
USR21ユーザ名アドレスキーの割当ユーザのアドレスキー値を格納
ADR2電話番号 (アドレス管理)ユーザの電話番号を格納
ADR3FAX 番号 (アドレス管理)ユーザのFAX番号を格納
ADR6電子メールアドレスユーザの電子メールアドレスを格納
ロールAGR_AGRS集合ロール内のロール-
AGR_DEFINEロール定義 -
AGR_FLAGSロール属性-
AGR_HIERロールメユー構造-
AGR_1016ロールプロファイル-
AGR_1250ロール権限データ(ヘッダ)-
AGR_1251ロール権限データ(項目値明細)-
AGR_1252ロール権限データ(組織要素)-
権限オブジェクトTOBC権限クラス権限クラスを定義
TOBJ権限オブジェクト権限オブジェクトと権限オブジェクトの項目構成を定義
TACTZ権限オブジェクトごとの有効アクティビティ権限オブジェクトごとの有効アクティビティ
権限プロファイルUST10C複合権限プロファイル含められている単一ロールを定義
UST10S単一権限プロファイル権限プロファイルの権限名を定義
UST12権限プロフィル権限値権限オブジェクト別に権限プロファイル毎の各権限項目値を格納
権限(ユーザ)USR10ユーザマスタ権限プロファイル-
USR12ユーザマスタ権限値-
USR16ユーザ権限用変数の値-
権限(トランザクション)TSTCAトランザクションコード権限の値SE93で照会・更新
USOBTトランザクション>権限オブジェクトSU22/SU24で照会・更新
USOBXUSOBTのチェック用テーブル-
USOBT_Cトランザクション>権限オブジェクト(カスタマ)-
USOBX_CUSOBT_Cのチェック用テーブル-

USR01テーブル

ユーザマスタレコード

 項目一覧 

No.PK技術名称名称説明
1BNAMEユーザユーザID
2 STCOD開始メニュー-
3 SPLD出力デバイス-
4 DATFM日付書式-
5 DCPFMISOコード-
6 LANGU言語-

 USR02テーブル 

ユーザログオンデータ

 項目一覧 

No.PK技術名称名称説明
1BNAMEユーザユーザID
2 BCODE初期パスワード-
3 USTYPユーザタイプ-

 USR04テーブル 

ユーザ権限

 項目一覧 

No.PK技術名称名称説明
1BNAMEユーザユーザID
2 NRPROプロファイル数-
3 PROFSプロファイル名リスト-

 USR05テーブル 

ユーザパラメータ

 項目一覧 

No.PK技術名称名称説明
1BNAMEユーザユーザID
2 PARIDパラメータID-
3 PARVAパラメータ値-

定義可能なパラメータ名はTPARAテーブルに定義されます。

AGR_DEFINEテーブル

ロール定義 

 項目一覧 

No.PK技術名称名称説明
1AGR_NAMEロール名称-
2 TEXTテキスト-

 AGR_FLAGSテーブル 

ロール属性

 項目一覧 

No.PK技術名称名称説明
1AGR_NAMEロール名称-
2FLAG_TYPE属性タイプ-
3 FLAG_VALUE属性値-

 AGR_HIERテーブル 

ロールメユー構造 AGR_HIERT

 項目一覧 

No.PK技術名称名称説明
1AGR_NAMEロール名称-
2OBJECT_IDメニューID-
3 FOLDER親メニューID-
4 SORT_ORDERソート順番-
5 MENU_LEVELメニューレベル-
6 SAP_GUID一意 ID-
7 ATTRIBUTES親メニューID-
8 SOURCE_AGR-
9 ICONメニューエントリアイコン-
10 APPL_ALIASメニューエントリテキスト-

 AGR_1016テーブル

ロールプロファイル名称

 項目一覧 

No.PK技術名称名称説明
1AGR_NAMEロール-
2COUNTERカウンタID-
3 PROFILEプロファイル-
4 GENERATED生成済-
5 PSTATEバージョン-

 AGR_1250テーブル

ロール権限データ(ヘッダ)

 項目一覧 

No.PK技術名称名称説明
1AGR_NAMEロール-
2COUNTERカウンタID-
3 OBJECT権限オブジェクト-
4 AUTH権限値-
5 MODIFIEDオブジェクトステータス-

 AGR_1251テーブル

ロール権限データ(項目値明細)

 項目一覧 

No.PK技術名称名称説明
1AGR_NAMEロール-
2COUNTERカウンタID-
3 OBJECT権限オブジェクト-
4 AUTH権限値-
5 FIELD項目名-
6 LOW-
7 HIGH-

 AGR_1252テーブル

ロール権限データ(組織要素) ロールが関連付ける組織(販売組織、購買組織、会社コードなど)の情報を格納します。 利用可能な組織の変数名がUSVARに定義されます。

 項目一覧 

No.PK技術名称名称説明
1AGR_NAMEロール-
2COUNTERカウンタID-
3 VARBL組織変数名-
4 LOW-
5 HIGH-

AGR_USERSテーブル

ユーザへのロール割当

 項目一覧 

No.PK技術名称名称説明
1AGR_NAMEロール-
2UNAMEユーザ-
3FROM_DAT開始日付-
4TO_DAT終了日付-
5 COL_FLAG集合ロールからの割当-

TOBCテーブル

権限クラス 

 項目一覧 

No.PK技術名称名称説明
1OCLSS権限クラス-

 TOBJテーブル 

権限オブジェクト

 項目一覧 

No.PK技術名称名称説明
1OBJCT権限オブジェクト名称-
2 FIEL1~FIEL0項目名-
3 OCLSS権限クラス-

 TACTZテーブル 

権限オブジェクトごとの有効アクティビティ

 項目一覧 

No.PK技術名称名称説明
1BROBJ権限オブジェクト名-
2ACTVTアクティビティ-

UST10Cテーブル

複合権限プロファイル

 項目一覧 

No.PK技術名称名称説明
1PROFN複合プロファイル-
2AKTPSバージョン-
3SUBPROF単一プロファイル-

UST10Sテーブル

単一権限プロファイル

 項目一覧 

No.PK技術名称名称説明
1PROFNプロファイル-
2AKTPSバージョン-
3 OBJCT権限オブジェクト-
4 AUTHユーザマスタ:権限名-

UST12テーブル

権限プロフィル権限値

 項目一覧 

No.PK技術名称名称説明
1OBJCT権限オブジェクト-
2AUTHユーザマスタ:権限名-
3AKTPSバージョン-
4FIELD権限項目-
5VON権限項目値-
6BIS権限項目値-

USR10テーブル

ユーザマスタ権限プロファイル

 項目一覧 

No.PK技術名称名称説明
1PROFNプロファイル名-
2AKTPSバージョン-
3 TYPタイプ-
4 NRAUTプロファイル/権限の数-
5 AUTHS権限-

USR12テーブル

ユーザマスタ権限値

 項目一覧 

No.PK技術名称名称説明
1OBJCT権限オブジェクト-
2AUTHユーザマスタ:権限名-
3AKTPSバージョン-
4 VALS権限値-

BASISに投稿されました 続きを読む

このトピックで例をあげてロールの設計と実装を説明します。

グループ各会社が同じクライアントIDでSAPシステムを共有しています。

BASISに投稿されました 続きを読む

このトピックでは、NetWeaver ABAPの権限チェックの実装を取り上げて説明します。

権限のチェックは、プログラムレベルのチェックとシステムレベルのチェックと2種類があります。

プログラムレベルのチェック

プログラムレベルでのチェックは、プログラムでAUTHORITY-CHECKを明示的に組み込む必要があります。 AUTHORITY-CHECK によって、ユーザに指定されたプロファイルが検索され、AUTHORITY-CHECKに指定された権限オブジェクトの権限をユーザが持っているかどうかが確認されます。検索された権限のいずれかが必要な値に一致する場合は、チェックは成功です。

システムレベルのチェック

システムレベルのチェックは、個別にプログラミングする必要がなく、システムより自動的に実施される権限チェックです。トランザクションやレポートプログラムが起動する際に、ユーザが該当機能を実行できる権限をもっているかどうかをシステムよりチェックされます。

トランザクション起動時

トランザクションが起動する際に、システムから以下のチェックは順に実施されます。

  1. トランザクションコードは有効か
    テーブルTSTCチェック
  2. トランザクションがシステム管理者によってロックされているか
    テーブルTSTCチェック
  3. S_TCODE権限チェック 
    ユーザが実行できるトランザクションコード一覧に該当トランザクションコードがはいっていないかをチェックされます。
  4. 追加権限チェック
    SE93で該当トランザクションに追加権限が割り当てられた場合、それがチェックされます。
  5. 割当権限チェック
    SU24で該当トランザクションに権限オブジェクトを割り当て且つチェックフラグを設定された場合、それがチェックされます

レポートクラスの開始

レポートに権限クラスを割り当てることによって、追加権限チェックを実行することができます。

RFC汎用モジュールの呼出

RFC汎用モジュールがRFCクライアントプログラムまたは他のシステムによって呼び出されると、呼び出されたシステムの権限オブジェクトS_RFC の権限チェックが実行されます。

権限設計は、業務運用でどこかの場面で何かの権限制御をかけなければならないという要件から始まります。 例として、「販売伝票一覧を出力するレポート処理で、ログオンユーザが権限を持っていない販売エリアの伝票を出力しない」という権限制御を取り上げます。

権限オブジェクトの定義

権限オブジェクトV_VBAK_VKOは、例の権限制御を実現できる標準権限オブジェクトです。

権限クラス権限オブジェクト権限項目
SDV_VBAK_VKOVKORG(販売組織)
VTWEG(流通チャネル)
SPART(製品部門)
ACTVT(アクティビティ)

権限チェックの実装

以下の権限チェック処理で、ユーザが権限を持っていない販売エリアのデータが出力対象にならないように制御しております。

  LOOP AT T_VBAK INTO L_VBAK.
    AUTHORITY-CHECK OBJECT 'V_VBAK_VKO'	
      ID 'VKORG' FIELD L_VBAK-VKORG	
      ID 'VTWEG' FIELD L_VBAK-VTWEG	
      ID 'SPART' FIELD L_VBAK-SPART	
      ID 'ACTVT' FIELD '03'.	
    IF NOT SY-SUBRC IS INITIAL.	
      DELETE T_VBAK.	
    ENDIF. 

ENDLOOP.

BASISに投稿されました 続きを読む

ユーザ

ユーザ毎に設定・保持されるデータは、ユーザマスタレコードと呼ばれます。

ユーザの基本データ

ユーザの基本データには、アドレスデータ、ログオンデータ、デフォルトデータがあります。

  • アドレス 
    姓・名や、職務、文書、連絡方法などの情報が含められます。
  • ログオンデータ 
    パスワードや有効期限などの情報が含められます。
  • デフォルト
    ログオン言語や、書式(数値、日付、時刻)、スプール制御などの情報が含められます。

ユーザパラメータ

ユーザパラメータによって、SAP項目に初期値が指定されます。項目を指定すると、初期値が自動的に表示されます。項目定義によって、そのエントリをユーザ入力値に置き換えることもできます。 例として以下のユーザパラメータを取り上げます。

  • BUK
    会社コード
  • EKO
    購買組織
  • WRK
    プラント

設定可能なパラメータはすべてシステムテーブルTPARAに登録されています。

ユーザとロール

ユーザに単一又は集合ロールを割り当てることができます。ユーザに複数ロールが割り当てられた場合は、結果は論理和になります。

ユーザと権限プロファイル

ユーザにマニュアル権限プロファイルを割り当てることができます。ユーザに複数権限プロファイルが割り当てられた場合は、結果は論理和になります。

ロールはユーザをグループ化する手段を提供します。 ロールは権限を割当する単位とするほか、ユーザメニュー構成を定義する単位にもなります。 ロールは、部署や役職に基づいてを設計することが多い。

ロールの分類

ロールには単一ロールと集合ロールがあります。 単一ロールには、ユーザの権限データとログオンメニューが含まれます。 集合ロールには、任意の数の単一ロールが含まれます。

ロールと権限

単一ロールの権限データから権限プロファイルが自動生成されます。ここの権限プロファイルは生成済権限プロファイルと呼ばれます。

標準機能から以下の権限管理ツールが提供されておいます。

  • SU01 ユーザ管理
    ユーザデータの登録、変更
  • PFCG ロール更新
    ロールの登録、変更
  • SUIM ユーザ情報システム

BASISに投稿されました 続きを読む

このトピックでは、NetWeaver ABAP(ECC)の権限制御のコンセプトや概要を取り上げて説明します。

権限とは

権限とは、システムのユーザに、ある範囲のことを正当に行うことができるものとして与えられている能力、またその能力が及ぶ範囲のことです。

ユーザに付与される権限には、以下の情報が定められます。

  • 対象
    権限でアクセス可能な対象(リソースや処理など)を定義します。
  • 範囲
    対象に対してアクセス可能な範囲を定義します。例えば、対象がファイルなら、読み取りができるかどうか、書き込めるかどうか、アクセスされる範囲を制御できます。
  • 期間
    権限の有効期間を指定します。

権限制御とは

権限制御とは、システムが、各ユーザに対して、事前に付与された権限に従って、処理の実行やアクセスの範囲を制御することです。

権限制御は、通常、OSやデータベース、アプリケーションなど各分野でそれぞれ実施されます。

  • OS
    アプリケーション、サービス、ファイルといったリソースのアクセス権限をユーザ・グループ毎に制御します。
  • データベース
    テーブル、ビューといったデータベースオブジェクト単位で、ユーザ・グループ毎にデータの照会、更新、作成、削除の権限を制御します。
  • アプリケーション
    アプリケーション側で必要に応じてビジネスレベルの権限制御を行います。

データベース側では、テーブルレベルのアクセス制御が仕組みに組み込まれているのは普通ですが、テーブルをさらに行レベルのアクセス制御をかけることは通常サポートされません。

例えば、各支店の売上データが格納されたテーブルがあるとします。各支店の従業員が所属支店のデータしか参照できないというセキュリティ要件はよくあるものですが、データベース側でカーバできないため、アプリケーション側で何らかの対応をしなければなりません。

NetWeaver ABAPは、アプリケーションレベルで独自の権限仕組みを導入ことにより、上記のビジネス要件に統合化したソリューションを提供します。

NetWeaver ABAPの権限制御を利用することにより、以下の機能を実現することができます。

  • ユーザ(グループ)毎に各機能の実行可否を制御
    例えば、経理部の人を購買システムの機能を実行できないように権限制御をかけることができます。
  • ユーザ(グループ)毎にアクセスデータ範囲を制御
    例として取り上げられた支店毎の制御をかけることができます。

NetWeaver ABAPの権限制御は以下の特徴があります。

  • できることの積み上げ
    できることのみを定義でき、できないことの定義はできません。これはシンプルという利点もありますが、膨大になりがち、管理が大変になるというデメリットがあります。
  • 言語レベルでサポート
    権限チェックするためのコマンド(authority-check) がABAP言語に組み込まれています。

Netweaver ABAPの権限コンセプトの構成要素は開発局面と運用局面に分けて整理することができます。

  • 開発局面
    プログラムを実装する際に、機能のセキュリティ要件を元に、実行時にどうな権限チェックをかけないといけないかを設計して、そのロジックをプログラムに組み込んでおく必要があります。 
    このような権限チェックの内容と方法を定義するのは権限オブジェクトという構成要素になります。
    権限オブジェクトはコア要素であり、システムにより一元管理されます。
  • 運用局面
    システムを構築する際に、 運用要件を元に、システムの利用者がどんな人いるか、どういうふうに権限をわけないといけないかを設計しておく必要があります。
    このような権限割当の単位を定義するのは権限プロファイルという構成要素になります。
    権限プロファイルに関連機能の権限オブジェクトの権限値が含められますので、機能にどんな権限オブジェクトがあるかを把握しておかなければなりません。
    ECC標準機能ではすでに数千の権限オブジェクトが組み込まれていますので、権限オブジェクトの把握は相当大変な作業になると想像できます。

権限オブジェクト

権限オブジェクトとは、権限制御でチェックしなければならない項目及びチェック方法を示す要素です。 権限オブジェクトの上位要素としては権限クラス、下位要素としては権限項目があります。

  • 権限クラス
    権限クラスは、権限オブジェクトの論理的な組合せで、たとえばアプリケーション(財務会計、人事管理など) に対応します。
  • 権限項目
    権限項目は、権限オブジェクトに構成する項目です。ABAPディクショナリで保存されたデータエレメントトに接続されています。

権限オブジェクトは、AND で結合された項目を 10 個までグループ゚化します。

権限オブジェクトが事前にプログラムロジックに組み込まれており、実行時に 実行可能なアクション(データの照会や登録、変更など)及び処理可能なデータの範囲を制御します。

権限

権限とは、権限オブジェクトの定義、すなわち、権限オブジェクトの各権限項目の許容値を組合せたものです。 権限により、権限オブジェクト項目値のセットにもとづいて、ECCシステムで特定のアクティビティを実行することができます。 権限を使用することで、権限オブジェクトの項目に対して任意の数の指定値または値範囲を項目に対して指定することができます。また、すべての値を許可したり、空の項目を許容値として許可したりすることもできます。 権限を変更すると、その権限を含む権限プロファイルを持つすべてのユーザが影響を受けます。

権限プロファイル

権限プロファイルとは、権限の集合で、ユーザにまとめて権限を割り当てる単位です。権限プロファイルは下記3種類があります。

  • 生成済権限プロファイル 
    生成済権限プロファイルは、ロールからロールの権限データで自動生成される権限プロファイルです。
  • マニュアル権限プロファイル
    マニュアル権限プロファイルとは、 ロールを使わずに明示的に作成される権限プロファイルです
  • 複合プロファイル
    複合プロファイルには、任意の数の権限プロファイルが含まれます。

各要素の関係

以下の図で権限コンセプトを構成する各要素の関係を示します。

ロールは厳密的に権限コンセプトの構成要素ではないですが、内部的に生成済権限プロファイルを自動生成するため、権限プロファイルとして利用することができます。 さらに、ロールはユーザメニュ構成を定義する単位にもなりますので、実際のシステム運用ではロールを利用してユーザの権限を管理するはほとんどです。

ロールは、ユーザをグルーピングする手段として、部署や役職に基づいて設計することが多い。