我在做 SAP 权限治理时,最怕的从来不是改一个字段,也不是给一个角色补一个授权对象,而是在没有看清影响面的情况下,把一个看起来很小的权限调整推到 QAS 或 PRD。一个角色里删掉了某个公司代码,一个 profile 被重新生成,一个授权值从 03 放宽到星号,表面上只是 PFCG 或 SU01 里的一个小动作,落到真实系统里,可能影响财务月结、采购收货、仓库过账、接口用户、后台作业,甚至审计追踪。SUIM 里的 where-used list,就是专门用来回答这种问题的工具。它不是简单地查某个角色叫什么,也不是只看某个用户拥有什么权限,而是沿着用户、角色、profile、authorization、authorization object、authorization value 这些对象之间的引用关系,反向追踪它们到底被谁使用、被谁继承、被谁间接带入系统运行环境。SAP Help 对 SUIM 的定位也很清楚,它可以按指定条件查看系统里的用户和授权概览,也可以比较角色和用户、查看用户授权 profile 的变更凭证、显示角色里的事务码,并创建 where-used list。(SAP Help Portal)回到工程现场,where-used list 的价值可以用一句话概括,权限变更之前先看关系