很多老系统里，权限问题不是从 PFCG 里开始的，而是从一次 SU53 截图、一条 STAUTHTRACE 记录、一个临时 Profile 分配开始的。项目现场经常会碰到这种场景，业务同事说某个老账号能跑报表，新账号不行；Basis 同事查了一圈，发现老账号身上挂着一个历史 Profile，名字看起来不像角色生成出来的 Profile，里面还夹着几个手工维护过的 Authorization。再往下追，发现这个东西可能是十几年前系统刚上线时留下来的，没人敢删，也没人敢改。这就是 SAP 权限体系里很容易被忽略的一块，手工创建和维护 Authorizations 与 Profiles。SAP 官方一直不鼓励继续这么做。Role Administration 文档明确建议使用 Role Maintenance，也就是事务码 PFCG，来维护 roles、authorizations 和 profiles。虽然系统仍然允许手工创建 profiles，但这要求维护人员非常熟悉 SAP authorization components，否则很容易制造出难以审计、难以追踪、难以升级的权限遗留物。(SAP Help Portal)先把几个概念压实SAP ABAP 系统的权限检查不是简单地判断某个用户有没有某个菜单，而是围绕 Authorization Obje