把 CTS 权限边界讲透，SAP 传输体系里的角色设计、授权对象与最小权限落地

很多团队在做 CTS 安全治理时，真正出问题的地方并不在STMS能不能打开，也不在SE09能不能看到请求，而是在权限边界画得太粗。开发、运维、项目负责人、Basis 管理员，本来承担的工作就不一样，结果大家都被塞进一套大而全的角色里，最后形成一种很典型的局面，开发能看不该看的导入控制，运维能碰到不该改的请求属性，质量系统和生产系统的导入权限也没有切开。SAP 在官方文档里讲得很直接，CTS使用的就是AS ABAP的授权体系，角色维护通过PFCG完成，角色应该围绕用户实际任务去分配。假如标准角色不贴合现场需求，也不该靠拍脑袋补权限，而是通过授权跟踪来反推出真正需要的对象和值。(SAP Help Portal)

CTS 权限这件事，先别急着谈事务码

很多人一提CTS权限，第一反应就是给STMS、SE01、SE09、SE03。这当然有用，但这还只是表面。CTS的控制模型并不是围绕事务码堆出来的，而是围绕角色和授权对象组合出来的。S