用户操作的界面和sap本身界面一样吗？

先定义一些Role，然后每个role有不同的事务权限和数据权限。比如role1 是只能看HR的组织管理的内容。如果用户A属于role1，那么它的界面应该只显示HR的组织管理的内容。当然，一个用户可以属于多个role，一个role也可以有多个用户。他们是多对多的关系。

每个Role都有自己的菜单界面，如果某个用户被赋于了多个Role，那么这个用户的用户界面就应该是这几个Role的菜单界面的组合，当然这个用户也可以通过标准菜单来访问事务。

对于终端用户权限的分配正如上说的，控制权限的最终还是落在object上，objects构成auth.多个auth.构成profile，一个或多个profile确定一个role。