在一套 SAP PI、SAP PO 或 AEX 系统刚完成基础配置时,很多团队最容易低估的一步,往往不是适配器通道、不是 ESR 对象建模,也不是 Integration Directory 里的路由规则,而是最朴素的用户创建。ES Repository 能不能被管理员顺利维护,CMS 能不能正常导入 ESR 内容,后续开发人员能不能按职责边界进入系统工作,都会落到这一层。用户、用户组、角色看起来只是权限配置里的几个名词,但在 SAP NetWeaver AS Java 的安全模型里,它们决定了一个系统后续是清清爽爽地运转,还是每次导入内容、排查权限、审计账号时都要翻旧账。这一步的目标非常明确,我们需要创建两个技术用户。一个是 ESRAdmin,它承担 ES Repository 初始管理的职责。另一个是 ESRCMS,它服务于 Change Management Service,也就是常说的 CMS 通信场景。这里的 不是字面字符串,而是系统 ID 的占位表达,落到实际系统中会变成带有具体系统标识的用户命名。ESRCMS 的用途很典型,导入 ESR content 时,CMS 与 ESR 之间需要有一个可控、可审计、权限边界清晰的通信身份,这个身份不应该借用个人开发账号,也不应该随便复用 Administrator 这种超级账号。说到这里,很多人会觉得,创建用户不就是进管理界面填个用户名、设个密码、分配一个角色吗。实际在 SAP 系统治理里,真正的关键不是能不能登录成功,而是这个登录身份是否符合最小权限原则,是否便于后续交接,是否能在审计时说清楚它为什么存在。ESRAdmin 和 ESRCMS 都是 technical user,中文里常说技术用户或服务类用户。它们不是面向日常业务操作人员设计的账号,而是为系统管理、系统间通信、后