大型國(guó)企SAP應(yīng)用之權(quán)限管理

【摘要】本文通過(guò)在實(shí)際工作中遇到的SAP應(yīng)用過(guò)程中所產(chǎn)生的權(quán)限管理問(wèn)題，對(duì)問(wèn)題進(jìn)行了全方位的剖析，找出問(wèn)題瓶頸所在，根據(jù)問(wèn)題不同性質(zhì)提出了多個(gè)解決方案，對(duì)解決方案進(jìn)行了分別論述，并在實(shí)際工作中進(jìn)行了實(shí)踐，消除了SAP應(yīng)用中的安全隱患，取得了良好效果。

【關(guān)鍵詞】SAP；權(quán)限設(shè)計(jì)；角色

1、研究背景

我公司建于2002年，前身是國(guó)家“一五”期間的156個(gè)重點(diǎn)建設(shè)項(xiàng)目之一，現(xiàn)已成為我國(guó)最大的鐵路客車和城市軌道車輛的研發(fā)、制造和出口基地，員工12000人，年產(chǎn)值200多億。

公司SAP系統(tǒng)2008年初投入運(yùn)行，已經(jīng)有九大模塊PP、MM、PLM、PS、FICO、QM、WM、SD、CS正式運(yùn)行。

2、存在問(wèn)題

經(jīng)過(guò)五年的運(yùn)行，SAP在公司經(jīng)營(yíng)方面取得了巨大成就，但其中的用戶權(quán)限，絕大多數(shù)還是在剛上線時(shí)授予的，一方面由于當(dāng)時(shí)對(duì)SAP權(quán)限管理缺乏全局意識(shí)，另一方面上線之初任務(wù)量巨大，投入的精力較少。當(dāng)時(shí)的權(quán)限都是第三方顧問(wèn)給規(guī)劃和實(shí)施的。經(jīng)過(guò)五年在權(quán)限管理工作中的實(shí)踐，我們認(rèn)識(shí)到當(dāng)初設(shè)置的權(quán)限有很多不合理的地方。表現(xiàn)在兩個(gè)方面：

2.1普遍存在著用戶權(quán)限過(guò)大、數(shù)據(jù)安全受到威脅的問(wèn)題

經(jīng)常出現(xiàn)由于權(quán)限過(guò)大而互相指責(zé)的情況，例如，采購(gòu)部的用戶看到了他不應(yīng)該看到的財(cái)務(wù)數(shù)據(jù)，而有一些不相關(guān)人員看到了庫(kù)存或價(jià)格這些敏感數(shù)據(jù)，不應(yīng)該創(chuàng)建的有了創(chuàng)建權(quán)限，不應(yīng)該查看的有查看權(quán)限，不應(yīng)該刪除的業(yè)務(wù)數(shù)據(jù)被誤刪除等，由此在工作中產(chǎn)生諸多磨擦，極大地影響了業(yè)務(wù)工作準(zhǔn)確性和效率。

最為嚴(yán)重的問(wèn)題是，我們只能偶爾地發(fā)現(xiàn)權(quán)限過(guò)大問(wèn)題，絕大多數(shù)都是業(yè)務(wù)人員發(fā)現(xiàn)了反饋給我們，如果他們不反饋，不做具體業(yè)務(wù)的BASIS人員是無(wú)法及時(shí)發(fā)現(xiàn)的，所以說(shuō)，權(quán)限過(guò)大問(wèn)題是隱蔽地存在的，這是重大的系統(tǒng)安全隱患，企業(yè)研發(fā)經(jīng)營(yíng)生產(chǎn)等數(shù)據(jù)的安全受到威脅。

2.2權(quán)限零亂，權(quán)限維護(hù)頻繁工作量巨大，容易出錯(cuò)，占據(jù)了BASIS人員大量時(shí)間

例如計(jì)劃員的權(quán)限稍有變動(dòng)，則我們要分別對(duì)全公司上百個(gè)計(jì)劃員分別進(jìn)行維護(hù)，因?yàn)樗麄兊臋?quán)限存在于每個(gè)人的用戶中，只能一個(gè)個(gè)地維護(hù)。

3、問(wèn)題分析

經(jīng)過(guò)分析，我們認(rèn)為上述問(wèn)題，一是權(quán)限結(jié)構(gòu)設(shè)計(jì)不合理。上線之初時(shí)間緊，任務(wù)重，顧問(wèn)為了能夠順利上線，避免權(quán)限問(wèn)題阻礙業(yè)務(wù)處理，就把所有人的權(quán)限都設(shè)計(jì)成最大權(quán)限；二是顧問(wèn)對(duì)我公司的人員結(jié)構(gòu)不了解，只做到就事論事，誰(shuí)需要什么權(quán)限就給什么權(quán)限，絕大多數(shù)權(quán)限都直接以個(gè)人權(quán)限的方式授予了用戶，一旦有誤，所有做同一業(yè)務(wù)的人員的權(quán)限都需要分別維護(hù)。另外，發(fā)現(xiàn)權(quán)限過(guò)大的情況時(shí)，由于無(wú)規(guī)律可循，我們并不能第一時(shí)間確認(rèn)都有哪些用戶過(guò)大，而是要全系統(tǒng)的用戶一一排查，其復(fù)雜性和工作量可想而知。

4、解決方案

通過(guò)分析，我們意識(shí)到，問(wèn)題根源是在于權(quán)限設(shè)計(jì)的雜亂無(wú)章，龐大復(fù)雜。因此，經(jīng)過(guò)了長(zhǎng)時(shí)間的跟蹤分析SAP中不同模塊的不同特點(diǎn)之后，我們干脆拋開原有權(quán)限的束縛，重新建立起新的權(quán)限管理體系，針對(duì)不同的模塊進(jìn)行了不同的權(quán)限設(shè)計(jì)工作。我們認(rèn)為以崗位為主線及以業(yè)務(wù)功能為主線的兩種權(quán)限設(shè)置方式是目前適合我公司最合理的權(quán)限設(shè)置方式。

4.1以崗位為主線的權(quán)限設(shè)計(jì)

按照用戶的崗位要求來(lái)設(shè)置角色權(quán)限，比如PS模塊中不同項(xiàng)目中的各經(jīng)理的權(quán)限設(shè)置和CS模塊中物流員、信息員的權(quán)限設(shè)置采用的就是這個(gè)辦法。

PS模塊權(quán)限優(yōu)化采用的是“崗位基本角色”+“崗位特殊角色”來(lái)授予用戶權(quán)限。

該模塊的崗位包括10類，是項(xiàng)目、商務(wù)、財(cái)務(wù)經(jīng)理等用戶。每一類崗位有一個(gè)“崗位基本角色”，即整個(gè)PS模塊有10個(gè)“崗位基本角色”。無(wú)論是哪個(gè)項(xiàng)目，各類經(jīng)理的“崗位基本角色”是相同的，即他們這個(gè)崗位上的基本業(yè)務(wù)權(quán)限是相同的，即將相同的業(yè)務(wù)功能放在了“崗位基本角色”中。不同項(xiàng)目可查詢和維護(hù)的數(shù)據(jù)范圍不同，我們把這個(gè)不同點(diǎn)放在“崗位特殊角色”中，由“組織級(jí)別”中“WBS元素簡(jiǎn)明標(biāo)識(shí)”和“項(xiàng)目定義”兩個(gè)字段的值來(lái)確定。在設(shè)計(jì)上，“崗位特殊角色”是“崗位基本角色”的繼承角色，也可以說(shuō)“崗位基本角色”是父角色，“崗位特殊角色”是子角色。例如公司有N個(gè)項(xiàng)目，那么一個(gè)“崗位基本角色”下，就有N個(gè)“崗位特殊角色”相對(duì)應(yīng)，就象一個(gè)父親可以有多個(gè)兒子一樣。各經(jīng)理的權(quán)限就由“崗位基本角色”+“崗位特殊角色”定義好了。當(dāng)某類經(jīng)理的基本業(yè)務(wù)權(quán)限發(fā)生變動(dòng)時(shí)，直接在崗位基本角色（父角色）中進(jìn)行修改維護(hù)，通過(guò)繼承角色這一特殊的角色類型的自身屬性，可以將修改內(nèi)容傳導(dǎo)到崗位特殊角色（子角色）中，這樣保證只維護(hù)一個(gè)角色則所有該類經(jīng)理都響應(yīng)了這個(gè)維護(hù)。這樣在所有PS模塊角色數(shù)量是10*N的情況下，無(wú)論是發(fā)生了多大的權(quán)限變動(dòng)，只需要維護(hù)10個(gè)“崗位基本角色”即可，使得權(quán)限維護(hù)量大大降低，效率成倍提高。

4.2以業(yè)務(wù)功能為主線的權(quán)限設(shè)計(jì)

即按照業(yè)務(wù)功能要求來(lái)設(shè)置角色權(quán)限，比如MM、PLM等大多數(shù)模塊的權(quán)限設(shè)置采用的就是這個(gè)辦法。將各業(yè)務(wù)功能，如生產(chǎn)訂單發(fā)退料、預(yù)留單維護(hù)、框架協(xié)議查詢、設(shè)計(jì)類型文檔審批等功能分別進(jìn)行設(shè)置，建立以功能分類的角色，哪個(gè)用戶需要這些功能就給哪個(gè)用戶分配角色，即權(quán)限設(shè)置與業(yè)務(wù)相關(guān)，與用戶無(wú)關(guān)，無(wú)論是用戶崗位發(fā)生變動(dòng)或是業(yè)務(wù)功能發(fā)生變動(dòng)，維護(hù)都是互相獨(dú)立的，不象以前是絞在一起的。在分配權(quán)限時(shí)，用戶的崗位職責(zé)有哪項(xiàng)工作，就給用戶哪項(xiàng)權(quán)限，用戶離開某一崗位或其業(yè)務(wù)有所變動(dòng)，就將這個(gè)崗位的權(quán)限收回或?qū)⑵渥儎?dòng)的一部分收回。當(dāng)某個(gè)業(yè)務(wù)功能發(fā)生變化時(shí)，直接維護(hù)該業(yè)務(wù)的角色即可，涉及此業(yè)務(wù)的所有用戶的權(quán)限則同時(shí)被自動(dòng)維護(hù)，不需要單獨(dú)維護(hù)每一個(gè)用戶。

5、結(jié)束語(yǔ)

上述兩種設(shè)計(jì)是針對(duì)SAP模塊不同的特點(diǎn)進(jìn)行的，既可以做到權(quán)限統(tǒng)一，思路清晰，用戶的權(quán)限不多不少，解決了本公司SAP權(quán)限管理存在的用戶權(quán)限過(guò)大問(wèn)題，消除了SAP應(yīng)用中的安全隱患；又使權(quán)限管理過(guò)程中維護(hù)量最小，效率最高，并且今后新增加的模塊可以借鑒這一思路。