SAP權(quán)限管理及其實施

李挺 張禾良 陶燕燕

【 摘 要 】 SAP權(quán)限設(shè)計是SAP建設(shè)項目十分重要的部分，特別是權(quán)限設(shè)計架構(gòu)是SAP權(quán)限管理的核心，將貫穿SAP系統(tǒng)實施乃至后期運維工作的整個系統(tǒng)生命周期。論文是在安徽電力ERP項目多年運維經(jīng)驗上，總結(jié)出權(quán)限管理常見問題，并結(jié)合安徽電力人資模塊權(quán)限設(shè)計架構(gòu)提出權(quán)限設(shè)計的一些思路，同時在工作中進行了實踐，取得了較好的效果。

【 關(guān)鍵詞 】 SAP；權(quán)限管理；架構(gòu)化權(quán)限；通用角色；本地角色；權(quán)限審批

【 Abstract 】 SAP Authority is the most important part of SAP construction project， in particular， authority design architecture is the core of authority management， this will run through system implementation and even the whole system life cycle of the post operation and maintenance work. This article evolved common problems of authority management after many years of working experience in the project of Anhui electric power company， and some ideas of permission design are proposed combined HR Authority， now achieved good results after practice in daily work.

【 Keywords 】 sap；authority management；structural authorization；general roles；local roles；authority approval

1 引言

SAP R/3 系統(tǒng)是基于ERP（企業(yè)資源計劃）技術(shù)的一個成熟產(chǎn)品，在國內(nèi)外大中企業(yè)中廣為使用。ERP初上線時，企業(yè)比較注重系統(tǒng)的流程設(shè)計、系統(tǒng)的穩(wěn)定運行，而對權(quán)限設(shè)計可能不夠重視，并且絕大多數(shù)權(quán)限設(shè)計是在系統(tǒng)建設(shè)時期，因此設(shè)計的權(quán)限難免會存在問題和風(fēng)險。安徽電力ERP上線至已有6年多時間，權(quán)限管理在逐漸完善之后，目前已經(jīng)非常成熟。論文將結(jié)合安徽電力SAP權(quán)限設(shè)計來闡述權(quán)限設(shè)計常存在的問題及解決方案。

2 企業(yè)用戶權(quán)限存在問題

2.1 權(quán)限設(shè)計不合理

權(quán)限設(shè)計一般在ERP建設(shè)初期就開始，因為權(quán)限設(shè)計是一項非常繁雜、浩大的系統(tǒng)的工作，對于顧問的業(yè)務(wù)能力、技術(shù)能力要求非常高，如果建設(shè)初期權(quán)限設(shè)計不合理，將會給系統(tǒng)使用帶來非常大的不便。

2.2 后期權(quán)限管理制度不合理

隨著系統(tǒng)投入使用，功能逐步完善、功能逐步增加，用戶為了使用方便、提高工作效率，就不斷要求增加權(quán)限，權(quán)限管理人員一般都會按照權(quán)限申請去添加權(quán)限，這樣即使是權(quán)限設(shè)計的再合理，也會陷入權(quán)限不斷被放大甚至失控的危險中。另外，權(quán)限管理文檔不能與系統(tǒng)同步導(dǎo)致管理管理混亂也是一個很普遍存在的問題。

3 解決方案

3.1 權(quán)限設(shè)計架構(gòu)必須要科學(xué)嚴(yán)謹(jǐn)

安徽電力權(quán)限設(shè)計是通過結(jié)構(gòu)化權(quán)限、通用角色、本地角色及復(fù)合角色四種權(quán)限來實現(xiàn)系統(tǒng)權(quán)限控制。

3.1.1結(jié)構(gòu)化權(quán)限

結(jié)構(gòu)化權(quán)限是人資特有的一種權(quán)限控制方式，主要通過對象類型、評估路徑及深度等參數(shù)對組織架構(gòu)等相關(guān)對象類型進行權(quán)限控制。

SAP中通過OOSP去配置結(jié)構(gòu)化權(quán)限參數(shù)文件，通過OOSB將結(jié)構(gòu)化權(quán)限賦予相應(yīng)的用戶。結(jié)構(gòu)化權(quán)限是用戶操作對象標(biāo)識對應(yīng)的組織單元O-S-P的前提。

3.1.2通用角色

安徽電力采用的是根據(jù)業(yè)務(wù)職責(zé)進行權(quán)限劃分。根據(jù)最細(xì)的崗位職責(zé)進行權(quán)限設(shè)置。這種方案中，通用角色設(shè)置的顆粒度細(xì)，通用角色多，適用于精細(xì)化權(quán)限管理要求。

通用角色包含的項目有通用角色、角色描述、事務(wù)碼、事務(wù)碼描述等。

3.1.3 本地角色

本地角色針對指定范圍指定職能的權(quán)限控制角色，一般通過角色權(quán)限創(chuàng)建或者通用角色派生產(chǎn)生。

組織級別用來決定本地角色特定的權(quán)限控制范圍。安徽電力本地角色項目中組織級別將包括人事范圍、員工組、員工子組、組織代碼、人事管理員、工資核算范圍。

3.1.4 復(fù)合角色

復(fù)合角色是將若干個特定的本地角色按照一定的業(yè)務(wù)需要組合而成。為了滿足各個各單位不同單位層級的用戶權(quán)限需求，采取了精細(xì)的通用角色設(shè)計方案，因此在用戶權(quán)限收集過程中，可能每個用戶會需要多個不同的角色來滿足自己的實際業(yè)務(wù)需求，會帶來用戶分配和將來權(quán)限維護很大的工作量。

為了簡化用戶權(quán)限收集中帶來的權(quán)限分配及運維問題，采用了復(fù)合角色，在實際用戶權(quán)限收集過程中，將滿足一定崗位設(shè)置的本地角色合并為符合角色以簡化用戶分配的工作。

3.2 確定系統(tǒng)的關(guān)鍵權(quán)限

SAP 的關(guān)鍵權(quán)限也就是重要權(quán)限的事務(wù)碼，用戶擁有這些事務(wù)碼的權(quán)限意味可以對系統(tǒng)做一些重要操作。如se38、se16n、sm30的權(quán)限必須要謹(jǐn)慎開放，否則將會對系統(tǒng)造成非常大的影響。

3.3 設(shè)立正確的審批流程和規(guī)范的文檔管理制度

權(quán)限的申請流程必須形成一個閉環(huán)，首先由關(guān)鍵用戶填寫權(quán)限申請表；權(quán)限的申請必須要得到用戶部門負(fù)責(zé)人及上級主管單位的相關(guān)領(lǐng)導(dǎo)審批；不僅僅是新增權(quán)限需要審批，更改、刪除權(quán)限也需要審批；系統(tǒng)運維人員在系統(tǒng)內(nèi)的一切權(quán)限操作以用戶申請表為依據(jù)，這些申請文件需要妥善保存，以備審計和業(yè)務(wù)查詢使用；系統(tǒng)運維人員在系統(tǒng)給用戶賦權(quán)限后，需要維護相應(yīng)文檔，保證文檔與系統(tǒng)實際設(shè)置完全一致。

4 結(jié)束語

權(quán)限設(shè)計如果不合理，將會給系統(tǒng)使用和企業(yè)管理帶來巨大的麻煩和風(fēng)險，本文通過多年安徽電力SAP運維，總結(jié)出的權(quán)限設(shè)計的一些思路，希望可以對其他企業(yè)的權(quán)限設(shè)計起到些許借鑒作用。

參考文獻

[1] （德）薩斯喀-亞歷山大·拜爾.SAP 權(quán)限系統(tǒng)[M].陳躍東，譯.北京：東方出版社，2006.

[2] 孫士學(xué)，蘇潤. SAP 權(quán)限管理淺談[J].電腦知識與術(shù)，2011，7（11），2527.

[3] 李明，周偉.山東電力集團公司SAP系統(tǒng)權(quán)限深化應(yīng)用[J].中國電力教育，2012（9）：140-142.

[4] 徐煥，彭祥禮.SAP系統(tǒng)權(quán)限精細(xì)化管理方法研究[J].電力信息化，2011（12）：31-34.

[5] 蘇戎.企業(yè)SAP ERP系統(tǒng)用戶權(quán)限管理解決方案[J].信息通訊，2015（1）：111-113.

作者簡介：

李挺（1983-），男，漢族，安徽阜陽人，畢業(yè)于西安交通大學(xué)，碩士研究生，工程師；長期從事電力信息化尤其是人類資源項目的應(yīng)用設(shè)計、開發(fā)、實施，信息系統(tǒng)安全運行維護及管理工作。

張禾良（1987-），男，漢族，安徽蚌埠人，畢業(yè)于中國科學(xué)技術(shù)大學(xué)，碩士研究生，工程師；長期從事電力信息化項目建設(shè)與運維管理工作。

陶燕燕（1983-），女，漢族，安徽蕪湖人，畢業(yè)于安徽大學(xué)，研究生，運維工程師；從事ERP人資模塊運維工作。