基于SAP的企业信息系统权限管理方案

基于SAP的企业信息系统权限管理方案

摘要：首先对SAP系统的模块分类和管理现状进行了描述，对SAP 的权限实现原理、管理制度、建立机制等内容进行了详细阐述，通过分析SAP项目推进的过程中在权限管理方面遇到的一些问题，确立了适合SAP项目推进的权限管理策略和流程，以及权限管理的详细解决方案。

关键词：权限技术；管理制度；解决方案

0 引言

SAP是以财务为核心，资产管理为主线的集成的管理系统。以流程管理的理念，打破了传统以职能管理为核心的管理模式,为企业的核心业务管理提供了一个一体化、企业级的信息管理平台。

任何多用户的系统不可避免地涉及到权限问题，SAP系统也不例外。由于系统的使用者增多、使用者的分工更复杂、加上人员岗位调动、退离休等情况，难免会造成系统权限分配混乱的问题，对系统的正常运行和业务流程的正常流转存在着很大隐患，所以对SAP系统的权限控制就显得尤为重要了。

1 SAP权限管理的基本元素

SAP R/3系统权限体系引用了账号、角色、参数文件、授权对象、字段等权限概念，结合系统中企业组织架构及业务处理的配置等对用户进行权限控制。同时SAP R/3系统采用了多数据库集成技术，并通过设计大量的数据表记录各事务处理的权限检查情况及系统用户的

授权情况。

用户：具体操作SAP系统的用户，即登陆SAP Logon输入的用户。使用事物码SU01创建一个新的用户ID，默认的权限是空白的，不允许任何操作。

单一角色：简单的说就是一个事物码的集合。其中包含了控制事物码操作的“权限对象”、“权限字段”以及允许的操作及允许的值。用事物码PFCG维护。单一角色是相对应复合角色而言的。

复合角色：又叫通用角色，即是多个单一角色的集合。复合角色中可以包含多个单一角色，此复合角色包含了这多个单一角色所控制的权限。复合角色还可以维护具体的“权限对象”、“权限字段”以及允许的字段值及字段操作。

2 SAP权限机制建立过程

在ERP 项目实施过程中，当系统的业务流程已经梳理完成，并对每部分的流程实施人员分工进行了调研后，就可以进行权限配置了。下面就从建立通用角色，到最终用户的角色分配全过程做一个简单的实例说明。

根据模块流程及其用户的角色分工要求，收集相关人员所要使用事务代码。这是最终用户使用系统根本元素，这些事务代码就相当于应用软件系统中的菜单栏下的具体工具菜单。

事务代码提交之后，就可以开始着手建立通用角色。通用角色是角色共有的组成部分，从技术上讲，通用角色就是多个事务代码的简单集合，它包含了某一类用户共用的事务代码，建立通用角色的

目的在于提高本地角色权限对象赋值过程的工作效率。建立一个本地角色的共同载体，简化后续工作负担。

进行通用角色测试，这是在通用角色的建立完成之后立即要做的事情。测试的内容是将测试用户与各个通用角色进行一一映射，每次只进入一个通用角色中，检查事务代码在测试环境中是否能够正常打开，这个测试通常由权限设置人员完成。如果不能正常打开，使用SU53 事务代码的权限检查进行比较，对通用角色中的权限对象修改赋值,或是手动添加该事务代码缺省的权限对象。

建立本地角色，当通用角色测试通过之后就要建立本地角色了。本地角色是区分使用同一通用角色下的最终用户的不同权限，例如，两人都具有使用某一订单的事务代码,但工作要求只能让一个人创建，而另外一人只能查看，无权创建，这就需要对该事务代码下的某一权限对象进行不同的赋值来加以区分。对第一人赋予创建的权限，而将第二人的创建权限去除改为查询权限。

对本地角色进行测试。这是由关键用户来进行的，这是因为关键用户要针对最终用户的业务流程来进行测试，特别是针对同一事务代码操作过程的区分。

本地角色测试完成以后, 就可以开始建立最终用户了。最终用户与本地角色的关系可以为一对一，或一对多的关系，在这个过程中，是由关键用户来分配本地角色指定到具体的最终用户。

最终用户的建立完成以后，用户就可以根据各自的用户名及其密码登陆系统了。在具体使用过程进行实际过程的检测，通过一段

时间的实际运用和操作，对各自权限进行了解和校正，通过修改达到最终的要求。

3 权限管理中的典型问题

在SAP的权限管理方面，经常遇到以下几个方面的问题：（1）针对不同岗位职责，所分配的权限有所限制。例如项目管理岗位的员工能对项目进行进度管理和采购管理，领导岗位则应具有审批，下达等权限。

（2）角色的不相容性，单独的每个角色配置没有问题。但是因为每个用户都有可能对应很多个角色，有些角色之间会有并集，有可能出现用户权限过大的情况。

（3）重要权限控制，除了不相容权限失控能够产生风险之外，对系统中一些重要的权限也必须加以控制。重要权限主要包括：开关账维护权限、主数据维护权限、数据表数据维护权限、系统管理权限、开发权限、超级用户权限等。

4 权限管理范围

ERP技术中权限管理范围主要包括：岗位职责管理、流程驱动管理、专业类型管理等方面。

（1）岗位职责管理，就是指不同岗位类型的人员需要不同类型的事务代码。简单地说也就是他们所具有的权限角色中所含有的事务代码必须按业务类型进行控制。

（2）事务代码级管理，通常是通过系统具有的标准功能来实现，例如采购订单的分级审批控制可以通过事务代码进行控制。这样的审

批控制可以直接通过“事务代码级”控制方法来实现。

（3）专业分类管理，是指对于业务类型相似、审批级别相同但专业不同的控制，就需要进行专业划分的权限控制。例如，同为采购专责，但是要采购的物资分类不同。这种情况必须事先在后台配置业务的专业划分情况，然后在角色设计中通过权限对象值的授权实现不同专业组的控制。

关于权限问题解决方案，我们可以采取相应措施，例如设置一个规范的权限申请流程，或者建立相应的管理平台来解决上述问题。

（1）制定一个规范的权限申请流程。每个公司的权限申请流程可能不一样，但是权限的审批流程基本内容应当是都需要保留的。权限的申请流程必须形成一个闭环，由用户填写申请表格开始经过审批到最后在系统内维护完毕，通知到申请者结束。权限的申请必须要得到该权限的负责人审批，如果是事务代码的申请，需要得到该事务码负责人的审批，如果是角色的申请，需要得到该角色负责人的审批。不仅仅是新增权限需要审批，更改、删除权限也需要审批。以确保BASIS人员在系统内的一切权限操作以此文件为依据，这些申请文件需要妥善保存，已备详查。

（2）用户权限一致性检查平台。通过用户权限一致性检查平台可以解决某个权限用户是否可以申请，申请某个权限同以前的权限是否有冲突等问题。

这个平台把企业在日常作业中的一些规范、控制点与具体的角色、事务代码等联系起来，在用户申请权限的时候可以通过这个平