大型国企SAP应用之权限管理.docVIP

大型国企SAP应用之权限管理 　　【摘要】本文通过在实际工作中遇到的SAP应用过程中所产生的权限管理问题，对问题进行了全方位的剖析，找出问题瓶颈所在，根据问题不同性质提出了多个解决方案，对解决方案进行了分别论述，并在实际工作中进行了实践，消除了SAP应用中的安全隐患，取得了良好效果。 　　【关键词】SAP；权限设计；角色 　　1、研究背景 　　我公司建于2002年，前身是国家“一五”期间的156个重点建设项目之一，现已成为我国最大的铁路客车和城市轨道车辆的研发、制造和出口基地，员工12000人，年产值200多亿。 　　公司SAP系统2008年初投入运行，已经有九大模块PP、MM、PLM、PS、FICO、QM、WM、SD、CS正式运行。 　　2、存在问题 　　经过五年的运行，SAP在公司经营方面取得了巨大成就，但其中的用户权限，绝大多数还是在刚上线时授予的，一方面由于当时对SAP权限管理缺乏全局意识，另一方面上线之初任务量巨大，投入的精力较少。当时的权限都是第三方顾问给规划和实施的。经过五年在权限管理工作中的实践，我们认识到当初设置的权限有很多不合理的地方。表现在两个方面： 　　2.1普遍存在着用户权限过大、数据安全受到威胁的问题 　　经常出现由于权限过大而互相指责的情况，例如，采购部的用户看到了他不应该看到的财务数据，而有一些不相关人员看到了库存或价格这些敏感数据，不应该创建的有了创建权限，不应该查看的有查看权限，不应该删除的业务数据被误删除等，由此在工作中产生诸多磨擦，极大地影响了业务工作准确性和效率。 　　最为严重的问题是，我们只能偶尔地发现权限过大问题，绝大多数都是业务人员发现了反馈给我们，如果他们不反馈，不做具体业务的BASIS人员是无法及时发现的，所以说，权限过大问题是隐蔽地存在的，这是重大的系统安全隐患，企业研发经营生产等数据的安全受到威胁。 　　2.2权限零乱，权限维护频繁工作量巨大，容易出错，占据了BASIS人员大量时间 　　例如计划员的权限稍有变动，则我们要分别对全公司上百个计划员分别进行维护，因为他们的权限存在于每个人的用户中，只能一个个地维护。 　　3、问题分析 　　经过分析，我们认为上述问题，一是权限结构设计不合理。上线之初时间紧，任务重，顾问为了能够顺利上线，避免权限问题阻碍业务处理，就把所有人的权限都设计成最大权限；二是顾问对我公司的人员结构不了解，只做到就事论事，谁需要什么权限就给什么权限，绝大多数权限都直接以个人权限的方式授予了用户，一旦有误，所有做同一业务的人员的权限都需要分别维护。另外，发现权限过大的情况时，由于无规律可循，我们并不能第一时间确认都有哪些用户过大，而是要全系统的用户一一排查，其复杂性和工作量可想而知。 　　4、解决方案 　　通过分析，我们意识到，问题根源是在于权限设计的杂乱无章，庞大复杂。因此，经过了长时间的跟踪分析SAP中不同模块的不同特点之后，我们干脆抛开原有权限的束缚，重新建立起新的权限管理体系，针对不同的模块进行了不同的权限设计工作。我们认为以岗位为主线及以业务功能为主线的两种权限设置方式是目前适合我公司最合理的权限设置方式。 　　4.1以岗位为主线的权限设计 　　按照用户的岗位要求来设置角色权限，比如PS模块中不同项目中的各经理的权限设置和CS模块中物流员、信息员的权限设置采用的就是这个办法。 　　PS模块权限优化采用的是“岗位基本角色”+“岗位特殊角色”来授予用户权限。 　　该模块的岗位包括10类，是项目、商务、财务经理等用户。每一类岗位有一个“岗位基本角色”，即整个PS模块有10个“岗位基本角色”。无论是哪个项目，各类经理的“岗位基本角色”是相同的，即他们这个岗位上的基本业务权限是相同的，即将相同的业务功能放在了“岗位基本角色”中。不同项目可查询和维护的数据范围不同，我们把这个不同点放在“岗位特殊角色”中，由“组织级别”中“WBS元素简明标识”和“项目定义”两个字段的值来确定。在设计上，“岗位特殊角色”是“岗位基本角色”的继承角色，也可以说“岗位基本角色”是父角色，“岗位特殊角色”是子角色。例如公司有N个项目，那么一个“岗位基本角色”下，就有N个“岗位特殊角色”相对应，就象一个父亲可以有多个儿子一样。各经理的权限就由“岗位基本角色”+“岗位特殊角色”定义好了。当某类经理的基本业务权限发生变动时，直接在岗位基本角色（父角色）中进行修改维护，通过继承角色这一特殊的角色类型的自身属性，可以将修改内容传导到岗位特殊角色（子角色）中，这样保证只维护一个角色则所有该类经理都响应了这个维护。这样在所有PS模块角色数量是10*N的情况下，无论是发生了多大的权限变动，只需要维护10个“岗位基本角色”即可，使得权限维护量大大降低，效率