山东电力集团公司SAP系统权限深化应用.docVIP

山东电力集团公司SAP系统权限深化应用摘要：在ERP系统实施时，客户单位关心的是业务和管理的重要性，SAP系统权限管理工作往往不被重视，难以规范化。从SAP系统权限的设计架构、基本概念、系统实施等方面着手，结合在SAP系统权限上线后的运维中发现的问题，在管理、技术、风险控制等角度上对SAP系统权限进行了优化，以达到SAP系统权限规范化、科学化和精细化管理。 关键词：SAP系统权限；角色；事务代码；权限对象 作者简介：李明（1971-），男，山东济南人，山东电力集团公司信通中心，工程师；周伟（1984-），男，山东日照人，山东电力集团公司信通 中心，助理工程师。（山东济南250001） 中图分类号：F270.7#8195;#8195;#8195;#8195;#8195;文献标识码：A#8195;#8195;#8195;#8195;#8195;文章编号：1007-0079（2012）09-0140-03 山东电力集团公司ERP系统项目于2009年3月开始建设，10月集团公司本部、18个市公司正式上线。县公司ERP系统在2011年9月、2012年初分期推广上线。ERP系统分为项目（简称PS）、设备（简称PM）、物资（简称MM）、财务（简称FI）、人资（简称HR）五大模块，除人资模块外，均使用SAP系统管理软件。SAP系统权限深化应用主要是在县公司ERP系统项目推广上线前期。本文对市公司SAP系统权限运维工作进行分析，结合运维过程中发现的问题进行总结，采取相关措施，为县公司SAP系统权限设计制定新的设计方案。在县公司ERP系统推广上线后的运维中，验证权限设计达到新方案的效果，以便将来更好地优化、维护、管理市公司SAP系统权限工作。 一、权限架构和概念 1.设计架构 SAP系统权限设计架构是SAP系统权限管理的基础，完整的权限由三部分元素组成，即：SAP账户（SAP User account）、角色（Role）、权限参数文件（Authorization Profile）， 权限设计架构是企业整体权限实施的核心，将贯穿SAP系统实施乃至后期运维工作的整个系统生命周期。如果不能牢固把握并坚持这一点，势必造成权限管理的混乱。 2.权限概念 在介绍SAP系统权限的概念前，先描述一下相关名词的定义。 （1）SAP账户。就是“用户账号”。包括地址、登陆数据、组等。 （2）角色。是一堆事物代码的集合，一般分为单一角色和组合角色两种，后者其实是前者的集合。内容包括功能描述、菜单（含事务代码）、权限等。 （3）权限。指的是权利的范围，即“某人能干其事”和“某人不能干某事”之合。 （4）权限参数文件。真正记录权限的设定的文件。包括对象类、权限对象、权限等。 （5）事物代码。它是一个在SAP系统中经常使用的代码，代表执行操作。 SAP系统帐户要完成某项工作，需要运行相应的事务代码，不同的事务码可以在系统中进行不同的动作。SAP系统的权限控制是基于事务代码和权限对象的，其中，通常所说的权限对象则是权限控制的最小单位。换言之，一个事务代码看似具有多种功能，但用户拥有某一事务码并不意味着拥有该事务码的所有功能权限，其权限大小受制于授权对象，因为权限对象用于事务中详细的权限控制。以SU01为例，该事务代码是用于用户主记录维护的事务代码，但通过控制授权对象S_USER_GRP不同赋值可以限制管理员用相应的权限进行活动。比如赋予01/02值，可以用于用户的创建/更改：如果只赋予03，则只可用于用户的显示。 角色与权限的关系：角色是SAP系统中一个或者多个权限的集合，可能包含一个或多个事务码，也可能包含一个或多个权限对象。一个权限可分属不同的角色，是多对多的关系，如图1所示。 SAP账户可以拥有多个SAP角色，所有角色的权限累加在一起成为用户的最终权限。 二、SAP系统权限实施内容与存在的问题 山东电力集团公司SAP系统权限实施的全部流程包括用户岗位信息收集和分析、各模块角色设计与创建、用户清单及权限勾兑表、权限配置、权限测试、角色传输、上线支持等阶段。 1.各阶段主要工作内容 （1）角色设计和创建。各模块权限顾问负责下发岗位信息模板，由ERP办公室牵头组织，安排相关业务部门负责提供信息。各模块组长负责提供通用角色设计文档（包括通用角色名称、角色职责描述、角色主要工作内容），各模块权限顾问根据通用角色模板，设计对应的本地角色，并建立通用角色和本地角色间的继承关联。在各类角色开发环境下设计并实施完成权限配置。 （2）权限收集和测试。关键用户提交本单位最终用户权限勾兑表。由SAP系统运维人员把各类角色传输至测试系统，关键用户在业务顾问