用户和权限管理_benjin.docVIP

3.1用户和权限管理 3.1.1 SAP R／3系统是基于ERP(企业资源计划)技术的一个成熟产品．在国内外大中企业中广为使用。系统包括HR、FI／CO／TR、PP、MM、MRO、PM、SD、PS、QM、 AIS等多个模块，涵盖了企业经营管理的整个内容。它之所以能够实现复杂环境下的业务集成，保证系统数据的准确、完整，与其相对完善的权限管理体系有着密切关系。 SAP R／3系统权限体系引用了账号、角色、参数文件、授权对象、字段等权限概念．结合系统中企业组织架构及业务处理的配置等对用户进行权限控制；同时 SAP R／3系统采用了多数据库集成技术，并通过设计大量的数据表记录各事务处理的权限检查情况及系统用户的授权情况。 图1中的权限架构，描述了SAP R／3系统账号．角色．参数文件．授权对象、字段等权限概念之间的相关关联。 用户在SAP R／3系统中进行业务处理是通过各种事务代码来实现的．每个事 务代码都对应着不同的功能程序。程序的设计除了实现业务处理的基本功能外．还包含执行这个事务代码所需要进行的授权检查，即A uthrization Check。 新建一个用户ID时，该用户lD默认的权限是空白．无权进行任何操作。通过角色或者直接通过权限参数文件将不同的权限授予不同的用户。角色的授权文件中包含着事务代码的集合，还包含事务代码所要求的“权限对象”、”权限字段”、“允许的操作”等。为用户fD授权后其用户主记录中记录了他的授权信息。当用户执行某事务代码时．事务代码对应的程序对用户主记录中的授权信息进行权限检查．检查通过了，就说明该用户具有该处理权限，业务顺利进行，反之，系统就自动终止事务处理．并提示用户无权使用。 用户的授权信息以及执行事务需要的权限检查信息都存放在数据表中．SAP R／3系统数据结构非常复杂，有数万个数据表或结构．了解哪些表跟权限相关对权限管理工作十分有用。数据表USOBX存放了执行某个事务代码需要检查的权限对象．即事务代码与权限对象的对应关系。权限控制的关键信息包含在uSR02／UsRBF2／UST 1 0S／USTl 2四个表中．前者是用户主数据表，后三者和用户授权紧密相关。分别记录着用户主记录、用户所有对应的权限对象及授权、角色(参数文件)所对应的权限对象及授权、权限对象及授权所对应的字段及值等信息。 掌握用户、角色、权限参数文件、权限对象、权限字段、事务代码等权限概念及他们之间的相互关联，可以为权限设计、检查及分析提供重要的指导。 3.1.2 SAP R／3系统权限控制解决方案 SAP R／3系统实现权限控制分为三个层次：事务代码级、组织机构级、权限对象字段值级。 事务代码级控制：用户进行业务操作，必须具有该业务操作对应的事务代码执行权限。也就是为其分配的具体角色中必须在菜单或事物代码中含有该事务代码。 组织机构级控制：用户具有了事务代码的执行权限，还必须具有相应组织的操作权限才能完成业务。按照企业的实际’隋况，在SAP系统中根据业务特点设计了不同性质的组织架构。系统中最高的组织级别为公司代码．可以通过为角色分配不同的公司代码值，将用户的业务限制在不同的公司代码下。组织机构级别的权限控制实现了企业中相近业务的权限划分。 物料管理及物资采购业务中都涉及到采购、存贮和发料环节．但在所有企业 中都分别由供应部门和生产部门负责，如何控制好两个部门人员的操作权限，主要的环节就是在组织机构环节进行控制。 在进行权限设计时．对不同部门的用户设置不同的组织机构值。这样就限制 了物装中心采购员在系统中进行物料采购，同样也限制了生产计划处采购员采购 一般物资。 ERP技术中权限控制范畴主要包括：不同业务类型的权限控制、业务审批环节的权限控制、专业划分的权限控制等。 1、”不同业务类型的权限控制“相对比较容易作到，简单地说就是指不同岗位类型的人员需要不同类型的事务代码．也就是说他们所具有的权限角色中所含有的事务代码必须按业务类型进行控制。 2、“业务审批环节的权限控制”，一些是通过系统具有的标准功能来实现，比 如，采购订单的审批控制可以通过事务代码进行控制。创建、维护采购订单的事务代码ME21N、ME22N，而采购订单审批的事务代码是ME28N等等。这样的审批控制可以直接通过”事务代码级”控制方法来实现。 而另外一些审批控制是不能直接通过SAP系统标准功能来实现，如实际业务中设备维护工单的逐级审批控制．在实际环境中企业的审批环节各不相同，是不能通过系统的标准功能来实现的。这种情况．通常需要根据企业的具体情况在后台配置业务环节，然后在角色的权限设计中进行控制，以此实现审批环节的制”是指对于业务类型相似、审批级别相同但专业别不同的控制，就需要进行专业划分的权限控制。例如．同为采购员，甲只能够采购电器设备