基于SAP企业信息系统权限管理方案.doc

基于SAP企业信息系统权限管理方案 　　 摘 要：首先对SAP系统的模块分类和管理现状进行了描述，对SAP的权限实现原理、管理制度、建立机制等内容进行了详细阐述，通过分析SAP项目推进的过程中在权限管理方面遇到的一些问题，确立了适合SAP项目推进的权限管理策略和流程，以及权限管理的详细解决方案。?? 　　关键词：权限技术；管理制度；解决方案?? 　　中图分类号：TP311.52 文献标识码：A 文章编号：1672-7800（2011）08-0111-02?お? 　　?? 　　作者简介：王晓芳（1984-），女，河北石家庄人，宁夏电力公司信息通信分公司助理工程师，研究方向为信息系统维护；张波??（1986-）??，男，宁夏贺兰人，宁夏电力公司信息通信分公司助理工程师，研究方向为信息系统维护及应用推广。 　　 　　 　　0 引言?? 　　 SAP是以财务为核心，资产管理为主线的集成的管理系统。以流程管理的理念，打破了传统以职能管理为核心的管理模式,为企业的核心业务管理提供了一个一体化、企业级的信息管理平台。?? 　　 任何多用户的系统不可避免地涉及到权限问题，SAP系统也不例外。由于系统的使用者增多、使用者的分工更复杂、加上人员岗位调动、退离休等情况，难免会造成系统权限分配混乱的问题，对系统的正常运行和业务流程的正常流转存在着很大隐患，所以对SAP系统的权限控制就显得尤为重要了。?? 　　1 SAP权限管理的基本元素?? 　　 SAP R/3系统权限体系引用了账号、角色、参数文件、授权对象、字段等权限概念，结合系统中企业组织架构及业务处理的配置等对用户进行权限控制。同时SAP R/3系统采用了多数据库集成技术，并通过设计大量的数据表记录各事务处理的权限检查情况及系统用户的授权情况。?? 　　 用户：具体操作SAP系统的用户，即登陆SAP Logon输入的用户。使用事物码SU01创建一个新的用户ID，默认的权限是空白的，不允许任何操作。?? 　　 单一角色：简单的说就是一个事物码的集合。其中包含了控制事物码操作的“权限对象”、“权限字段”以及允许的操作及允许的值。用事物码PFCG维护。单一角色是相对应复合角色而言的。?? 　　 复合角色：又叫通用角色，即是多个单一角色的集合。复合角色中可以包含多个单一角色，此复合角色包含了这多个单一角色所控制的权限。复合角色还可以维护具体的“权限对象”、“权限字段”以及允许的字段值及字段操作。?? 　　2 SAP权限机制建立过程?? 　　 在 ERP 项目实施过程中，当系统的业务流程已经梳理完成，并对每部分的流程实施人员分工进行了调研后，就可以进行权限配置了。下面就从建立通用角色，到最终用户的角色分配全过程做一个简单的实例说明。?? 　　 根据模块流程及其用户的角色分工要求，收集相关人员所要使用事务代码。这是最终用户使用系统根本元素，这些事务代码就相当于应用软件系统中的菜单栏下的具体工具菜单。?? 　　 事务代码提交之后，就可以开始着手建立通用角色。通用角色是角色共有的组成部分，从技术上讲，通用角色就是多个事务代码的简单集合，它包含了某一类用户共用的事务代码，建立通用角色的目的在于提高本地角色权限对象赋值过程的工作效率。建立一个本地角色的共同载体，简化后续工作负担。?? 　　 进行通用角色测试，这是在通用角色的建立完成之后立即要做的事情。测试的内容是将测试用户与各个通用角色进行一一映射，每次只进入一个通用角色中，检查事务代码在测试环境中是否能够正常打开，这个测试通常由权限设置人员完成。如果不能正常打开，使用SU53 事务代码的权限检查进行比较，对通用角色中的权限对象修改赋值,或是手动添加该事务代码缺省的权限对象。?? 　　 建立本地角色，当通用角色测试通过之后就要建立本地角色了。本地角色是区分使用同一通用角色下的最终用户的不同权限，例如，两人都具有使用某一订单的事务代码,但工作要求只能让一个人创建，而另外一人只能查看，无权创建，这就需要对该事务代码下的某一权限对象进行不同的赋值来加以区分。对第一人赋予创建的权限，而将第二人的创建权限去除改为查询权限。 ?? 　　 对本地角色进行测试。这是由关键用户来进行的，这是因为关键用户要针对最终用户的业务流程来进行测试，特别是针对同一事务代码操作过程的区分。?? 　　 本地角色测试完成以后, 就可以开始建立最终用户了。最终用户与本地角色的关系可以为一对一，或一对多的关系，在这个过程中，是由关键用户来分配本地角色指定到具体的最终用户。?? 　　 最终用户的建立完成以后，用户就可以根据各自的用户名及其密码登陆系统了。在具体使用过程进行实际过程的检测，通过一段时间的实际运用和操作，对各自权限进行了解和校正，通过修改达到