SAP-HR技术系列之九：SAPHR中使用对象机构-职位-职务等给用户分配权限的方案探讨.docVIP

一、传统的权限分配方案 1、通用权限角色和结构化授权参数文件是直接分配给 SAP用户（ User）； 2、权限管理员完成通用角色的定义后派生出本地角色，再把本地角色分配 给 SAP用户； 3、顾问或者内部顾问在系统后台配置表定义构化授权参数文件并在把构化授权参数文件分配给用户； 3、可以根据角色的命名规则和用户分组分配给不同单位的权限管理员的授 权。 优点是： 1）传统 SAP权限管理方法，企业 BASIS人员已经熟练掌握角色分配等操作，面对大批量的用户和本地角色时，易于推广； 2）权限调整需要负责领导审批，后提交给权限管理员在系统中进行调整，用户创建和权限授予都由于权限管理员集中处理，易于管控； 3）可通过 SU01/PFCG等系统标准界面进行单用户多角色 / 单角色多用户 / 多用户多角色等处理，无需客户化开发； 4）授权参数文件可采用系统自动生成流水码，仅使用本地角色只需实现不同单位之间的授权区分； 5）角色和结构授权不需用户关心，日常使用简单。 缺点是 : 1）员工调动、岗位变动后需要再单独申请权限变动，经审批后，角色分配由 IT 部门权限管理员实现，结构授权由项目顾问配置、传输，流程长； 2）本地角色作为后台数据，不会直接展现给最终用户，用户缺少权限时， 不能清晰表达需求，通常需要关键用户或顾问干预，明确缺少角色后，再进行审批流程。 二、使用职位 / 职务分配权限参数文件 1 / 3 1、使用信息类型 1016(通用授权参数文件 )和 1017（结构化授权参数文件） 把通用授权参数文件和结构化授权参数文件直接分配给岗位（ S）/ 职务（ C）、组织单位（ O）和任务（ T），由于通用授权参数文件和角色是一一对应的关 系，通用授权参数文件分配给 SAP-HR对象岗位（ S） /职务（ C）、组织单位（O）和任务（ T）等同于把角色分配给这些对象。 2、定期使用报表 RHPROFL0按部门自动更新部门下有上述参数文件分配的岗位（ S）权限。 3、系统用户与使用人的员工编号做挂接（ IT0105），分配岗位时，自动获得授权。 4、在系统内定义角色的互斥关系，使用工具检查不合适的角色（权限）分 配。 优点是： 1）参数文件分配给岗位是前台主数据维护，不再是后台数据； HR 或者部门负责人可以在系统中操作，不需要 IT 人员做配置处理； 2）员工调动、岗位变动后直接按岗位职责分配相应的权限，不需要再单独申请权限变动，大大减少权限维护和调整的日常工作量。 3）HR系统用户，其员工数据中需要记录其系统用户名，系统自动生成其权限分配。 缺点是 : SAP HR的参数文件分配界面是一个岗位分配且标准授权参数文件和结构 化授权参数文件是不同的分配界面，使用不方便，且权限互斥检查是事后检查，不能在分配时同步检查；建议： 开发一个参数文件到岗位的批量分配界面，可以对多岗位同时分配标准授权参数文件和结构化授权参数文件，可以随时检查权限互斥并在存盘时自动检查权限互斥。 三、应用效果 2 / 3 1、可以大大减轻权限管理和日常维护的工作量，将权限运维的后台工作比 部分变为前台的主数据维护；权限分配给用户不再需要 BASIS人员支持。但角色的定义和授权参数文件的生产仍需要 BASIS人员通过事务码 PFCG完成。 2、人力资源部门的员工入职和岗位变动后自动获得所任岗位分配的系统权限，无需再单独申请，也不需要系统的设置 / 配置处理，符合业务习惯，简化工作流程，减轻权限维护工作量。 3 / 3