劉輝

摘 要：信息管理跨越企業(yè)管理的多個(gè)領(lǐng)域，包括財(cái)務(wù)、薪酬、業(yè)務(wù)、后勤等，并取得良好效果。近年來(lái)，用戶權(quán)限管理作為SAP核心管理部分，日益成為內(nèi)部風(fēng)險(xiǎn)控制和審計(jì)的重點(diǎn)。由于數(shù)據(jù)量大、復(fù)雜性、安全性和合規(guī)性要求高，權(quán)限技術(shù)通常作為相對(duì)獨(dú)立的內(nèi)容進(jìn)行應(yīng)用和管理。

關(guān)鍵詞：SAP系統(tǒng);用戶權(quán)限;應(yīng)用模式探討

在使用SAP系統(tǒng)的最初階段，大多數(shù)公司都側(cè)重于系統(tǒng)的運(yùn)行設(shè)計(jì)和穩(wěn)定性，因而忽略了不確定和最根本的用戶權(quán)限控制。平衡的用戶權(quán)限控制是保持SAP系統(tǒng)穩(wěn)定性的重要先決條件。在SAP系統(tǒng)中，每個(gè)用戶的權(quán)限是根據(jù)其各自的情況進(jìn)行分配的。這包括但不限于資格和責(zé)任以及對(duì)職位的要求。因此，權(quán)限管理要求不為用戶分配太多或太少的權(quán)限。分配過(guò)少可能會(huì)影響企業(yè)的基本處理操作和數(shù)據(jù)查詢分析，無(wú)法滿足用戶工作的基本要求;如果分配的權(quán)限過(guò)多，則具有多余權(quán)限的用戶可以執(zhí)行職責(zé)外的操作，這會(huì)對(duì)企業(yè)的SAP系統(tǒng)運(yùn)行產(chǎn)生負(fù)面影響，并可能危及系統(tǒng)信息的安全性。因此，正確控制系統(tǒng)用戶的權(quán)限非常重要。

一、SAP系統(tǒng)權(quán)限的概念

SAP系統(tǒng)權(quán)限的控制基于TCODE（事務(wù)代碼/菜單）和授權(quán)對(duì)象。授權(quán)對(duì)象是最小的授權(quán)控制單元。TCDOE控制用戶權(quán)限的視覺(jué)感知，具有特定TCODE值的用戶并不意味著可以執(zhí)行所有功能，必須使用權(quán)限對(duì)象進(jìn)行事務(wù)管理或詳細(xì)的權(quán)限控制。例如，PA30事務(wù)處理代碼可以進(jìn)入維護(hù)人力資源主數(shù)據(jù)的界面;權(quán)限對(duì)象P_ORGIN可以通過(guò)組織值（如公司代碼、信息類型、人員組別、授權(quán)級(jí)別）控制用戶權(quán)限，比如其可以通過(guò)賦值，控制用戶可以查詢并修改（授權(quán)級(jí)別）XXX公司（公司代碼）高管人員（人員類別）的人事調(diào)配事件、人員基本信息、家庭成員及社會(huì)關(guān)系（信息類型）等。當(dāng)然，用戶權(quán)限是多方面的，必須根據(jù)用戶的業(yè)務(wù)責(zé)任和組織來(lái)定義。因此，必須使用大量的TCODE并設(shè)置所需的權(quán)限對(duì)象，產(chǎn)生巨大的多樣性數(shù)據(jù)的組合，這樣的組合可以控制了用戶的權(quán)限，也就是SAP系統(tǒng)中的角色。這些角色因崗位的不同，角色間會(huì)有內(nèi)容重疊、交叉，限制和要求也會(huì)因崗位而異。一個(gè)用戶可以具有多個(gè)SAP角色，所有角色的權(quán)限都將添加到該用戶的最終權(quán)限中。例如，如果某個(gè)角色對(duì)某些信息具有“顯示”權(quán)限，另一個(gè)角色對(duì)該信息具有“更改”權(quán)限，那么若用戶同時(shí)擁有這兩個(gè)角色，就可以顯示和修改該信息。

二、權(quán)限的設(shè)計(jì)架構(gòu)及各類角色定義

權(quán)限概念或角色設(shè)計(jì)模型構(gòu)成SAP ERP系統(tǒng)中權(quán)限管理的基礎(chǔ)。設(shè)計(jì)權(quán)限結(jié)構(gòu)通常分為三個(gè)層次。每個(gè)層次的角色定義如下：

1.公共角色（也稱為通用角色）是具有事務(wù)處理代碼和相關(guān)活動(dòng)權(quán)限的角色，但沒(méi)有組織限制。主要用作角色模型，便于本地角色繼承其內(nèi)容。

2.本地角色：根據(jù)用戶的業(yè)務(wù)需求，繼承通用角色并通過(guò)組織值賦值將權(quán)限限制在一定組織級(jí)別。它通常與其他角色一起使用以生成特定權(quán)限。

3.崗位角色：SAP系統(tǒng)中的復(fù)合角色是集合本地角色和特殊本地角色，類似于HR崗位。它包含特定的所有事務(wù)權(quán)限。實(shí)際上，用戶通常被授予一個(gè)或多個(gè)崗位角色的權(quán)限，具體取決于所在公司或機(jī)構(gòu)的情況。

公共角色是SAP系統(tǒng)權(quán)限的基本模型，是創(chuàng)建權(quán)限的基礎(chǔ);本地角色除了組織級(jí)別的限制外，其繼承自公共角色且不會(huì)對(duì)本地角色的設(shè)計(jì)進(jìn)行重大更改;崗位角色在技術(shù)上是一組本地角色。在SAP系統(tǒng)的整個(gè)生命周期中權(quán)限設(shè)計(jì)體系結(jié)構(gòu)的實(shí)施以及后期的維護(hù)操作，是權(quán)限管理的核心。如果不能牢固把握和堅(jiān)持權(quán)限設(shè)計(jì)體系結(jié)構(gòu)，必然導(dǎo)致權(quán)力管理混亂。

在實(shí)踐授權(quán)中，尤其是在復(fù)雜的企業(yè)結(jié)構(gòu)中，應(yīng)至少滿足以下基本要求：不同的角色設(shè)計(jì)應(yīng)包含用于分類和系統(tǒng)管理的統(tǒng)一編碼規(guī)則;不支持向用戶直接分配事務(wù)代碼;崗位角色通常只分配給用戶。

在SAP-HR系統(tǒng)中，除了上述權(quán)限設(shè)計(jì)結(jié)構(gòu)外，還增加了一個(gè)關(guān)于組織機(jī)構(gòu)的授權(quán)控制——結(jié)構(gòu)化授權(quán)。就是說(shuō)，HR系統(tǒng)用戶的權(quán)限是角色與結(jié)構(gòu)化授權(quán)共同作用的結(jié)果，且取最小“交集”。例如，某角色的權(quán)限對(duì)象P_ORGIN賦值為A公司下的B子公司、人員類別C的查詢權(quán)限，將該角色分配給某用戶后，如果該用戶沒(méi)用關(guān)于B子公司或A公司的結(jié)構(gòu)授權(quán)參數(shù)，該用戶將會(huì)無(wú)法查看B子公司下C類人員信息。如果給該用戶分配A公司的結(jié)構(gòu)授權(quán)參數(shù)，該用戶仍然只能查看B子公司下的相關(guān)信息，這就是取結(jié)構(gòu)授權(quán)與角色的“最小交集”。

三、使用職位/職務(wù)分配權(quán)限參數(shù)文件的探討

考慮到SAP-HR系統(tǒng)中有崗位（S）、組織機(jī)構(gòu)（O），結(jié)合權(quán)限管理的崗位角色、結(jié)構(gòu)授權(quán)參數(shù)，可以探討采用以下方式進(jìn)行權(quán)限管理的優(yōu)化：

1 使用信息類型1016（通用授權(quán)參數(shù)文件）和1017（結(jié)構(gòu)化授權(quán)參數(shù)文件）把通用授權(quán)參數(shù)文件和結(jié)構(gòu)化授權(quán)參數(shù)文件直接分配給崗位（S）、組織單位（O），由于通用授權(quán)參數(shù)文件和角色是一一對(duì)應(yīng)的關(guān)系，將結(jié)構(gòu)受侵權(quán)參數(shù)、通用授權(quán)參數(shù)文件直接與對(duì)象崗位（S）、組織單位（O）對(duì)應(yīng)起來(lái)，使得崗位（S）下的人員自動(dòng)獲得相應(yīng)的通用授權(quán)參數(shù)與結(jié)構(gòu)授權(quán)參數(shù)，從而具有相應(yīng)的權(quán)限。

2定期使用報(bào)表RHPROFL0按部門自動(dòng)更新部門下有上述參數(shù)文件分配的崗位（S）權(quán)限。

3系統(tǒng)用戶與員工編號(hào)或統(tǒng)一身份賬號(hào)做掛接，分配崗位時(shí)，自動(dòng)獲得崗位角色和結(jié)構(gòu)化參數(shù)授權(quán)。

4在系統(tǒng)內(nèi)定義角色的互斥關(guān)系，使用工具檢查互斥的角色（權(quán)限）分配。

優(yōu)點(diǎn)是：（1）參數(shù)文件分配給崗位是前臺(tái)主數(shù)據(jù)維護(hù)，不再是后臺(tái)數(shù)據(jù);HR或者部門負(fù)責(zé)人可以在系統(tǒng)中操作，不需要IT人員做配置處理;（2）員工調(diào)動(dòng)、崗位變動(dòng)后直接按崗位職責(zé)分配相應(yīng)的權(quán)限，不需要再單獨(dú)申請(qǐng)權(quán)限變動(dòng)，大大減少權(quán)限維護(hù)和調(diào)整的日常工作量。（3）HR系統(tǒng)用戶，其員工數(shù)據(jù)中需要記錄其系統(tǒng)用戶名，系統(tǒng)自動(dòng)生成其權(quán)限分配。缺點(diǎn)是：SAP-HR的參數(shù)文件分配界面是按照崗位分配且標(biāo)準(zhǔn)授權(quán)參數(shù)文件和結(jié)構(gòu)化授權(quán)參數(shù)文件是不同的分配界面，使用不方便;權(quán)限互斥檢查是事后檢查，不能在分配時(shí)同步檢查。

建議：開(kāi)發(fā)一個(gè)參數(shù)文件到崗位的批量分配界面，可以對(duì)多崗位同時(shí)分配標(biāo)準(zhǔn)授權(quán)參數(shù)文件和結(jié)構(gòu)化授權(quán)參數(shù)文件，可以隨時(shí)檢查權(quán)限互斥并在存盤時(shí)自動(dòng)檢查權(quán)限互斥。

本文盡可能地介紹了SAP用戶權(quán)限管理方面的一些主要問(wèn)題，并試圖提出一種更系統(tǒng)的方法和具體的執(zhí)行方法。隨著信息系統(tǒng)的逐步使用，內(nèi)部控制和審計(jì)越來(lái)越嚴(yán)格，權(quán)限管理也變得越來(lái)越受重視，為具有不同組織結(jié)構(gòu)、職位和實(shí)施要求的用戶分配、準(zhǔn)確的權(quán)限數(shù)據(jù)，給技術(shù)和管理帶來(lái)了新的挑戰(zhàn)。

參考文獻(xiàn)：

[1]康麗.基于信息技術(shù)用戶接受理論的ERP系統(tǒng)實(shí)施模型研究[J].中小企業(yè)管理與科技（上旬刊），2018（11）：121-122.

[2]秦雅.ERP系統(tǒng)用戶權(quán)限的全動(dòng)態(tài)配置研究及實(shí)現(xiàn)[J].信息通信，2018（10）：118-119.

[3]張瑞.ERP系統(tǒng)中用戶權(quán)限的設(shè)置規(guī)范與控制策略[J].財(cái)會(huì)月刊，2019（10）：67-70.

[4]李戎.企業(yè)SAP ERP系統(tǒng)用戶權(quán)限管理解決方案[J].信息通信，2019（01）：111-113.

[5]李蘋祎.信息系統(tǒng)用戶滿意度研究文獻(xiàn)綜述——以ERP系統(tǒng)為例[J].技術(shù)經(jīng)濟(jì)，2019，33（03）：119-131.

（中石化共享公司東營(yíng)分公司，山東 東營(yíng) 257061）