SAP系統用戶權限應用模式探討

劉輝

摘 要：信息管理跨越企業管理的多個領域，包括財務、薪酬、業務、后勤等，并取得良好效果。近年來，用戶權限管理作為SAP核心管理部分，日益成為內部風險控制和審計的重點。由于數據量大、復雜性、安全性和合規性要求高，權限技術通常作為相對獨立的內容進行應用和管理。

關鍵詞：SAP系統;用戶權限;應用模式探討

在使用SAP系統的最初階段，大多數公司都側重于系統的運行設計和穩定性，因而忽略了不確定和最根本的用戶權限控制。平衡的用戶權限控制是保持SAP系統穩定性的重要先決條件。在SAP系統中，每個用戶的權限是根據其各自的情況進行分配的。這包括但不限于資格和責任以及對職位的要求。因此，權限管理要求不為用戶分配太多或太少的權限。分配過少可能會影響企業的基本處理操作和數據查詢分析，無法滿足用戶工作的基本要求;如果分配的權限過多，則具有多余權限的用戶可以執行職責外的操作，這會對企業的SAP系統運行產生負面影響，并可能危及系統信息的安全性。因此，正確控制系統用戶的權限非常重要。

一、SAP系統權限的概念

SAP系統權限的控制基于TCODE（事務代碼/菜單）和授權對象。授權對象是最小的授權控制單元。TCDOE控制用戶權限的視覺感知，具有特定TCODE值的用戶并不意味著可以執行所有功能，必須使用權限對象進行事務管理或詳細的權限控制。例如，PA30事務處理代碼可以進入維護人力資源主數據的界面;權限對象P_ORGIN可以通過組織值（如公司代碼、信息類型、人員組別、授權級別）控制用戶權限，比如其可以通過賦值，控制用戶可以查詢并修改（授權級別）XXX公司（公司代碼）高管人員（人員類別）的人事調配事件、人員基本信息、家庭成員及社會關系（信息類型）等。當然，用戶權限是多方面的，必須根據用戶的業務責任和組織來定義。因此，必須使用大量的TCODE并設置所需的權限對象，產生巨大的多樣性數據的組合，這樣的組合可以控制了用戶的權限，也就是SAP系統中的角色。這些角色因崗位的不同，角色間會有內容重疊、交叉，限制和要求也會因崗位而異。一個用戶可以具有多個SAP角色，所有角色的權限都將添加到該用戶的最終權限中。例如，如果某個角色對某些信息具有“顯示”權限，另一個角色對該信息具有“更改”權限，那么若用戶同時擁有這兩個角色，就可以顯示和修改該信息。

二、權限的設計架構及各類角色定義

權限概念或角色設計模型構成SAP ERP系統中權限管理的基礎。設計權限結構通常分為三個層次。每個層次的角色定義如下：

1.公共角色（也稱為通用角色）是具有事務處理代碼和相關活動權限的角色，但沒有組織限制。主要用作角色模型，便于本地角色繼承其內容。

2.本地角色：根據用戶的業務需求，繼承通用角色并通過組織值賦值將權限限制在一定組織級別。它通常與其他角色一起使用以生成特定權限。

3.崗位角色：SAP系統中的復合角色是集合本地角色和特殊本地角色，類似于HR崗位。它包含特定的所有事務權限。實際上，用戶通常被授予一個或多個崗位角色的權限，具體取決于所在公司或機構的情況。

公共角色是SAP系統權限的基本模型，是創建權限的基礎;本地角色除了組織級別的限制外，其繼承自公共角色且不會對本地角色的設計進行重大更改;崗位角色在技術上是一組本地角色。在SAP系統的整個生命周期中權限設計體系結構的實施以及后期的維護操作，是權限管理的核心。如果不能牢固把握和堅持權限設計體系結構，必然導致權力管理混亂。

在實踐授權中，尤其是在復雜的企業結構中，應至少滿足以下基本要求：不同的角色設計應包含用于分類和系統管理的統一編碼規則;不支持向用戶直接分配事務代碼;崗位角色通常只分配給用戶。

在SAP-HR系統中，除了上述權限設計結構外，還增加了一個關于組織機構的授權控制——結構化授權。就是說，HR系統用戶的權限是角色與結構化授權共同作用的結果，且取最小“交集”。例如，某角色的權限對象P_ORGIN賦值為A公司下的B子公司、人員類別C的查詢權限，將該角色分配給某用戶后，如果該用戶沒用關于B子公司或A公司的結構授權參數，該用戶將會無法查看B子公司下C類人員信息。如果給該用戶分配A公司的結構授權參數，該用戶仍然只能查看B子公司下的相關信息，這就是取結構授權與角色的“最小交集”。

三、使用職位/職務分配權限參數文件的探討

考慮到SAP-HR系統中有崗位（S）、組織機構（O），結合權限管理的崗位角色、結構授權參數，可以探討采用以下方式進行權限管理的優化：

1 使用信息類型1016（通用授權參數文件）和1017（結構化授權參數文件）把通用授權參數文件和結構化授權參數文件直接分配給崗位（S）、組織單位（O），由于通用授權參數文件和角色是一一對應的關系，將結構受侵權參數、通用授權參數文件直接與對象崗位（S）、組織單位（O）對應起來，使得崗位（S）下的人員自動獲得相應的通用授權參數與結構授權參數，從而具有相應的權限。

2定期使用報表RHPROFL0按部門自動更新部門下有上述參數文件分配的崗位（S）權限。

3系統用戶與員工編號或統一身份賬號做掛接，分配崗位時，自動獲得崗位角色和結構化參數授權。

4在系統內定義角色的互斥關系，使用工具檢查互斥的角色（權限）分配。

優點是：（1）參數文件分配給崗位是前臺主數據維護，不再是后臺數據;HR或者部門負責人可以在系統中操作，不需要IT人員做配置處理;（2）員工調動、崗位變動后直接按崗位職責分配相應的權限，不需要再單獨申請權限變動，大大減少權限維護和調整的日常工作量。（3）HR系統用戶，其員工數據中需要記錄其系統用戶名，系統自動生成其權限分配。缺點是：SAP-HR的參數文件分配界面是按照崗位分配且標準授權參數文件和結構化授權參數文件是不同的分配界面，使用不方便;權限互斥檢查是事后檢查，不能在分配時同步檢查。

建議：開發一個參數文件到崗位的批量分配界面，可以對多崗位同時分配標準授權參數文件和結構化授權參數文件，可以隨時檢查權限互斥并在存盤時自動檢查權限互斥。

本文盡可能地介紹了SAP用戶權限管理方面的一些主要問題，并試圖提出一種更系統的方法和具體的執行方法。隨著信息系統的逐步使用，內部控制和審計越來越嚴格，權限管理也變得越來越受重視，為具有不同組織結構、職位和實施要求的用戶分配、準確的權限數據，給技術和管理帶來了新的挑戰。

參考文獻：

[1]康麗.基于信息技術用戶接受理論的ERP系統實施模型研究[J].中小企業管理與科技（上旬刊），2018（11）：121-122.

[2]秦雅.ERP系統用戶權限的全動態配置研究及實現[J].信息通信，2018（10）：118-119.

[3]張瑞.ERP系統中用戶權限的設置規范與控制策略[J].財會月刊，2019（10）：67-70.

[4]李戎.企業SAP ERP系統用戶權限管理解決方案[J].信息通信，2019（01）：111-113.

[5]李蘋祎.信息系統用戶滿意度研究文獻綜述——以ERP系統為例[J].技術經濟，2019，33（03）：119-131.

（中石化共享公司東營分公司，山東 東營 257061）