SAP权限管理及其实施

李挺 张禾良 陶燕燕

【 摘 要 】 SAP权限设计是SAP建设项目十分重要的部分，特别是权限设计架构是SAP权限管理的核心，将贯穿SAP系统实施乃至后期运维工作的整个系统生命周期。论文是在安徽电力ERP项目多年运维经验上，总结出权限管理常见问题，并结合安徽电力人资模块权限设计架构提出权限设计的一些思路，同时在工作中进行了实践，取得了较好的效果。

【 关键词 】 SAP；权限管理；架构化权限；通用角色；本地角色；权限审批

【 Abstract 】 SAP Authority is the most important part of SAP construction project， in particular， authority design architecture is the core of authority management， this will run through system implementation and even the whole system life cycle of the post operation and maintenance work. This article evolved common problems of authority management after many years of working experience in the project of Anhui electric power company， and some ideas of permission design are proposed combined HR Authority， now achieved good results after practice in daily work.

【 Keywords 】 sap；authority management；structural authorization；general roles；local roles；authority approval

1 引言

SAP R/3 系统是基于ERP（企业资源计划）技术的一个成熟产品，在国内外大中企业中广为使用。ERP初上线时，企业比较注重系统的流程设计、系统的稳定运行，而对权限设计可能不够重视，并且绝大多数权限设计是在系统建设时期，因此设计的权限难免会存在问题和风险。安徽电力ERP上线至已有6年多时间，权限管理在逐渐完善之后，目前已经非常成熟。论文将结合安徽电力SAP权限设计来阐述权限设计常存在的问题及解决方案。

2 企业用户权限存在问题

2.1 权限设计不合理

权限设计一般在ERP建设初期就开始，因为权限设计是一项非常繁杂、浩大的系统的工作，对于顾问的业务能力、技术能力要求非常高，如果建设初期权限设计不合理，将会给系统使用带来非常大的不便。

2.2 后期权限管理制度不合理

随着系统投入使用，功能逐步完善、功能逐步增加，用户为了使用方便、提高工作效率，就不断要求增加权限，权限管理人员一般都会按照权限申请去添加权限，这样即使是权限设计的再合理，也会陷入权限不断被放大甚至失控的危险中。另外，权限管理文档不能与系统同步导致管理管理混乱也是一个很普遍存在的问题。

3 解决方案

3.1 权限设计架构必须要科学严谨

安徽电力权限设计是通过结构化权限、通用角色、本地角色及复合角色四种权限来实现系统权限控制。

3.1.1结构化权限

结构化权限是人资特有的一种权限控制方式，主要通过对象类型、评估路径及深度等参数对组织架构等相关对象类型进行权限控制。

SAP中通过OOSP去配置结构化权限参数文件，通过OOSB将结构化权限赋予相应的用户。结构化权限是用户操作对象标识对应的组织单元O-S-P的前提。

3.1.2通用角色

安徽电力采用的是根据业务职责进行权限划分。根据最细的岗位职责进行权限设置。这种方案中，通用角色设置的颗粒度细，通用角色多，适用于精细化权限管理要求。

通用角色包含的项目有通用角色、角色描述、事务码、事务码描述等。

3.1.3 本地角色

本地角色针对指定范围指定职能的权限控制角色，一般通过角色权限创建或者通用角色派生产生。

组织级别用来决定本地角色特定的权限控制范围。安徽电力本地角色项目中组织级别将包括人事范围、员工组、员工子组、组织代码、人事管理员、工资核算范围。

3.1.4 复合角色

复合角色是将若干个特定的本地角色按照一定的业务需要组合而成。为了满足各个各单位不同单位层级的用户权限需求，采取了精细的通用角色设计方案，因此在用户权限收集过程中，可能每个用户会需要多个不同的角色来满足自己的实际业务需求，会带来用户分配和将来权限维护很大的工作量。

为了简化用户权限收集中带来的权限分配及运维问题，采用了复合角色，在实际用户权限收集过程中，将满足一定岗位设置的本地角色合并为符合角色以简化用户分配的工作。

3.2 确定系统的关键权限

SAP 的关键权限也就是重要权限的事务码，用户拥有这些事务码的权限意味可以对系统做一些重要操作。如se38、se16n、sm30的权限必须要谨慎开放，否则将会对系统造成非常大的影响。

3.3 设立正确的审批流程和规范的文档管理制度

权限的申请流程必须形成一个闭环，首先由关键用户填写权限申请表；权限的申请必须要得到用户部门负责人及上级主管单位的相关领导审批；不仅仅是新增权限需要审批，更改、删除权限也需要审批；系统运维人员在系统内的一切权限操作以用户申请表为依据，这些申请文件需要妥善保存，以备审计和业务查询使用；系统运维人员在系统给用户赋权限后，需要维护相应文档，保证文档与系统实际设置完全一致。

4 结束语

权限设计如果不合理，将会给系统使用和企业管理带来巨大的麻烦和风险，本文通过多年安徽电力SAP运维，总结出的权限设计的一些思路，希望可以对其他企业的权限设计起到些许借鉴作用。

参考文献

[1] （德）萨斯喀-亚历山大·拜尔.SAP 权限系统[M].陈跃东，译.北京：东方出版社，2006.

[2] 孙士学，苏润. SAP 权限管理浅谈[J].电脑知识与术，2011，7（11），2527.

[3] 李明，周伟.山东电力集团公司SAP系统权限深化应用[J].中国电力教育，2012（9）：140-142.

[4] 徐焕，彭祥礼.SAP系统权限精细化管理方法研究[J].电力信息化，2011（12）：31-34.

[5] 苏戎.企业SAP ERP系统用户权限管理解决方案[J].信息通讯，2015（1）：111-113.

作者简介：

李挺（1983-），男，汉族，安徽阜阳人，毕业于西安交通大学，硕士研究生，工程师；长期从事电力信息化尤其是人类资源项目的应用设计、开发、实施，信息系统安全运行维护及管理工作。

张禾良（1987-），男，汉族，安徽蚌埠人，毕业于中国科学技术大学，硕士研究生，工程师；长期从事电力信息化项目建设与运维管理工作。

陶燕燕（1983-），女，汉族，安徽芜湖人，毕业于安徽大学，研究生，运维工程师；从事ERP人资模块运维工作。