刘辉

摘 要：信息管理跨越企业管理的多个领域，包括财务、薪酬、业务、后勤等，并取得良好效果。近年来，用户权限管理作为SAP核心管理部分，日益成为内部风险控制和审计的重点。由于数据量大、复杂性、安全性和合规性要求高，权限技术通常作为相对独立的内容进行应用和管理。

关键词：SAP系统;用户权限;应用模式探讨

在使用SAP系统的最初阶段，大多数公司都侧重于系统的运行设计和稳定性，因而忽略了不确定和最根本的用户权限控制。平衡的用户权限控制是保持SAP系统稳定性的重要先决条件。在SAP系统中，每个用户的权限是根据其各自的情况进行分配的。这包括但不限于资格和责任以及对职位的要求。因此，权限管理要求不为用户分配太多或太少的权限。分配过少可能会影响企业的基本处理操作和数据查询分析，无法满足用户工作的基本要求;如果分配的权限过多，则具有多余权限的用户可以执行职责外的操作，这会对企业的SAP系统运行产生负面影响，并可能危及系统信息的安全性。因此，正确控制系统用户的权限非常重要。

一、SAP系统权限的概念

SAP系统权限的控制基于TCODE（事务代码/菜单）和授权对象。授权对象是最小的授权控制单元。TCDOE控制用户权限的视觉感知，具有特定TCODE值的用户并不意味着可以执行所有功能，必须使用权限对象进行事务管理或详细的权限控制。例如，PA30事务处理代码可以进入维护人力资源主数据的界面;权限对象P_ORGIN可以通过组织值（如公司代码、信息类型、人员组别、授权级别）控制用户权限，比如其可以通过赋值，控制用户可以查询并修改（授权级别）XXX公司（公司代码）高管人员（人员类别）的人事调配事件、人员基本信息、家庭成员及社会关系（信息类型）等。当然，用户权限是多方面的，必须根据用户的业务责任和组织来定义。因此，必须使用大量的TCODE并设置所需的权限对象，产生巨大的多样性数据的组合，这样的组合可以控制了用户的权限，也就是SAP系统中的角色。这些角色因岗位的不同，角色间会有内容重叠、交叉，限制和要求也会因岗位而异。一个用户可以具有多个SAP角色，所有角色的权限都将添加到该用户的最终权限中。例如，如果某个角色对某些信息具有“显示”权限，另一个角色对该信息具有“更改”权限，那么若用户同时拥有这两个角色，就可以显示和修改该信息。

二、权限的设计架构及各类角色定义

权限概念或角色设计模型构成SAP ERP系统中权限管理的基础。设计权限结构通常分为三个层次。每个层次的角色定义如下：

1.公共角色（也称为通用角色）是具有事务处理代码和相关活动权限的角色，但没有组织限制。主要用作角色模型，便于本地角色继承其内容。

2.本地角色：根据用户的业务需求，继承通用角色并通过组织值赋值将权限限制在一定组织级别。它通常与其他角色一起使用以生成特定权限。

3.岗位角色：SAP系统中的复合角色是集合本地角色和特殊本地角色，类似于HR岗位。它包含特定的所有事务权限。实际上，用户通常被授予一个或多个岗位角色的权限，具体取决于所在公司或机构的情况。

公共角色是SAP系统权限的基本模型，是创建权限的基础;本地角色除了组织级别的限制外，其继承自公共角色且不会对本地角色的设计进行重大更改;岗位角色在技术上是一组本地角色。在SAP系统的整个生命周期中权限设计体系结构的实施以及后期的维护操作，是权限管理的核心。如果不能牢固把握和坚持权限设计体系结构，必然导致权力管理混乱。

在实践授权中，尤其是在复杂的企业结构中，应至少满足以下基本要求：不同的角色设计应包含用于分类和系统管理的统一编码规则;不支持向用户直接分配事务代码;岗位角色通常只分配给用户。

在SAP-HR系统中，除了上述权限设计结构外，还增加了一个关于组织机构的授权控制——结构化授权。就是说，HR系统用户的权限是角色与结构化授權共同作用的结果，且取最小“交集”。例如，某角色的权限对象P_ORGIN赋值为A公司下的B子公司、人员类别C的查询权限，将该角色分配给某用户后，如果该用户没用关于B子公司或A公司的结构授权参数，该用户将会无法查看B子公司下C类人员信息。如果给该用户分配A公司的结构授权参数，该用户仍然只能查看B子公司下的相关信息，这就是取结构授权与角色的“最小交集”。

三、使用职位/职务分配权限参数文件的探讨

考虑到SAP-HR系统中有岗位（S）、组织机构（O），结合权限管理的岗位角色、结构授权参数，可以探讨采用以下方式进行权限管理的优化：

1 使用信息类型1016（通用授权参数文件）和1017（结构化授权参数文件）把通用授权参数文件和结构化授权参数文件直接分配给岗位（S）、组织单位（O），由于通用授权参数文件和角色是一一对应的关系，将结构受侵权参数、通用授权参数文件直接与对象岗位（S）、组织单位（O）对应起来，使得岗位（S）下的人员自动获得相应的通用授权参数与结构授权参数，从而具有相应的权限。

2定期使用报表RHPROFL0按部门自动更新部门下有上述参数文件分配的岗位（S）权限。

3系统用户与员工编号或统一身份账号做挂接，分配岗位时，自动获得岗位角色和结构化参数授权。

4在系统内定义角色的互斥关系，使用工具检查互斥的角色（权限）分配。

优点是：（1）参数文件分配给岗位是前台主数据维护，不再是后台数据;HR或者部门负责人可以在系统中操作，不需要IT人员做配置处理;（2）员工调动、岗位变动后直接按岗位职责分配相应的权限，不需要再单独申请权限变动，大大减少权限维护和调整的日常工作量。（3）HR系统用户，其员工数据中需要记录其系统用户名，系统自动生成其权限分配。缺点是：SAP-HR的参数文件分配界面是按照岗位分配且标准授权参数文件和结构化授权参数文件是不同的分配界面，使用不方便;权限互斥检查是事后检查，不能在分配时同步检查。

建议：开发一个参数文件到岗位的批量分配界面，可以对多岗位同时分配标准授权参数文件和结构化授权参数文件，可以随时检查权限互斥并在存盘时自动检查权限互斥。

本文尽可能地介绍了SAP用户权限管理方面的一些主要问题，并试图提出一种更系统的方法和具体的执行方法。随着信息系统的逐步使用，内部控制和审计越来越严格，权限管理也变得越来越受重视，为具有不同组织结构、职位和实施要求的用户分配、准确的权限数据，给技术和管理带来了新的挑战。

参考文献：

[1]康丽.基于信息技术用户接受理论的ERP系统实施模型研究[J].中小企业管理与科技（上旬刊），2018（11）：121-122.

[2]秦雅.ERP系统用户权限的全动态配置研究及实现[J].信息通信，2018（10）：118-119.

[3]张瑞.ERP系统中用户权限的设置规范与控制策略[J].财会月刊，2019（10）：67-70.

[4]李戎.企业SAP ERP系统用户权限管理解决方案[J].信息通信，2019（01）：111-113.

[5]李苹祎.信息系统用户满意度研究文献综述——以ERP系统为例[J].技术经济，2019，33（03）：119-131.

（中石化共享公司东营分公司，山东 东营 257061）