李俊鋒

【摘要】 本文分析了用戶在SAP系統(tǒng)賬號(hào)使用中存在的問(wèn)題，介紹了一種基于Web的用戶賬號(hào)自助解鎖和密碼重置系統(tǒng)，兼顧了便捷性和安全性，大大提高了用戶賬號(hào)處理的便利性和時(shí)效性。

【關(guān)鍵字】 SAP賬號(hào) 自助 解鎖

一、SAP系統(tǒng)賬號(hào)使用中存在的問(wèn)題

由于SAP系統(tǒng)對(duì)用戶密碼的復(fù)雜度要求較高，且需要用戶定期更改密碼，對(duì)于不是每天都登錄SAP系統(tǒng)的用戶，容易忘記密碼。SAP系統(tǒng)在用戶登錄失敗多次后，會(huì)自動(dòng)鎖定用戶賬號(hào)，用戶需要向SAP權(quán)限管理員申請(qǐng)，由權(quán)限管理員手工解鎖賬號(hào)或重置密碼。

生產(chǎn)作業(yè)是不間斷的，而賬號(hào)解鎖和密碼重置工作需要權(quán)限管理員手工進(jìn)行，這樣會(huì)造成用戶在一段時(shí)間內(nèi)無(wú)法進(jìn)行SAP業(yè)務(wù)操作，進(jìn)而影響日常工作以及用戶對(duì)SAP系統(tǒng)應(yīng)用的滿意度。如何為用戶提供一條快捷的處理賬號(hào)問(wèn)題的途徑，是SAP賬號(hào)管理中需要解決的一個(gè)重要問(wèn)題。

二、問(wèn)題解決思路

通過(guò)搭建SAP賬號(hào)自助服務(wù)系統(tǒng)，提高用戶賬號(hào)處理的便捷性。系統(tǒng)主要解決以下兩方面問(wèn)題：

1、便捷性：用戶自助完成賬號(hào)處理，無(wú)需通過(guò)權(quán)限管理員。搭建Web自助服務(wù)界面，用戶使用瀏覽器直接訪問(wèn)，無(wú)需注冊(cè)和登錄，提交本人的SAP賬號(hào)后，通過(guò)后臺(tái)接口完成賬號(hào)解鎖和密碼重置。

2、安全性：通過(guò)驗(yàn)證碼機(jī)制防止他人的非法操作。系統(tǒng)接收到用戶請(qǐng)求后，發(fā)送驗(yàn)證碼到用戶郵箱，只有在驗(yàn)證碼校驗(yàn)成功后，系統(tǒng)才執(zhí)行后續(xù)操作。該郵箱是事先經(jīng)過(guò)用戶確認(rèn)，并由權(quán)限管理員在SAP系統(tǒng)中維護(hù)好的電子郵件地址。用戶在SAP系統(tǒng)中能查看自己的郵箱地址，僅權(quán)限管理員有權(quán)修改。

三、系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

3.1系統(tǒng)架構(gòu)設(shè)計(jì)

自助系統(tǒng)通過(guò)Java語(yǔ)言搭建基于Web的前臺(tái)用戶界面，用戶使用瀏覽器進(jìn)行訪問(wèn)，后臺(tái)服務(wù)器端程序接收用戶請(qǐng)求并執(zhí)行業(yè)務(wù)邏輯處理，調(diào)用SAP后臺(tái)接口實(shí)現(xiàn)賬號(hào)解鎖和密碼重置。自助系統(tǒng)與SAP系統(tǒng)，通過(guò)SAP PI集成中間件實(shí)現(xiàn)系統(tǒng)間的集成。自助系統(tǒng)與PI采用Web Service協(xié)議進(jìn)行數(shù)據(jù)傳輸，PI與SAP系統(tǒng)使用SAP的RFC技術(shù)進(jìn)行通信。

3.2業(yè)務(wù)流程設(shè)計(jì)

1、用戶訪問(wèn)自助系統(tǒng)Web頁(yè)面，選擇SAP目標(biāo)系統(tǒng)，包括系統(tǒng)類型（比如SAP ECC、BW、EP等）、系統(tǒng)名稱（比如ECC生產(chǎn)系統(tǒng)、ECC培訓(xùn)系統(tǒng)、BW測(cè)試系統(tǒng)等）和Client（比如Client 800、Client 600等），并填寫對(duì)應(yīng)系統(tǒng)的用戶賬號(hào)ID。2、自助系統(tǒng)調(diào)用SAP接口檢查SAP目標(biāo)系統(tǒng)內(nèi)用戶賬號(hào)是否存在，是否已登記郵箱，如無(wú)問(wèn)題則獲取用戶郵箱地址。3、自助系統(tǒng)發(fā)送驗(yàn)證碼到用戶郵箱（驗(yàn)證碼30分鐘內(nèi)有效，超時(shí)需重新獲取），同時(shí)在自助服務(wù)頁(yè)面顯示郵箱地址。4、用戶登錄郵箱獲取驗(yàn)證碼并填寫到自助服務(wù)頁(yè)面的指定位置，然后選擇所需的功能（賬號(hào)解鎖或密碼重置）并提交。5、自助系統(tǒng)調(diào)用后臺(tái)接口執(zhí)行解鎖或密碼重置操作，在頁(yè)面上顯示處理結(jié)果，并把重置后的密碼發(fā)送到用戶郵箱。

3.3接口設(shè)計(jì)與實(shí)現(xiàn)

后臺(tái)接口包括獲取郵箱地址和賬號(hào)處理兩個(gè)接口點(diǎn)，實(shí)現(xiàn)獲取用戶郵箱地址、解鎖賬號(hào)和重置密碼三項(xiàng)功能。兩個(gè)接口點(diǎn)均采用同步方式，由自助系統(tǒng)觸發(fā)，SAP系統(tǒng)作為服務(wù)端。

1、獲取郵箱地址接口點(diǎn)

接口消息字段：用戶賬號(hào)ID、系統(tǒng)類型、Client、處理結(jié)果（成功或失?。⒎祷叵?、電子郵件地址等。在SAP系統(tǒng)使用ABAP語(yǔ)言開發(fā)RFC函數(shù)實(shí)現(xiàn)接口功能，首先檢查用戶賬號(hào)是否存在，如果存在則通過(guò)賬號(hào)所屬的用戶組判斷該賬號(hào)是否已注銷或過(guò)期，然后調(diào)用系統(tǒng)函數(shù)“BAPI_ USER_GET_DETAIL”取得并返回用戶的郵箱地址信息，如果郵箱地址為空，則返回錯(cuò)誤消息，提示用戶聯(lián)系權(quán)限管理員維護(hù)郵箱地址信息。

2、賬號(hào)處理接口點(diǎn)

接口消息字段：用戶賬號(hào)ID、系統(tǒng)類型、Client、處理標(biāo)識(shí)（1為賬號(hào)解鎖，2為重置密碼）、處理結(jié)果、返回消息等。在SAP系統(tǒng)開發(fā)RFC函數(shù)，檢查用戶賬號(hào)是否合法，鎖定狀態(tài)是否正常，如有異常則返回提示信息，否則通過(guò)調(diào)用系統(tǒng)函數(shù)“BAPI_USER_UNLOCK”進(jìn)行解鎖；如需進(jìn)行密碼重置，則調(diào)用函數(shù)“SUSR_GENERATE_PASSWORD”和“BAPI_USER_CHANGE”生成并設(shè)置新的密碼。系統(tǒng)默認(rèn)生成的隨機(jī)密碼為40位，部分版本的SAP客戶端無(wú)法復(fù)制40位密碼進(jìn)行登錄，所以在生成密碼時(shí)，可以通過(guò)設(shè)置“DOWNWARDS_COMPATIBLE”參數(shù)為“X”來(lái)生成簡(jiǎn)短的8位隨機(jī)密碼。新密碼生成后，直接在SAP端發(fā)送密碼到用戶郵箱，不再將密碼信息通過(guò)接口返回到自助系統(tǒng)，從而降低敏感信息泄露的風(fēng)險(xiǎn)。

四、結(jié)束語(yǔ)

本文首先分析了SAP系統(tǒng)用戶在賬號(hào)使用中遇到的問(wèn)題，然后提出了搭建SAP賬號(hào)自助服務(wù)系統(tǒng)，解決用戶賬號(hào)解鎖和密碼重置的便捷性和安全性問(wèn)題，最后詳細(xì)說(shuō)明了該自助系統(tǒng)的架構(gòu)設(shè)計(jì)和實(shí)現(xiàn)方法。

參 考 文 獻(xiàn)

[1] 薩斯喀-亞歷山大·拜爾等著.SAP 權(quán)限系統(tǒng)[M].東方出版社，2006.