鄒宇雄

[摘? ? 要] SAP系統(tǒng)作為有限公司ERP核心系統(tǒng)，涉及有限公司人、財(cái)、物管理的整個(gè)業(yè)務(wù)鏈。由于公司組織機(jī)構(gòu)及業(yè)務(wù)的復(fù)雜程度極高，為了規(guī)范企業(yè)內(nèi)部的業(yè)務(wù)邊界以及風(fēng)險(xiǎn)管控，必然帶來ERP系統(tǒng)權(quán)限管理巨大工作量。有限公司通過根角色實(shí)施項(xiàng)目重構(gòu)SAP系統(tǒng)權(quán)限架構(gòu)，在根角色項(xiàng)目的基礎(chǔ)上結(jié)合多年的業(yè)務(wù)經(jīng)驗(yàn)，將權(quán)限自動化功能的設(shè)計(jì)與業(yè)務(wù)處理巧妙糅合，成功實(shí)施了SAP權(quán)限自動化項(xiàng)目，切實(shí)提高了SAP權(quán)限管控的自動化管理水平。

[關(guān)鍵詞] ERP;根角色;SAP權(quán)限自動化

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2019. 11. 027

[中圖分類號] F270.7? ? [文獻(xiàn)標(biāo)識碼]? A? ? ? [文章編號]? 1673 - 0194（2019）11- 0062- 03

1? ? ? 根角色管理體系簡介

權(quán)限自動化必須有相應(yīng)的權(quán)限管理體系作為支撐，根角色管理體系可以有效保障權(quán)限的準(zhǔn)確定位，同時(shí)能有效規(guī)避內(nèi)控風(fēng)險(xiǎn)。根角色管理體系對權(quán)限管理的原則有兩個(gè)：①滿足公司內(nèi)控要求，互斥的T-code不能分配到同一個(gè)角色，互斥的角色不能授權(quán)給同一個(gè)系統(tǒng)賬號。②以最少的權(quán)限滿足用戶業(yè)務(wù)操作需要。SAP根角色管理原則如圖1所示。

1.1? ?根角色、本地角色、崗位角色相互關(guān)系與編碼規(guī)則

1.1.1? ?根角色

根角色是根據(jù)業(yè)務(wù)職責(zé)設(shè)計(jì)、有業(yè)務(wù)操作權(quán)限或者報(bào)表查詢權(quán)限、且沒有限制數(shù)據(jù)范圍的一組授權(quán)字段、授權(quán)對象、事務(wù)人代碼組合。根角色有以下重要特點(diǎn)：①根角色不存在互斥的T-code;②事務(wù)代碼只能唯一存在于一個(gè)根角色下。③根角色的歸屬模塊要和其中包含的T-code歸屬模塊一致。

1.1.2? ?本地角色

本地角色是根據(jù)業(yè)務(wù)職責(zé)設(shè)計(jì)、有業(yè)務(wù)操作權(quán)限或者報(bào)表查詢權(quán)限，且限制數(shù)據(jù)范圍的角色。本地角色由根角色派生對授權(quán)字段賦值，明確每個(gè)T-code基本權(quán)限控制點(diǎn)的限制值，并且限制值要滿足集團(tuán)管控和跨所屬單位權(quán)限控制要求。本地角色由根角色派生，本地角色對應(yīng)一個(gè)根角色，一個(gè)根角色可以派生多個(gè)本地角色，因此同一個(gè)本地角色不存在互斥的T-code。

1.1.3? ?崗位角色

崗位角色是滿足崗位工作需要的若干個(gè)本地角色的組合。崗位角色可通過SOD互斥檢查程序及內(nèi)控檢查程序?qū)崿F(xiàn)內(nèi)控、安全、審計(jì)的管理要求。

1.2? ?根角色、本地角色、崗位角色的編碼規(guī)則

1.2.1? ?根角色編碼

T<二級單位編碼>_<功能碼>[類型]

T：模板角色;功能碼：<模塊>+3位流水號;類型：M維護(hù)，D顯示，P打印，A審批，C配置

描述：說明角色功能

示例：T08_MM160D 常規(guī)貨物移動

1.2.2? ?本地角色編碼

ZL<根角色>_<公司代碼>_[細(xì)分級別]

ZL：本地角色;根角色：對應(yīng)的根角色I(xiàn)D，不含“T”字符;細(xì)分級別：公司代碼之下的組織層級、業(yè)務(wù)限定值等。

描述：說明角色功能? 示例：湛江分公司_常規(guī)貨物移動_潿12-1油田倉庫庫管人員

示例：ZL08_MM160D_2002_STO_1204_0004

1.2.3? ?崗位角色編碼

ZP<二級單位編碼>_<公司代碼>_<3位流水號>

描述：公司描述縮寫_崗位名稱描述

示例： ZP08_2002_092 湛江分公司_潿12-1油田倉庫庫管人員

2? ? ? ?權(quán)限自動化實(shí)現(xiàn)

通過外圍系統(tǒng)對用戶業(yè)務(wù)表單和審批流程完成處理后，調(diào)用相應(yīng)的SAP接口功能完成權(quán)限業(yè)務(wù)自動處理。權(quán)限自動化實(shí)現(xiàn)主要包含四個(gè)業(yè)務(wù)：SAP用戶賬號創(chuàng)建/注銷并審批、SAP用戶權(quán)限新增/刪除并審批、SAP角色變更。

2.1? ?SAP用戶賬號創(chuàng)建/注銷并審批

<業(yè)務(wù)定義>

在易ERP系統(tǒng)創(chuàng)建申請工單并提交進(jìn)入審批流程，相關(guān)負(fù)責(zé)人在易ERP審批完成后，調(diào)接口在SAP自動創(chuàng)建/注銷用戶并更新審批狀態(tài)，用戶無須登錄SAP手工操作。

<應(yīng)用設(shè)計(jì)>

實(shí)現(xiàn)SAP用戶賬號創(chuàng)建/注銷和審批功能

操作：（1）用戶在易ERP的提單頁面填寫單據(jù)信息

（2）驗(yàn)證通過后，提交流程進(jìn)入審批環(huán)節(jié)

（3）審批領(lǐng)導(dǎo)收到待辦郵件后，登陸易ERP審批流程審批單據(jù)

（4）審批完成后，系統(tǒng)調(diào)SAP接口在SAP創(chuàng)建/注銷用戶賬號

<涉及業(yè)務(wù)流程>

SAP用戶賬號申請及審批流程

其流程如圖2所示。

2.2? ?SAP用戶權(quán)限新增/刪除并審批

<業(yè)務(wù)定義>

在易ERP系統(tǒng)創(chuàng)建申請工單并提交進(jìn)入審批流程，相關(guān)負(fù)責(zé)人在易ERP審批完成后，調(diào)接口在SAP自動添加/刪除用戶權(quán)限并更新審批狀態(tài)，用戶無須登錄SAP手工操作。

<應(yīng)用設(shè)計(jì)>

實(shí)現(xiàn)SAP用戶權(quán)限變更和審批功能

操作：（1）用戶在易ERP的提單頁面填寫單據(jù)信息。

（2）驗(yàn)證通過后，提交流程進(jìn)入審批環(huán)節(jié)。

（3）審批領(lǐng)導(dǎo)收到待辦郵件后，登錄易ERP審批流程審批單據(jù)。

（4）審批完成后，系統(tǒng)調(diào)SAP接口在SAP自動添加/刪除用戶權(quán)限。

<涉及業(yè)務(wù)流程>

（1）SAP用戶賬號申請及審批流程。

（2）SAP用戶權(quán)限變更及審批流程。

其流程如圖3所示。

2.3? ?SAP角色查詢

<業(yè)務(wù)定義>

在易ERP系統(tǒng)創(chuàng)建權(quán)限申請工單，輸入限定條件，調(diào)接口自動查詢SAP中角色。

<應(yīng)用設(shè)計(jì)>

實(shí)現(xiàn)SAP角色查詢功能

操作：（1）用戶在易ERP的提單頁面填寫所需權(quán)限限定條件信息。

（2）點(diǎn)擊查詢按鈕，系統(tǒng)調(diào)SAP接口查詢相關(guān)角色信息。

<涉及業(yè)務(wù)流程>

（1）SAP用戶賬號申請及審批流程。

（2）SAP用戶權(quán)限變更及審批流程。

2.4? ?參考查詢

<業(yè)務(wù)定義>

在易ERP系統(tǒng)創(chuàng)建權(quán)限申請工單，輸入?yún)⒖加脩簦{(diào)SAP接口自動查詢參考用戶的權(quán)限。

<應(yīng)用設(shè)計(jì)>

實(shí)現(xiàn)參考查詢功能。

操作：（1）用戶在易ERP的提單頁面填寫所要參考的用戶ID。

（2）點(diǎn)擊查詢按鈕，系統(tǒng)調(diào)SAP接口查詢相關(guān)權(quán)限信息 。

<涉及業(yè)務(wù)流程>

（1）SAP用戶賬號申請及審批流程。

（2）SAP用戶權(quán)限變更及審批流程。

其流程如圖5所示。

2.5? ?SAP角色變更

<業(yè)務(wù)定義>

在易ERP系統(tǒng)創(chuàng)建權(quán)限申請工單，輸入?yún)⒖加脩簦{(diào)SAP接口自動查詢參考用戶的權(quán)限。

<應(yīng)用設(shè)計(jì)>

實(shí)現(xiàn)SAP角色變更和審批功能。

操作：（1）用戶在易ERP的提單頁面填寫單據(jù)信息。

（2）驗(yàn)證通過后，提交流程進(jìn)入審批環(huán)節(jié)。

（3）審批領(lǐng)導(dǎo)收到待辦郵件后，登陸易ERP審批流程審批單據(jù)。

（4）審批完成后，系統(tǒng)運(yùn)維人員手工完成角色變更。

<涉及業(yè)務(wù)流程>

SAP角色變更申請及審批流程。

其流程如圖6所示。

3? ? ? 總? ? 結(jié)

根角色方案保證了本地角色與事務(wù)代碼的關(guān)聯(lián)性，在技術(shù)上實(shí)現(xiàn)了事務(wù)處理與本地角色的關(guān)聯(lián)性，為權(quán)限自動化創(chuàng)造了邏輯基礎(chǔ)。通過角色查詢、參考查詢?yōu)橛脩艨焖偕暾埾鄳?yīng)角色提供了可選清單，選擇相應(yīng)角色后再自動調(diào)用接口程序?qū)崿F(xiàn)權(quán)限自動分配，極大地提高了用戶賬號權(quán)限相關(guān)業(yè)務(wù)處理的效率。