大型國企SAP應用之權限管理

管理錦囊

作者：莫佩宏　朱嘉

【摘要】本文通過在實際工作中遇到的SAP應用過程中所產生的權限管理問題，對問題進行了全方位的剖析，找出問題瓶頸所在，根據問題不同性質提出了多個解決方案，對解決方案進行了分別論述，並在實際工作中進行了實踐，消除了SAP應用中的安全隱患，取得了良好效果。

【關鍵詞】SAP；權限設計；角色

1、研究背景

我公司建於2002年，前身是國家“一五”期間的156個重點建設項目之一，現已成為我國最大的鐵路客車和城市軌道車輛的研發、製造和出口基地，員工12000人，年產值200多億。

公司SAP係統2008年初投入運行，已經有九大模塊PP、MM、PLM、PS、FICO、QM、WM、SD、CS正式運行。

2、存在問題

經過五年的運行，SAP在公司經營方麵取得了巨大成就，但其中的用戶權限，絕大多數還是在剛上線時授予的，一方麵由於當時對SAP權限管理缺乏全局意識，另一方麵上線之初任務量巨大，投入的精力較少。當時的權限都是第三方顧問給規劃和實施的。經過五年在權限管理工作中的實踐，我們認識到當初設置的權限有很多不合理的地方。表現在兩個方麵：

2.1普遍存在著用戶權限過大、數據安全受到威脅的問題

經常出現由於權限過大而互相指責的情況，例如，采購部的用戶看到了他不應該看到的財務數據，而有一些不相關人員看到了庫存或價格這些敏感數據，不應該創建的有了創建權限，不應該查看的有查看權限，不應該刪除的業務數據被誤刪除等，由此在工作中產生諸多磨擦，極大地影響了業務工作準確性和效率。

最為嚴重的問題是，我們隻能偶爾地發現權限過大問題，絕大多數都是業務人員發現了反饋給我們，如果他們不反饋，不做具體業務的BASIS人員是無法及時發現的，所以說，權限過大問題是隱蔽地存在的，這是重大的係統安全隱患，企業研發經營生產等數據的安全受到威脅。

2.2權限零亂，權限維護頻繁工作量巨大，容易出錯，占據了BASIS人員大量時間

例如計劃員的權限稍有變動，則我們要分別對全公司上百個計劃員分別進行維護，因為他們的權限存在於每個人的用戶中，隻能一個個地維護。

3、問題分析

經過分析，我們認為上述問題，一是權限結構設計不合理。上線之初時間緊，任務重，顧問為了能夠順利上線，避免權限問題阻礙業務處理，就把所有人的權限都設計成最大權限；二是顧問對我公司的人員結構不了解，隻做到就事論事，誰需要什麼權限就給什麼權限，絕大多數權限都直接以個人權限的方式授予了用戶，一旦有誤，所有做同一業務的人員的權限都需要分別維護。另外，發現權限過大的情況時，由於無規律可循，我們並不能第一時間確認都有哪些用戶過大，而是要全係統的用戶一一排查，其複雜性和工作量可想而知。

4、解決方案

通過分析，我們意識到，問題根源是在於權限設計的雜亂無章，龐大複雜。因此，經過了長時間的跟蹤分析SAP中不同模塊的不同特點之後，我們幹脆拋開原有權限的束縛，重新建立起新的權限管理體係，針對不同的模塊進行了不同的權限設計工作。我們認為以崗位為主線及以業務功能為主線的兩種權限設置方式是目前適合我公司最合理的權限設置方式。