《企业资源管理系统(ERP)权限管理策略.pdf》由会员分享,可在线阅读,更多相关《企业资源管理系统(ERP)权限管理策略.pdf(10页珍藏版)》请在三一文库上搜索。
1、精品文档就在这里 - 各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有尽有- - - -精品文档 - 基于 SAP权限体系的管理策略 黄海潮、查志杰 中文摘要 :本文通过企业资源管理系统 (ERP )项目实施的总结和汇 总,对企业资源管理系统 (ERP ) 的权限管理进行规范化的管理实施策略, 形成一套比较成熟并长期可用的数据安全保障屏障。本文介绍企业资源 管理系统 (ERP)在权限管理的架构, 设计思路,实施方法论和整体权限的 策略。企业资源管理系统(ERP )的权限工作日常严格遵守的实施标准, 并根据系统建立一套由用户、 运维人员、 业务专业人员和技术专业人员 共同参与的
2、权限管理机制。 关键词:权限技术;管理制度;解决方案。 论文内容 :首先对 SAP系统的模块分类和管理现状进行了描述,对 SAP的权限实现原理、管理制度、建立机制等内容进行了详细阐述,通 过分析 SAP项目推进的过程中在权限管理方面遇到的一些问题,确立了 适合 SAP项目推进的权限管理策略和流程,以及权限管理的详细解决方 案。 引言:SAP是以财务为核心,资产管理为主线的集成的管理系统。 以流程管理的理念, 打破了传统以职能管理为核心的管理模式, 为企业的 核心业务管理提供了一个一体化、企业级的管理信息平台。 精品文档就在这里 - 各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,
3、应有尽有- - - -精品文档 - 1. 权限总体设计及原理 任何多用户的信息系统不可避免地涉及到权限问题,SAP系统也不 例外。由于系统的使用者众多、使用者的分工复杂、加上人员岗位调动、 退离休等情况, 难免会造成系统权限分配混乱的问题, 对系统的正常运 行和业务流程的正常流转存在着很大隐患,所以对SAP系统的权限控制 就显得尤为重要了。 1权限设计理念 SAP R/3 系统权限体系引用了账号、角色、参数文件、授权对象、 字段等权限概念,结合系统中企业组织架构及业务处理的配置等对用户 进行权限控制。同时SAP R/3 系统采用了多数据库集成技术,并通过设 计大量的数据表记录各事务处理的权限检
4、查情况及系统用户的授权情 况。 用户:具体操作SAP系统的用户,即登陆SAP Logon输入的用户。 使用事物码 SU01创建一个新的用户ID,默认的权限是空白的,不允许 任何操作。 单一角色:简单的说就是一个业务操作功能点(事物码)的集合。 其中包含了控制事物码操作的“ 权限对象 ” 、 “ 权限字段 ” 以及允许的操作 及允许的值。用事物码PFCG 维护。单一角色是相对应复合角色而言的。 复合角色:又叫通用角色,即是多个单一角色的集合。复合角色中 可以包含多个单一角色,此复合角色包含了这多个单一角色所控制的权 限。复合角色还可以维护具体的“ 权限对象 ” 、“ 权限字段 ” 以及允许的字
5、段值及字段操作。 精品文档就在这里 - 各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有尽有- - - -精品文档 - 2权限设计之架构 用户组 USR02 用户 ID AGR_USERS 复合角色 AGR_1251 AGR_1016 AGR_PROF 参数文件 UST12 权限对象 TOBJ 用户密码事务菜单 AGR_HIER 角色 AGR_DEFINE 组织级别 AGR_1252 AGR_TCODES 事务码 权限值 UST04 权限字段 权限值 对象 表 关系 SUGR PFCG PFCG PFCG SU01/SU10 SU02 SU21 SU20 PFCG SE93
6、PFCG SU01/SU10 PFCG 事务码 图 1 权限架构设计 第一:将操作的的事务代码放在一起做成角色; 第二:给这些角色加入组织架构,譬如角色A 属于工厂 1000,那么该 角色就只能操作工厂1000下面的权限; 第三:建立权限对象, SAP 系统权限一般分为创建、更改、显示三种, 可以将这些权限对象分配给角色, 这样角色就只能做指定权限对象的操 作; 第四:建立复合角色。复合角色可以将角色的集合打包,针对几个角色 特定的权限; 第五:建立每个人的用户ID; 第六:将角色分配给用户ID; 精品文档就在这里 - 各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有尽有-
7、- - -精品文档 - 第七:可以将用户分配给用户组进行分组管理; 2. 权限具体实施与管理 企业资源管理软件系统权限实施的全部流程包括岗位信息收集和 分析、各层次角色设计与创建、用户清单及权限分配、权限配置、权 限测试、角色传输、上线支持等阶段。以下以集团型企业为例对权限 实施各阶段的主要工作内容加以阐述. 1、通用角色的设计与创建: 权限顾问负责下发岗位信息模板,由集团人力资源部门负责 提供,由各模块顾问负责提供通用角色设计文档。 2、本地角色和特殊角色的设计与创建: ERP项目实施模块顾问根据通用角色模板,提交本地角色设 计文档和特殊角色设计文档。 3、岗位角色的设计与创建: 各公司关键
8、用户提交岗位角色设计和用户权限分配文档。 4、用户账号的创建与权限测试: 权限顾问实施完成权限配置后, 关键用户在顾问指导下进行 权限测试,如有文档, 填报权限测试文档反馈给权限顾问进 行分析并修改完善。 5、角色传输: 权限测试通过后, 将在测试系统中创建的角色传输至生产系 统,开始上线投入使用。 6、运维支持阶段: 在上线期结束后系统进入运行维护阶段,此期间各公司最终 用户在业务操作过程中发现权限问题,通过填写权限变更申 请表提交问题,根据权限变更流程进行处理。 精品文档就在这里 - 各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有尽有- - - -精品文档 - 以下针对
9、权限设计、权限测试、权限反向查找和建立权限管理运维 制度等几个方面进行阐述: 1权限设计 ERP项目的权限设计严格遵守SAP系统的权限设计标准,遵循如下 步骤: 根据前期的业务蓝 图成果,明确各部 门、岗位的职责 单个角色权限设计复合角色权限设计用户权限收集 图 2- SAP 的权限设计步骤 1)从客户需求出发,根据前期的业务蓝图成果,明确各部门、岗位 的职责; 2)根据岗位职责进行通用角色权限设计,如工资数据维护角色、合 同信息查询角色; 3)根据通用角色权限设计进行复合角色设计,如人力资源部劳动组 织专责角色; 4)根据复合角色结果提供权限模板,进行用户收集,并将用户名与 角色匹配。 在设
10、计的过程中,重点注意以下关键点: 首先,确保在纵向,下级单位不能查看上级单位的各类人资信息, 而上级单位拥有查看下级单位信息的权限;在横向,同级单位之间不能 互相查看和维护其他单位的人资信息; 其次,在人员管理范围上,按照职务级别分层次管理,依次分为处 级及以上、科级、科技及以下三个类别; 第三,在人事信息类型管理上,本着“谁管理谁维护”的原则,在 保证各部门、各岗位必需的权限同时,尽量紧缩角色授权,宁可权限不 够再逐渐放开,而不能开始授权过大再收紧; 最后,对部分高度保密的信息,如后备干部信息、人员薪资信息等, 项目组设计单独角色进行管理,确保授权与实际岗位职责准确匹配。 精品文档就在这里
11、- 各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有尽有- - - -精品文档 - 2权限测试 权限设计结果经业务部门确认无误后,由技术组负责在系统中配置 实现。针对通用角色、复合角色的配置以及最终用户帐号匹配等环节, 项目组分别安排对应的权限测试工作,确保每个环节的配置均准确无误。 单个角色配置 复合角色配置 单个角色测试 用户名匹配 复合角色测试 权限复测 图 3- SAP 的权限测试流程 测试主要从以下几个方面考察: 首先,针对通用角色和复合角色,重点考察其配置结果是否符合预 期设计,能否实现要求的业务操作; 其次,针对最终用户岗位角色,重点考察其不应当具备哪些权限,
12、然后测试在应当具备的权限中是否能正常执行业务操作; 最后,从信息类型的角度,重点考察后备干部信息、薪资信息等保 密性强的信息类型,测试拥有该信息类型的用户是否恰当。 精品文档就在这里 - 各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有尽有- - - -精品文档 - 3. 权限反向查找 权限反向查找是为了确保用户权限测试更加全面、准确,其运行机 理就是从 HR相关命令和信息类型出发, 反过来查找有哪些用户拥有这些 命令和信息查看的权限。这区别于权限测试环节,从用户、角色角度出 发,检查配置的命令和信息类型是否妥当,可以说是权限测试环节的有 效补充。 通过权限反向查找,项目组对
13、拥有机密信息查看维护权限的用户再 次做了详细测试,确保不会出现差错和纰漏。此外,该工作在ERP上线 后仍可作为日常系统监控的有力手段之一,由运维人员帮助用户及时检 查权限设置情况,保证系统数据安全。 3. 权限运行与管理 在 ERP上线后,通过如下措施监控权限变更情况,以及系统数据的 访问情况,确保数据安全和权限严格管理。 1用户安全审计 用户安全审计通常根据管理需要,由系统管理部门在既定的审计策 略下,分解和确定需要跟踪分析的CLIENT 、事件类别、具体事件、然后 再细听后台加以配置。 SAP 自带的审计功能有两个,首先是时间形态的审计日志,通过参 数 rsau/enable=1开启该功能
14、; 其次事务码 SM19 配置审计的事件, SM20 来做审计日志分析。 据此可以查询指定用户有关登陆情况、系统操作等信息,包括系统 管理员的动作列表。 鉴于审计日志在操作系统上以文件形式存储的,因此没有SAP_ALL 权限却有操作系统ROOT 权限的一样可以删除日志。 如果实施了上述监控 精品文档就在这里 - 各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有尽有- - - -精品文档 - 的话,即使有 SAP_ALL 的人员在 SAP上删除了审计日志,但这个删除动 作是可以被 SAP系统记录下来的,所以审计日志依然可以起作用,对于 系统完全监控和追溯分析具有一定价值。 2权
15、限和用户变更记录 运维人员可以通过SAP的权限和用户变更记录工具,随时查询用户 和权限的变更时间,变更内容和变更人员。 通过以上三个工具出具日常的维护报告(每周或每月),生成用户 操作统计表、 用户变更统计表、 角色变更统计表以及敏感表变更统计表, 以评估系统的安全运行状况。 用户操作统计表 用户名所操作的交易和报表操作时间操作计算机名 精品文档就在这里 - 各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有尽有- - - -精品文档 - 在 ERP运行过程中,如果因用户非法访问导致用户数据泄密情况, 运维人员仍然可以通过以上三个工具追查用户的非法访问。 1) 通过用户审计监视
16、器提取执行非法操作(某交易代码或报表)的 用户名和执行操作的终端计算机名称。 2) 对照权限设计文档检查此用户权限是否正常。 3) 如果不正常, 通过权限和用户变更记录, 查找变更情况和变更人。 4) 查看变更记录单。 5) 查看权限变更人员操作记录。 结论: SAP 权限的重要性是毋庸置疑的,但是在项目实施过程中,往往都 不太重视权限,主要的原因是在上线期间以及上线后的短期内负面效果 往往体现不出来, 突发的 权限问题也可以立即处理掉。 这样做的后果也 是很严重的,可能在一段时间之后SAP系统的权限管理者会忽然发现在 不知不觉中权限管理已经变成了无序的状态,各种流程也变成了一种形 式。在项目
17、的实施过程中投入一点关注,就会为以后系统的健康使用打 下很好基础。 参考文献: 1 德 萨斯喀 ?亚历山大 .SAP权限系统 M. 北京:东方出版社 ,2001. 2010 年读书节活动 方案 一、活动目的: 精品文档就在这里 - 各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有尽有- - - -精品文档 - 书是人类的朋友,书是人类进步的阶梯!为了拓宽学生的知识面,通过开展“和书交朋友,遨游知识大海洋”系列读书活动,激发学生读书的兴趣,让每一个学生都想读书、爱读书、会 读书,从小养成热爱书籍,博览群书的好习惯,并在读书实践活动中陶冶情操,获取真知,树立理想! 二、活动目标:
18、 1、通过活动,建立起以学校班级、个人为主的班级图书角和个人小书库。 2、通过活动,在校园内形成热爱读书的良好风气。 3、通过活动,使学生养成博览群书的好习惯。 4、通过活动,促进学生知识更新、思维活跃、综合实践能力的提高。 三、活动实施的计划 1、 做好读书登记簿 (1) 每个学生结合实际,准备一本读书登记簿,具体格式可让学生根据自己喜好来设计、装饰,使其生动活泼、各具特色,其中要有读书的内容、容量、实现时间、好词佳句集锦、心得 体会等栏目,高年级可适当作读书笔记。 (2) 每个班级结合学生的计划和班级实际情况,也制定出相应的班级读书目标和读书成长规划书,其中要有措施、有保障、有效果、有考评,简洁明了,易于操作。 (3)中队会组织一次“读书交流会”展示同学们的读书登记簿并做出相应评价。 2、 举办读书展览: 各班级定期举办“读书博览会”,以“名人名言”、格言、谚语、经典名句、“书海拾贝”、“我最喜欢的”、“好书推荐”等形式,向同学们介绍看过的新书、好书、及书中的 部分内容交流自己在读书活动中的心得体会, 在班级中形成良好的读书氛围。 3、 出读书小报: