SAP系统权限自动化设计与实现

邹宇雄

[摘    要] SAP系统作为有限公司ERP核心系统，涉及有限公司人、财、物管理的整个业务链。由于公司组织机构及业务的复杂程度极高，为了规范企业内部的业务边界以及风险管控，必然带来ERP系统权限管理巨大工作量。有限公司通过根角色实施项目重构SAP系统权限架构，在根角色项目的基础上结合多年的业务经验，将权限自动化功能的设计与业务处理巧妙糅合，成功实施了SAP权限自动化项目，切实提高了SAP权限管控的自动化管理水平。

[关键词] ERP;根角色;SAP权限自动化

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2019. 11. 027

[中图分类号] F270.7    [文献标识码]  A      [文章编号]  1673 - 0194（2019）11- 0062- 03

1      根角色管理体系简介

权限自动化必须有相应的权限管理体系作为支撑，根角色管理体系可以有效保障權限的准确定位，同时能有效规避内控风险。根角色管理体系对权限管理的原则有两个：①满足公司内控要求，互斥的T-code不能分配到同一个角色，互斥的角色不能授权给同一个系统账号。②以最少的权限满足用户业务操作需要。SAP根角色管理原则如图1所示。

1.1   根角色、本地角色、岗位角色相互关系与编码规则

1.1.1   根角色

根角色是根据业务职责设计、有业务操作权限或者报表查询权限、且没有限制数据范围的一组授权字段、授权对象、事务人代码组合。根角色有以下重要特点：①根角色不存在互斥的T-code;②事务代码只能唯一存在于一个根角色下。③根角色的归属模块要和其中包含的T-code归属模块一致。

1.1.2   本地角色

本地角色是根据业务职责设计、有业务操作权限或者报表查询权限，且限制数据范围的角色。本地角色由根角色派生对授权字段赋值，明确每个T-code基本权限控制点的限制值，并且限制值要满足集团管控和跨所属单位权限控制要求。本地角色由根角色派生，本地角色对应一个根角色，一个根角色可以派生多个本地角色，因此同一个本地角色不存在互斥的T-code。

1.1.3   岗位角色

岗位角色是满足岗位工作需要的若干个本地角色的组合。岗位角色可通过SOD互斥检查程序及内控检查程序实现内控、安全、审计的管理要求。

1.2   根角色、本地角色、岗位角色的编码规则

1.2.1   根角色编码

T<二级单位编码>_<功能码>[类型]

T：模板角色;功能码：<模块>+3位流水号;类型：M维护，D显示，P打印，A审批，C配置

描述：说明角色功能

示例：T08_MM160D 常规货物移动

1.2.2   本地角色编码

ZL<根角色>_<公司代码>_[细分级别]

ZL：本地角色;根角色：对应的根角色ID，不含“T”字符;细分级别：公司代码之下的组织层级、业务限定值等。

描述：说明角色功能  示例：湛江分公司_常规货物移动_涠12-1油田仓库库管人员

示例：ZL08_MM160D_2002_STO_1204_0004

1.2.3   岗位角色编码

ZP<二级单位编码>_<公司代码>_<3位流水号>

描述：公司描述缩写_岗位名称描述

示例： ZP08_2002_092 湛江分公司_涠12-1油田仓库库管人员

2       权限自动化实现

通过外围系统对用户业务表单和审批流程完成处理后，调用相应的SAP接口功能完成权限业务自动处理。权限自动化实现主要包含四个业务：SAP用户账号创建/注销并审批、SAP用户权限新增/删除并审批、SAP角色变更。

2.1   SAP用户账号创建/注销并审批

<业务定义>

在易ERP系统创建申请工单并提交进入审批流程，相关负责人在易ERP审批完成后，调接口在SAP自动创建/注销用户并更新审批状态，用户无须登录SAP手工操作。

<应用设计>

实现SAP用户账号创建/注销和审批功能

操作：（1）用户在易ERP的提单页面填写单据信息

（2）验证通过后，提交流程进入审批环节

（3）审批领导收到待办邮件后，登陆易ERP审批流程审批单据

（4）审批完成后，系统调SAP接口在SAP创建/注销用户账号

<涉及业务流程>

SAP用户账号申请及审批流程

其流程如图2所示。

2.2   SAP用户权限新增/删除并审批

<业务定义>

在易ERP系统创建申请工单并提交进入审批流程，相关负责人在易ERP审批完成后，调接口在SAP自动添加/删除用户权限并更新审批状态，用户无须登录SAP手工操作。

<应用设计>

实现SAP用户权限变更和审批功能

操作：（1）用户在易ERP的提单页面填写单据信息。

（2）验证通过后，提交流程进入审批环节。

（3）审批领导收到待办邮件后，登录易ERP审批流程审批单据。

（4）审批完成后，系统调SAP接口在SAP自动添加/删除用户权限。

<涉及业务流程>

（1）SAP用户账号申请及审批流程。

（2）SAP用户权限变更及审批流程。

其流程如图3所示。

2.3   SAP角色查询

<业务定义>

在易ERP系统创建权限申请工单，输入限定条件，调接口自动查询SAP中角色。

<应用设计>

实现SAP角色查询功能

操作：（1）用户在易ERP的提单页面填写所需权限限定条件信息。

（2）点击查询按钮，系统调SAP接口查询相关角色信息。

<涉及业务流程>

（1）SAP用户账号申请及审批流程。

（2）SAP用户权限变更及审批流程。

2.4   参考查询

<业务定义>

在易ERP系统创建权限申请工单，输入参考用户，调SAP接口自动查询参考用户的权限。

<应用设计>

实现参考查询功能。

操作：（1）用户在易ERP的提单页面填写所要参考的用户ID。

（2）点击查询按钮，系统调SAP接口查询相关权限信息 。

<涉及业务流程>

（1）SAP用户账号申请及审批流程。

（2）SAP用户权限变更及審批流程。

其流程如图5所示。

2.5   SAP角色变更

<业务定义>

在易ERP系统创建权限申请工单，输入参考用户，调SAP接口自动查询参考用户的权限。

<应用设计>

实现SAP角色变更和审批功能。

操作：（1）用户在易ERP的提单页面填写单据信息。

（2）验证通过后，提交流程进入审批环节。

（3）审批领导收到待办邮件后，登陆易ERP审批流程审批单据。

（4）审批完成后，系统运维人员手工完成角色变更。

<涉及业务流程>

SAP角色变更申请及审批流程。

其流程如图6所示。

3      总    结

根角色方案保证了本地角色与事务代码的关联性，在技术上实现了事务处理与本地角色的关联性，为权限自动化创造了逻辑基础。通过角色查询、参考查询为用户快速申请相应角色提供了可选清单，选择相应角色后再自动调用接口程序实现权限自动分配，极大地提高了用户账号权限相关业务处理的效率。