复制成功
  • 图案背景
  • 纯色背景
  •   |  注册
  • /
  • 批注本地保存成功,开通会员云端永久保存 去开通
  • sap系统权限精细化管理方法研究

    下载积分:1500

    内容提示: 中图分类号:TP319文献标志码:B文章编号:1672—4844( 2011112—0031—05物舀日觚P询l l 护瑟醯磨啦含缀厨鼹夺阜时间。朗阗强国垒鲤鲤嚣蜜位金庐壁巍旦颐国岛超曰黎。廊窃罚国都会鼢羼溉啜垦椎。鲴何寒觋可持醵翰识嗯《跚诒曾驷套迥爨鼬譬喻颐圄哟赛超魑皋。暴缝鼹遐行。值雇赛台甚嚣颐圄哟感赡。超迪菏界圃觚p援趣曾靼勘国胁鼹弧鼢宽。爨圈台国谊周建磐勘镥翰菏艟8鳍禽塞曝项圄詹啥越酚。珊建壁锄盥跚庭帮纲曲曾疆规箍。谊厕觑谊。赛籀瓤旌。爨趋甸8龇庐缉规B翁包姻0引言SAP系统权限精细化管理方法研究徐焕.彭祥礼湖北省电力公司信息通信中心.湖北武汉43007...

    亚博足球app下载格式:PDF| 浏览次数:34| 上传日期:2015-06-05 00:39:09| 亚博足球app下载星级:
    中图分类号:TP319文献标志码:B文章编号:1672—4844( 2011112—0031—05物舀日觚P询l l 护瑟醯磨啦含缀厨鼹夺阜时间。朗阗强国垒鲤鲤嚣蜜位金庐壁巍旦颐国岛超曰黎。廊窃罚国都会鼢羼溉啜垦椎。鲴何寒觋可持醵翰识嗯《跚诒曾驷套迥爨鼬譬喻颐圄哟赛超魑皋。暴缝鼹遐行。值雇赛台甚嚣颐圄哟感赡。超迪菏界圃觚p援趣曾靼勘国胁鼹弧鼢宽。爨圈台国谊周建磐勘镥翰菏艟8鳍禽塞曝项圄詹啥越酚。珊建壁锄盥跚庭帮纲曲曾疆规箍。谊厕觑谊。赛籀瓤旌。爨趋甸8龇庐缉规B翁包姻0引言SAP系统权限精细化管理方法研究徐焕.彭祥礼湖北省电力公司信息通信中心.湖北武汉430077在SAP项月实施过程中.权限工作的目标往往仅被认为是使用户能通过授权正常使用系统,而忽略是否能被管理。对于大型企业而言,SAP实施需要经历大量不同项目.会有不同权限顾问对同一个系统设计角色、修改角色,如果没有严格精细的管理.在经历过若干项目以后.新项目的权限顾问就很难知道系统已经存在哪些角色,在新的项目中永远只能重新设计该项目需要角色.而不会使用已经存在的角色,最终导致系统中的角色数量越来越庞大,庞大的角色数量将直接导致用户使用性能降低、用户权限不精确、参数文件超过上限导致用户无法再增加授权、新用户无法获得准确授权等一系列灾难性问题,直接影响运维T作的效率和用户的正常使用,甚至威胁系统安全。本文结合国家电网公司SG l 86丁程中ERP项目实施的实际T作经验.通过对SAP提供的一系列角色管理功能的深入研究.找m精细化权限设计的方法.提山统一的角色使用规范和管理模板.实现埘SAP授权的精细化管理。1可管理的授权设计SAP提供复合角色、角色派生等功能帮助没计可管理的授权。使用复合角色可以将大量角色组合在一起,此功能可以实现将直接给用户授权的角色要求都根据岗位设计,大大减少直接给用户授权的角色数量。使用角色派生的功能,可以先根据业务范围设计参考角色.再根据、J k务范围设计派生角色,然后通过参考角色大量创建派生角色.此功能可以将业务范围设计和公司范围2011年第9卷第12期ELECTRI r Pf)1叽R IT匠万方数据 吐w—卿半L压囱1:NL(圊型+r覆丽注;“ M :N ” 表示多对多;“ 1:1” 表示单对单;“ I:N ” 表示单对多;“ =” 表示完全相同。图1授权架构Fi g.1Authori zati on f ram ew ork设计分成2个步骤,并大量减少权限设计的重复工作。结合以上功能规划授权设计架构、规范权限设计步骤、制定权限设计规则.就能设计出可管理的授权。1.1可管理的授权架构可管理的授权架构需要有清晰的结构、严密的逻辑、清楚的功能划分的授权架构。如图1所示.该图展现出一个可管理的授权架构中用户、角色、授权对象、授权字段、组织级别之间的关系。1.2设计步骤可管理的授权需要统一的设计方法.以保证授权在技术设计上的一致性,避免不同的权限设计者由于习惯和能力的差别导致权限设计差异巨大无法管理,设计路线如图2所示。设计权限首先根据蓝图设计拆分业务范围.判断拆分的功能是否需要区分公司范围操作,如果需要区分将该业务范围设计成参考角色,不需要则设计成普通角色。创建普通角色时如果该角色针对岗位或者职务设计,可以直四黧乏篡篙嚣嚣接给用户授权;如果该角色针对某个操作设计,则需要使用复合角色打包后再给用户授权.直接给用户授权的普通角色需要设计角色菜单。创建参考角色后,根据公司范围设计派生角色的组织级别参数,然后以此参考角色为模板,批量创建派生角色,再使用复合角色将角色打包给用户授权。1.3业务设计原则业务范围设计( 拆分) 是极为重要的工作,该工作决定角色的大小。如果角色太大,授权会缺乏精确、授权重复;如果角色太小,会使管理困难。参数文件超过上限。不同的业务,如:财务、人资、项目、设备,由于业务本身的巨大多懂墨K鋈爹厂丽医汨l 是设计角色公司范围创建派生角色差别,使权限在业务设计上必须会存在一定差别,因此此原则仅作参考。1) SAP提供的模板角色。这些角色均以“ SAP—XX一术’ ,开头,其中“ xX” 通常为某个SAP功能模块名,例如:FI( 财务) 、PS( 项目) 、H R( 人资) ⋯ ,如果业务正好符合SAP的标准流程。可以直接参考这些模板角色进行设计。2) 用户完成某件工作的完整操作。例如“ 财务凭证维护” 需要FB02( 凭证更改) 、FB09( 显示行项目) 、FB03( 显示凭证) 、FB03L( 在总分类账中显示凭证) 等事务的操作.可以将这些事务放在一个角色中。3) 对于用户的职务或者岗位。大多数情况下建议将角色按操作拆分,再根据使用复合角色打包,但有的岗位的用户操作单一、业务范围极小.并且不会区分公司范围.此类操作可直接将岗位和职务设计成单一角色给用户授权。最终.所有业务蓝图中的范围都必须有相关角色与之对应,在业务范围不发生变动的情况下,非复合角色也不发生改变。2角色管理对于可管理授权架构中涉及到的各种功能不同的角色,本文,,——、给用户授权创建复合角色将普通Ll 设计复合角色和派生角色打包{l 角色菜单图2设计路线Fi g.2 D esi gn roadm ap万方数据 结合SAP官方亚博足球app下载对角色的管理进行研究,针对不同类型角色从功能、使用范围、命名规范、组织级别、描述规范等各方面提出相应的管理规则.以达到对管理精细化的要求。2.1普通角色管理1) 功能。根据SAP菜单确定业务范围,配置授权对象、生成参数文件,可用作给用户授权。2) 使用范围。不区别公司范围的业务范围使用普通角色设计。3) 命名规范。Z:XX( 模块名)XXX(流水号),如:Z:fi 001。4) 组织级别。普通角色中不允许对组织级别赋值,除了“ 秽。5) 描述规范。普通角色可使用动词+名词( 动宾短语) 或者名词+动词( 主谓短语) 描述( 或者使用特定名词对功能的描述) ,如:维护xX数据,显示xX数据,设置XX,仓U 建XX。由于普通角色不会区分任何单位,所以不允许在此角色上增加任何单位描述.普通角色也可以按人员职务或者岗位命名,如:某l I, q务名或者“ XX” 人,此类普通角色直接给用户增加,不需包含进复合角色。6) 用户菜单。根据标准的SAP菜单结构,设计用户菜单,菜单功能包括该普通角色包含的事务。2.2参考角色管理1) 功能。根据SAP菜单确定业务范围,配置授权对象,生成参数文件,用作批量创建派生角色,该角色仅用于业务范围的功能测试,不用于用户授权。2) 使用范围。所有需要区分公司范围的业务范围都使用参考角色设计。3) 命名规范。Z:XX( 模块名)XXXX( 流水号) ,如:Z:F10001。4) 组ep, 级别。参考角色中涉及所有组织级别赋值必须是“ ∥ 。5) 描述规范。只能使用动词+名词( 动宾短语) 或者名词+动词( 主谓短语) 描述( 或者使用特定名词对功能的描述) ,如:维护XX数据,显示XX数据,设置XX,创建XX。由于参考角色不会区分任何单位,所以不允许在此角色上增加任何单位描述,由于参考角色不会给最终用户使用,因此也不允许使用岗位或者职位称来描述。2.3派生角色管理作为参考角色的子角色.该角色的业务范围全部从参考角色中继承而来.为了保持其一致性。对业务范围的修改( 增加、减少、修改授权字段) 只能在参考角色中完成,不允许直接对派生角色进行修改。1) 功能。配置组织级别,继承参考角色的授权对象和授权字段,生成参数文件,给用户授权。2) 使用范围。所有需要区分公司范围的公司范围都使用派生角色设计。3) 命名规范。Z:XXXXX( 参考角色名) +xxxX( 公司编码) +XXX( 流水号) ,如:Z:F100011505001.Z:F10001是该角色的参考角色,1506是公司编码,001是流水号( 在同一公司中范同还需要继续按其下级单位区分,因此需要流水号)。4) 组织级别。根据公司范围指定组织级别值,理论上不允许组织级别是“ ∥ 或者空值.除非该组织级别没有被用到。由于SAP提供的标准的组织级别在实际使用中会有一定差异,某些组织不会被使用,这些组织级别可以不用配置,但是有些非组织级别的权限字段需要在不同的派生角色中赋予不同的值,这些权限字段必须通过PFCG O RG Fl ELD CREATE程序转换成组织级别,在组织级别中赋值,否则直接在权限字段中赋值会在派生时全部同步成跟参考角色的值一致。5) 描述规范。组织级别名( 参照人资模块组织架构中组织级别描述) +参考角色名,如:xxxXX公司XX部门维护XX数据。2.4复合角色管理1) 功能。将各种角色组合在一起。2) 使用范围。复合角色根据实际的职务或者岗位设计,根据公司范围区/4",复合角色中所包含的角色必须是同一公司范同。如:一个复合角色中所包含的根据同一个参考角色创建的派生角色只允许有一个。3) 命名规范。ZC:XXXX( 公司编码) xx( 模块) xxxX( 流水号) ,如:ZC:1520F100001。4) 描述规范。组织级别名+岗位名或者组织级别名+职务名,如:XXXX公司xX专责、xxx公司XX部门会计,复合角色命名不允许是一个操作名或者是一个SAP功能描述。5) 用户菜单。根据标准的SAP菜单结构,设计用户菜单.菜单功能包括该复合角色中所有的普通角色包含的事务。3亚博足球app下载规范在精细化管理中.所有的工作都需要有详细的亚博足球app下载进行记录,以此保证权限工作的延续性。本文通过图3~6.将权限设计中2011年第9卷第12期ELECTRl C PoW ERIT口万方数据 ●●●●图3普通角色和参考角色设计Fi g3 D esi gn of norm alrol es and reference rol es的所有关键内容完整记录下来.清晰地展现权限设计的全貌,给权限调整提供参考和依据.避免权限的重复设计。网3记录了业务范围与角色的对应关系,不同模块如:n( 财务) 、H R( 人资) 、PS( 项目) 、PM( 没备) 、M M ( 物资) 记录在Excel中的不同页签中。业务范围菜单结构:导出的SAP标准菜单的结构;T—CoDE:前台作业事务代码:角色模板:角色是参考哪个SAP标准角色设计的( 没有可以不填) ;参考角色,普通角色名:填写角色名;图中的“ ” 说明该单元格所在列的角色包含该单元格所在行的事务代码。图4记录了普通角色和参考角色的详细权限字段配置信息.不同模块如:FI( 财务) 、H R( 人资) 、PS( 项目) 、PM ( 设备) 、M M( 物资) 记录在Excel 中的不同页签中。“ 普通角色和参考角色设计表” 中所有的设计过的角色都需EL_ECTRIC PO W ER IT要在本表格中记录其配置信息,,参考角色,普通角色名:该模块所有参考角色和普通角色名称:权限对象名:浚角色中所有权限对象名称;权限字段名:政权限对象中所有宇段名称:权限字段值:权限字段中的具体值。图5记录了所有派生角色跟参考角色的继承关系和派生角色巾组织级别的配置内容.不同模块如:兀( 财务) 、H R( 人资) 、PS( 项目) 、PM ( 没备) 、M M ( 物资) 记录在Excel 中的不同页签中。参考角色名:参考角色名称:派生角色名:通过该参考角色派生的角色名称:派生角色描述:派生角色的文字描述;组织级别名:不同的参j }偏色\蕾适角色名l 极限对复名极隔牢辟名擅b3tF—BKPF—BL^010202 BTC8酬PC O |01眦H BⅡPc.0|01bl01b3Z:F10001F—BKPF—BES1.203 7702 03Z:F10002K—rP—V^LⅡ0b11Ⅱ! § 旦! ~图4普通角色和根角色配置表Fi g4Confi gurati onof norm alrol es and root rol es两色名函目描l }武,Fm 供自i 司作H Ⅻ廿昨l 互正供电二司作皂群过● }苹葡匿惮审二司惟p“ 过讳武口市伊审£司P● #=计谚HT互F但自上司g- ¥芒计#冀擎萄F供申0司e妊;计E■武,P市但申£司xxxxxx.T量E供自0司珏ⅢI孽葡眄供卓£司XXXXXXZⅡ皿复苜角邑描, 武日萨屯t司盯罨=计武.p恤审£司对每& I量伊电二司” }Ii 但自.司l |每出:^●●●tYXI XY日=纂嵩甚I期T图5派生角色设计配置表Fi g.5 Confi gurati onof dedved rol es万方数据 万方数据

    关注我们

  • 新浪微博
  • 关注微信公众号

  • 打印亚博足球app下载
  • 复制文本
  • 下载sap系统权限精细化管理方法研究.XDF
  • 您选择了以下内容