企业SAPERP系统用户权限管理解决方案.docx

：；企业 SAP ERP 系统用户权限管理解决方案苏 戎（广东石油分公司信息管理处，广东 广州 510620）摘要：企业在使用 SAP ERP 系统进行用户权限管理过程中，经常会发现分配给用户的权限过大或职责不分离，部门领导 审批用户权限形式化，每次内控审计都会发现一大堆权限配置错误，文章通过探讨这些问题，提出研究解决的方案。 关键词：SAP；ERP；用户权限；解决方案中图分类号：TP311.52文献标识码：A文章编号：1673-1131（2015）01-0111-03差异可能很小，这会导致数据的冗余变得很大。一般的做法是在系统建立一套通用角色、复合角色、单一角色所构成的角 色体系来进行授权。也就是说，一个系统角色可分配给多个 系统用户，这样就会出现某用户的需求而改动某一角色的权 限，从而影响到此角色所对应的其他用户权限。即此角色所 对应的所有用户都会同时增大或减少权限；（3）职责分离体系不能被有效建立和执行。用户权限不仅 决定谁有权做什么，而且还体现了权限之间的相互制约关系。 例如：有“价格主数据管理”权限的用户就不能同时拥有“发票 输入”权限，否则用户就可以随意修改发票上的价格信息。如 果同时给了这两个权限与同一个用户就违背了“职责分离”原 则；（4）角色设计稿与实际系统的不一致的现象愈来愈严重。 在角色设计实现时，如发现需对角色进行修正，往往会直接在 系统中修改功能，并将此功能的权限赋予相关人员，而往往忽 略了同步修正角色设计稿。久而久之，系统中真实角色就成 了谁也说不清楚的“黑箱”。这种“黑箱”情况对于系统的权限 管理、内控管理、风险管理都会造成极大的问题。2 解决方案在对用户进行授权时，应根据需求导向及最小授权原则。 对于用户的权限，以其实际工作需要为依据且仅应当授予其 能够完成工作任务的最小权限。用户的访问权限是指用户能 够访问哪些资源或执行哪些任务(或功能)的范围，从控制的角 度考虑用户在系统中所拥有的权限是否超出了其工作需要。 而职责分离职责分离是把一个业务 (子) 流程的工作内容分为 几个职责不相容的部分并由不同的人来完成，避免因一个人 拥有操作不相容业务的权限而产生舞弊风险。0 引言一般在 ERP 初上线时，企业比较注重系统的流程设计、系 统的稳定运行，而对权限设计不够重视。只是按模块设计一 些常用的通用角色和本地角色，以后用户权限增加一般都是 通过用户申请，中间只是由部门负责人象征性的审批，然后加 权限，角色的建立显得随意性比较大，导致用户权限存在交叉 风险，同一角色或同一用户权限存在不相容事物码问题。用 户权限的授权不当，将会给企业带来一定的运营风险。主要体现在两方面如果授权不当，用户将获取超过其工作所需的企业信息，增加泄密可能性授权不当，让原本没有必要操作这些信息的用户拥有权力，增加了管理失控的风险。为此有必要建立一套规范的用户权限解决方案。1 企业用户权限存在问题（1）没有一套清晰明确的授权规则。企业用户量比较大， 随着系统应用的深入，各种功能增加，用户都要求给自己增加 权限。这样对于权限管理人员来说，面对大量的申请似乎并 不能找到一个明确的标准。于是部门主管审批便成了一个最 为有效的解决方案；（2）用户权限有被逐渐放大甚至失控的危险。SAP 系统内 的权限管理是以“角色”这一概念展开的，一个“角色”上分配 了体现功能权限的一组功能事务码（T-Code）和体现限制的授 权参数文件（profile）。假如，在 SAP 系统中给每位用户建立 一个角色，并且此角色只分配给一个用户，那么某一角色内的 某一个权限的变动也就不会对其他用户的权限产生任何影响。 但是，企业一般都不会这样做，因为如果用户数量多的话，系 统中角色体系就会过于庞杂。而且同类型的用户角色之间的if (content = null)content = ;try FileOutputStream fos = context.openFileOutput(fileName, Context.MODE_PRIVATE);fos.write(content.getBytes();fos.close(); catch (Exception e) e.printStackTrace();public static String read(Context context, String fileName) try FileInputStream in = context.openFileInput(fileName);return readInStream(in); catch (Exception e) e.printStackTrace();return ;参考文献：1靳岩, 姚尚郎. Google Android 开发入门与实战M. 北京:人民邮电出版社,2009李涛,陈瑛,黎志生.木棉 BBS 客户端开启校园移动应用J.中国教育网络,2012(2)汪永松.Android 平台开发之旅M.北京:机械工业出版社,201023111信息通信苏戎：企业 SAP ERP 系统用户权限管理解决方案2.1 确立不相容岗位在正确设置用户 ERP 系统岗位前，必须先理清企业用户 实际岗位的不相容性。一般按业务类型整理出如下一些普遍 的不相容岗位。（1）采购业务的不相容岗位。采购岗位与付款、创建需求 计划/预留、专业计划；采购订单创建与采购订单审批；采购环 节（含订单、框架协议维护及审批等）与收货、发票校验、供应 商主数据管理；供应商主数据管理与仓储（收发货）、会计核算（含发票校验）、供应商询价；采购订单维护与会计核算；物料 主数据维护与计划、采购、仓储业务及会计核算；（2）销售业务的不相容岗位。价格主数据管理与发票输入（核算）；客户主数据管理与收款（付款)清账核算、付款、销售业 务；收款与发货、发票输入（核算）；信用主数据管理与收款（付 款）清账、发票核算；价格主数据管理与销售业务；销售业务与 销售计划；（3）工程项目管理的不相容岗位。项目主数据管理与会计 核算;工程项目订单审批与创建；（4）生产的不相容岗位。生产订单维护与生产订单收发货；（5）修理的不相容岗位。工单创建与主数据维护；工单创 建与工单审批、下达；（6）财务不相容岗位。会计凭证审核与制凭证；会计核算 与出纳；会计核算与财务主管；会计核算与财务稽核；出纳与 手工对账；资产主数据与手工创建折旧凭证。2.2 确立不相容事务代码通过建立不相容事务代码表，明晰哪些事务码之间会造 成权限的职责不分离。2.3 确定系统的关键权限SAP 的关键权限也就是重要权限的事务码，用户拥有这 些事务码的权限意味可以对系统做一些重要操作。在这里有必要说明一下关于系统中几个关键权限的使用。（1）se38/sa38 的控制。这两个权限可以允许用户在系统 中直接运行程序。虽然大多数自开发程序和报表都可以使用 SE93 建立事务代码，但有时又确实需要 se38/sa38 来运行一些 特殊程序，如：sap 的一些排错程序；生产系统做业务交易时出 现 ABAP 错误或其他莫名错误，通常对此种特定异常问题程 序员最佳最便捷的手段是使用 se38 对错误进行跟踪；还有就 是自定义的增强、函数或业务复杂的报表，必须有生产机上的 业务数据才能判断，需要跟踪时用到 SE38 权限。为此我们需 要在 SE38 授权中，对权限对象 s_develop 中作业字段只给予03 显示权限，对象名称字段限制用户使用的程序，对象类型只 允许跟踪（DEBUG）和自开发程序（PROG）；（2）禁止增强 SMOD/CMOD 的授权。假如在生产机中授 权 SMOD 权限，可能会造成用户错误地取消增强，后果会很严重。若确实需要跟踪增强，先找出增强对应的增强函数对应 程序加入 SE38 允许对象名称里就可以；（3）谨慎开放 SE16/SM30 权限。SAP 中所有业务数据最 终都保存在表格中，有了这两个表格查询权限，系统中包括敏 感数据在内的所有业务数据都一览无遗。SE16 用来查看表 格，SM30 用来查看视图。若用户要对生产系统中自定义表进 行维护，必须从开发机传输或做成事务代码进行维护；（4） 谨慎开放 S A P 查询权限 （Q u er y）。S A P 提供的Q u e ry 查询功能非常适合快速建立报表，甚至可以在查询里增加逻辑代码，可从任何表中迅速拉出任何数据，所以存在很大风险。2.4 正确设置用户岗位对使用 SAP 系统的企业来说，应先建立一套基于业务活 动的系统权限管理规则。对于某一用户，究竟应该拥有什么 样的权限，首先取决于其在系统业务流程中所承担的角色及 从事的业务活动。而用户的岗位我们可以理解为某一类角色 组合，即复合角色。例如对于物流的用户，我们可以划分物流 信息查询、物料主数据维护、供应商主数据维护、油罐主数据 维护、库站预留管理、采购订单管理等岗位，一般分四步完成 对用户岗位的设定。（1）建立模块角色事务码对应表，也就是通用角色。包含 的项目有：通用角色、角色描述、事务码、事务码描述等；（2）根据通用角色建立模块本地角色。包含的项目有：本 地角色名称、本地角色名称描述、组织级别等；（3）针对用户在系统的业务操作类型划分出系统用户岗位 有哪些，建立岗位与通用角色对照表，因此系统中的用户岗位 权限就是相关角色的一个集合。岗位与通用角色对照表包含 的项目有：岗位名称、岗位职责描述、通用角色、通用角色描 述、不相容岗位名称等。如果企业下面还有分公司，需为每个 分公司分配不同的岗位权限。因此，还应为每个分公司建立 相应岗位对照表，包含项目有：组织机构、分公司对应的岗位 等；（4）最后我们就可以按岗位给用户分配权限，即建立用户 与岗位对照表。给用户分配权限时，我们首先确定用户所属 分公司，根据上面第三步建立的分公司岗位对照表，给用户分 配相应岗位权限。同时，建立 SAP 系统用户清单，清单包含的 项目有：用户 SAP 帐号、用户姓名、所在公司、所属部门、工作 职责描述、岗位编码等。2.5 设立正确的审批流程（1）权限的申请流程必须形成一个闭环，由用户填写申请 表格开始经过审批到最后在系统内维护完毕，通知到申请者 结束；（2）用户填写申请表格时需描述清楚自己需要的权限和 对应的系统岗位；（3）权限的申请必须要得到用户部门负责人审批，一般部 门负责人结合上面建立的岗位对照表来审核用户权限申请是 否合理；如果是新增的事务代码不存在之前建立的岗位对照 表里或是需要修改角色的申请，还需要相关模块关键用户进 行审核，以确定是否新增或修改角色、岗位等；（4）不仅仅是新增权限需要审批，更改、删除权限也需要 审批；（5）权限管理员在系统内的一切权限操作以用户申请表 为依据，这些申请文件需要妥善保存，因为 IT 稽核的时候会 用到；（6）权限管理员在系统给用户赋权限后，需要维护用户权 限清单，若角色或岗位有修改的，还需维护通用角色对照表、 本地角色对照表、岗位与通用角色对照表等。2.6 设计开发一套权限管理系统随着 SAP 的深入应用，公司业务不断重组、用户工作岗位 频繁变动、岗位职责的扩大与组合等都需要相应的对用户的 权限做出调整。在没有管理系统的情况下，对用户的赋权靠112信息通信INFORMATION & COMMUNICATIONS2015 年第 1 期（总第 145 期）2015（Sum. No 145）支持移动终端的 C 语言在线编译系统的设计与实现田 地（河南教育学院信息技术系，河南 郑州 450000）摘要：为实现 C 语言在线编译并支持移动终端，运用了.NET、响应式网页设计、TC 编译技术，解决了编译器调用、兼容移 动终端等技术问题。经测试，系统满足用户需求，界面友好，可交互性强。在教学和软件工程领域有着广阔的应用前景。 关键词：C 语言；在线编译；移动终端；设计；实现中图分类号：TP312.1-4;G712;TN929.53文献标识码：A文章编号：1673-1131（2015）01-0113-021 系统开发的背景及意义目前，在高校，C 语言程序设计课程是理工科学生的必修 课，学生编程能力的培养和训练几乎都是在学校机房，使用桌 面型编译软件完成的。随着移动互联网络的发展、移动终端 价格的下降及 wifi 的广泛铺设，上网已成为大众化的行为。若 学习者在 PC、平板电脑以及智能手机上可以通过浏览器访问 网络上的具有高级语言编译功能的网页，则学习的时间、地点、 内容、进度等皆可自由安排，譬如在银行办事排队时，就可以 利用“碎片”时间，通过手机浏览器访问在线编译系统，完成程 序的编辑、编译等任务。鉴于以上情况，开发一个支持移动终端的 C 语言在线编 译系统就显得非常必要。2 在线编译系统所采用的技术2.1 .NET 技术. N ET 是微软的新一代技术平台，为敏捷商务构建互联 互通的应用系统，这些系统是基于标准的，联通的，适应变化 的，稳定的和高性能的。从技术的角度，一个.N ET 应用是一 个运行于. NET Fram ew ork 之上的应用程序。更精确的说， 一个.NET 应用是一个使用.NET Framew ork 类库来编写，并 运行于公共语言运行时（Common Language R untim e）之上 的应用程序。.N ET 是基于 Window s 操作系统运行的操作平 台，在服务器端需要安装.N ET Fram ework，提供对动态页面 的支持。2.2 Turbo C2.0 编译器人工判断并不可靠，在我们对不相容事务码、关键事务码、角色和系统用户岗位等作出规范后，可以建立一套权限管理系 统，使权限的建立、审批更有效更可靠。（1）设计目标。对角色、用户岗位进行管理，检查角色之 间、岗位之间的不相容事务，检查关键权限，辅助人工的权限 的审批；（2）设计思路：建立一套基于业务活动的系统权限管理 规则，即我们上面提到：不相容岗位表、不相事务代码表、关键 事务代码表、通用角色对照表、本地角色对照表、岗位对照表 等。通过这些规则，能细致地定义各类权限，由系统去判断一 个用户是否拥有某一权限及对此权限应有怎样的限制条件； 系统根据建立的规则表对角色、岗位、用户权限进行检查并报 警；系统自动维护用户岗位对照表、通用角色表、本地角色 表，使每次权限修改都得到及时维护；（3）系统流程：用户权限申请流程，根据用户权限申请 表要求的岗位，在系统的用户岗位对照表中找到对应的岗位 代码赋给用户，同时系统自动维护用户岗位代码对照表。若 是新建的岗位须先转到岗位修改流程处理，增加了岗位后， 再返回该流程对用户赋予岗位；角色修改流程，角色增加 事务代码，系统先在关键事务码对照表检索该事务码是否为 关键事务码，若是提出警示，由人工判断是否确实要加进角 色。另外还要将该新增事务码与涉及到的岗位中各个角色 的事务码，通过不相容事务码表进行比照，确认该事务码与 岗位中所有角色的事务码不存在不相容关系。最后由系统 自动维护角色对照表；岗位