《HR系统权限管理》PPT课件

2015年9月,中国石化人力资源管理信息系统（SAP-HR）培训资料权限管理,目录,一、权限管理概述,二、业务处理平台权限管理,三、综合应用平台权限管理,3,一、权限管理概述,1.1权限管理职责分工,1.3权限配置业务及表单,1.2权限管理要求,目录,系统权限管理分为总部和企业两级管理，由人力资源部门和信息管理部门分别承担有关管理工作。总部职责：制定权限管理相关规定和角色模板，明确系统用户范围，对用户新增删除进行备案管理，指导企业权限管理相关工作，定期对权限配置内容进行安全检查。企业职责：在总部的统筹下负责本单位用户权限的采集、审核和配置测试；负责权限调整、用户变更、密码重置和解锁等日常工作，合理控制用户范围，履行审批和监控职责。人力资源部门职责：作为业务主管部门，负责确定用户范围，对新增用户、权限调整进行审核，测试权限配置结果，会同信息管理部门制定和完善用户权限管理规定。信息管理部门职责：作为信息化主管部门，负责权限配置及系统安全的管理和监督，配合业务主管部门制定和完善用户权限管理规定、审批用户权限申请。系统运维组织职责：负责具体的权限配置，协助进行用户权限测试，提供相关的技术支持。,4,1.1权限管理职责分工,用户范围：严格按照用户范围要求，控制用户数量。业务处理平台用户包括各级人力资源部门负责人和业务人员、各级相关部门查询用户等；综合应用平台用户包括企业主管领导、人力资源部门负责人、定期报表统计人员、企业相关部门负责人和业务人员。用户：保证用户ID和密码的安全保密，依据岗位职责执行操作。审批部门：按照“谁审批、谁负责”的原则，依据相关管理办法进行审批。权限管理员：根据权限申请表和审批意见执行操作，做好文档备案。,5,1.2权限管理要求,1.3权限配置业务及表单,7,1.3权限配置业务及表单,二、业务处理平台权限管理,2.1权限术语,2.2权限设计原理及控制维度,目录,2.4权限相关账号及用途,2.3权限配置调整流程,2.5常见问题,角色是事先定义的、执行一定职能的一组功能操作，在业务处理平台中体现为一组事务代码(T-code)的集合。角色分为通用角色和本地角色，用于权限分配，划定授权范围。通用角色是所有本地角色的基础，用于权限分配，划定授权范围。总部根据企业的人力资源业务分类，结合系统实现，整理出一整套角色，供企业参考。本地角色用于权限分配，根据业务需要进行授权。可根据各单位的人事范围、人事子范围等设置，在通用角色的基础上增加参数限制，生成企业实际使用的角色。角色派生是在通用角色或本地角色的基础上，调整角色参数，生成新的角色的过程。结构化授权为HR系统特有的授权机制，用于控制用户可以访问的信息范围。目前，系统使用组织机构等作为结构化授权对象。配置账号的结构化授权参数后，账号只能看到对应的组织机构和所属人员的信息。企业简码是信息标准化管理系统给出的一个由两个英文字母组成的代码，每个企业有且只有一个。在HR系统中主要用于命名账号的前两位。,2.1权限术语,授权级别，用于限定业务处理平台数据记录操作的权限。授权对象，角色中一组限定了权限控制范围的对象。通过调整人事范围、组织代码、人员组、人员子组、授权级别、信息类型等组成部分来限定数据范围。组织代码，控制权限范围的一种编码，一般维护人事子范围。常用事务代码：SU01：用于修改账号信息及对账号加锁、解锁、修改密码的事务代码。SU10：可以批量添加删除账号与角色的对应关系的事务代码。SUIM：查看账号与角色的对应关系的事务代码。PFCG：用于修改、派生本地角色的事务代码。ZHRAU002：查询用户有权限的事务代码清单的事务代码。RSSCD100_PFCG：查看本地角色更改日志的事务代码。RSSCD100_PFCG_USER：查看用户与角色对应关系的变更日志的事务代码。,2.1权限术语,通过角色、结构化授权两个维度，根据实际业务分工和用户的岗位职责，划定用户可访问的信息范围，实现管控。权限管控维度：通过角色控制：可以控制到企业的人事范围、人事子范围、人员组、人员子组、工资核算范围、公司代码通过结构化授权控制：用于控制用户可以访问的机构范围，满足不同层级的管理需要。可以简单的理解为：控制一个账号有哪些机构的权限。,2.2权限设计原理及管控维度,填写新增用户相关用表用户表在用户表中，用户须填写部门、岗位、姓名和系统用户名。组织机构节点与结构授权参数文件对应关系表在组织机构节点与结构授权参数文件对应关系表中，用户须填写组织机构节点、组织机构文本以及参数文件代码。参数文件命名规则为ZO+四位人事范围+两位流水码，其中若企业有多个人事范围，此命名可取其中之一。注：一个机构节点只对应一个结构化参数文件。对于一个结构化参数文件对应多个组织机构节点，请提供一个结构化参数文件文本描述。用户与授权参数文件对应关系表在用户与授权参数文件对应关系表中，用户须填写用户姓名、系统用户及参数文件代码。,2.3权限配置调整流程,新增用户-新上线企业,用户与角色对应关系表在用户与角色对应关系表中，用户须填写单位、用户姓名、系统用户及这个账号所需要分配的角色。注：用户与角色对应关系表中的单位必须与用户表中部门保持一致。本地角色配置表在本地角色配置表中，用户须填写本地角色的名称、本地角色的名称描述、人事范围、人事子范围、人员组、人员子组、工资核算范围、公司代码。注：薪酬类角色（含有PY_SALARY的角色）须填写工资核算范围、公司代码列。表单填写完成后，提交到项目组。,2.3权限配置调整流程,新增用户-新上线企业,新增用户-已上线企业,填写新增用户相关用表用户权限申请表，需要填写用户姓名、工作单位、部门、系统用户名ID、岗位(职务)、联系电话，并由人事部门领导签字、单位盖章。用户表、组织机构节点与结构授权参数文件对应关系表、用户与授权参数文件对应关系表、用户与角色对应关系表。表单填写完成后，提交到项目组。,2.3权限配置调整流程,用户调整-已上线企业,调整用户结构化授权，需要填写组织机构节点与结构授权参数文件对应关系表、用户与授权参数文件对应关系表。调整用户角色，需填写角色传输表。在角色传输表中，用户须填写序号、需要传输的角色、角色描述、变动原因，备注可填写变动内容。表单填写完成后，提交到项目组。注：在发送传输申请邮件前，请确保已修改的角色完成激活，并退出角色修改状态。,2.3权限配置调整流程,角色派生,通用角色分两种，一种是以HR_COM开头的角色，另一种不是以HR_COM开头的角色；前者可以直接分配给账号使用，后者必须通过角色派生，并由总部传输后才能分配给账号使用。由通用角色派生得到的本地角色的命名规则如下：HR+人事范围+模块简称+角色简称+人事子范围。例：本地角色HR_4006_PY_SALARY_PROCS_0001由通用角色HR_PY_SALARY_PROCS_BS派生得到。使用权限系统配置账号登录DH3-500系统后，进行本地角色派生：输入事务代码PFCG在“Rolle”栏输入需要被派生的通用角色，点击“复制”按钮，然后在弹出框的“到角色”栏中，输入要派生的本地角色名，最后点击“复制所有”按钮对派生得到的本地角色进行调整，具体参照角色调整。保存后，请激活。注：所有需要修改角色配置，应将激活作为最后一个操作步骤。,2.3权限配置调整流程,系统演示,角色调整,企业通过调整本地角色的参数配置，实现灵活、准确的权限控制。调整对象有两类，分别是事务代码权限和人员信息权限。事务代码权限变更：通过增加或减少赋予账号的角色，实现事务代码权限调整。可以通过查询中国石化SAP-HR项目权限设计_通用角色（用户）表，得到事务代码与角色的对应关系，由此增加或减少赋予账号的角色。人员信息权限变更：授权对象调整是人员信息权限变更时的一种常用方法，使用权限系统配置账号登录权限配置系统后，按以下步骤进行授权对象的调整。注：人事范围、人员组和人员子组的信息是否不为*；人员组不能为A-Z；高管的本地角色要求人员组为A，人员子组是10或11。,2.3权限配置调整流程,角色调整-授权对象调整,事务代码PFCG在“Rolle”栏输入要调整的本地角色，点击“更改角色”按钮“Description”栏可修改本地角色中文名称，点击“权限”选项卡后点“修改”按钮更改授权数据,2.3权限配置调整流程,角色调整-授权对象调整,点击“展开”按钮，展开“人力资源”“人力资源：主数据”，按需求修改信息类型、人事范围、人员组、人员子组、子信息类型、组织代码（人事子范围）等信息。其中人事范围必须修改为本企业的人事范围，人员组不能为“*”和A-Z，人员子组不能为*。双击授权对象中的某一项，如人事范围右侧原人事范围4006所在的位置之后，出现截图中右边的对话框，再在“从”列中，输入新的人事范围，最后点击“保存”按钮，即可增加人事范围4007所属信息权限,2.3权限配置调整流程,角色调整-授权对象调整,点击“保存”按钮，然后点击“激活”按钮填写角色传输申请表，提交到项目组。,2.3权限配置调整流程,角色调整-角色授权级别调整,如需限定业务处理平台数据记录操作权限，可进行本地角色授权级别调整。授权级别，主要分为读取和写这两大类操作：M（使用输入帮助进行读取）R（读取）S（写锁定的记录；若记录的最后更改人不是当前用户，则解锁）E（写锁定的记录）D（更改锁标识）W（写数据记录）*（所有操作）在某些特定业务中，在业务处理平台维护的数据记录需审核后生效，此时需要使用与锁标识有关的授权级别。,2.3权限配置调整流程,对维护数据记录的账号，需分配授权级别带有E和S的角色。对审核数据记录的账号，需分配授权级别带有D的角色，或直接将角色的授权级别设为“*”。,2.3权限配置调整流程,角色调整-角色授权级别调整,权限管理员账号解锁、重置密码、权限调整，通过问题平台提报，由项目组处理。,2.4权限相关账号及用途,系统配置（DH3-500）,双击”SAP快捷方式”按钮，进入登录界面，点击”新建”按钮进入下一屏点击“下一步（N）”按钮进入下一屏连接类型选择“自定义应用程序服务器”、描述填写“DH3-配置系统”、应用程序服务器填写“2”、系统编号填写“00”、系统标识写“DH3”，完成上述操作后点击“完成”按钮选择“DH3-配置系统”，点击“登录”按钮，在“客户端”栏输入“500”，输入权限配置账号和密码，回车后进入系统,2.4权限相关账号及用途,系统配置（PH3-800）,在目录：WINDOWSsystem32driversetc下，找到系统文件services，用记事本的方式打开。在末尾增加“sapmsPH33600/tcp”信息后，回车并保存。,2.4权限相关账号及用途,系统配置（PH3-800）,双击”SAP快捷方式”按钮，进入登录界面，点击”新建”按钮进入下一屏点击“下一步（N）”按钮进入下一屏连接类型选择“组/服务器选择”、描述填写“PH3-800系统”、系统标识填写“PH3”、消息服务器填写“”、组/服务器选择“PH3”。完成上述操作后点击“完成”按钮，完成HR系统的客户端配置。,2.4权限相关账号及用途,权限系统配置账号,账号命名规则：S+企业简码+姓名拼音（如用户姓名为王二小，则姓名拼音为SXXEXWANG）目标使用系统：权限配置系统DH3-500主要功能：对本地角色进行修改主要使用事务代码：PFCG等,2.4权限相关账号及用途,系统演示,用户管理员账号,账号命名规则：企业简码+BC0001目标使用系统：权限配置系统PH3-800主要功能：给用户解锁、加锁、初始化密码等用户信息更改主要使用事务代码：SU01、SUIM、SU10、ZHRAU002等,2.4权限相关账号及用途,系统演示,使用用户管理员账号登录PH3-800系统后，按以下步骤进行业务相关账号锁定、解锁、重置密码和修改用户信息：1.输入事务代码SU01,2.4权限相关账号及用途,2.在“用户”栏输入要操作的用户名3.点击不同按钮完成锁定、解锁、重置密码和修改用户信息锁定和解锁点击“锁定”按钮如弹出框中显示账号状态为未锁定，则点击“锁定”按钮：,2.4权限相关账号及用途,如弹出框中显示账号状态为被锁定，则点击“解锁”按钮：重置密码点击“重置密码”按钮,2.4权限相关账号及用途,在弹出框中输入两遍相同的新密码后，点击“继续确认”按钮：,2.4权限相关账号及用途,修改用户信息点击“修改”按钮如，在“地址”选项卡中，修改账号使用人姓名、岗位等信息。点击保存，完成账号用户信息的修改。,2.4权限相关账号及用途,权限分配管理员账号,账号命名规则：企业简码+BC0002目标使用系统：权限配置系统PH3-800主要功能：为用户分配或调整本地角色主要使用事务代码：PFCG、SUIM、SU10、ZHRAU002等,2.4权限相关账号及用途,系统演示,权限分配管理员账号登录PH3-800系统，分配用户角色。分配方式有三种，分别是为多个用户分配相同角色、为单个用户分配多个角色和为多个用户分配多个角色。为多个用户分配相同角色输入事务代码PFCG在“Rolle”栏输入要分配的角色名称后，点击“修改”按钮,2.4权限相关账号及用途,首先点选“用户”选项卡；然后在“用户ID”列输入需要添加该角色的用户（可输入多个用户），回车后，显示用户名称和分配起止日期，起止日期可根据实际业务需要维护；点击“用户比较”按钮完成用户比较步骤；最后点击“保存”按钮,2.4权限相关账号及用途,为单个用户分配多个角色输入事务代码SU10在“用户”列输入要操作的用户，然后点击“修改”按钮,2.4权限相关账号及用途,在“角色”列输入要为用户添加的角色（可输入多个角色），回车后，显示分配起止日期，起止日期可根据实际业务需要维护，最后点击“保存”按钮为多个用户分配多个角色操作方法与为单个用户分配多个角色相同，其中在“用户”列输入多个用户即可。,2.4权限相关账号及用途,安全管理员账号,账号命名规则：企业简码+BC0003目标使用系统：权限配置系统PH3-800功能：核查用户和权限的信息变更，读取系统日志、报表主要使用事务代码：RSSCD100_PFCG、RSSCD100_PFCG_USER、SUIM、SU10、ZHRAU002等,2.4权限相关账号及用途,使用安全管理员账号可查看角色调整日志，查看方式有两种，分别是角色分配给账号的记录和账号被赋予角色的记录。角色分配给账号的记录查看输入事务代码RSSCD100_PFCG在“RoleName”栏输入要查询的角色名，在“FromDate”栏输入查询的起始时间，选择“OverviewofChangeDocuments”，确定查看类型，然后点击“执行”按钮。即可得到查询结果。,2.4权限相关账号及用途,账号被赋予角色的记录查看输入事务代码RSSCD_100_PFCG_USER在“Users”栏输入要查询的账号名，在“FromDate”栏输入查询的起始时间，然后点击“执行”按钮。即可得到查询结果。,2.4权限相关账号及用途,2.5常见问题,权限配置管理员在调整角色配置后，为什么调整后的配置未生效？,因为角色配置调整是在DH3-500权限配置系统完成的，如要在PH3-800系统中生效，需要将角色传输表提交至总部，待总部完成角色传输后，新配置生效。另外在发传输申请邮件前，请确保需传输的本地角色已经退出修改状态。项目组每天处理企业4点之前发送的传输邮件。如需紧急传输，请说明原因。,企业向总部提交结构化授权变更相关文档，总部传输后，为什么企业用户的结构化授权仍有误？,在总部完成传输后，用户需登录业务处理平台，使用事务代码ZHRAU008或ZHRAU009刷新结构化授权。,申请表本地角色是否含有空格；是否激活；人事范围、人员组和人员子组的信息是否不为*；高管的本地角色是否人员组为A，人员子组是10或11。,总部如何审核企业本地角色传输申请表？,如何查询与账号对应的结构化授权参数？,使用业务处理平台账号登录HR系统，执行事务代码ZHRAU005，在“用户名”栏输入要查询的账号，勾选“结构参数文件”。与“P_ORGIN(HR：主数据)”，点击“执行”按钮。,2.5常见问题,企业应该自行备案，如丢失，需提供相应的公司代码给项目组，项目组三个工作日内反馈查询结果。,如何获得结构化授权参数清单？,请查看”中国石化SAP-HR项目权限设计_通用角色（用户）表”。（PPT第17页）,分配某个事务代码的权限时，如何查询包含此事务代码权限的角色？,44,三、综合应用平台权限管理,3.1权限术语,3.2权限管控原则,目录,3.4权限相关账号及用途,3.3权限配置调整流程,3.5常见问题,通用角色：所有企业通用的各种功能角色，包括功能菜单角色、薪酬查看角色、特殊属性角色、员工组角色、员工子组角色。本地角色：按照报表单位编码配置的各种功能角色，包括数据范围角色、定期报表报送角色、定期报表审核角色、定期报表操作角色、定期报表查看角色。BW权限：BW权限决定账号可查看或操作的数据范围，包括通用角色中的薪酬查看角色、特殊属性查看角色、员工组角色、员工子组角色，本地角色中的数据范围角色、定期报表报送角色、定期报表审核角色。BO权限：BO权限决定账号对定期报表的使用权限，包括本地角色中的定期报表操作角色、定期报表查看角色。EP权限：EP权限决定账号可使用的综合应用平台功能页面数量，包括通用角色中的功能菜单角色。,3.1权限术语,综合应用平台权限分两级构成：第一级为功能页面权限，通过EP权限限定用户界面显示的相应功能模块；第二级为数据权限，其中通过BW权限限定用户可查看或操作的人员或机构数据范围，BO权限限定用户的定期报表操作权限。,3.2权限管控原则,新增用户-新上线企业,企业填写以下表单：报表单位采集表，需要填写报表单位编码、报表单位名称、报表单位简称、单位级别。用户表，用户须填写部门、岗位、姓名和系统用户名。用户与角色对应关系表，用户须填写用户姓名、系统用户、这个账号所需要分配的角色及角色说明（即角色中文名）。,3.3权限配置调整流程,新增用户-新上线企业,用户如需有综合应用平台的浏览查询和专项报表功能，要填写浏览查询和专项报表用户权限采集表。表中需填写综合应用平台账号、用户姓名、组织机构编码、机构名称，并选择人员范围和信息范围。其中是否选定信息范围可参照权限采集表中基本信息1、基本信息2、干部管理、人才管理、培训管理的内容。表单填写完成后，提交至项目组。浏览查询和专项报表权限，用户收到项目组邮件后，由权限管理员自行添加浏览查询和专项报表的EP权限。,3.3权限配置调整流程,新增用户-已上线企业,企业填写以下表单：综合应用平台用户权限申请表，需要填写用户姓名、工作单位、部门、系统用户名ID、岗位(职务)、联系电话，并由人事部门领导签字。用户表中，用户须填写部门、岗位、姓名和系统用户名。在用户与角色对应关系表中，用户须填写用户姓名、系统用户、这个账号所需要分配的角色及角色说明（即角色中文名）。如需添加浏览查询和专项报表权限，参考“新增用户-新上线企业”。表单填写完成后，提交到项目组。,3.3权限配置调整流程,用户调整-已上线企业,增加报表单位需要填写报表单位采集表至项目组，由项目组配置BW权限相关角色，反馈给企业，企业对角色进行分配。增加浏览查询、专项报表的权限需填写浏览查询和专项报表用户权限采集表，参考“新增用户-新上线企业”。表单填写完成后，提交到项目组。浏览查询和专项报表的权限表，用户可直接将申请表发至王晓华的邮箱wxh024。用户收到项目组邮件后，由权限管理员自行添加浏览查询和专项报表的EP权限。,3.3权限配置调整流程,权限管理员账号解锁、重置密码、权限调整，通过问题平台提报，由项目组处理。,3.4权限相关账号及用途,用户信息维护管理员账号,账号命名规则：企业简码+BC0001目标使用系统：BW权限配置系统功能：对账号加锁、解锁、修改密码及账号信息主要使用事务代码：SU01新上线企业需增加权限管理员账号，请填写申请表,3.4权限相关账号及用途,系统演示,权限分配管理员账号,账号命名规则：企业简码+BC0002目标使用系统：BW权限配置系统、BO权限配置系统、综合应用平台（EP）功能：对账号进行角色的添加、删除主要使用事务代码：只在BW权限配置系统中使用PFCG分配角色时，提示无权限，请填写如下申请表只总部，进行账号角色的增加。如新增海外单位，权限管理员账号没有海外角色的分配权限。,3.4权限相关账号及用途,系统演示,BW权限配置系统,在目录：WINDOWSsystem32driversetc下，找到系统文件services，用记事本的方式打开在末尾增加“sapmsBP43600/tcp”信息后回车并保存双击进入登录界面，点击“新建”按钮进入下一屏点击“下一步（N）”按钮进入下一屏,3.4权限相关账号及用途,BW权限配置系统,连接类型选择“组/服务器选择”、描述填写“BP4系统”、系统标识填写“BP4”、消息服务器填写“”、组/服务器选择“BP4_GROUP”，完成上述操作后点击“完成”按钮,3.4权限相关账号及用途,BW权限管理,企业BW权限管理包括：账号锁定与解锁、密码重置；用户账号基本信息维护；账号BW权限分配。账号锁定与解锁、密码重置，使用用XXBC0001的账号登录BW权限配置系统，输入事务代码SU01在“用户”栏中输入用户名点击按钮完成锁定、解锁,3.4权限相关账号及用途,重置密码点击“重置密码”按钮。在弹出框的“新口令”栏和“重复口令”栏输入相同的新密码，点击“继续确认”,3.4权限相关账号及用途,用户账号基本信息维护如选择“地址”选项卡，编辑相应的用户信息，点击“保存”按钮即可。,3.4权限相关账号及用途,BW权限分配调整，用XXBC0002的账号登录BW权限配置系统，输入事务代码SU01在“用户”栏中输入用户名，点击“修改”按钮选择“角色”选项卡,3.4权限相关账号及用途,如果需要新增角色，在“角色”列最后的空白行输入角色名称，根据实际业务维护角色的有效时间：”有效从“和”有效至“。点击保存，分配的角色生效。,3.4权限相关账号及用途,如果需要删除角色，在“角色”列中选中需要删除的角色，然后点击“删除记录”按钮。点击保存，完成角色删除。,3.4权限相关账号及用途,需要注意的是，在给账号分配BW权限的数据范围权限时，要依如下规则进行：每个账号都要分配直属单位、二级单位和三级单位三个层级的数据范围角色。例如：如果要给某直属单位完全显示权限，则应给齐以下角色：PJS_SJ_*_JT_ALL（该直属单位完全显示权限，*表示该直属单位）PJS_SJ_*_JT_EALL（该直属单位所有二级单位完全显示权限）PJS_SJ_*_JT_SALL（该直属单位所有三级单位完全显示权限）如果要给某二级单位完全显示权限，应给齐以下角色：PJS_SJ_*_JT_ALL（该二级单位所属直属单位完全显示权限）PJS_SJ_*_JT_08（该二级单位完全显示权限，08表示该二级单位）PJS_SJ_*_JT_08_SALL（该二级单位所有三级单位完全显示权限）,3.4权限相关账号及用途,如果要给某三级单位完全显示权限，则应给齐以下角色：PJS_SJ_*_JT_ALL（该三级单位所属直属单位完全显示权限）PJS_SJ_*_JT_08（该三级单位所属二级单位完全显示权限）PJS_SJ_*_JT_08_03（该三级单位完全显示权限，03表示该三级单位）,3.4权限相关账号及用途,BO权限配置系统,系统地址：34:8080/CmcApp/logon.faces打开浏览器，输入登录地址，系统使用默认值，SAP系统输入“bp4”，SAP客户端输入“800“，身份验证选择“SAP”，输入用户名和密码后点击”登录“，进入系统,3.4权限相关账号及用途,BO权限调整,BO权限主要针对定期报表相关业务，包括操作组权限和查看组权限。查看组：用户可以查看报表但不能上报报表。