SAP系统权限梳理工作研究与实现
SAP是全球领先的ERP 软件,权限管理是SAP系统中非常重要的一项工作,从ERP项目的全生命实施周期来看,初期公司更重视系统使用的稳定性,随着系统使用的深入,会有部分新的功能上线、新的增强开发投入使用、原有岗位的职责发生变化,因此为了保证深化应用的效果,加强对信息与系统安全的保护,对权限进行梳理更是十分必要,因此SAP系统在应用稳定后,需要进行权限复核检查并进行梳理,梳理工作一般会从三个方面逐步入手,一般顺序为事物代码、角、账号,通过完成这三方面的工作,最终达到对业务进行有力支撑的目的。
标签:SAP系统、权限梳理、权限控制
1、SAP系统权限梳理的重要性
SAP系统作为一款ERP软件系统,目前已经被很多企业所使用,其功能覆盖企业的财务、后勤、采购、库存、生产销售、质量管理和人力资源管理等诸多领域,作为该系统正常运行的基础,权限管理是必不可少了,它的主要工作内容简单来说就是为SAP系统这座城市和城市
内的各个建筑以及房间做好准入的管理工作,首先权限管理确保了系统内各项操作的正常开展,禁止非法用户访问系统,其次在大集中的环境下保障各个上线单位的独立运营,支持合法用户进行各项被授权的工作,再次,权限管理有效的支撑公司集中管控要求的落地,防止合法用户进行非法操作;最后,它起到了数据与系统安全保护的作用,对未知操作进行判断,并对潜在风险进行评估。各个SAP上线单位像所有信息系统上线一样,在前期的关注点更多是日常功能的正常使用,而不是基础权限管理工作的细化,这就好像一座新的城市刚刚开始建设,大家不会关注是否有陌生人进入到这座城市一样,但随着使用的不断深入,公司业务的不断发展,公司管理要求的细化,用户需求的不断升级等等原因,系统则需要不断进行升级,上线新的应用模块,开发用户需要的个性化报表。随着这一切工作的开展,权限管理也不断受到重视,因为用户会不时提出有其他用户修改了我的订单、有最终用户修改了全局变量、有其他公司用户看到我的人事敏感信息等等一系列问题,这个时候说明权限控制已经失效,无法对业务工作进行有效支撑,上线单位需要马上开展权限梳理工作,否则系统无法正常运转,当然如果不进行梳理工作,则会导致整个运维团队像消防队一样四处灭火,这是所有人都不想看到的场景。
2、如果开展权限梳理工作
在开始权限梳理工作前,先简单介绍一下SAP系统的权限控制体系,SAP系统作为基于角的访问控制系统,对基于角访问控制的基本本思想是,对系统操作的各种权限不是直接授予具体的用户,而是在用户集合与权限集合(在SAP系统中是指能够进行某项操作对应的事物代碼)之间建立一个角集合。每一种角对应一组相应的权限。一旦用户被分配了适当的角后,该用户就拥有此角的所有操作权限。
沿着SAP的权限控制体系,权限梳理工作也主要从这三个相关的方面开展,按照递进的关系依次是事物代码、角、账号。首先简单解释一下概念,事物代码指启动SAP系统功能操作的基本单位,每个事物代码对应某一项功能操作,角是指事物代码的集合,账号是指在SAP系统中进行具体操作的用户主体。
2.1事物代码梳理:
2.1.1冗余事物代码清理
用户在日常操作过程中会用到很多事物代码,从使用频率的角度可以划分为三种:常用事物代码、较少使用事物代码和不使用事物代码。伴随着业务扩展功能增加等原因,系统中
被用户使用到的事物代码会越来越多,但同时随着时间的推移和业务的规范,经过一轮一轮的筛选,也会有很多事物代码被分配给了用户,但实际不会被用到,从最小化授权原则的角度出发,冗余事物代码的清理工作就需要开展了,这部分冗余事物代码就是用户不使用的事物代码。
下面对冗余事物代码的清理具体如何开展进行介绍,首先我们导出SAP系统中用户一段时间(可以根据您公司的实际情况或者业务周期来决定)的操作日志记录,然后对此期间用户的事务代码使用情况进行分析,对每个事物代码的使用次数进行统计并排序形成清单,然后再将分配给用户的事务代码整理成清单,将两份清单进行对比,这样就可以很容易到哪些分配给了用户、但用户根本不使用的事物代码清单,将此差异清单交给公司的关键用户或者业务代表进行沟通确认,待双方确认后即可明确冗余事务代码清单,这也就是待清理的对象,在此过程中要充分区分冗余事物代码和较少使用事物代码,否则将导致使用频率较低但确实需要的权限被过度清理。abap开发顾问是程序员吗
2.1.2明确系统标准事务代码权限控制点。
前面讲到了冗余事物代码的清理工作,对于剩下的在用事务代码要如何梳理,梳理什么呢,
首先我们对在用事物代码分为两类,一类是系统标准事物代码,另一类是自定义开发事物代码,本节只针对标准事物代码的梳理进行讨论,我们需要做的工作就是明确事物代码的跨公司权限控制点,只有存在权限控制的事务代码我们才能给最终用户使用,也才不会存在跨公司操作的业务风险。
下面介绍如何具体操作,首先我们要拿到事务代码的操作手册,确定我们要控制的范围,然后依据操作手册在SAP系统进行操作,同时打开系统的ST01权限跟踪记录功能,待操作结束后导出跟踪记录,查是否存在跨公司权限控制点,跨公司控制点是指能够满足公司集中管控要求或者跨所属单位权限控制要求的授权字段,常见的如公司代码、工厂、采购组织等,(注:如果数量较多,可以考虑使用自动化测试工具)结果可想而知,一部分有,另外一部分没有,对于存在跨公司权限控制点的标准事物代码进行整理,形成终稿,该方法对操作的手册的完整性有较高要求,手册中需要完整描述某事物代码的完整操作场景,对于另外一部分事务代码的处理,根据业务需要分为两种方法,第一种是定性为集中管理内容,第二种是通过开发手段增加权限控制点。本文对开发方法不做讲解。
2.1.3查自定义开发事务代码权限控制点。
对于自定义开发的事物代码需要请ABAP开发顾问进行工作配合,在程序中到权限检查点,后续的处理方法同标准事物代码,当然有人会问是否可以采用和标准事务代码完全相对的方法进行处理,答案是肯定的,使用开发顾问配合的方法优势在于能够大量减少时间,劣势在于通过读代码的方式不容易到隐藏较深的权限控制语句,这就对开发顾问的能力提高要求,具体如何选择可根据实际情况选择。经过事物代码的梳理后,我们需要使用的事务代码已经完成了造册登记,并明确知晓了对应的权限控制情况,这对提高系统权限控制能力起到了非常大作用。
2.2、角梳理
角梳理更多的是事务代码梳理工作的延伸,具体如下:
(1)角梳理主要是根据前面事物代码梳理的结果,在系统中对角进行调整,删除掉不需要使用的事务代码,在用的事物代码在角配置中明确权限控制点赋值,具体的系统操作内容这里不做赘述。
(2)完成第1步工作后,角梳理的主要工作基本已经完成,接下来需要做的工作主要是规范性内容,例如梳理角命名规范、参数文件命名规范、系统操作规范。
(3)上面2个步骤主要是介绍了权限顾问的工作,第3步的梳理工作就需要业务顾问与其他技术顾问进行主导,通过上面的工作,我们已经把搭建一个安全系统所需要的积木都准备好了,后面就需要设计师和用户共同努力把这些原材料用好,其中设计师主要是指我们的业务顾问,用户自然就不必多说了。大家在分工方面主要是用户提出权限分配的要求,然后业务顾问根据用户的要求,同时结合公司的业务流程进行权限设计梳理确认,说形象一些,就是业务顾问要把这些积木拼成不同的工具以备用户使用,比如你要设计一把锄头待后续分配给负责翻地的农民,设计一把铁锹给负责播种的农民等等,当然除了结合农名耕种的这支流程进行权限设计外,设计师还要为工人、士兵、学生等其他职业相关的流程进行权限设计。当然这个设计工作不是从无到有的设计了,更多的是对现有权限设计进行完善,将不合理的内容进行调整。
2.3、账号梳理
账号梳理也是直接和最终用户存在关系的步骤,主要工作如下:
(1)根据账号的使用情况对系统中存在的账号进行清理,对于该项清理工作,权限顾问可以通过调取系统登录日志作为清理的基础,根據实际的业务周期确定清理账号的周期,比
如公司完整的业务周期为一年,则可以将一年内未登录的账号汇总出来进行注销,这样的话,可以很大程度上减少整体梳理的工作量。
(2)经过清理后,对于剩余在用账号需要在账号所属单位上进行梳理,经过若干年时间的上线运维,系统中的账号数量会有所增加,系统内的账号在分组上也会存在部分问题,首先是账号信息的准确性,账号在申请之初会维护公司、部门、邮箱等等信息,但此部分信息如果存在变化,用户一般情况下不会主动进行更新,但这些信息对于我们日常运维和信息分析工作中还是很有价值的,因此需要一并梳理,具体做法如后描述,我们先从系统中导出所有用户的用户主记录,然后将该信息分别发送给对应公司的权限管理员,由权限管理员统一组织用户进行确认,确认完成后再讲数据维护到SAP系统,当然如果您后续想要实时自动维护,可以进行接口开发将公司的人事信息同步到系统中。用户信息梳理完成后的另外一项工作就是用户组信息梳理,为了准确统计每个公司或者每个部门的账号数量,用户组信息的梳理就是一件必须完成的工作,该工作与上述用户信息梳理情况类似,需要请对应公司或者部门的权限管理员协助处理。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论