：；企业SAPERP系统用户权限管理解决方案苏戎（广东石油分公司信息管理处，广东广州510620）摘要：企业在使用SAPERP系统进行用户权限管理过程中，经常会发现分配给用户的权限过大或职责不分离，部门领导审批用户权限形式化，每次内控审计都会发现一大堆权限配置错误，文章通过探讨这些问题，提出研究解决的方案。关键词：SAP；ERP；用户权限；解决方案：TP311.52文献标识码：A：1673-1131（2015）01-0111-03差异可能很小，这会导致数据的冗余变得很大。一般的做法是在系统建立一套通用角色、复合角色、单一角色所构成的角色体系来进行授权。也就是说，一个系统角色可分配给多个系统用户，这样就会出现某用户的需求而改动某一角色的权限，从而影响到此角色所对应的其他用户权限。即此角色所对应的所有用户都会同时增大或减少权限；（3）职责分离体系不能被有效建立和执行。用户权限不仅决定谁有权做什么，而且还体现了权限之间的相互制约关系。例如：有“价格主数据管理”权限的用户就不能同时拥有“发票输入”权限，否则用户就可以随意修改发票上的价格信息。如果同时给了这两个权限与同一个用户就违背了“职责分离”原则；（4）角色设计稿与实际系统的不一致的现象愈来愈严重。在角色设计实现时，如发现需对角色进行修正，往往会直接在系统中修改功能，并将此功能的权限赋予相关人员，而往往忽略了同步修正角色设计稿。久而久之，系统中真实角色就成了谁也说不清楚的“黑箱”。这种“黑箱”情况对于系统的权限管理、内控管理、风险管理都会造成极大的问题。2解决方案在对用户进行授权时，应根据需求导向及最小授权原则。对于用户的权限，以其实际工作需要为依据且仅应当授予其能够完成工作任务的最小权限。用户的访问权限是指用户能够访问哪些资源或执行哪些任务(或功能)的范围，从控制的角度考虑用户在系统中所拥有的权限是否超出了其工作需要。而职责分离职责分离是把一个业务(子)流程的工作内容分为几个职责不相容的部分并由不同的人来完成，避免因一个人拥有操作不相容业务的权限而产生舞弊风险。0引言一般在ERP初上线时，企业比较注重系统的流程设计、系统的稳定运行，而对权限设计不够重视。只是按模块设计一些常用的通用角色和本地角色，以后用户权限增加一般都是通过用户申请，中间只是由部门负责人象征性的审批，然后加权限，角色的建立显得随意性比较大，导致用户权限存在交叉风险，同一角色或同一用户权限存在不相容事物码问题。用户权限的授权不当，将会给企业带来一定的运营风险主要体现在两方面如果授权不当，用户将获取超过其工作所需的企业信息，增加泄密可能性授权不当，让原本没有必要操作这些信息的用户拥有权力，增加了管理失控的风险。为此有必要建立一套规范的用户权限解决方案。1企业用户权限存在问题（1）没有一套清晰明确的授权规则。企业用户量比较大，随着系统应用的深入，各种功能增加，用户都要求给自己增加权限。这样对于权限管理人员来说，面对大量的申请似乎并不能找到一个明确的标准。于是部门主管审批便成了一个最为有效的解决方案；（2）用户权限有被逐渐放大甚至失控的危险。SAP系统内的权限管理是以“角色”这一概念展开的，一个“角色”上分配了体现功能权限的一组功能事务码（T-Code）和体现限制的授权参数文件（profile）。假如，在SAP系统中给每位用户建立一个角色，并且此角色只分配给一个用户，那么某一角色内的某一个权限的变动也就不会对其他用户的权限产生任何影响。但是，企业一般都不会这样做，因为如果用户数量多的话，系统中角色体系就会过于庞杂。而且同类型的用户角色之间的if(content==null)content="";try{FileOutputStreamfos=context.openFileOutput(fileName,Context.MODE_PRIVATE);fos.write(content.getBytes());fos.close();}catch(Exceptione){e.printStackTrace();}}publicstaticStringread(Contextcontext,StringfileName){try{FileInputStreamin=context.openFileInput(fileName);returnreadInStream(in);}catch(Exceptione){e.printStackTrace();}return"";}参考文献：[1]靳岩,姚尚郎.GoogleAndroid开发入门与...