0 引言

    北方聯(lián)合電力有限責任公司(以下簡稱北方公司)ERP項目從2006年4月開始啟動，實施了財務管理模塊(FI／CO／TR)、物流管理模塊，于2009年6月成功通過驗收并由專家評審達到國內(nèi)領先水平。

    ERP系統(tǒng)所支持的業(yè)務處理以及有待處理的大量數(shù)據(jù)是企業(yè)的重要資源，應予以特別保護。為了防止非法用戶使用系統(tǒng)及合法用戶對系統(tǒng)的非法訪問，需要對應用系統(tǒng)的采取保護措施，合理的用戶及權限管理是一種有效的手段，可以很大程度降低應用系統(tǒng)的安全風險。

    在ERP系統(tǒng)中，系統(tǒng)權限管理員根據(jù)每個用戶的崗位和工作職責，為其分配相應的權限。如果給用戶分配的權限不夠，則不能滿足用戶業(yè)務操作的需求；但如果分配的權限過大，用戶可能會越權執(zhí)行一些操作，給系統(tǒng)數(shù)據(jù)及公司業(yè)務安全帶來風險。北方公司ERP系統(tǒng)應用范圍涉及本部及下屬各核算單位，部門崗位多、用戶數(shù)量大，建立一個規(guī)范的系統(tǒng)用戶權限管理機制則顯得尤為重要。

1 ERP系統(tǒng)的授權機制

    SAP ECC5.0 ERP系統(tǒng)采用的是目前國際上比較流行的基于角色的訪問機制(Role-Based Access Control，RBAC)。角色又分為單一角色和復合角色，單一角色是指事物代碼(Transaction Code)的集合，也包括事務代碼所要求的權限對象、權限字段、字段的值等，它們共同決定了具有該角色的用戶在系統(tǒng)中的操作范圍；而復合角色是若干單一角色的集合�；�于角色的授權機制如圖1所示。

圖1 授權機制

    用戶在ERP系統(tǒng)中進行業(yè)務處理是通過各種事務代碼來實現(xiàn)的，每個事務代碼都對應著不同的功能程序。程序的設計除了實現(xiàn)業(yè)務處理的基本功能外，還包含執(zhí)行這個事務代碼所需要進行的授權檢查(Authorization Check)。新建一個用戶ID時，該用戶ID默認的權限是空白，無權進行任何操作。為用戶授權實際上是通過角色或者直接通過權限參數(shù)文件將不同的權限授予不同的用戶，授權后其用戶主記錄中記錄了他的授權信息。當用戶執(zhí)行某事務代碼時，事務代碼對應的程序對用戶主記錄中的授權信息進行權限檢查，檢查通過了，就說明該用戶具有該操作權限，業(yè)務得以順利進行，反之，系統(tǒng)就自動終止事務處理，并提示用戶無權使用。

2 用戶權限管理流程設計

    2.1 傳統(tǒng)用戶權限變更的模式及存在的問題

    傳統(tǒng)的權限申請流程，是最終用戶根據(jù)實際需求，填寫《用戶權限申請表》并提交給系統(tǒng)權限管理員，管理員根據(jù)用戶的崗位職責進行審批，審批通過后在系統(tǒng)中做相應的權限調整，同時反饋給最終用戶。

    雖然傳統(tǒng)權限申請流程也對系統(tǒng)用戶權限實行了統(tǒng)一集中管理，但也存在著很多弊端：

    權限申請的審批、維護是由權限管理員完成的，管理員對業(yè)務單位部門崗位職責分配及業(yè)務操作的熟悉程度有限，很難確定最終用戶提交的權限申請的合理性；

    最終用戶不了解權限的構成情況，單從角色描述很難判斷角色所包含的具體內(nèi)容，從而造成最終申請到的權限與所需要的權限不一致；

    用戶申請權限時通常都是通過電話或電子郵件，隨著時間的推移，申請變更的數(shù)據(jù)量逐漸增大，用戶和權限管理變得極其混亂；

    權限管理員處理權限申請時，往往需要反復溝通才能完成最終權限調整并記錄歸檔，而且在做權限調整時也不可避免的產(chǎn)生錯誤，使得管理員的工作量大而且效率低。

    2.2 流程化的用戶權限變更模式的實現(xiàn)

    針對傳統(tǒng)權限申請流程存在的問題，北方公司對傳統(tǒng)流程進行了優(yōu)化，將用戶權限變更過程從技術維護轉變?yōu)榧夹g、業(yè)務部門共同參與的業(yè)務操作，實現(xiàn)了三級流程化的權限管理。優(yōu)化后的權限申請流程如圖2所示。

圖2 優(yōu)化權限申請流程

3 方案設計

    3.1 模塊化結構

    通過對業(yè)務流程和管理需要進行分析，整個用戶權限變更模塊設計包括三個主模塊：最終用戶創(chuàng)建申請子模塊、業(yè)務部門審批子模塊及信息部門執(zhí)行子模塊，兩個輔助模塊：管理員維護子模塊，報表查詢子模塊。程序流程設計如圖3所示。

圖3 程序設計流程

    3.1.1 用戶創(chuàng)建申請子模塊

    用戶提出權限變更申請，在ERP系統(tǒng)中創(chuàng)建權限變更申請單，權限變更類型包括新增用戶及權限、已有用戶權限更改、鎖定／解鎖用戶。

    3.1.2 業(yè)務部門審批子模塊

    創(chuàng)建完成的權限變更申請?zhí)峤缓�，業(yè)務部門審批負責人員根據(jù)用戶業(yè)務實際需要，進行相應的審批(流程Ⅱ-業(yè)務部門審批)。

     3.1.3 信息部門執(zhí)行子模塊

    業(yè)務部門審批通過后，該申請單自動提交到信息部門進行審批，信息部門負責人根據(jù)用戶實際需要，確認變更申請合理后，即在系統(tǒng)中執(zhí)行該申請單，系統(tǒng)則自動將所申請用戶的權限做出相應修改(流程Ⅲ-信息部門執(zhí)行)。

    3.2 程序設計

    3.2.1 數(shù)據(jù)庫表結構

    在權限變更模塊中所執(zhí)行的每一步操作，都會在相關的自建數(shù)據(jù)庫表中產(chǎn)生記錄，由于流程的需要，一些表中的數(shù)據(jù)要相互關聯(lián)。用戶創(chuàng)建權限申請表結構舉例如下：

    3.2.2 流程關鍵點

    用戶權限管理模塊包括三個流程，為了在程序中實現(xiàn)流程關鍵點控制，每一次權限申請都會自動產(chǎn)生唯一的申請單編號，通過申請單編號將所有自建數(shù)據(jù)庫表中的信息進行關聯(lián)；申請單狀態(tài)則是記錄申請被處理的進度，保證權限申請在三個流程間的順利過度。

4 功能實現(xiàn)

    為了確保用戶權限管理模塊的良好應用，要求各模塊有專人負責業(yè)務操作。申請創(chuàng)建由各應用單位設置權限維護主數(shù)據(jù)人員實現(xiàn)本單位用戶權限變更的申請，審批環(huán)節(jié)由公司相應業(yè)務部門人員進行審批，執(zhí)行環(huán)節(jié)由公司權限維護人員完成。各子模塊功能及實施效果介紹如下：

    4.1 權限申請子模塊

    各應用單位權限主數(shù)據(jù)人員登錄ERP系統(tǒng)中，通過菜單或直接輸入相應事物代碼即可進入到創(chuàng)建權限申請單的界面，來創(chuàng)建權限變更申請單。創(chuàng)建權限變更申請?zhí)峁┝藙?chuàng)建用戶、權限變更、鎖定用戶三種變更類型。輸入系統(tǒng)用戶名、公司代碼、部門崗位、修改備注等信息后，即可進入到角色選擇界面(如果變更類型選擇“鎖定用戶”，不會出現(xiàn)角色選擇界面)。

    在角色選擇界面，左側顯示用戶可以選擇添加的角色，右側為用戶已經(jīng)擁有的角色。用戶可以通過點擊添加和刪除按鈕，為所申請的用戶增加和刪除某些角色。如果刪除用戶原有角色，該角色就會在“用戶角色”欄下消失，同時增加到“可添加角色”欄下，并以紅色顯示；如果增加用戶沒有的角色，該角色就會在“可添加角色”欄下消失，同時增加到“用戶角色”欄下，并以綠色顯示。

    在選擇增減角色界面，如果用戶對該角色包含功能不了解，可以通過雙擊該角色，進入到該角色詳細信息的界面，了解該角色包含的可在系統(tǒng)內(nèi)執(zhí)行的事務代碼。

    選擇所要增加或刪除的角色后，點擊“生成”功能按鈕，系統(tǒng)會自動產(chǎn)生一個申請單號，此時系統(tǒng)會彈出確認對話框，提示用戶是否需要提交申請單。提交后的申請單就進入到業(yè)務部門審批環(huán)節(jié)，不可再修改。此外權限申請人員可以通過報表，查看權限申請的進度。

    4.2 權限審批子模塊

    公司業(yè)務主管部門負責權限審批的人員，登錄到ERP系統(tǒng)中，通過系統(tǒng)菜單或直接輸入事物代碼即可進入到權限審批界面，來完成對本業(yè)務部門權限申請單的審批。權限申請審批初始界面以列表形式顯示本業(yè)務部門各應用單位提交的權限申請單，雙擊要審批的權限申請單，即可進入該申請單的審批界面。

    在權限申請審批界面下，審批人員可以通過“角色描述”及“崗位說明”對權限申請的合理性進行判斷，或者通過雙擊角色行，進入到該角色的詳細信息界面。可以選擇同意或拒絕來完成對該申請單的審批，選擇同意后該權限中請就進入到信息部門執(zhí)行環(huán)節(jié)；選擇拒絕后該權限申請就駁回給相應的權限申請人員。如果審核人員認為申請的內(nèi)容，除有某一項或幾項角色申請不合理，其他內(nèi)容均為合理申請，可選中不合理的行項，點擊菜單欄的刪除功能按鈕，將選中的申請項目刪除，然后完成審批。此外權限審批人員可以通過報表，查看審批記錄等信息。

    4.3 權限執(zhí)行子模塊

    系統(tǒng)權限管理人員登錄到ERP系統(tǒng)，進入到執(zhí)行權限申請主界面，系統(tǒng)會將所有經(jīng)公司業(yè)務主管部門審批通過的申請單以列表形式顯示。選擇要執(zhí)行的權限申請單，雙擊即可進入到權限申請執(zhí)行界面，執(zhí)行權限申請的功能及界面設計與審批權限申請類似。

    系統(tǒng)權限管理人員如果選擇“拒絕”，該權限申請單會自動駁回給對應的權限申請人員：如果選擇“同意”則系統(tǒng)會自動按照權限申請單的內(nèi)容對系統(tǒng)用戶權限做相應的調整，并將處理信息保存到相關數(shù)據(jù)庫中，生成處理日志。

    4.4 管理員維護子模塊

    管理員維護子模塊主要包括期色維護、用戶維護、數(shù)據(jù)清理、日志查看、刪除用戶和物資用戶規(guī)范等功能。通過這些功能的應用，充分保證了用戶權限管理模塊的是活性和可擴屬性。

    4.5 報表查詢于模塊

    通過相關報表查詢功能，對備單位各部門的用戶權限分配情況、保管員與庫位的對應情況.采購員與采購組對應情況等信息進行查詢。為最終用戶與系統(tǒng)權限管理員溝通提供了便利，也加強了最終用戶對系統(tǒng)權限的了解。

5 結語

    優(yōu)化后的用戶權限管理流程，實現(xiàn)了公司業(yè)務主管部門參與其中的三級流程化管理模式.強化了對各應用單位業(yè)務及崗位規(guī)范的監(jiān)督管理。用戶權限管理模塊成功地克服了傳統(tǒng)管理方式下存在的問題，而且在界面的友好性、變更的準確性和可靠性等方面都有很好的體現(xiàn)。

    用戶權限管理模塊從2009年4月正式運行以來.各應用單他的用戶權限變更全部在用戶權限管理模塊按照流程執(zhí)行.累計完成權限變更1700多條，運行狀況良好，有效地規(guī)范了北方公司ERP系統(tǒng)用戶權限的管理，為公司ERP系統(tǒng)的安全穩(wěn)定運行提供了有力保障。

轉載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標題：ERP系統(tǒng)用戶權限管理的設計與實現(xiàn)

本文網(wǎng)址：http://www.oesoe.com/html/consultation/10820223774.html