服務器整合架構方案是優化企業IT資源的有效手段,更是最大限度實現企業集中管控,實現企業業務流程及數據標準化與統一化最有效的方式,是國際一流公司所盡力采用的ERP系統架構方案。集中部署模式可以有效支撐中國海油實現其戰略目標,在統一的信息平臺上整合六大產業板塊所形成的產權紐帶聯系,在總公司集中化管理下,協調發展,發揮整體綜合優勢。同時在決策層的信息提供方面,采用集中方式能非常高效的向集團決策層面提供及時、真實的業務信息。
但是集中部署模式在ERP系統授權管理方面也帶來了眾多挑戰,包括復雜的業務環境下并存的大量的用戶;業務集中在一個client中處理,信息面臨被越權讀取的危險等。伴隨著ERP實施和應用的不斷深入,一些由于集中部署模式所引發的權限問題逐漸暴露出來,從規避權限風險和優化業務應用的角度出發,統一清理生產系統現有的過度授權問題,并建立更為規范的權限配置管理機制勢在必行。
解決集團層面的過度授權問題
由于在ERP項目實施期間,部分集團管控策略不明確而造成部分二級單位用戶擁有集團管控的業務操作或系統管理權限。針對這種授權過度的情況,首先要更新和明確現有的集團管控權限要求,并以此為據清除ECC生產系統范圍內各二級單位的集團管控過度授權問題。具體的解決方案是:首先,從“事務代碼”管控層面和“權限對象”管控層面分別查找生產系統存在違背權限管控要求的角色。其中, “事務代碼”管控限定由集團層面統一操作、不可下放給各二級單位的業務操作TCode; “權限對象”管控限定由集團層面統一操作、不可下放給二級單位的業務數據操作范圍。其次,依據管控要求在開發系統中修改對應的本地角色,并傳輸測試系統供內部顧問測試。針對不同類型的角色修改內容,對應的測試內容如下:
1)對于依據“事務代碼”層面要求修改的角色,反向測試管控TCODE是否已被正確刪除;在正向測試方面,SAP確保了某一TCODE的刪除不會影響到對應角色中的其他原有TCODE的正常操作,因此無需進行角色中剩余TCODE的正向測試。
2)對于依據“權限對象”層面要求修改的角色,反向測試對應的TCODE操作是否已遵照集團管控要求,有效的限制了業務數據的操作范圍;正向測試,需檢查與被修改權限對象相關的角色中,其他原有TCODE的操作是否不受影響。
最后,在得到測試通過的確認后,將修改完成的、已去除集團管控權限的角色傳輸生產系統。
解決跨單位的越權數據訪問
由于集中部署模式的背景,SAP系統全球通用的權限控制實現與企業TCODE的個性化業務需求之間存在差異,加之從事權限工作的人員經驗不足,導致ECC生產系統的部分二級單位用戶擁有跨單位的業務操作以及數據訪問權限,這直接影響到其他單位的數據安全。在技術層面上,具體表現為用戶所操作的TCODE無法有效的實現必需的權限控制。
因此首先需要分析、明確當前生產系統中在用TCODE的權限控制點的控制效果。將生產系統中的在用TCODE基本分為以下三類:TCODE有權限控制點但沒有提出控制;TCODE權限控制點不滿足業務需求;TCODE權限控制點無效:中國海油采取了TCODE權限字典+角色的權限梳理相結合的解決方案:
即首先組織ECC生產系統所有在用的TCODE清理,解決TCODE層面跨SITE的權限問題,并在此基礎上整理、形成TCODE權限字典。該宇典中包含中國海油當前ECC生產系統所有在用的TCODE以及權限控制點。然后,以整理形成的TCODE權限字典為基礎,梳理二級單位內部的跨SITE訪問問題。根據權限梳理的結果,修改角色并組織測試。
通過這種解決方案所形成的TCODE權限字典,用于規范在實施單位的本地角色設計以及已上線單位的權限需求變更,有效地減少“有權限控制點但沒有提出控制”的TCODE權限問題。同時TCODE權限字典可作為針對未來海油權限配置問題的梳理依據,確保跨SITE權限訪問安全狀態的延續。
通過在以上兩方面所采取的措施和解決方案的實施,使得生產系統存在的過度授權和越權讀取數據問題到了有效控制,增加了集團管控的力度,使得數據管理更加安全和規范。
轉載請注明出處:拓步ERP資訊網http://www.lukmueng.com/
本文標題:集中部署模式下的ERP系統授權管理
本文網址:http://www.lukmueng.com/html/consultation/10819414571.html
相關文章
