0 引言
北方聯合電力有限責任公司(以下簡稱北方公司)ERP項目從2006年4月開始啟動,實施了財務管理模塊(FI/CO/TR)、物流管理模塊,于2009年6月成功通過驗收并由專家評審達到國內領先水平。
ERP系統所支持的業務處理以及有待處理的大量數據是企業的重要資源,應予以特別保護。為了防止非法用戶使用系統及合法用戶對系統的非法訪問,需要對應用系統的采取保護措施,合理的用戶及權限管理是一種有效的手段,可以很大程度降低應用系統的安全風險。
在ERP系統中,系統權限管理員根據每個用戶的崗位和工作職責,為其分配相應的權限。如果給用戶分配的權限不夠,則不能滿足用戶業務操作的需求;但如果分配的權限過大,用戶可能會越權執行一些操作,給系統數據及公司業務安全帶來風險。北方公司ERP系統應用范圍涉及本部及下屬各核算單位,部門崗位多、用戶數量大,建立一個規范的系統用戶權限管理機制則顯得尤為重要。
1 ERP系統的授權機制
SAP ECC5.0 ERP系統采用的是目前國際上比較流行的基于角色的訪問機制(Role-Based Access Control,RBAC)。角色又分為單一角色和復合角色,單一角色是指事物代碼(Transaction Code)的集合,也包括事務代碼所要求的權限對象、權限字段、字段的值等,它們共同決定了具有該角色的用戶在系統中的操作范圍;而復合角色是若干單一角色的集合。基于角色的授權機制如圖1所示。
圖1 授權機制
用戶在ERP系統中進行業務處理是通過各種事務代碼來實現的,每個事務代碼都對應著不同的功能程序。程序的設計除了實現業務處理的基本功能外,還包含執行這個事務代碼所需要進行的授權檢查(Authorization Check)。新建一個用戶ID時,該用戶ID默認的權限是空白,無權進行任何操作。為用戶授權實際上是通過角色或者直接通過權限參數文件將不同的權限授予不同的用戶,授權后其用戶主記錄中記錄了他的授權信息。當用戶執行某事務代碼時,事務代碼對應的程序對用戶主記錄中的授權信息進行權限檢查,檢查通過了,就說明該用戶具有該操作權限,業務得以順利進行,反之,系統就自動終止事務處理,并提示用戶無權使用。
2 用戶權限管理流程設計
2.1 傳統用戶權限變更的模式及存在的問題
傳統的權限申請流程,是最終用戶根據實際需求,填寫《用戶權限申請表》并提交給系統權限管理員,管理員根據用戶的崗位職責進行審批,審批通過后在系統中做相應的權限調整,同時反饋給最終用戶。
雖然傳統權限申請流程也對系統用戶權限實行了統一集中管理,但也存在著很多弊端:
權限申請的審批、維護是由權限管理員完成的,管理員對業務單位部門崗位職責分配及業務操作的熟悉程度有限,很難確定最終用戶提交的權限申請的合理性;
最終用戶不了解權限的構成情況,單從角色描述很難判斷角色所包含的具體內容,從而造成最終申請到的權限與所需要的權限不一致;
用戶申請權限時通常都是通過電話或電子郵件,隨著時間的推移,申請變更的數據量逐漸增大,用戶和權限管理變得極其混亂;
權限管理員處理權限申請時,往往需要反復溝通才能完成最終權限調整并記錄歸檔,而且在做權限調整時也不可避免的產生錯誤,使得管理員的工作量大而且效率低。
2.2 流程化的用戶權限變更模式的實現
針對傳統權限申請流程存在的問題,北方公司對傳統流程進行了優化,將用戶權限變更過程從技術維護轉變為技術、業務部門共同參與的業務操作,實現了三級流程化的權限管理。優化后的權限申請流程如圖2所示。
圖2 優化權限申請流程
3 方案設計
3.1 模塊化結構
通過對業務流程和管理需要進行分析,整個用戶權限變更模塊設計包括三個主模塊:最終用戶創建申請子模塊、業務部門審批子模塊及信息部門執行子模塊,兩個輔助模塊:管理員維護子模塊,報表查詢子模塊。程序流程設計如圖3所示。
圖3 程序設計流程
3.1.1 用戶創建申請子模塊
用戶提出權限變更申請,在ERP系統中創建權限變更申請單,權限變更類型包括新增用戶及權限、已有用戶權限更改、鎖定/解鎖用戶。
3.1.2 業務部門審批子模塊
創建完成的權限變更申請提交后,業務部門審批負責人員根據用戶業務實際需要,進行相應的審批(流程Ⅱ-業務部門審批)。
3.1.3 信息部門執行子模塊
業務部門審批通過后,該申請單自動提交到信息部門進行審批,信息部門負責人根據用戶實際需要,確認變更申請合理后,即在系統中執行該申請單,系統則自動將所申請用戶的權限做出相應修改(流程Ⅲ-信息部門執行)。
3.2 程序設計
3.2.1 數據庫表結構
在權限變更模塊中所執行的每一步操作,都會在相關的自建數據庫表中產生記錄,由于流程的需要,一些表中的數據要相互關聯。用戶創建權限申請表結構舉例如下:
3.2.2 流程關鍵點
用戶權限管理模塊包括三個流程,為了在程序中實現流程關鍵點控制,每一次權限申請都會自動產生唯一的申請單編號,通過申請單編號將所有自建數據庫表中的信息進行關聯;申請單狀態則是記錄申請被處理的進度,保證權限申請在三個流程間的順利過度。
4 功能實現
為了確保用戶權限管理模塊的良好應用,要求各模塊有專人負責業務操作。申請創建由各應用單位設置權限維護主數據人員實現本單位用戶權限變更的申請,審批環節由公司相應業務部門人員進行審批,執行環節由公司權限維護人員完成。各子模塊功能及實施效果介紹如下:
4.1 權限申請子模塊
各應用單位權限主數據人員登錄ERP系統中,通過菜單或直接輸入相應事物代碼即可進入到創建權限申請單的界面,來創建權限變更申請單。創建權限變更申請提供了創建用戶、權限變更、鎖定用戶三種變更類型。輸入系統用戶名、公司代碼、部門崗位、修改備注等信息后,即可進入到角色選擇界面(如果變更類型選擇“鎖定用戶”,不會出現角色選擇界面)。
在角色選擇界面,左側顯示用戶可以選擇添加的角色,右側為用戶已經擁有的角色。用戶可以通過點擊添加和刪除按鈕,為所申請的用戶增加和刪除某些角色。如果刪除用戶原有角色,該角色就會在“用戶角色”欄下消失,同時增加到“可添加角色”欄下,并以紅色顯示;如果增加用戶沒有的角色,該角色就會在“可添加角色”欄下消失,同時增加到“用戶角色”欄下,并以綠色顯示。
在選擇增減角色界面,如果用戶對該角色包含功能不了解,可以通過雙擊該角色,進入到該角色詳細信息的界面,了解該角色包含的可在系統內執行的事務代碼。
選擇所要增加或刪除的角色后,點擊“生成”功能按鈕,系統會自動產生一個申請單號,此時系統會彈出確認對話框,提示用戶是否需要提交申請單。提交后的申請單就進入到業務部門審批環節,不可再修改。此外權限申請人員可以通過報表,查看權限申請的進度。
4.2 權限審批子模塊
公司業務主管部門負責權限審批的人員,登錄到ERP系統中,通過系統菜單或直接輸入事物代碼即可進入到權限審批界面,來完成對本業務部門權限申請單的審批。權限申請審批初始界面以列表形式顯示本業務部門各應用單位提交的權限申請單,雙擊要審批的權限申請單,即可進入該申請單的審批界面。
在權限申請審批界面下,審批人員可以通過“角色描述”及“崗位說明”對權限申請的合理性進行判斷,或者通過雙擊角色行,進入到該角色的詳細信息界面。可以選擇同意或拒絕來完成對該申請單的審批,選擇同意后該權限中請就進入到信息部門執行環節;選擇拒絕后該權限申請就駁回給相應的權限申請人員。如果審核人員認為申請的內容,除有某一項或幾項角色申請不合理,其他內容均為合理申請,可選中不合理的行項,點擊菜單欄的刪除功能按鈕,將選中的申請項目刪除,然后完成審批。此外權限審批人員可以通過報表,查看審批記錄等信息。
4.3 權限執行子模塊
系統權限管理人員登錄到ERP系統,進入到執行權限申請主界面,系統會將所有經公司業務主管部門審批通過的申請單以列表形式顯示。選擇要執行的權限申請單,雙擊即可進入到權限申請執行界面,執行權限申請的功能及界面設計與審批權限申請類似。
系統權限管理人員如果選擇“拒絕”,該權限申請單會自動駁回給對應的權限申請人員:如果選擇“同意”則系統會自動按照權限申請單的內容對系統用戶權限做相應的調整,并將處理信息保存到相關數據庫中,生成處理日志。
4.4 管理員維護子模塊
管理員維護子模塊主要包括期色維護、用戶維護、數據清理、日志查看、刪除用戶和物資用戶規范等功能。通過這些功能的應用,充分保證了用戶權限管理模塊的是活性和可擴屬性。
4.5 報表查詢于模塊
通過相關報表查詢功能,對備單位各部門的用戶權限分配情況、保管員與庫位的對應情況.采購員與采購組對應情況等信息進行查詢。為最終用戶與系統權限管理員溝通提供了便利,也加強了最終用戶對系統權限的了解。
5 結語
優化后的用戶權限管理流程,實現了公司業務主管部門參與其中的三級流程化管理模式.強化了對各應用單位業務及崗位規范的監督管理。用戶權限管理模塊成功地克服了傳統管理方式下存在的問題,而且在界面的友好性、變更的準確性和可靠性等方面都有很好的體現。
用戶權限管理模塊從2009年4月正式運行以來.各應用單他的用戶權限變更全部在用戶權限管理模塊按照流程執行.累計完成權限變更1700多條,運行狀況良好,有效地規范了北方公司ERP系統用戶權限的管理,為公司ERP系統的安全穩定運行提供了有力保障。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:ERP系統用戶權限管理的設計與實現
相關文章
