服務器整合架構(gòu)方案是優(yōu)化企業(yè)IT資源的有效手段，更是最大限度實現(xiàn)企業(yè)集中管控，實現(xiàn)企業(yè)業(yè)務流程及數(shù)據(jù)標準化與統(tǒng)一化最有效的方式，是國際一流公司所盡力采用的ERP系統(tǒng)架構(gòu)方案。集中部署模式可以有效支撐中國海油實現(xiàn)其戰(zhàn)略目標，在統(tǒng)一的信息平臺上整合六大產(chǎn)業(yè)板塊所形成的產(chǎn)權(quán)紐帶聯(lián)系，在總公司集中化管理下，協(xié)調(diào)發(fā)展，發(fā)揮整體綜合優(yōu)勢。同時在決策層的信息提供方面，采用集中方式能非常高效的向集團決策層面提供及時、真實的業(yè)務信息。

    但是集中部署模式在ERP系統(tǒng)授權(quán)管理方面也帶來了眾多挑戰(zhàn)，包括復雜的業(yè)務環(huán)境下并存的大量的用戶；業(yè)務集中在一個client中處理，信息面臨被越權(quán)讀取的危險等。伴隨著ERP實施和應用的不斷深入，一些由于集中部署模式所引發(fā)的權(quán)限問題逐漸暴露出來，從規(guī)避權(quán)限風險和優(yōu)化業(yè)務應用的角度出發(fā)，統(tǒng)一清理生產(chǎn)系統(tǒng)現(xiàn)有的過度授權(quán)問題，并建立更為規(guī)范的權(quán)限配置管理機制勢在必行。

    解決集團層面的過度授權(quán)問題

    由于在ERP項目實施期間，部分集團管控策略不明確而造成部分二級單位用戶擁有集團管控的業(yè)務操作或系統(tǒng)管理權(quán)限。針對這種授權(quán)過度的情況，首先要更新和明確現(xiàn)有的集團管控權(quán)限要求，并以此為據(jù)清除ECC生產(chǎn)系統(tǒng)范圍內(nèi)各二級單位的集團管控過度授權(quán)問題。具體的解決方案是：首先，從“事務代碼”管控層面和“權(quán)限對象”管控層面分別查找生產(chǎn)系統(tǒng)存在違背權(quán)限管控要求的角色。其中， “事務代碼”管控限定由集團層面統(tǒng)一操作、不可下放給各二級單位的業(yè)務操作TCode； “權(quán)限對象”管控限定由集團層面統(tǒng)一操作、不可下放給二級單位的業(yè)務數(shù)據(jù)操作范圍。其次，依據(jù)管控要求在開發(fā)系統(tǒng)中修改對應的本地角色，并傳輸測試系統(tǒng)供內(nèi)部顧問測試。針對不同類型的角色修改內(nèi)容，對應的測試內(nèi)容如下：

    1）對于依據(jù)“事務代碼”層面要求修改的角色，反向測試管控TCODE是否已被正確刪除；在正向測試方面，SAP確保了某一TCODE的刪除不會影響到對應角色中的其他原有TCODE的正常操作，因此無需進行角色中剩余TCODE的正向測試。

    2）對于依據(jù)“權(quán)限對象”層面要求修改的角色，反向測試對應的TCODE操作是否已遵照集團管控要求，有效的限制了業(yè)務數(shù)據(jù)的操作范圍；正向測試，需檢查與被修改權(quán)限對象相關(guān)的角色中，其他原有TCODE的操作是否不受影響。

    最后，在得到測試通過的確認后，將修改完成的、已去除集團管控權(quán)限的角色傳輸生產(chǎn)系統(tǒng)。

    解決跨單位的越權(quán)數(shù)據(jù)訪問

    由于集中部署模式的背景，SAP系統(tǒng)全球通用的權(quán)限控制實現(xiàn)與企業(yè)TCODE的個性化業(yè)務需求之間存在差異，加之從事權(quán)限工作的人員經(jīng)驗不足，導致ECC生產(chǎn)系統(tǒng)的部分二級單位用戶擁有跨單位的業(yè)務操作以及數(shù)據(jù)訪問權(quán)限，這直接影響到其他單位的數(shù)據(jù)安全。在技術(shù)層面上，具體表現(xiàn)為用戶所操作的TCODE無法有效的實現(xiàn)必需的權(quán)限控制。

    因此首先需要分析、明確當前生產(chǎn)系統(tǒng)中在用TCODE的權(quán)限控制點的控制效果。將生產(chǎn)系統(tǒng)中的在用TCODE基本分為以下三類：TCODE有權(quán)限控制點但沒有提出控制；TCODE權(quán)限控制點不滿足業(yè)務需求；TCODE權(quán)限控制點無效：中國海油采取了TCODE權(quán)限字典+角色的權(quán)限梳理相結(jié)合的解決方案：

    即首先組織ECC生產(chǎn)系統(tǒng)所有在用的TCODE清理，解決TCODE層面跨SITE的權(quán)限問題，并在此基礎上整理、形成TCODE權(quán)限字典。該宇典中包含中國海油當前ECC生產(chǎn)系統(tǒng)所有在用的TCODE以及權(quán)限控制點。然后，以整理形成的TCODE權(quán)限字典為基礎，梳理二級單位內(nèi)部的跨SITE訪問問題。根據(jù)權(quán)限梳理的結(jié)果，修改角色并組織測試。

    通過這種解決方案所形成的TCODE權(quán)限字典，用于規(guī)范在實施單位的本地角色設計以及已上線單位的權(quán)限需求變更，有效地減少“有權(quán)限控制點但沒有提出控制”的TCODE權(quán)限問題。同時TCODE權(quán)限字典可作為針對未來海油權(quán)限配置問題的梳理依據(jù)，確�？鏢ITE權(quán)限訪問安全狀態(tài)的延續(xù)。

    通過在以上兩方面所采取的措施和解決方案的實施，使得生產(chǎn)系統(tǒng)存在的過度授權(quán)和越權(quán)讀取數(shù)據(jù)問題到了有效控制，增加了集團管控的力度，使得數(shù)據(jù)管理更加安全和規(guī)范。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標題：集中部署模式下的ERP系統(tǒng)授權(quán)管理

本文網(wǎng)址：http://www.ezxoed.cn/html/consultation/10819414571.html