ERP系統(tǒng)所支持的業(yè)務(wù)處理以及有待處理的大量數(shù)據(jù)是企業(yè)的重要資源,應(yīng)予以特別保護(hù)。為了防止非法用戶使用系統(tǒng)及合法用戶對(duì)系統(tǒng)的非法訪問,需要對(duì)應(yīng)用系統(tǒng)的采取保護(hù)措施,合理的用戶及權(quán)限管理是一種有效的手段,可以很大程度降低應(yīng)用系統(tǒng)的安全風(fēng)險(xiǎn)。
在ERP系統(tǒng)中,系統(tǒng)權(quán)限管理員根據(jù)每個(gè)用戶的崗位和工作職責(zé),為其分配相應(yīng)的權(quán)限。如果給用戶分配的權(quán)限不夠,則不能滿足用戶業(yè)務(wù)操作的需求;但如果分配的權(quán)限過大,用戶可能會(huì)越權(quán)執(zhí)行一些操作,給系統(tǒng)數(shù)據(jù)及公司業(yè)務(wù)安全帶來風(fēng)險(xiǎn)。北方公司ERP系統(tǒng)應(yīng)用范圍涉及本部及下屬各核算單位,部門崗位多、用戶數(shù)量大,建立一個(gè)規(guī)范的系統(tǒng)用戶權(quán)限管理機(jī)制則顯得尤為重要。
1 ERP系統(tǒng)的授權(quán)機(jī)制
SAP ECC5.0 ERP系統(tǒng)采用的是目前國際上比較流行的基于角色的訪問機(jī)制(Role-Based Access Control,RBAC)。角色又分為單一角色和復(fù)合角色,單一角色是指事物代碼(Transaction Code)的集合,也包括事務(wù)代碼所要求的權(quán)限對(duì)象、權(quán)限字段、字段的值等,它們共同決定了具有該角色的用戶在系統(tǒng)中的操作范圍;而復(fù)合角色是若干單一角色的集合。基于角色的授權(quán)機(jī)制如圖1所示。
圖1 授權(quán)機(jī)制
用戶在ERP系統(tǒng)中進(jìn)行業(yè)務(wù)處理是通過各種事務(wù)代碼來實(shí)現(xiàn)的,每個(gè)事務(wù)代碼都對(duì)應(yīng)著不同的功能程序。程序的設(shè)計(jì)除了實(shí)現(xiàn)業(yè)務(wù)處理的基本功能外,還包含執(zhí)行這個(gè)事務(wù)代碼所需要進(jìn)行的授權(quán)檢查(Authorization Check)。新建一個(gè)用戶ID時(shí),該用戶ID默認(rèn)的權(quán)限是空白,無權(quán)進(jìn)行任何操作。為用戶授權(quán)實(shí)際上是通過角色或者直接通過權(quán)限參數(shù)文件將不同的權(quán)限授予不同的用戶,授權(quán)后其用戶主記錄中記錄了他的授權(quán)信息。當(dāng)用戶執(zhí)行某事務(wù)代碼時(shí),事務(wù)代碼對(duì)應(yīng)的程序?qū)τ脩糁饔涗浿械氖跈?quán)信息進(jìn)行權(quán)限檢查,檢查通過了,就說明該用戶具有該操作權(quán)限,業(yè)務(wù)得以順利進(jìn)行,反之,系統(tǒng)就自動(dòng)終止事務(wù)處理,并提示用戶無權(quán)使用。
2 用戶權(quán)限管理流程設(shè)計(jì)
2.1 傳統(tǒng)用戶權(quán)限變更的模式及存在的問題
傳統(tǒng)的權(quán)限申請(qǐng)流程,是最終用戶根據(jù)實(shí)際需求,填寫《用戶權(quán)限申請(qǐng)表》并提交給系統(tǒng)權(quán)限管理員,管理員根據(jù)用戶的崗位職責(zé)進(jìn)行審批,審批通過后在系統(tǒng)中做相應(yīng)的權(quán)限調(diào)整,同時(shí)反饋給最終用戶。
雖然傳統(tǒng)權(quán)限申請(qǐng)流程也對(duì)系統(tǒng)用戶權(quán)限實(shí)行了統(tǒng)一集中管理,但也存在著很多弊端:
權(quán)限申請(qǐng)的審批、維護(hù)是由權(quán)限管理員完成的,管理員對(duì)業(yè)務(wù)單位部門崗位職責(zé)分配及業(yè)務(wù)操作的熟悉程度有限,很難確定最終用戶提交的權(quán)限申請(qǐng)的合理性;
最終用戶不了解權(quán)限的構(gòu)成情況,單從角色描述很難判斷角色所包含的具體內(nèi)容,從而造成最終申請(qǐng)到的權(quán)限與所需要的權(quán)限不一致;
用戶申請(qǐng)權(quán)限時(shí)通常都是通過電話或電子郵件,隨著時(shí)間的推移,申請(qǐng)變更的數(shù)據(jù)量逐漸增大,用戶和權(quán)限管理變得極其混亂;
權(quán)限管理員處理權(quán)限申請(qǐng)時(shí),往往需要反復(fù)溝通才能完成最終權(quán)限調(diào)整并記錄歸檔,而且在做權(quán)限調(diào)整時(shí)也不可避免的產(chǎn)生錯(cuò)誤,使得管理員的工作量大而且效率低。
2.2 流程化的用戶權(quán)限變更模式的實(shí)現(xiàn)
針對(duì)傳統(tǒng)權(quán)限申請(qǐng)流程存在的問題,北方公司對(duì)傳統(tǒng)流程進(jìn)行了優(yōu)化,將用戶權(quán)限變更過程從技術(shù)維護(hù)轉(zhuǎn)變?yōu)榧夹g(shù)、業(yè)務(wù)部門共同參與的業(yè)務(wù)操作,實(shí)現(xiàn)了三級(jí)流程化的權(quán)限管理。優(yōu)化后的權(quán)限申請(qǐng)流程如圖2所示。
圖2 優(yōu)化權(quán)限申請(qǐng)流程
3 方案設(shè)計(jì)
3.1 模塊化結(jié)構(gòu)
通過對(duì)業(yè)務(wù)流程和管理需要進(jìn)行分析,整個(gè)用戶權(quán)限變更模塊設(shè)計(jì)包括三個(gè)主模塊:最終用戶創(chuàng)建申請(qǐng)子模塊、業(yè)務(wù)部門審批子模塊及信息部門執(zhí)行子模塊,兩個(gè)輔助模塊:管理員維護(hù)子模塊,報(bào)表查詢子模塊。程序流程設(shè)計(jì)如圖3所示。
圖3 程序設(shè)計(jì)流程
3.1.1 用戶創(chuàng)建申請(qǐng)子模塊
用戶提出權(quán)限變更申請(qǐng),在ERP系統(tǒng)中創(chuàng)建權(quán)限變更申請(qǐng)單,權(quán)限變更類型包括新增用戶及權(quán)限、已有用戶權(quán)限更改、鎖定/解鎖用戶。
3.1.2 業(yè)務(wù)部門審批子模塊
創(chuàng)建完成的權(quán)限變更申請(qǐng)?zhí)峤缓螅瑯I(yè)務(wù)部門審批負(fù)責(zé)人員根據(jù)用戶業(yè)務(wù)實(shí)際需要,進(jìn)行相應(yīng)的審批(流程Ⅱ-業(yè)務(wù)部門審批)。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://m.hanmeixuan.com/
本文標(biāo)題:ERP系統(tǒng)用戶權(quán)限管理的設(shè)計(jì)與實(shí)現(xiàn)
本文網(wǎng)址:http://m.hanmeixuan.com/html/consultation/10819914232.html
相關(guān)文章
