SAPERP权限管理[1]

济南分公司SAP系统权限设置
和修改操作流程
1．概述
1.1目的
规范SAP用户权限设置和修改的操作流程，加强SAP用户权限的管理，保证SAP系统的安全、稳定运行。

1.2读者
SAP系统的最终用户和SAP系统的用户、权限管理员。

2.用户权限设置和修改操作流程
2.1用户权限的设置
权限管理员根据“中国石化济南分公司ERP最终用户申请表”相关栏目的内容，对用户管理员所创建的用户ID赋予相应的权限。

2.2用户权限的修改
ERP最终用户由于岗位或者业务范围的调整，需要对其权限进行修改（增加或者减少权限）时，必须填写“中国石化济南分公司ERP最终用户权限修改申请表”（请参见附表三），经所在单位的主要领导审核批准后，交信息中心。

经信息中心领导审核后，权限管理员在SAP系统中，手工对相应用户ID进行权限的修改，并通知用户本人。

附表三
中国石化济南分公司
2、“功能模块”指用户使用SAP中的功能模块，其中有：FI/CO—
财务/成本管理，PP—生产计划， SD—销售/分销，MRO—物料采
购管理，MM—物料管理，PM—设备维护，HR—人力资源。

单位（部门）负责人（签章）：
年月日
信息中心审核：
年月日
2。

ERP[ ]号XXX SAP系统用户授权管理规定XXX 从2002 年6 月1 日起全面实施应用了德国SAP 的ERP 系统，实施该系统后，公司几乎所有的与生产、销售、财务、物料、管理相关的数据资料全部集成在该系统中，所以系统数据的安全性和整个系统的稳定性关系到公司的重大利益。

为了使公司的所有SAP用户都能正确安全的使用SAP系统，保护公司资源，加强防范措施，维护公司利益，针对企业内部SAP系统的用户授权管理问题，特作如下规定：一、授权管理：1、ERP项目上线后，所有用户授权和角色变更，进行严密的审批控制方式进行管理。

分别经过：部门主管、部门经理、事业部分管副总、ERP项目组、ERP项目分管副总裁审批。

2、XXX所有事业部及其子公司中所有使用SAP系统的部门，均需要在部门内指定具体人员负责本部门关于SAP系统用户、权限和所有相关申请方面的管理（通常为部门文员负责）工作。

并依据本管理文件规定，负责落实本部门所有相关工作。

3、根据不同使用部门，对SAP用户数量进行限额管理。

严格限制用户无序增长。

事业部各部门每年12月份，需要根据部门来年的业务扩展计划，制定SAP用户需求计划。

经各事业部综合办统一汇总并经事业部分管副总裁批准后，交ERP项目组备案，作为来年SAP系统规划参考。

4、用户申请、更改、用户注销和权限变更，均要走本《XXX SAP系统用户授权管理规定》的申请流程。

5、所有需要申请新用户的人员，部门必须先安排在相应的岗位学习熟悉2个月（60天）以上，部门文员才可以给新用户申请用户和授权。

而且部门要指定专人进行相应岗位的SAP操作技能的交接，或指定导师来负责带其熟悉并撑握相关的业务及SAP操作技能。

否则，ERP项目组不给予批准授权，且因此而造成的所有不良后果，均由用户部门承担。

6、各事业部的部门对本部门SAP用户直接负责监控。

负责对用户岗位、权限范围和安全保密工作的监督。

各部门文员要做好各部门所有SAP用户的统计登记工作，整理《XXXSAP用户授权清单》，格式见附件。

sap权限设定完整版s a p权限设定完整版集团标准化工作小组[Q8QX9QT-X8QQB8Q8-NQ8QJ8-M8QMN]权限设定操作手册权限维护1.注意1.1.用户、角色、事务代码、授权对象的关系用户：由几个角色组成角色：由一系列事务代码搭建事务代码：需要系统规定的必要授权对象才能运行授权对象：由它的参数来定义1.2.权限设定须谨慎权限设定非常重要，并且权限的排错查询非常繁琐、耗时，因此在做权限设定时一定要谨慎，每次更改都要记录。

1.3.测试环境下修改除非特殊情况，权限设定不允许在正式环境直接更改。

一般都是在测试环境修改、测试成功后，再传到正式环境。

1.4.拒绝不合理权限要求Basis不是决定用户权限范围的人，而是实际管理中大大小小业务流的管理者。

所以，变更权限设定，务必要求用户提供经过领导签核的申请表。

对于用户不合理的权限要求，顾问有责任拒绝。

2.角色维护2.1.作业说明基本由权限的大架构有User ID（用户），Role（角色），Profile（权限参数文件）三层，可知权限的设定也会有相应的三层。

目的SAP中的权限管理可以通过建立若干角色的方式进行，角色的定义为SAP中单个或者多个事务代码（T-Code）组成的一个角色定位。

角色是指在业务中事先定义的执行特殊职能的工作。

可以为单个的用户的需求去创建角色，也可以通过事务代码创建角色，然后分配给各个需要这些角色的用户。

创建角色主要有三种方式：手工创建。

适合所有新建角色的需求，主要对应权限追加；继承。

主要对应设定派生角色；复制。

主要对应设定基本的角色。

继承与复制创建角色的区别：用继承的方式建立新角色，继承后，只需要填写，Object就全部标识为绿灯。

用复制的方式建立新角色，需要在Object里填入值，Object才能全部标识为绿灯。

以上是两者操作上最大的区别。

2.2.创建单一角色事务代码与菜单路径PFCG –工具 -> 管理 -> 用户维护 -> 角色管理 -> 角色菜单此为事务代码输入栏后续作业工具列图示/其它说明备注输入事务代码可于命令栏输入[ 事务代码 ]并按ENTER键，执行程序鼠标双击(或)将鼠标光标停在欲执行对象，并双击鼠标左键。

2017年第11期信息与电脑China Computer&Communication软件开发与应用SAP系统权限管理林黎颖（上海汽车变速器有限公司，上海 201800）摘　要：随着公司集中化管控的不断深入，下属企业也纳入SAP系统管理，SAP系统作为公司的核心关键系统，贯穿集团的整个业务链，按照财政部等五部委联合颁布的《企业内部控制基本规范》《企业内部控制应用指引》，结合国际国内实践，重构SAP系统权限架构，引入DESK系统，发现SAP授权管理相关的内部控制缺陷并进行整改，从设计层面与执行层面两个维度提出解决这些问题的管控手段和方法，从而帮助公司提升SAP ERP系统权限管控的效率和效果，建立健全的内部控制体系，提升权限管控的自动化管理水平。

关键词：根角色；派生角色；事务代码；不相容性中图分类号：TP309 文献标识码：A 文章编号：1003-9767（2017）11-111-02SAP System Privilege ManagementLin Liying(Shanghai Automobile Gear Works, Shanghai 201800, China)Abstract: With the deepening of the company's centralized management, subordinate enterprises are also included in SAP system management, SAP system as the company's core key system, throughout the Group's entire business chain, in accordance with the Ministry of Finance and other five ministries jointly promulgated the “Basic Norms of Internal Control”, “Guidelines for the Application of Enterprise Internal Control”, combined with the international and domestic leading practice, the SAP system authority structure is reconstructed, the DESK system is introduced, the internal control defects related to SAP authorization management are found and rectified, the means and methods are proposed to solve these problems from two dimensions of design level and implementation level, which helps company improve the efficiency and effectiveness of SAP ERP system control, establish a sound internal control system to enhance the authority of the level of automation management.Key words: root role; derived role; transaction code; incompatibility1 业务背景SAP系统是公司的核心业务系统，贯穿整个公司的财务、制造、销售、采购、物流等重要环节，特别是2016年，下属企业柳州和烟台变速器公司同步SAP上线，被上级集团公司纳入企业内控审计和外部审计工作的范畴。

ERP系统用户及其权限管理办法ERP系统用户及其权限管理办法第一章总则为了加强对全公司范围内ERP系统用户的管理，保证ERP系统的安全、稳定运行，提高系统的使用效率，规范ERP系统用户建立、变更和权限变更的操作流程，特制定本办法。

本办法适用范围为ERP系统所覆盖的业务部门及相关岗位以及最终用户和ERP系统的系统管理员。

名词解释：1.用户ID：用户Identify即SAP系统用来标识用户的名称，一般简称ID。

如某用户ID为GQ8888即表示该用户在SAP系统中的名称为GQ8888.2.最终用户：所有ERP系统的操作人员，或者说拥有SAP用户ID的人员都是系统的最终用户。

3.关键用户：关键用户是参与ERP系统建设、实施的各业务条线的骨干，熟悉系统中本业务范围内的业务流程和权限分配，熟悉权限角色的详细定义，能解决最终用户在系统应用中业务方面的问题。

4.系统管理员：信息中心负责ERP系统的日常维护、备份、用户权限变更管理以及保证系统正常运转的人员。

5.用户ID的分类：在SAP系统中，用户ID分为专用用户ID和临时用户ID。

专用用户ID就是由唯一的用户使用此ID，则此用户即为ID持有人必须对此ID在系统中的行为负责，并管理好密码；临时用户ID就是由一临时用户（一般是提供技术支持人员）使用此ID，应由开设此ID的部门人员（一般是同意开设此ID的审批人员）负责对系统中该用户行为的控制和密码的管理。

第二章职责1.系统管理员：对用户ID使用状态进行定期检查。

负责按用户的申请单进行用户建立、变更、权限变更和ID锁定、解锁以及密码重置工作。

2.关键用户：在建立新ID或用户发生权限变更时填写申请单中权限角色部分。

3.最终用户：妥善保管本人的密码，有变更权限等需求时如实详细填写相应的申请单。

4.使用部门：监管本部门最终用户的使用，根据使用情况与需求，组织填报相关申请。

第三章实施第十四条：最终用户的权限在建立用户时根据规则给定。

許可權設定操作手冊許可權維護1.注意1.1.使用者、角色、事務代碼、授權物件的關係-用戶：由幾個角色組成-角色：由一系列事務代碼搭建-事務代碼：需要系統規定的必要授權物件才能運行-授權對象：由它的參數來定義1.2.許可權設定須謹慎-許可權設定非常重要，並且許可權的排錯查詢非常繁瑣、耗時，因此在做許可權設定時一定要謹慎，每次更改都要記錄。

1.3.測試環境下修改-除非特殊情況，許可權設定不允許在正式環境直接更改。

-一般都是在測試環境修改、測試成功後，再傳到正式環境。

1.4.拒絕不合理許可權要求-Basis不是決定用戶許可權範圍的人，而是實際管理中大大小小業務流的管理者。

-所以，變更許可權設定，務必要求用戶提供經過領導簽核的申請表。

-對於用戶不合理的許可權要求，顧問有責任拒絕。

2.角色維護2.1.作業說明-基本由許可權的大架構有User ID（用戶），Role（角色），Profile（許可權參數檔）三層，可知許可權的設定也會有相應的三層。

-目的SAP中的許可權管理可以通過建立若干角色的方式進行，角色的定義為SAP中單個或者多個事務代碼（T-Code）組成的一個角色定位。

角色是指在業務中事先定義的執行特殊職能的工作。

可以為單個的用戶的需求去創建角色，也可以通過事務代碼創建角色，然後分配給各個需要這些角色的使用者。

-創建角色主要有三種方式：手工創建。

適合所有新建角色的需求，主要對應許可權追加；繼承。

主要對應設定派生角色；複製。

主要對應設定基本的角色。

-繼承與複製創建角色的區別：用繼承的方式建立新角色，繼承後，只需要填寫Org.level，Object就全部標識為綠燈。

用複製的方式建立新角色，需要在Object裡填入值，Object才能全部標識為綠燈。

以上是兩者操作上最大的區別。

2.2.創建單一角色-事務代碼與功能表路徑PFCG –工具 -> 管理 -> 用戶維護 -> 角色管理 -> 角色-菜單此为事务代码输入栏-後續作業工具列圖示/其它說明備註輸入事務代碼可於命令列輸入[ 事務代碼 ]並按ENTER鍵，執行程式滑鼠按兩下(或)將滑鼠游標停在欲執行物件，並按兩下滑鼠左鍵。

流程驱动的SAP权限管理解决方案简介_V1.0SAP 系统刚上线时，您关注较多的可能是系统能否顺畅运行、数据是否准确，财务帐是否能对得上等等，对于系统内的权限管理问题，可能您关注得并不多。

事实上，随着SAP这样大集成系统的上线运行，企业运营信息的储存、加工和传递效率被极大地提高了。

但是，任何事务都是有两面性的，实时性和集成性增加的同时也会加大企业运营的风险。

这种风险主要体现在两个方面，一是如果授权不当，员工获取企业运营信息的深度和广度可能会远远超过其工作所需的范围，这会大大增加泄密的可能性；二是一旦授权不当，让原本没有必要操作或加工这些信息的员工拥有了这些权力，就会大大增加管理失控的风险性。

因此，我们建议您关注一下SAP系统的权限管理问题，因为这绝对不是一个IT问题，而是一个跨部门、跨流程的重要的企业管理问题。

在认真分析了您企业的SAP权限管理体系后，如果您发现存在如下问题，那么您的企业可能就需要实施一套SAP权限管理的解决方案了。

- 没有一套清晰且明确的授权规则随着SAP系统运行越来越顺畅，使用者渐渐感受到了系统所带来的价值，于是大家便会要求给自已开通各种功能并增加相应的权限。

而对于IT部门的系统权限管理人员来说，面对大量的申请，似乎并不能找到一个清晰且明确的标准。

于是，请部门主管审批便成了一个最为有效的解决方案。

只要相关的部门主管认可，IT部门即予开通。

然而，这仅仅是从管理职责上解决了谁负责的问题，并未解决权限管理的本质问题。

即给某员工开通一个权限或不开通一个权限，是由某一个人来判断，还是由一套规则来决定。

无论是从规范化、科学化和精细化管理的角度来说，还是从风险控制的角度来说，授权体系的管理肯定是上述两者的结合，光有前者是远远不够的。

对于实施了SAP系统的企业来说，应先建立一套基于业务活动的SAP系统权限管理规则。

对于某一位员工来说，究竟应该拥有什么样的权限，首先应取决于其在企业业务流程中所承担的角色及从事的活动。

SAP权限管理解决方案Authorization Management Solutions for SAP背景概述1“SAP系统的庞大与复杂，企业权限日常管理手段的缺失，闲置账号资源和会话管理的不便，面向用户行为审计和日志追溯等系列问题，给SAP 应用企业带来了使用成本的不断增长和诸多业务风险的管控挑战。

”授权体系监管策略的不足 系统应用成本的日益增长通过实施一组高效易用的IT 自动化工具，辅助SAP 系统用户账号和权限的治理，防范、降低、控制、处理权限违规造成的业务风险，精确应对企业内审外审带来的问题，大幅降低系统管理和使用成本。

系统未知的审计法律风险 业务舞弊系统安全等隐患连峰AMS （Authorization Management Solutions for SAP ）权限管理解决方案是以SAP 系统权限风险控制及注册用户账号管理为目标的产品体系，目前版本包含AMS-R 、AMS-V 两个产品，其中AMS-R 针对权限运行结果审计，AMS-V 针对帐号权限操作控制。

两者既可协同工作，又可根据不同侧重独立部署应用。

管控系统权限降低使用成本连峰AMS for SAPSAP ECC SAP R/3SAP BWSAP EWMSAP 其他产品系统...RFC 函数实时双向同步、异步处理USR02等权限数据AMS 基础数据http://audit....拦截记录访问请求用户替换绑定权限安全网关账号动态权限分配日志信息记录权责互斥SOD 矩阵敏感权限SAT 清单事前审计SAP JCO补偿控制协议解析S A P用户行为管理S A P账号分时复用网关账号池账号未登账号并发账号分时复用超级账号会话管理分组设置超时管理权限分配网关日志行为日志查询日志过滤配置日志备份输出会话频率统计例外会话管理查询导出追溯敏感事物追溯日志操作查询超级账号业务业务凭证查询连峰AMS-V 安全网关应用系统连峰AMS-R 权限审计管理系统SOD 审计管理SAT 审计管理用户快速审计跨公司权限锁定SATSOD角色用户互查权限用户互查特殊配置检查违规业务审计财务凭证审计连峰A M S for S A P 权限管理解决方案方案介绍2方案介绍2网关账号网关账号池化的网关账号会话管理日志记录网关拦截合法验证实现原理网关账号池化连峰AMS-V 使用SAP 标准访问协议，采用分时复用方式虚拟化SAP 账号，在线实时管理用户操作。

ERP权限控制在这一节，介绍一下ERP 的权限设计，了解权限设计的逻辑。

一个特别是适合大集团业务的ERP 系统,应该提供一个非常完善的权限控制机制,甚至允许将权限控制字段细到字段级别，举例：Select 用户名From 用户表where 用户名='butcher' （得到用户名）select 权限组ID From 权限表where 用户名='butcher' （得到用户对应的权限组ID ）select * From 权限控制列表where 权限组ID = ‘***** '（得到没个权限组ID 对应的明细权限列表也就是用户的明细权限）在此我们可看到诸如用户名表，角色表，权限组表和对应业务操作的权限详细控制列表诸如此类的表格。

现在来看看ERP的权限设计思路，首先了解下几个Tcode和权限相关表格。

常用权限相关Tcode .（一）Role（角色）相关T-code:PFCG 创建ROLE_CMP 角色比较SUPC 批量建立角色profile（二）建立用户SU01 建立用户SU01D 显示用户SU2|SU3| SU50|SU51|SU52 改变/显示用户个人参数SU10|SU12 批量维护用户SUCOMP 维护用户公司地址SUIM 用户信息系统（强调一下）（三）建立用户组SUGR| SUGRD_NA V 维护用户组SUGRD| SUGR_NAV 显示用户组（四）维护检查授权SU20|SU21 自定义授权字段和授权对象SU53 当出现权限问题可使用它检测未授权对象.SU56: 分析authoraztion data buffers.常用权限相关表格:TOBJ : All avaiable authorization objects.（ERP 系统默认的所有授权对象）USR12: 用户级authorization 值USR02:User Logon Data（包括用户名称密码，是否锁住等字段）USR03:User address dataUSR05:User Master Parameter ID（Tcode SU3可查看用户参数文件的参数ID默认值）USR41:当前用户（即Tcode SM04看到的所有当前活动用户，包括各种对话系统通信类用户）USRBF2 :记录当前用户所有的授权objectsUST04:User Profile master（用户主数据中对应的权限参数文件名）UST10S : Single profiles （授权文件，权限参数和授权对象对应表 ） UST12 : Authorizations （具体授权细节）重点提示：USR02/USRBF2/UST10S/UST1四个表包含的信息就是 ERP 权限控制的关键，前者是用户主数 据表，后三者和用户授权紧密相关。

SAP权限管理制度篇一：SAP系统维护管理办法城建亚泰租赁SAP系统维护管理办法修订记录1.0目的根据SAP系统的特殊要求，规范系统维护的各个事项，标准化维护执行流程，特制定本规约。

2.0范围本规定适用于城建亚泰租赁及下属公司。

具体包括账户权限配置、系统配置调整、利润中心成本中心配置、程序变更、公司代码配置等。

3.0原则城建亚泰租赁对SAP系统的维护遵从“标准化操作、全过程跟踪”的原则。

4.0职责4.1需求部门4.1.1根据实际业务需要通过“IT需求申请流程”递交系统调整的相关需求申请，需求描述力求全面、准确。

4.1.2信息技术部SAP应用组完成系统调整后，需求提出部门需要进行确认和验收。

4.2战略管理部负责系统调整需求合理性的审核确认。

4.3信息技术部4.3.1信息技术部系统维护中心SAP应用组负责SAP系统日常维护、新需求开发和系统持续优化。

4.3.2受理各业务部门和职能部门关于SAP相关的需求。

4.3.3受理SAP系统账户和权限的申请。

4.3.4负责根据业务需要和系统运行情况对SAP系统的配置进行调整。

4.3.5负责对新成立的子公司进行SAP系统实施。

4.3.6根据业务需求和系统运行情况调整系统程序。

4.3.7配合和协助财务部进行月结和年结。

4.3.8根据业务和管理需求调整BW的配置。

4.3.9负责对系统各种异常情况进行处理。

4.4财务部4.24.4.1财务部配备专职SAP业务管理人员，负责财务部内部有关事项的维护，也负责事业部各项需求的对接。

4.4.2定期维护员工供应商主数据，包括新员工编码。

4.4.3根据公司组织架构的调整情况及时配置SAP系统中的利润中心和成本中心。

4.4.4负责特殊情况下财务凭证的调整，包括制作手工财务凭证。

4.4.5负责东泓ERP等其他非SAP系统的财务凭证校验和导入。

4.4.6负责SAP系统年结和月结的操作，包括管理会计期间、利息计提、收入费用分摊等。

4.4.7根据财务业务需要向集团申请新增会计科目。

基于SAP的企业信息系统权限管理方案摘要：首先对SAP系统的模块分类和管理现状进行了描述，对SAP 的权限实现原理、管理制度、建立机制等内容进行了详细阐述，通过分析SAP项目推进的过程中在权限管理方面遇到的一些问题，确立了适合SAP项目推进的权限管理策略和流程，以及权限管理的详细解决方案。

关键词：权限技术；管理制度；解决方案0 引言SAP是以财务为核心，资产管理为主线的集成的管理系统。

以流程管理的理念，打破了传统以职能管理为核心的管理模式,为企业的核心业务管理提供了一个一体化、企业级的信息管理平台。

任何多用户的系统不可避免地涉及到权限问题，SAP系统也不例外。

由于系统的使用者增多、使用者的分工更复杂、加上人员岗位调动、退离休等情况，难免会造成系统权限分配混乱的问题，对系统的正常运行和业务流程的正常流转存在着很大隐患，所以对SAP系统的权限控制就显得尤为重要了。

1 SAP权限管理的基本元素SAP R/3系统权限体系引用了账号、角色、参数文件、授权对象、字段等权限概念，结合系统中企业组织架构及业务处理的配置等对用户进行权限控制。

同时SAP R/3系统采用了多数据库集成技术，并通过设计大量的数据表记录各事务处理的权限检查情况及系统用户的授权情况。

用户：具体操作SAP系统的用户，即登陆SAP Logon输入的用户。

使用事物码SU01创建一个新的用户ID，默认的权限是空白的，不允许任何操作。

单一角色：简单的说就是一个事物码的集合。

其中包含了控制事物码操作的“权限对象”、“权限字段”以及允许的操作及允许的值。

用事物码PFCG维护。

单一角色是相对应复合角色而言的。

复合角色：又叫通用角色，即是多个单一角色的集合。

复合角色中可以包含多个单一角色，此复合角色包含了这多个单一角色所控制的权限。

复合角色还可以维护具体的“权限对象”、“权限字段”以及允许的字段值及字段操作。

2 SAP权限机制建立过程在ERP 项目实施过程中，当系统的业务流程已经梳理完成，并对每部分的流程实施人员分工进行了调研后，就可以进行权限配置了。

企业SAP ERP系统用户权限管理解决方案
苏戎
【期刊名称】《信息通信》
【年(卷),期】2015(000)001
【摘要】企业在使用SAP ERP系统进行用户权限管理过程中，经常会发现分配给用户的权限过大或职责不分离，部门领导审批用户权限形式化，每次内控审计都会发现一大堆权限配置错误，文章通过探讨这些问题，提出研究解决的方案。

【总页数】3页(P111-112,113)
【作者】苏戎
【作者单位】广东石油分公司信息管理处，广东广州510620
【正文语种】中文
【中图分类】TP311.52
【相关文献】
1.SAP ERP系统性能监控解决方案 [J], 刘涛;刘宁波;项松;
2.SAP ERP系统性能监控解决方案 [J], 刘涛;刘宁波;项松
3.某大型综合能源企业基于SAP ERP系统的凭证协同管理设计与应用研究 [J], 郭伟
4.SAP ERP系统在零件加工制造企业的应用 [J], 刘文英
5.联想与SAP携手，为中国SAP HANA用户提供企业云解决方案 [J],
因版权原因，仅展示原文概要，查看原文内容请购买。