慧眼工程ProjectInsight

權限策略和方法AuthorizationStrategyandApproachHUAXINCEMENTNov.20072目錄序主題1概覽Overview1.1目的Ojectives1.2SAP權限構成SAPAuthorizationElements2權限策略AuthorizationStrategy2.1權限策略詳解AuthorizationStragegy2.2角色的命名規則和分類Rolesnamingrule&Classification3權限工作安排AuthorizationStreamPlan3.1權限計劃AuthorizationPlan3.2權限設計的模板AuthorizationDesignTemplate3.3權限計劃的小組成員制定Teammemberneedtoorganize3目標Objectives SAP作為企業業務管理的關鍵應用，其權限的設置和授權是影響系統數據的安全性的重要環節。SAPiskeybusinessmanagementapplicationforenterprise,theauthorizationsettingandprofilesisthemostimportantelementforsafetyofsystemdata.此篇文檔的目標thisdocument’sobjectives:1.定義一套簡單實用并集成權限體系（比如權限維護不會太復雜）Defineasustainablesystemforauthorizationmanagement(i.e.onethatisnottoocomplextomaintain)2.確保合適的責任分配和授權Ensureproperseparationofduties定義一套清晰的申請，審批和權限修改的流程。Defineclearprocedureforrequesting,approvingandmakingchangesinfuture3.培養華新權限設計團隊，使他們未來可以獨立維護系統權限和項目推廣。DevelopaHuaxinAuthorizationteamcapableofmaintainingtheauthorizationsystemandapplyingtotherolloutplants.4SAP權限構成SAPAuthorizationElementsSAP權限基本上有三種元素組成SAPauthorityisconsistedofthreeelements:SAP用戶（賬戶）SAPuser角色roles授權參數authorizationprofile角色模板Roletemplate

-描述Description-菜單Menu

-權限Authorizations……………授權參數Authorization

profile-對象類型Objectclass-授權對象Authorization

object-授權Authorizations

………………..分配Assignto關聯Bindwith分配AssigntoSAP用戶Useraccount-地址Address-登錄數據Logondata-組Group............5權限策略詳解AuthorizationStrategy對于最終用戶的授權SAP有兩種方式ForenduserauthorizationinSAP,thereistwoways:直接在用戶主數據內使用SAP標準的角色或者參數文件,這種方法基本上不適合企業靈活的權限控制目的。DirectlyusingtheSAPstandardrolesorprofilesinusermasterdata,thiswayisnotsuitforflexibleassignauthorizationtouserincompany.先使用角色生成器(RoleGenerator)定制角色并生成參數文件，然后再分配給用戶。這種客戶化定制角色達到企業的靈活性要求。Firstuserolegeneratortocustomizingrolesandprofiles,thenassigntouser.Thiscustomizingwaymeetstherequirementofflexibleauthorization.6權限策略詳解AuthorizationStrategy根據第二種最終用戶授權方式，制定以下策略Accordingthesecondenduserauthorizationway,definethefollowingstrategy:定義華新標準角色模板DefineHuaxinGlobal

roletemplate定義華新本地角色DefineHuaxinlocalrole繼承Derive定義標準角色，是指角色的共性（指T-Code）以標準角色模板來定義DefineGlobalrolesasrolesGlobalattribution

定義本地角色，將標準角色模板應用于此角色（SAP稱為繼承），并加上屬于本地特色的組織架構Definelocalroles,applyGlobalroletemplatetothisrole(SAPterm:derive),andaddsome.localorganizationlevel.分配Assign用戶User7權限策略詳解AuthorizationStrategy當通用角色和本地角色存在較大差異是指通用角色完全不適用本地角色，采用以下措施WhenGlobalrolecannotmatchthelocalrole,meanscompletelycannotmatch,followthefollowingsolutions:基于原先定義通用角色錯誤，刪除原有通用角色，重新建立通用角色；basedonwrongoriginalGlobalroles,deleteit,andre-generatenewGlobalrole;基于原先定義通用角色可適用于一部分本地角色但不適用該本地角色，則聯系當地管理人員確認角色定義是否應該進行變革管理，如確有必要存在特殊性，則取消繼承關系，建立特殊本地角色basedonoriginalGlobalrolesuitforsomelocalroles,butnotsuitthislocalrole,cancontactwithlocalleadertoconfirmifneedrolechangemanagement,ifthedifferenceisnecessary,generatenewspeciallocalrole8角色的命名規則和分類Rolesnamingrule&ClassificationRole的命名規則和分類Rolesnamingrule&classification:以“G”開頭都是﹐都不會直接分配給用戶allGlobalrolebeginwith“G”,cannotdirectlyassigntouserGXX0001

﹕華新通用角色模板HuaxinGlobalRoleTemplate比如采購員GMM0001ForExample,asBuyer:GMM0001以“L”開頭都是本地用戶,直接分配給用戶。

Allthelocalrolebeginwith“L”,directlyassigntouserL公司代碼XX0001

:繼承華新通用模板DeriveHuaxinGlobalRoleTemplateL公司代碼XX0001_E(Exception) :沒有繼承通用角色，例外權限Noanyderivedrelationship,

exceptionrole(speciallocalrole)比如：華新總部采購員LH888MM0001特殊采購角色LH888MM0001_EAs:

HuaxinHQbuyerLH888MM0001SpecialbuyerroleLH888MM0001_E以“Y”開頭都是Basis角色,直接分配給用戶。

Allthebasisrolebeginwith“Y“,directlyassigntouserYBS0001

:華新basis通用角色HuaXinGlobalroleforBASIS.比如華新總部BASISYBS0001ForExample:YBS0001basisofHuaxinLtd.,co9權限計劃AuthorizationPlan10權限設計的模板AuthorizationDesignTemplate基于上方的權限設計策略，以及SAP內權限設置方法，制定相應的模板Accordinglastslideaboutauthorizationstrategy,andauthorizationconfigurationinSAP,mustdefinethefollowingtemplates：通用角色模板（事務代碼）Globalroletemplate(transactioncode)本地角色及用戶分配模板(含組織架構)Localroleanduserassigntemplate(containsorganizationlevel)本地特殊角色模板Localspecialroletemplate本地特殊角色情況分析表Localspecialroleanalysisreport（EXCEL格式模板附上a