SAP系统内的权限管理是以“角色/Role”这一概念展开的,一个“角色/Role”上分配了体现权限的一组“事务代码/T-Code”和体现限制的授权“参数文件/profile”。

用户的权限是指用户能够访问哪些资源或执行哪些任务(或功能)的范围,从控制的角度考虑用户在SAP系统中所拥有的权限是否超出了其工作需要;日常工作中对用户账号进行授权时,应依据需求导向及最小授权原则,对于用户的权限,以其实际工作需要为依据且仅应当授予其能够完成工作任务的最小权限。

1. SAP权限控制的分类

SAP的权限控制可以从逻辑上定义为“功能权限控制”和“数据权限控制”。

1.1 功能权限控制

功能权限可以理解为赋予用户某个角色“ 角色->事务代码->授权字段->值(创建、删除、显示等)”,用户可以访问而且只能访问自己被授权的功能。

【场景举例】

给 USER01 赋予“人力资源经理”角色,“人力资源经理”具有“查询员工”、“添加员工”、“修改员工”和“删除员工”权限。此时 USER01 能够进入SAP系统进行HR模块的这些操作;如果 USER01 没有被授予“人力资源经理”角色,此时就不能进行这些操作。

1.2 数据权限控制

数据权限可以理解为一般和企业的组织架构相关的权限,数据权限是在功能权限的基础上进一步的扩展;比如“查看订单”属于功能权限的范围,但是可以“查看哪些订单”就是数据权限的范围了。

【场景举例】

因为 USER01 是集团华东大区的“人力资源经理”,所以他能够也只能够管理华东大区的员工和华东大区下属的分公司(上海公司、苏州公司、杭州公司等)的员工;因为 USER02 是苏州公司的“人力资源经理”,所以他能够也只能够管理苏州公司的员工。

财务金额审批的限制,USER01、USER02都有审批权限(功能权限,同一个T-code);作为高级经理的 USER01 可以审批的金额是100万,USER02 的岗位是经理,只能审批50万(数据权限)。

2. SAP的特殊权限控制需求

在SAP系统应用中,出于业务需要特殊定制的权限,如供应商信息查看、HR薪资数据查看、物料价格数据导出等;SAP BASIS或者外部开发顾问的权限控制,SE38执行非法程序,SE16查询敏感数据表等。

这些权限的控制和数据(可以统称为资源)直接相关,相当于数据级权限管理、细粒度权限管理或者内容权限管理。对于SAP系统授权体系无法满足的权限控制,我们定义为“特殊权限控制”。例如,USER01 具有功能权限可以查看物料价格,也有数据权限查看华东大区下的所有物料价格;但是公司有规定不能下载导出数据,只能在系统中查询查看, 这个下载导出数据就属于特定业务下的特殊权限控制。

3. SAP数据权限的控制方法

SAP系统本身具有丰富的权限控制及权限实现功能,功能权限可以通过“角色-事务代码-授权对象-字段-值”定义,数据权限可以通过“组织机构(公司代码、工厂、销售组织、销售组、分销渠道、采购组织、采购组、成本中心、人事范围等)”配置,基本上可以满足绝大多数企业的业务权限管控需求。

对于SAP系统中的数据权限管控,除常规的通过角色权限控制外,还有以下常见的管控方式。

自定义报表开发:存在局限性,多数需求是针对查询类报表定制开发;可以满足现阶段业务需求,业务产生变化时需要重新开发。

程序增强开发:业务策略或审计策略有变化,会导致系统后期改动代价非常大,牵一发而动全身;不建议使用。

堡垒机工具:堡垒机从运维管理层面实现按SAP用户的数据权限管理;具有事中监控、事后审计等优点,不足之处是投入较高,事后审计时需要耗费时间去取证。

4. 基于AMS安全网关的权限控制方法

AMS安全网关平台通过对SAP系统端对端会话的管控,实现了对SAP GUI用户会话网络报文的在线侦听和解析,支持面向SAP用户业务行为的在线操作控制。

AMS安全网关平台采用了基于自主知识产权大比特位传输处理算法,实现了大流量压缩数据的实时处理,系统支持用户数据层面的权限控制以及审计日志记录,依据预制策略模型介入管理用户事务代码执行、特殊凭证的操作等。

4.1 数据权限控制示例

用户具有 SAP_ALL 权限,

查询操作:事务代码 V/LD 查询物料价格,角色权限可控制到销售组织,分销渠道,条件类型,产品组,但控制不到物料。

AMS安全网关实现对“1020销售组织,22分销渠道”的控制,限制用户只能查询350-100的物料价格;也可进一步限制查询条件屏幕。


4.2 其它权限控制示例

限制 FIBLFFP 任意形式支付、 FIBLAROP 客户支付请求中的金额限制。

控制登录选择屏,不允许重复登录。非ECC参数login/disable_multi_gui_login配置,可以限定特定账号。

限定用户终端登录,指定的MAC地址或IP来源连接SAP系统;非许可终端来源用户禁止登录系统。

控制用户超时时间,可个性化设置用户超时时间。


4.3 特殊权限定制开发

AMS安全网关平台支持灵活便捷的SAP权限管理策略的开发配置,企业在SAP系统应用过程中,SAP权限控制无法由配置满足的情况下,可以交由AMS安全网关进行统一管理、配置、解析和控制。

关于赛锐信息

作为SAP的资深合作伙伴,赛锐信息是一家专业提供SAP行业化管理软件解决方案的顾问公司,致力于为企业提供SAP ERP系统咨询服务、IT规划、业务流程优化、信息系统实施、行业信息系统方案开发,运营外包及售后维护等全面的服务方案。已服务1000+家不同行业、规模的大中小型企业客户。在电子高科技、汽车零部件、印刷包装、医疗器械、快消品、专业服务等行业信息化管理领域具有领导性地位。

作者:SAP权限管理 QQ:2651000673

SAP License 数据安全: SAP 权限的特殊控制方法相关推荐

  1. SAP License:SAP中的产量法折旧计算

    最近朋友问到一个关于SAP里面的产量法折旧的问题,我整理一下给大家共享一下,现在在石油是有应用的.其实很简单,只是大家用的比较少,希望看完我写的东西后能够明白,谢谢大家对我长期的支持. [原文] 使用 ...

  2. SAP License:SAP低值易耗品管理

    (一)五五摊销法折旧的测试: 今天得空测试了一下折旧处理低耗. 测试环境: SAP R3 46C&471 日期: 20021-04-19 首先要清楚的是没有办法为所有的低值易耗品统一定义一个折 ...

  3. SAP License:SAP顾问薪酬

    SAP 业绩的大幅攀升直接带来了顾问和销售薪酬的提高,SAP今年从北大 清华新招的刚毕业的硕士顾问基本工资起薪都在一万五(税前),一年十四个月工资.如果进入项目,享受每天四百人民币的补助. SAP L ...

  4. SAP License:SAP不便解决的问题之七——权限问题

    做权限是个烦人的活计.我想做权限的筒子们大都有这个感觉.我见过的系统做权限时没有速度快的,都慢得跟乌龟爬一样.另外,用户一多了,角色组织就是个大问题,要兼顾到灵活方便与整齐划一.按岗位组织角色?还是按 ...

  5. SAP License:STMS权限

    有效的传输方式(D测试机,P生产机,跨CLient)有两种: 1.P中有STMS的权限,直接在P中传输. 2.D中有STMS权限+P中虽无STMS权限,但有S_CTS_ADMI.S_CTS_SADM对 ...

  6. SAP License:SAP权限原理与授权对象

    SAP的权限是通过授权对象来控制的,所有的事务码.角色等最终反映在系统中都是授权对象.在SAP中运行事务码时,系统首先会检查S_TCODE这个授权事务中是否有指定的事务码,如果有,你才能使用这个TCO ...

  7. SAP License:FI权限需要控制利润中心

    FI权限需要控制利润中心,例如F-02权限对象只能控制到公司代码层,如果需要控制到利润中心需要在后台进行激活利润中心授权对象. 路径:SPRO 财务会计(新)-财务全局设置(新)-权限-激活利润中心授 ...

  8. SAP License:SAP中的权限与破解

    SAP 用户权限解剖: 通常basis会使用PFCG做权限管理,时你保存时会产生一个系统外的prifile name,记得SU01时用户有profile 和role两栏位吗?它们的关系如何呢? 首先明 ...

  9. SAP License:SAP用户权限

    SE93 查询所有TCODE: 或者 table: tstc: SE16 display: SUIM 查询用户信息的报表们. SAP常用的TCODE-BASIS 序号 事务码 描述 ( 中英文 ) 1 ...

最新文章

  1. 使用Wireshark分析工控协议
  2. shell脚本——注释(单行注释 多行注释)
  3. 利用InfoPath实现SharePoint Server 2013列表的级联选择(Cascading Drop Down List)
  4. [BUUCTF-pwn]——铁人三项(第五赛区)_2018_rop
  5. Spring 实例化bean的三种方式
  6. Blazor Server 和 WebAssembly 应用程序入门指南
  7. Ubuntu中Python3找不到_sqlite3模块
  8. python写脚本入门-学习Python的教程?:python 脚本菜鸟教程
  9. 能从入门到精通的 Docker 学习指南
  10. c++工作笔记002---C++ 类成员访问运算符 - 的重载
  11. 将Vim打造成Python快速开发环境(一)
  12. 真来了!已有高校正式通知:排查近5年硕博学位论文!
  13. ASP.NET中 TextBox控件使用 ReadOnly=true 属性
  14. VBA的userform 相关的基本事件,方法和属性,以及 userform.name 使用规范备忘
  15. Java原子类Atomic详解
  16. DXF读写:标注样式组码中文说明
  17. 词法分析(一):状态转换图
  18. 哔咔漫画怎样切换横屏?
  19. windows下载Android系统源码
  20. Docker容器技术(三)

热门文章

  1. 英特尔+性能+linux,Linux 4.20内核在英特尔处理器上性能比Linux 4.19低,附原因解释...
  2. python绘制彩色地震剖面_在地图上绘制饼图时“爆炸”楔形图(Python,matplotlib)...
  3. 20秋学期计算机应用基础在线作业3,电子科大16秋《计算机应用基础》在线作业3...
  4. php点击导入选择文件,关于怎么选定一个文件并打开的有关问题
  5. java的find怎么使用_java – 如何为@FindBy注释实现用户类型?
  6. 用友U8审核凭证出现列前缀tempdb无效未指定表名的对话框的解决方法
  7. 第一章:Shiro简介
  8. 经典的同态滤波算法的优化及其应用参数配置。
  9. linux文件共享之samba,nfs的搭建
  10. Linux系统安装MySQL5.7,授权远程登陆