基于审计及IT内部管理要求。曾着手处理SAP中关于复合角色的改善。简单来说,就是利用复合角色的功能按用户岗位来定义好SAP中的权限集合。现将应用的基本原理记录分享。
在SAP中我们每个用户权限的基本单位是SAP中的事务,即SAP中的T-CODE。为了便于授权和管理,我们把相近功能的若干事务(TCODE)做成一个功能集合。这个集合称之为单一角色。而每个用户的权限可以包含十几个甚至数十个单一角色的集合。现在,我们将这些单一角色的集合进一步按照岗位整合成一个更大的权限集。称为复合角色。其结构如下图所示。
采用复合角色将提高对SAP中的权限管理的效率。明显的好处有以下以点:
1、 在申请权限时不再需要用户在众多的单一角色中选择。而是根据岗位选择即可。
2、 在调整权限时,一个用户增中或减少权限时,相同岗位的用户的权限会随之增减。
3、 从内外部审计的角度,该权限管理方式更加合理规范。
至于,操作层面倒没有什么技术难度,因为公司只要有单一角色,复合角色的建立和权限分配操作上基本类似。拿个截图说明,
以下建立了一人复合角色MR_FC_AP,代表财务部应付会计的复合角色。其下级分配了了很多单一角色。
而单一角色FI-AP-MIRO下级又包含了很多事务。
以上,就是复合角色和单一角色组合使用来达成按岗位定义权限集合管理手段的应用实例。