ERP系统所支持的业务处理以及有待处理的大量数据是企业的重要资源，应予以特别保护。为了防止非法用户使用系统及合法用户对系统的非法访问，需要对应用系统的采取保护措施，合理的用户及权限管理是一种有效的手段，可以很大程度降低应用系统的安全风险。

　　在ERP系统中，系统权限管理员根据每个用户的岗位和工作职责，为其分配相应的权限。如果给用户分配的权限不够，则不能满足用户业务操作的需求；但如果分配的权限过大，用户可能会越权执行一些操作，给系统数据及公司业务安全带来风险。北方公司ERP系统应用范围涉及本部及下属各核算单位，部门岗位多、用户数量大，建立一个规范的系统用户权限管理机制则显得尤为重要。

　　1 ERP系统的授权机制

　　SAP ECC5.0 ERP系统采用的是目前国际上比较流行的基于角色的访问机制（Role-Based Access Control，RBAC）。角色又分为单一角色和复合角色，单一角色是指事物代码（Transaction Code）的集合，也包括事务代码所要求的权限对象、权限字段、字段的值等，它们共同决定了具有该角色的用户在系统中的操作范围；而复合角色是若干单一角色的集合。基于角色的授权机制如图1所示。

    图1 授权机制

　　用户在ERP系统中进行业务处理是通过各种事务代码来实现的，每个事务代码都对应着不同的功能程序。程序的设计除了实现业务处理的基本功能外，还包含执行这个事务代码所需要进行的授权检查（Authorization Check）。新建一个用户ID时，该用户ID默认的权限是空白，无权进行任何操作。为用户授权实际上是通过角色或者直接通过权限参数文件将不同的权限授予不同的用户，授权后其用户主记录中记录了他的授权信息。当用户执行某事务代码时，事务代码对应的程序对用户主记录中的授权信息进行权限检查，检查通过了，就说明该用户具有该操作权限，业务得以顺利进行，反之，系统就自动终止事务处理，并提示用户无权使用。

　　2 用户权限管理流程设计

　　2.1 传统用户权限变更的模式及存在的问题

　　传统的权限申请流程，是最终用户根据实际需求，填写《用户权限申请表》并提交给系统权限管理员，管理员根据用户的岗位职责进行审批，审批通过后在系统中做相应的权限调整，同时反馈给最终用户。

　　虽然传统权限申请流程也对系统用户权限实行了统一集中管理，但也存在着很多弊端：

　　权限申请的审批、维护是由权限管理员完成的，管理员对业务单位部门岗位职责分配及业务操作的熟悉程度有限，很难确定最终用户提交的权限申请的合理性；

　　最终用户不了解权限的构成情况，单从角色描述很难判断角色所包含的具体内容，从而造成最终申请到的权限与所需要的权限不一致；

　　用户申请权限时通常都是通过电话或电子邮件，随着时间的推移，申请变更的数据量逐渐增大，用户和权限管理变得极其混乱；

　　权限管理员处理权限申请时，往往需要反复沟通才能完成最终权限调整并记录归档，而且在做权限调整时也不可避免的产生错误，使得管理员的工作量大而且效率低。

　　2.2 流程化的用户权限变更模式的实现

　　针对传统权限申请流程存在的问题，北方公司对传统流程进行了优化，将用户权限变更过程从技术维护转变为技术、业务部门共同参与的业务操作，实现了三级流程化的权限管理。优化后的权限申请流程如图2所示。

    图2 优化权限申请流程

　　3 方案设计

　　3.1 模块化结构

　　通过对业务流程和管理需要进行分析，整个用户权限变更模块设计包括三个主模块：最终用户创建申请子模块、业务部门审批子模块及信息部门执行子模块，两个辅助模块：管理员维护子模块，报表查询子模块。程序流程设计如图3所示。

     图3 程序设计流程

　　3.1.1 用户创建申请子模块

　　用户提出权限变更申请，在ERP系统中创建权限变更申请单，权限变更类型包括新增用户及权限、已有用户权限更改、锁定／解锁用户。

　　3.1.2 业务部门审批子模块

　　创建完成的权限变更申请提交后，业务部门审批负责人员根据用户业务实际需要，进行相应的审批（流程Ⅱ-业务部门审批）。