SAP ERP 用户权限运维解读

关键字：SAP ERP，S/4 HANA，SoD，职责分离，权限管控，SAP License审计、SAP 账号优化

引言

随着企业规模的增长和内部运营的复杂化，管理人员对制造过程和资源调配的控制愈加重视。在此背景下，用户在业务执行过程中产生的数据准确性至关重要。通过加强用户培训和完善用户管理规范，可以确保数据来源的可靠性，防止越权操作。

在SAP ERP系统中，用户权限的合理划分成为SAP ERP系统正常运行的基石，业务用户的每一步操作直接影响运营数据的准确性，高效的用户权限管理是系统管理工作中不可忽视的一部分。

关于SAP ERP SoD职责分离运维管控可参考上期文章

赛锐信息，公众号：ERP 权限审计专家SAP ERP系统 SoD 职责分离运维管控

一、SAP系统用户管理方式

在SAP系统中，用户数据由基础信息和角色两部分构成：

• 基础信息：包括用户账号、姓名、部门、岗位和联系方式等。这些信息确保业务执行的可追溯性。
• 角色（Role）：定义用户的功能范围和可操作的组织范围，保障业务执行的有效性。

通过合理设置和管理用户权限，企业可以确保系统的安全性和数据的准确性，从而支持企业的战略决策和日常运营。

1.创建用户

• 用户分类：建议将对话用户、系统用户、通讯用户、服务用户和参考用户这五类用户明确定义，并进行相应的权限管理。对话用户应该拥有最终操作权限，系统用户用于处理系统任务，通讯用户用于系统间任务，服务用户应该受到严格的管制，参考用户用于向对话用户附加权限。
• 用户权限：在创建新用户时，确保使用事务代码SU01，其中包含基本信息、登录数据、缺省值、参数、角色和参数文件等内容。角色的分配应该基于最小权限原则，只给用户所需的权限，避免赋予过多权限。
• 密码策略：确保系统管理员设置了初始密码，并要求用户在首次登录时根据密码策略进行修改。密码策略应该包括密码复杂度要求、密码有效期等规定，以增加系统的安全性。
• 权限检查：在分配角色和参数文件时，应使用参考用户来附加通用权限。系统应通过AUTHORITY-CHECKOBJECT语句来进行权限检查，确保用户只能访问其被授权的功能和数据。

2.创建角色

SAP ERP系统中角色分为两种类型：单一角色和复合角色。复合角色实际上是单一角色的集合，这些单一角色的功能相互辅助。在创建角色时，应首先创建只包含事务代码的根角色，然后创建继承于根角色的子角色，最后将子角色组合成复合角色。一个复合角色可以继承单一角色中的所有事务权限，通常用于对应特定岗位，这样在为用户分配角色时可以直接分配复合角色，避免因权限不完整导致用户工作受限的情况。

在使用事务代码PFCG创建角色时，需要对事务代码、组织结构和权限对象进行赋值。通过为根角色分配事务代码，确定可执行的事务集合；通过为派生自根角色的子角色限定组织级别，明确了角色的作用范围；在子角色中通过权限对象调整角色在作用范围内可执行的功能，进一步限定角色的权限范围；而将子角色组合成的复合角色则构成了某一岗位所需的权限集合。更清晰地确认单一角色和复合角色之间的关系，以及在创建角色时的步骤和权限分配流程，可有效提升用户权限运维管理的效率和准确性。

3.用户运维管理

在SAP ERP系统中，用户权限管理应该遵循相关管理办法，确保权限的审批和维护工作严格执行。系统管理员在处理用户权限变更时应严格按照规定程序进行，避免随意变更权限导致业务风险。为了确保岗位需求，应定期与使用部门进行用户交叉检查，建立系统用户权限矩阵（SoD职责互斥），并定期更新。在权限审核过程中，需要检查用户权限是否符合实际业务职责，避免冗余账号或共享账号的存在。

另外，需要及时注销停止执行业务的用户账号，以防止信息外泄的风险。合理设置系统密码策略也是非常重要的，包括密码复杂性和有效期等限制，以降低未经授权用户非法访问系统信息的风险，提升系统的安全性和合规性。

二、SAP ERP 权限运维问题及对策

1.权限不足

在处理权限不足问题时，首先应使用SU53事务代码对用户进行权限检查，明确用户是否缺少特定事务代码。在确认符合岗位需求后，应使用SUIM事务代码查找包含所需事务代码的角色，并将其分配给用户。

若用户已具备事务代码但权限对象缺失，可通过SUIM查找符合需求的权限对象值所在的角色，并将其分配给用户。如果找不到符合要求的角色，可通过PFCG事务代码修改角色，根据实际情况新增或修改权限对象。

2.权限交叉或放大

当发现用户权限出现交叉或过大问题时，首先应检查用户是否执行了非本岗位功能。若角色不符合用户岗位要求，应取消用户与角色的对应关系。若角色适合用户岗位需求，需检查角色设置是否符合功能要求，如不符合，应调整对应的根角色，并在根角色中调整所有派生角色。

若事务代码符合要求但组织结构或权限对象过大，应对事务代码所在子角色进行相应调整。如果以上检查未发现问题，应检查用户权限对象是否在其他已分配角色中存在，可能是因为角色之间权限对象重叠但赋值不同导致用户权限过大，此时应调整权限对象值确保一致性，或因组织结构层次过高，应细分角色确保合理划分。

3.用户集中管理

针对多个集团的大量用户，可以通过标准SAP ERP系统构架进行集中管理。在开发机使用SU01创建用户，并通过分配不同客户端和角色进行跨系统管理。这样用户可以使用相同账号登录不同集团，避免因账号不同导致的系统登录问题。系统角色可通过在开发端创建后传输至测试机和生产机，系统管理员可向用户分配同一套角色，实现用户的集中管理。

三、SAP ERP权限运维重要性

SAP ERP系统的用户权限管理在信息系统中是一项持续性的重要工作。在系统的日常运维过程中，系统管理者应不断改进管理方式，及时响应权限变更需求，以确保用户具有执行其岗位工作所需的完整权限。权限不足或过大都可能导致业务操作不畅，严重情况下甚至会带来系统级的应用风险。因此，完善的用户权限管理办法和严格的执行至关重要。

SAP ERP系统权限运维管理过程中出现的问题都需要引起系统管理人员的高度重视，并采取适当的解决方案。在确保信息安全的前提下，必须保证业务能够有效执行，只有系统正常运行才能为企业管理者提供准确高效的信息支持，从而制定发展战略。

通过严格管理和监控用户权限，可以确保系统的安全性和合规性，同时提高业务流程的效率和透明度，为企业提供可靠的信息支持和数据保护。

四、SAP ERP 权限运维方案

为了消除SAP ERP系统权限运维风险，赛锐信息建议企业引入SAP GRC或第三方SAP权限审阅系统，从而实现定期对用户账号授权进行审查，及时检查职责互斥和敏感权限的问题。通过对用户账号的权限审阅，可以识别并修复授权不当的情况，确保用户的权限与其职责相匹配，从而降低滥用权限的风险。总体来看，企业可以通过以下方式实施职责分离：

• 系统层面：通过职能角色与权限组相结合，按岗位分配相应的权限集合，确保各岗位权限合理分配。
• 权限分配层面：利用 SAP ERP 系统设置，控制不可由单一员工同时拥有的关键权限，实现权限的有效隔离。
• 核心业务流程：针对 SAP 中的敏感业务流程，设计并实施严格的权限控制矩阵，以确保关键操作的安全性。
• 集中统一的 IAM 系统：结合集中统一的身份与访问管理（IAM）系统，实现跨系统权限的统一分配、监控和审计，提升整体权限管理的效率与安全性。

SAP相关产品：

SAP GRC权限合规检查系统（简称AMS-R系统）是SAP ERP应用企业进行权限合规检查、违规数据抓取和IT审计的理想工具。

AMS-V SAP License 资产优化管理系统产品：是应用于SAP系统权限风险控制及注册用户账号管理为目标的SAP软件资产精益化管理方案。

SAP 日志堡垒机安全管理系统（简称AMS-L系统）是一款面向SAP ERP 系统的网络安全管理工具，提供基于SAP系统用户业务行为的常态化监管，是对SAP现有日志体系的有效增强管理。

SAP 运维管理平台系统（简称AMS-Ops）旨在确保企业SAP应用系统健康、稳定运行的基础上，持续性的改进、优化，从而满足其业务发展需要的企业级SAP系统运维管理服务。

AMS SAP 商超订单统一管理系统以商超平台订单集中管理为核心，系统支持多平台、多店铺、全渠道系统采购订单、验收单、结算单等业务单据的统一管理；商超订单统一管理系统支持与 SAP ERP 系统的无缝衔接，在SAP ERP系统中自动生成销售订单、外向交货单，核对验收单、结算单等 SD 模块业务操作，有效的简化企业商超订单管理工作流程，保证订单数据处理的统一、准确、高效，实现跨系统、组织的协同管理，提升企业营销效率。

关于赛锐信息

河南赛锐信息科技有限公司（简称“赛锐信息”）是一家致力于SAP ERP系统应用的服务商，公司立足打造基于AMS产品套件的企业信息化解决方案，结合前沿技术追求最佳用户体验、企业信息化优秀解决方案和企业级产品应用的供应商。公司自主研发的AMS系列软件产品是国内首个用于SAP权限风险识别的增强系统，也是同行业用户精益化管理解决方案中最优的解决方案，作为用户管理、风险规避和信息审计的辅助工具，其有助于规范企业的管理行为，帮助建立合规的管控流程，有效提高企业IT资产投资回报率；AMS系列产品在各项技术指标上拥有完全的、独立的领先优势，可以满足市场竞争、技术许可和标准制定等方面的需要。

作者：SAP权限管理 QQ:2651000673

13007521773