平台型业务系统权限建设及常见问题解决方案

权限是系统的地基,产品设计之初需先考虑框架设计,SAAS系统或其他平台型业务系统更需系统梳理权限,体系化设计。本文结合实际信贷业务系统,重点从权限体系搭建流程及过程中常见问题解决方案两个方面进行阐述。

SAP License:平台型业务系统权限建设及常见问题解决方案 图1

一、权限基本要素

权限规定了一个用户或一类用户在系统中能操作的数据边界,通过菜单(功能)授权和数据隔离对每个用户的操作范围进行限制。映射到实际业务中,就是每个人工作范围和权利(责任)大小的体现。

如条线业务的某部门业务员只能操作他范围内的功能,查看他自己有关的数据,往上权限依次扩大,管理部门销售的部门经理,城市经理,区域总监等。

平台型业务系统权限建设及常见问题解决方案 图1

平台型业务系统权限建设及常见问题解决方案 图1

操作权限:菜单及功能操作权限,基于列表查询和页面操作,按权限code单独配置。菜单为功能集合,控制模块和页面展示。一般在授权时,按树形组织或矩阵组织,模块-菜单-功能。在业务系统中,操作权限就是每个用户可以操作的业务范围和职权大小,是日常职权的线上映射。

数据权限:数据归集有多种形式,如按组织结构(公司、部门)、按业务区域。一般按组织结构进行数据隔离,有该部门的权限,才能看到该部门。数据权限基于业务需要而进行归集,如业务系统中,存在业务逐层上报的形式,故需要按组织结构逐层归集;数据型的系统中,需控制数据范围(如城市);资源型系统中,需控制资源分配(按商户分配资源和数据)。不同类型的组织对应不同的数据权限类型,可将数据进行归集和分类,再对应组织类型进行设计。

在数据权限中均存在基础数据单元(最小单位),如组织结构的最小单位是员工(角色),每个员工都能看到自己归属(业务归属、生成、操作)的数据。若员工没有额外授予权限,则他无法看到其他同事或者所在部门产生的数据。如果授权了,即使是一个底层员工,也能看到更大范围的数据。

商户体系下的授权:在平台型系统中,一般会统一维护商户,给商户进行初始化权限分配,再由商户内部进行二级授权。平台统一控制各商户的权限,商户仅能在权限范围内进行操作。具体在后文叙述。

权限管理员授权:一般在系统中,权限配置都收归到指定的岗位或人员手上,如行政、人事对业务员进行统一授权,各业务侧负责人负责权限管理,或指定专员管理权限。建议将组织结构、岗位授权等抽成公共模块,便于给不同类型的权限管理员授权。

二、权限系统搭建流程

如何设计权限体系(以平台型系统为例):

商户后台:商户初始化,给每个商户设置初始权限,再由商户admin设置其岗位和部门。但是单独配置的效率太低,这里可以通过脚本一键初始化包括初始权限、部门和岗位。商户管理一般包括:商户信息、联系人设置、合作方式配置,通道配置,权限配置等。

组织架构:搭建树状组织架构,在每个部门下建设岗位,岗位按部门批量授权,须在每个部门下选择一个负责人岗位,用于工作流中的数据流转,审批流对应上级、上上级这些。

岗位管理:统一维护平台岗位和角色组,批量授权。一般岗位可按平台和业务机构组织,平台型岗位可统一授权。机构组织可按分公司或具体部门批量授权。

员工管理:新增员工,对员工分配角色(岗位),通过兼岗分配多个角色,从而继承多个权限。每个员工默认拥有自身产生的数据,或者单据归属的数据权限。员工管理操作:编辑信息,兼岗、在职状态管理等。

账号管理:将账号授权、状态、密码等集中管理。账号列表与员工列表的差别在于,如果一个员工有多个账号,在账号列表一个员工有多条记录,在员工列表是一条记录。账号管理的核心操作包括:功能授权、数据授权、状态管理、重置密码等。

平台型业务系统权限建设及常见问题解决方案 图1平台型业务系统权限建设及常见问题解决方案 图2

三、权限应用常见问题及解决方案

1、如何解决批量授权与单账号授权冲突问题

场景:在通过角色批量授权后,具体员工的权限往往会单独调整(同岗不同权),员工单独授权后,随业务变动岗位又需要批量增减权限,这样能否直接覆盖员工单独配置的权限?

首先这里需要明确一个原则,在大部分业务场景中,对员工单独授权的权限集优先级大于对岗位批量授权的,即员工单独授权不能被覆盖。这里建议采用增量判断,即本轮更新是否单独操作了该权限。若单独更新,则再细分两种情况判断,情况一,单独增加。

例如单独给某员工增加了权限A,岗位授权无勾选此项(未单独选中或去除),保存时,该员工仍然拥有A权限;若员工单独本来拥有权限A,但在批量授权时勾选掉了,则员工该项权限会被移除;若单独给某员工减少了权限A,但是又在岗位管理勾选上了,这种情况下员工会增加该权限。再批量授权的基础上,再想进行单独操作,需要管理员单独处理。

2、岗位集中授权后,业务“特权”部门要单独授权怎么处理

前面提到批量授权分为角色组、通用岗位两层,复杂机构可在该基础上增加一级部门岗位授权。即在岗位管理对全公司(子公司)岗位批量授权的基础上,再次在部门授权这一级对岗位进行单独售前,增加批量授权灵活度。

如业务调整,需要某部门客户经理办理某业务,而其他部门则不允许办理,可在深圳分公司-业务一团队-业务一部,下面所属的客户经理单独增加某些权限,不会影响到其他部门同岗位权限。

3、员工抱怨切换多个岗位效率太低,有消息不能及时触达,应该怎么解决?

场景:不同岗位会收到不同的待办任务(推送消息),若每个均需要切换处理,会造成处理不及时,效率低下。这种情况可通过待办中心解决。其中一种解决方案是,将待办任务归集到主岗位待办列表,在待办列表可实现快速审批。但这样有个弊端,系统传参的审批人岗位会传当前岗位(主岗位),与其他角色对应的流程岗位对不上。

这里建议审批传参时忽略岗位信息,以审批人为准,即将当前审批人的姓名带入,而身份(职级)不带入,这样可以避免原流程设计的节点审批对象岗位或身份(上级)不对应的情况。这种方案效率最高,但是易出错。

另一种解决方案是做待办红点提醒,通过消息框汇总各角色待办消息数量,让员工知道其他角色有待办任务,及时切换。

平台型业务系统权限建设及常见问题解决方案 图4平台型业务系统权限建设及常见问题解决方案 图3

4、功能权限配置需要每个按钮都配置吗,如何避免权限码过于繁琐

通过权限码配置权限,开发往往倾向于每个页面,tab,按钮都单独加上权限,这样做可以精细控制每个功能,但会造成配置过于繁琐,授权时工作量加大,对使用者不友好。

结合使用场景具体分析,有些功能的使用群体是单一的角色,不需要进行过度区分,如凭证核对页面,只有一两个核查员进行操作,此时可与开发约定,列表页、详情页(或弹窗)单独一个权限,将操作权限独立成一个权限。这样既课保证数据操作安全,又可简化操作。实际业务中,大多数页面或功能不需要细化权限颗粒度到每个按钮或tab,需要产品在设计时与开发另行约定。

四、结语

权限是根据业务场景而设计的,脱离业务场景谈权限就是耍流氓,每个系统的权限系统都长得不一样,适用业务的就是最好的。掌握基本原理,结合业务实际逐层推衍,一套适用的系统方案可以设计出来。作为系统底层,权限设计要系统,灵活,考虑到未来可能的业务调整。

系统设计是需要沉淀的,权限只是其中一小部分,这需要不断积累沉淀,正如诗人所说:“凡是你经历的,世人皆无法夺去”。

SAP相关产品:

SAP GRC权限合规检查系统(简称AMS-R系统)是SAP ERP应用企业进行权限合规检查、违规数据抓取和IT审计的理想工具。

AMS-V SAP License 资产优化管理系统产品:是应用于SAP系统权限风险控制及注册用户账号管理为目标的SAP软件资产精益化管理方案。

SAP 日志堡垒机安全管理系统(简称AMS-L系统)是一款面向SAP ERP 系统的网络安全管理工具,提供基于SAP系统用户业务行为的常态化监管,是对SAP现有日志体系的有效增强管理。

SAP 运维管理平台系统(简称AMS-Ops)旨在确保企业SAP应用系统健康、稳定运行的基础上,持续性的改进、优化,从而满足其业务发展需要的企业级SAP系统运维管理服务。

AMS SAP 商超订单统一管理系统以商超平台订单集中管理为核心,系统支持多平台、多店铺、全渠道系统采购订单、验收单、结算单等业务单据的统一管理;商超订单统一管理系统支持与 SAP ERP 系统的无缝衔接,在SAP ERP系统中自动生成销售订单、外向交货单,核对验收单、结算单等 SD 模块业务操作,有效的简化企业商超订单管理工作流程,保证订单数据处理的统一、准确、高效,实现跨系统、组织的协同管理,提升企业营销效率。

关于赛锐信息

河南赛锐信息科技有限公司(简称“赛锐信息”)是一家致力于SAP ERP系统应用的服务商,公司立足打造基于AMS产品套件的企业信息化解决方案,结合前沿技术追求最佳用户体验、企业信息化优秀解决方案和企业级产品应用的供应商。公司自主研发的AMS系列软件产品是国内首个用于SAP权限风险识别的增强系统,也是同行业用户精益化管理解决方案中最优的解决方案,作为用户管理、风险规避和信息审计的辅助工具,其有助于规范企业的管理行为,帮助建立合规的管控流程,有效提高企业IT资产投资回报率;AMS系列产品在各项技术指标上拥有完全的、独立的领先优势,可以满足市场竞争、技术许可和标准制定等方面的需要。

作者:SAP权限管理 QQ:2651000673

相关新闻

  • SAP License:SAP顾问是怎么炼成的

    SAP License:SAP顾问是怎么炼成的

    一切都在这里面开始 要成为一个SAP顾问是很多人追逐的梦想,我不知道为什么这么多人会去追逐,也许是你美丽的光辉。如果有一天我们成为别人的工具,那注定这是我们的一场“杯具”。 一切都要开始,下面我将2021年的一些想法和大家沟通一下。 初学者 初学者所需要的并不仅仅是一套工具,更重要的是一套方法。就像学习一样,学到什么东西不是很重要,重要的是我们是否掌握了学习的方法。所以,我在三个层面给大家写了一套东西。 (1) SAP自学指南 这是我2021年准备了很长时间才写的一个东西,原本以为可以出版,可惜…

    行业动态 2021/07/07
  • SAP License:SAP S4HANA和ECC的区别 图1

    SAP License:SAP S4HANA和ECC的区别

    HANA数据库 S4HANA只能在Hana数据库上运行不像ECC可以在OracleIBM DB2等上运行S4H设计的背后是HANA的内存功能和之下的设计原则内存数据库意味着从内存中读取数据,即数据总是驻留在主内存RAM中(尽管写入发生在硬盘中),因此内存数据库在传统数据库(从硬盘中获取数据)中读取数据的速度要快得多。 Hana基干列的表提供了更快的访问(因为只需要在查询中读取受影响的列),更好的压缩(由干与行相比几乎没有明显的值),并行处理(不同的列可以很容易地并行处理)。 具有实时报告和预测分…

    行业动态 2022/04/20
  • SAP License:家庭主妇与ERP

    SAP License:家庭主妇与ERP

    一天中午,丈夫在外给家里打电话:“亲爱的老婆,晚**想带几个同事回家吃饭。可以吗?”(订货意向) 妻子:“当然可以,来几个人,几点来,想吃什么菜?” 丈夫:“6个人,我们7点左右回来,准备些酒、烤鸭、番茄炒蛋、凉菜蛋花、汤……,你看可以吗?”(商务沟通) 妻子:“没问题,我会准备好的。”(订单确认) 妻子记录下需要做的菜单(MPS计划),具体要准备的菜:鸭、酒、番茄鸡蛋、作油……(BOM物料清单),发现需:1只鸭,5瓶酒,4个番茄……(BOM展开),炒蛋需要6个鸡蛋,蛋花汤需要4个鸡蛋(共用物料…

    行业动态 2021/03/22
  • SAP License:ERP面试记

    SAP License:ERP面试记

    最近又是一次面试。说实在,最近仿佛自己都成了“面霸”。 面试过程中遇到了不同的人,遇到了不同的问题。那么面试当中应该如何去把握呢,我想每个人都会有不同的答案。我只能把我自己所知与大家共享。希望对大家有些启发。 这几次面试主要是内部和外部。内部的主要是做一些管理工作,外部的主要还顾问和项目经理。对于内部来说,偶曾经面试过GM,TS,MH,RS等等。面试过程中见过CIO,CFO,老板等等一系列人员。其实在过程中,印象最深的还是和老板的一次对话,我一直在想。到底什么能够打动老板呢。后面我想到要打动他只…

    行业动态 2021/07/08
  • SAP License:ERP实施,态度决定一切

    SAP License:ERP实施,态度决定一切

    实施ERP项目这么多年来,赛锐信息团队的王经理从事过ERP行业的甲方和乙方,每次出差回来都会总结经验,见过很多甲方。ERP项目实施是一个综合性很强的专业性的工作,在形成ERP项目的时候在合作过程中避免不了摩擦。因为项目实施的背后代表的是不同的利益群体。 去年王经理却与实施的顾问们感觉到沟通的压力很大,王经理是一个善于自王经理反省的人,王经理一直在思索是不是自身的问题,王经理还把这种情况分析给妻子听,让她帮王经理分析是否是王经理的问题,以免产生当局者迷的问题。 对于从事ERP项目实施的顾问或项目经…

    行业动态 2022/03/15
  • SAP License:工程设备采购倒扣备品价

    SAP License:工程设备采购倒扣备品价

    【背景】 采购设备一台,由于备件未到,故采取自有采购。 【问题】 设备价款如何扣除? 【解决办法】 1、  设备采购-入库-发票校验(按发票价格=设备价格扣除备品备件价格) 2、  备品备件采购-入库-发票校验(按发票价格)  举例: 如采购设备A,价格为20元(含备品备件2元)。 设备入库:    建立采购订单-收货    DR:设备  20  &nbsp…

    行业动态 2021/04/28
联系我们

联系我们

130-0752-1773

在线咨询:点击这里给我发消息

邮件:info@sapzx.com

工作时间:周一至周五9:00-18:00,节假日正常休息

关注微信
关注微信
分享本页
返回顶部