数据安全： SAP 权限的特殊控制方法

SAP系统内的权限管理是以“角色/Role”这一概念展开的，一个“角色/Role”上分配了体现权限的一组“事务代码/T-Code”和体现限制的授权“参数文件/profile”。

用户的权限是指用户能够访问哪些资源或执行哪些任务(或功能)的范围，从控制的角度考虑用户在SAP系统中所拥有的权限是否超出了其工作需要；日常工作中对用户账号进行授权时，应依据需求导向及最小授权原则，对于用户的权限，以其实际工作需要为依据且仅应当授予其能够完成工作任务的最小权限。

1. SAP权限控制的分类

SAP的权限控制可以从逻辑上定义为“功能权限控制”和“数据权限控制”。

1.1 功能权限控制

功能权限可以理解为赋予用户某个角色“ 角色->事务代码->授权字段->值（创建、删除、显示等）”，用户可以访问而且只能访问自己被授权的功能。

【场景举例】

给 USER01 赋予“人力资源经理”角色，“人力资源经理”具有“查询员工”、“添加员工”、“修改员工”和“删除员工”权限。此时 USER01 能够进入SAP系统进行HR模块的这些操作；如果 USER01 没有被授予“人力资源经理”角色，此时就不能进行这些操作。

1.2 数据权限控制

数据权限可以理解为一般和企业的组织架构相关的权限，数据权限是在功能权限的基础上进一步的扩展；比如“查看订单”属于功能权限的范围，但是可以“查看哪些订单”就是数据权限的范围了。

【场景举例】

因为 USER01 是集团华东大区的“人力资源经理”，所以他能够也只能够管理华东大区的员工和华东大区下属的分公司（上海公司、苏州公司、杭州公司等）的员工；因为 USER02 是苏州公司的“人力资源经理”，所以他能够也只能够管理苏州公司的员工。

财务金额审批的限制，USER01、USER02都有审批权限（功能权限，同一个T-code）；作为高级经理的 USER01 可以审批的金额是100万，USER02 的岗位是经理，只能审批50万（数据权限）。

2. SAP的特殊权限控制需求

在SAP系统应用中，出于业务需要特殊定制的权限，如供应商信息查看、HR薪资数据查看、物料价格数据导出等；SAP BASIS或者外部开发顾问的权限控制，SE38执行非法程序，SE16查询敏感数据表等。

这些权限的控制和数据（可以统称为资源）直接相关，相当于数据级权限管理、细粒度权限管理或者内容权限管理。对于SAP系统授权体系无法满足的权限控制，我们定义为“特殊权限控制”。例如，USER01 具有功能权限可以查看物料价格，也有数据权限查看华东大区下的所有物料价格；但是公司有规定不能下载导出数据，只能在系统中查询查看， 这个下载导出数据就属于特定业务下的特殊权限控制。

3. SAP数据权限的控制方法

SAP系统本身具有丰富的权限控制及权限实现功能，功能权限可以通过“角色-事务代码-授权对象-字段-值”定义，数据权限可以通过“组织机构（公司代码、工厂、销售组织、销售组、分销渠道、采购组织、采购组、成本中心、人事范围等）”配置，基本上可以满足绝大多数企业的业务权限管控需求。

对于SAP系统中的数据权限管控，除常规的通过角色权限控制外，还有以下常见的管控方式。

1. 自定义报表开发：存在局限性，多数需求是针对查询类报表定制开发；可以满足现阶段业务需求，业务产生变化时需要重新开发。
2. 程序增强开发：业务策略或审计策略有变化，会导致系统后期改动代价非常大，牵一发而动全身；不建议使用。
3. 堡垒机工具：堡垒机从运维管理层面实现按SAP用户的数据权限管理；具有事中监控、事后审计等优点，不足之处是投入较高，事后审计时需要耗费时间去取证。

4. 基于AMS安全网关的权限控制方法

AMS安全网关平台通过对SAP系统端对端会话的管控，实现了对SAP GUI用户会话网络报文的在线侦听和解析，支持面向SAP用户业务行为的在线操作控制。

AMS安全网关平台采用了基于自主知识产权大比特位传输处理算法，实现了大流量压缩数据的实时处理，系统支持用户数据层面的权限控制以及审计日志记录，依据预制策略模型介入管理用户事务代码执行、特殊凭证的操作等。

4.1 数据权限控制示例

1. 用户具有 SAP_ALL 权限，
2. 查询操作：事务代码 V/LD 查询物料价格，角色权限可控制到销售组织，分销渠道，条件类型，产品组，但控制不到物料。
3. AMS安全网关实现对“1020销售组织，22分销渠道”的控制，限制用户只能查询350-100的物料价格；也可进一步限制查询条件屏幕。

4.2 其它权限控制示例

• 限制 FIBLFFP 任意形式支付、 FIBLAROP 客户支付请求中的金额限制。
• 控制登录选择屏，不允许重复登录。非ECC参数login/disable_multi_gui_login配置，可以限定特定账号。
• 限定用户终端登录，指定的MAC地址或IP来源连接SAP系统；非许可终端来源用户禁止登录系统。
• 控制用户超时时间，可个性化设置用户超时时间。

4.3 特殊权限定制开发

AMS安全网关平台支持灵活便捷的SAP权限管理策略的开发配置，企业在SAP系统应用过程中，SAP权限控制无法由配置满足的情况下，可以交由AMS安全网关进行统一管理、配置、解析和控制。

关于赛锐信息

作为SAP的资深合作伙伴，赛锐信息是一家专业提供SAP行业化管理软件解决方案的顾问公司，致力于为企业提供SAP ERP系统咨询服务、IT规划、业务流程优化、信息系统实施、行业信息系统方案开发，运营外包及售后维护等全面的服务方案。已服务1000+家不同行业、规模的大中小型企业客户。在电子高科技、汽车零部件、印刷包装、医疗器械、快消品、专业服务等行业信息化管理领域具有领导性地位。

作者：SAP权限管理 QQ:2651000673