SAP的FUE新许可模式与AMS-R的权限合规审计

SAP的“完全使用等效值”(Full Use Equivalent, FUE)模型，代表了在SAP环境中，软件使用授权和计量方式的一次重大转变。它与我们熟悉的、传统的按“命名用户”(named user)收费的模式截然不同，引入了一种更灵活、也更复杂的基于角色的授权方法。这个模型在RISE with SAP等基于云的解决方案背景下尤其重要，因为在这些方案中，用户可能会与多个系统交互并执行各种各样的业务功能。

在FUE模型中，许可证不再是简单地按人头计算，而是根据预定义的用户画像(user personas)进行分配。每种画像都反映了一组典型的业务任务和职责，常见的例子包括：业务用户、开发者、专业用户或自助服务用户。每种用户画像都对应一个经过加权的FUE值，这个值会计入公司的总消耗量。例如，一个开发者可能计为5个FUE，而一个自助服务用户可能仅计为0.033 FUE，企业需要购买的FUE总数，将直接决定其最终的许可证成本。

一、用户分类影响FUE百万成本

我们用一个简化的例子来说明，假设在一个需要1,000名用户的SAP环境中，每个FUE每年的平均成本是2万元人民币。不同类型的用户，其年度成本可能会呈现出巨大差异：

• 自助服务 (Self-Service) (0.033 FUE) → 约 660元/年
• 核心 (Core) (0.2 FUE) → 约 4000元/年
• 高级 (Advanced) (1.0 FUE) → 20,000元/年
• 开发者 (Developer) (5.0 FUE) → 100,000元/年

对于一个同样拥有1,000名用户的组织来说，其每年的总授权成本可能在660,000元到10,000,000元之间，甚至更高。这巨大的成本差异，完全取决于用户的分类方式，也就是他们被授予的权限。实际的授权成本会因企业购买的FUE总数量、客户所在地、SAP的定价等级、具体的合同条款以及任何协商的折扣或捆绑服务而有很大差异。以上数字纯粹是为了说明，旨在展示授权成本会因访问权限的设计而产生多么剧烈的波动。FUE的用户分类对你的SAP授权账单都有着直接且潜在的巨大影响。如果仅仅将其视为一个“技术细节”，可能会导致数百万元本可避免的成本。这正是FUE模型成为一个如此重大的问题，以及为什么透明度、控制力和正确的管理工具，已不再是可选项的原因。

二、SAP为何要引入FUE模型

SAP FUE模型是SAP向基于云、订阅驱动的授权模式更广泛转变的一部分，尤其是在RISE with SAP等计划下。传统的SAP授权基于命名用户和特定的系统访问类型（例如，对话用户、开发者用户等）。这种模式难以跟上日益复杂的数字化转型和混合IT环境的步伐。随着客户需要跨云端和本地环境访问多个SAP应用程序，以一种一致、公平且可扩展的方式来管理用户许可证，变得越来越困难。

一个基于FUE的、由角色和活动驱动的授权框架的需求是明确的。SAP引入FUE模型，是为了满足诸如将授权与业务流程而非技术系统访问相结合、简化整个SAP生态系统的订阅授权，以及——至少在理论上——提高许可证消耗的透明度和可预测性等要求。

在实践中，许多客户在为企业规划和选择正确数量的FUE时，感到非常困难。这个过程远非简单：SAP的授权标准包括了超过2,000多行的权限值定义和700多个权限对象，这些都共同决定了何时以及应分配何种类型的许可证。这种复杂性，常常使得许可证的估算变得困难且容易出错，特别是对于那些没有深厚SAP安全与授权专业知识的组织而言。SAP确实通过公开分享这些标准来更透明地支持客户，通过发布相关的SAP Notes和可下载的电子表格——以便企业的许可证决策能更好地与访问权限的设计和合规策略保持一致。

这种转变也给客户带来了更多的责任：企业现在必须能够持续地监控和证明，在其SAP环境中，访问权限是如何被授予和使用的；如果没有合适的工具和流程，确保FUE的合规性很快就会成为一项手动的、极易出错的艰巨任务。这就是为什么治理和自动化的解决方案，如专业的权限合规管理工具，变得越来越关键——它们能帮助组织有效管理这种复杂性，同时确保合规性与成本效益。

三、FUE的根本性变革

SAP的FUE模型似乎只是计算用户许可证的一种新方法，FUE代表了SAP授权模式几十年来最重要的转变之一。在传统模式中，一个“对话用户(dialog user)”可能有权访问多个系统和事务，而对其具体能做什么的监管相对有限。授权通常是基于其职位或简单的人数来估算。FUE模型完全打破了这种模式。SAP现在根据以下几点来计算许可证的使用情况：

• 用户可以执行的活动（如创建、显示、审批、过账等）。
• 分配给他们角色的权限对象和值。
• 与其系统行为最匹配的业务画像。

这不仅仅是形式上的改变，更是实质上的改变。它要求企业：

• 对系统访问权限有更深入、更精细的理解。
• 对用户实际能做什么，进行近乎实时的控制。
• 能够快速调整角色，以避免不必要的许可证膨胀。

示例：一个“商务伙伴(Business Partner)”访问的成本差异 假设一个用户有权访问事务代码BP (Business Partner)来查看客户记录。

• 如果他们的角色只包含显示权限 (Activity 03)，他们可能属于成本极低的自助服务用户许可证。
• 但如果他们的角色中包含了创建 (Activity 01)或更改 (Activity 02)的权限，他们就可能被直接归类为成本高得多的核心用户甚至高级用户——即便他们实际上从未在生产系统中使用过这些创建或更改的功能。

许多公司在系统实施或角色重新设计的过程中，仍然将授权视为一个事后才考虑的问题。但在FUE模型下，这种疏忽可能意味着：

• 支付比必要高出2倍甚至3倍的许可证费用。
• 基于理论上“可能”的访问权限，而非实际的业务需求来分配许可证。
• 由于其极端复杂性，最终失去对企业授权策略的有效控制。

虽然SAP通过共享完整的规则集和模拟逻辑，显著提高了其授权计算的透明度，但解释和应用这些规则的负担，尤其是在复杂的企业环境中。FUE不仅仅是一个新标签——它是一种从根本上管理和定价你SAP环境访问权限的新方式。企业越早调整其访问治理流程以反映这一现实，就越能更好地控制其授权成本和合规风险。企业Basis管理员需要考虑到：

• 深入分析用户的权限和其对应的许可证类型之间的精确联系。
• 在将权限变更应用到生产系统之前，模拟这些变更对授权成本的影响。
• 可视化地展示角色权限的膨胀情况和潜在的许可证降级机会。
• 生成清晰的报告，以保持授权管理团队和合规审计团队的一致性。

四、破局之道：SAP 权限合规审计系统（AMS-R）

随着FUE模型的引入，权限的治理、风险和合规管理，不再仅仅关乎内部控制或审计准备——它现在也是实现成本效益授权的关键推动者。用户的技术权限，直接影响他们消耗的许可证等级。如果没有对角色分配的持续可见性和有效控制，企业将面临合规失败和不必要授权成本的双重风险。

一个专业的权限合规检查系统，如赛锐信息自主研发的 AMS-R系统，可以通过以下方式填补运营和战略上的空白：

• 将用户的角色和权限，精确地映射到FUE的用户画像。
• 在角色权限变更生效前，模拟其对许可证成本的影响。
• 自动检测过度授权和潜在的许可证膨胀。
• 在优化角色权限的同时，支持职责分离(SoD)的合规性检查。
• 在审计期间，提供可信、可辩护的数据支持。

SAP本身提供了一些用于在FUE环境中进行用户分类的基础工具，但这些工具通常技术性较强且功能范围有限。没有自动化和深度分析的能力，企业往往只能进行手动的猜测和被动的修正。这就是为什么像AMS-R SAP权限合规检查系统以及其他专业的权限优化解决方案变得至关重要，它们不仅是为了管理风险和访问权限，更是为了在FUE模型下，捍卫和优化企业的许可证投资。

1. 在合规检查系统中创建和维护许可证规则集。
2. 向业务用户和IT团队提供清晰的许可证数据和分析报告。
3. 在访问请求、用户访问审查甚至在创建角色时，就将许可证成本的潜在影响考虑在内，实现数据的可视化和前瞻性管理。
4. 跨多个业务单元和系统，进行全面的许可证报告和分析。

这种方法，使企业不仅能确保其操作符合SAP的授权规则，还能主动地优化其授权成本，通过精确识别那些可以在不影响日常运营的情况下，被降级到更便宜许可证类型的用户或角色。

五、赛锐信息观点

SAP的FUE模型，不仅仅是衡量许可证的一种新方法——它是访问权限、运营成本和合规性在SAP环境中如何交汇的一次根本性变革。它将理解、监控和精确证明每个用户访问权限的责任，明确地转移到了客户身上。那些将FUE仅仅视为形式上“打勾了事”的组织，将面临巨大风险：

• 因过度授权的角色，而为许可证支付过高的费用。
• 因错误分类用户，而导致潜在的不合规。
• 长期来看，彻底失去对授权成本的有效控制。

但这一挑战，也创造了新的机遇。借助正确的工具和方法论，FUE可以成为推动企业实现更智能的访问治理和更高成本效益的强大驱动力。像AMS-R SAP权限合规检查系统这样的解决方案，通过其增强功能，使企业能够：

• 在授权的背景下，深入分析权限。
• 实时模拟访问权限变更带来的影响。
• 在尊重SoD策略和许可证定义的同时，优化角色设计。
• 并最终确保企业所支付的许可证费用，正是其用户所真实需要的——不多也不少。

在FUE模型下取得成功的企业，将是那些能将合规治理思维深度融入其授权策略，并将访问权限不仅视为一种安全风险，更看作是一个可以、也应该被持续优化的成本驱动因素的企业。企业在向SAP S/4HANA Cloud转型时，SAP 许可 (License) 从 On-Premise 时代的经典指定用户模型转向全新的 FUE 许可模式，且 SAP 产品的许可 (License) 包含诸如“组件授权、用户授权、计量模式”等复杂模型，这对企业来说如同一个黑匣子，难以理解其工作原理。此外，企业还面临 SAP 的 License 审计等合规性问题。赛锐信息在 SAP License 审计流程方面拥有丰富咨询经验，拥有自主研发的高效 SAP License 资产优化软件产品，欢迎企业在需要时随时联系我们，以获得我们的支持服务和软件产品试用体验。