HR系统权限管理

2015年9月中国石化人力资源管理信息系统（SAP-HR）培训资料权限管理目录一、权限管理概述二、业务处理平台权限管理三、综合应用平台权限管理3一、权限管理概述1.1权限管理职责分工1.3权限配置业务及表单1.2权限管理要求目录系统权限管理分为总部和企业两级管理，由人力资源部门和信息管理部门分别承担有关管理工作。总部职责：制定权限管理相关规定和角色模板，明确系统用户范围，对用户新增删除进行备案管理，指导企业权限管理相关工作，定期对权限配置内容进行安全检查。企业职责：在总部的统筹下负责本单位用户权限的采集、审核和配置测试；负责权限调整、用户变更、密码重置和解锁等日常工作，合理控制用户范围，履行审批和监控职责。人力资源部门职责：作为业务主管部门，负责确定用户范围，对新增用户、权限调整进行审核，测试权限配置结果，会同信息管理部门制定和完善用户权限管理规定。信息管理部门职责：作为信息化主管部门，负责权限配置及系统安全的管理和监督，配合业务主管部门制定和完善用户权限管理规定、审批用户权限申请。系统运维组织职责：负责具体的权限配置，协助进行用户权限测试，提供相关的技术支持。41.1权限管理职责分工用户范围：严格按照用户范围要求，控制用户数量。业务处理平台用户包括各级人力资源部门负责人和业务人员、各级相关部门查询用户等；综合应用平台用户包括企业主管领导、人力资源部门负责人、定期报表统计人员、企业相关部门负责人和业务人员。用户：保证用户ID和密码的安全保密，依据岗位职责执行操作。审批部门：按照“谁审批、谁负责”的原则，依据相关管理办法进行审批。权限管理员：根据权限申请表和审批意见执行操作，做好文档备案。51.2权限管理要求1.3权限配置业务及表单平台业务需求填写的表单业务处理平台新增用户（新上线企业）本地角色配置表；用户表；组织机构节点与结构授权参数文件对应关系表；用户与授权参数文件对应关系表；用户与角色对应关系表新增用户（已上线企业）用户权限申请表；用户表；组织机构节点与结构授权参数文件对应关系表；用户与授权参数文件对应关系表；用户与角色对应关系表已有用户权限调整（已上线企业）角色传输表；组织机构节点与结构授权参数文件对应关系表；用户与授权参数文件对应关系表用户解锁、重置密码、终止用户权限申请表综合应用平台新增用户（新上线企业）报表单位采集表；用户表；用户与角色对应关系表新增用户（已上线企业）用户权限申请表；用户表；用户与角色对应关系表浏览查询、专项报表权限调整浏览查询和专项报表用户权限采集表用户解锁、重置密码、终止用户权限申请表71.3权限配置业务及表单二、业务处理平台权限管理2.1权限术语2.2权限设计原理及控制维度目录2.4权限相关账号及用途2.3权限配置调整流程2.5常见问题角色是事先定义的、执行一定职能的一组功能操作，在业务处理平台中体现为一组事务代码(T-code)的集合。角色分为通用角色和本地角色，用于权限分配，划定授权范围。通用角色是所有本地角色的基础，用于权限分配，划定授权范围。总部根据企业的人力资源业务分类，结合系统实现，整理出一整套角色，供企业参考。本地角色用于权限分配，根据业务需要进行授权。可根据各单位的人事范围、人事子范围等设置，在通用角色的基础上增加参数限制，生成企业实际使用的角色。角色派生是在通用角色或本地角色的基础上，调整角色参数，生成新的角色的过程。结构化授权为HR系统特有的授权机制，用于控制用户可以访问的信息范围。目前，系统使用组织机构等作为结构化授权对象。配置账号的结构化授权参数后，账号只能看到对应的组织机构和所属人员的信息。企业简码是信息标准化管理系统给出的一个由两个英文字母组成的代码，每个企业有且只有一个。在HR系统中主要用于命名账号的前两位。2.1权限术语授权级别，用于限定业务处理平台数据记录操作的权限。授权对象，角色中一组限定了权限控制范围的对象。通过调整人事范围、组织代码、人员组、人员子组、授权级别、信息类型等组成部分来限定数据范围。组织代码，控制权限范围的一种编码，一般维护人事子范围。常用事务代码：SU01：用于修改账号信息及对账号加锁、解锁、修改密码的事务代码。SU10：可以批量添加删除账号与角色的对应关系的事务代码。SUIM：查看账号与角色的对应关系的事务代码。PFCG：用于修改、派生本地角色的事务代码。ZHRAU002：查询用户有权限的事务代码清单的事务代码。RSSCD100_PFCG：查看本地角色更改日志的事务代码。RSSCD100_PFCG_USER：查看用户与角色对应关系的变更日志的事务代码。2.1权限术语通过角色、结构化授权两个维度，根据实际业务分工和用户的岗位职责，划定用户可访问的信息范围，实现管控。权限管控维度：通过角色控制：可以控制到企业的人事范围、人事子范围、人员组、人员子组、工资核算范围、公司代码通过结构化授权控制：用于控制用户可以访问的机构范围，满足不同层级的管理需要。可以简单的理解为：控制一个账号有哪些机构的权限。2.2权限设计原理及管控维度填写新增用户相关用表用户表在用户表中，用户须填写部门、岗位、姓名和系统用户名。组织机构节点与结构授权参数文件对应关系表在组织机构节点与结构授权参数文件对应关系表中，用户须填写组织机构节点、组织机构文本以及参数文件代码。参数文件命名规则为ZO+四位人事范围+两位流水码，其中若企业有多个人事范围，此命名可取其中之一。注：一个机构节点只对应一个结构化参数文件。对于一个结构化参数文件对应多个组织机构节点，请提供一个结构化参数文件文本描述。用户与授权参数文件对应关系表在用户与授权参数文件对应关系表中，用户须填写用户姓名、系统用户及参数文件代码。2.3权限配置调整流程新增用户-新上线企业用户与角色对应关系表在用户与角色对应关系表中，用户须填写单位、用户姓名、系统用户及这个账号所需要分配的角色。注：用户与角色对应关系表中的单位必须与用户表中部门保持一致。本地角色配置表在本地角色配置表中，用户须填写本地角色的名称、本地角色的名称描述、人事范围、人事子范围、人员组、人员子组、工资核算范围、公司代码。注：薪酬类角色（含有PY_SALARY的角色）须填写工资核算范围、公司代码列。表单填写完成后，提交到项目组。2.3权限配置调整流程新增用户-新上线企业新增用户-已上线企业填写新增用户相关用表用户权限申请表，需要填写用户姓名、工作单位、部门、系统用户名ID、岗位(职务)、联系电话，并由人事部门领导签字、单位盖章。用户表、组织机构节点与结构授权参数文件对应关系表、用户与授权参数文件对应关系表、用户与角色对应关系表。表单填写完成后，提交到项目组。2.3权限配置调整流程用户调整-已上线企业调整用户结构化授权，需要填写组织机构节点与结构授权参数文件对应关系表、用户与授权参数文件对应关系表。调整用户角色，需填写角色传输表。在角色传输表中，用户须填写序号、需要传输的角色、角色描述、变动原因，备注可填写变动内容。表单填写完成后，提交到项目组。注：在发送传输申请邮件前，请确保已修改的角色完成激活，并退出角色修改状态。2.3权限配置调整流程角色派生通用角色分两种，一种是以HR_COM开头的角色，另一种不是以HR_COM开头的角色；前者可以直接分配给账号使用，后者必须通过角色派生，并由总部传输后才能分配给账号使用。由通用角色派生得到的本地角色的命名规则如下：HR+人事范围+模块简称+角色简称+人事子范围。例：本地角色HR_4006_PY_SALARY_PROCS_0001由通用角色HR_PY_SALARY_PROCS_BS派生得到。使用权限系统配置账号登录DH3-500系统后，进行本地角色派生：输入事务代码PFCG在“Rolle”栏输入需要被派生的通用角色，点击“复制”按钮，然后在弹出框的“到角色”栏中，输入要派生的本地角色名，最后点击“复制所有”按钮对派生得到的本地角色进行调整，具体参照角色调整。保存后，请激活。注：所有需要修改角色配置，应将激活作为最后一个操作步骤。2.3权限配置调整流程系统演示角色调整企业通过调整本地角色的参数配置，实现灵活、准确的权限控制。调整对象有两类，分别是事务代码权限和人员信息权限。事务代码权限变更：通过增加或减少赋予账号的角色，实现事务代码权限调整。可以通过查询中国石化SAP-HR项目权限设计_通用角色（用户）表，得到事务代码与角色的对应关系，由此增加或减少赋予账号的角色。人员信息权限变更：授权对象调整是人员信息权限变更时的一种常用方法，使用权限系统配置账号登录权限配置系统后，按以下步骤进行授权对象的调整。注：人事范围、人员组和人员子组的信息是否不为*；人员组不能为A-Z；高管的本地角色要求人员组为A，人员子组是10或11。2.3权限配置调整流程角色调整-授权对象调整事务代码PFCG在“Rolle”栏输入要调整的本地角色，点击“更改角色”按钮“Description”栏可修改本地角色中文名称，点击“权限”选项卡后点“修改”按钮更改授权数据2.3权限配置调整流程角色调整-授权对象调整点击“展开”按钮，展开“人力资源”－“人力资源：主数据”，按需求修改信息类型、人事范围、人员组、人员子组、子信息类型、组织代码（人事子范围）等信息。其中人事范围必须修改为本企业的人事范围，人员组不能为“*”和A-Z，人员子组不能为*。双击授权对象中的某一项，如人事范围右侧原人事范围4006所在的位置之后，出现截图中右边的对话框，再在“从”列中，输入新的人事范围，最后点击“保存”按钮，即可增加人事范围4007所属信息权限2.3权限配置调整流程角色调整-授权对象调整点击“保存”按钮，然后点击“激活”按钮填写角色传输申请表，提交到项目组。2.3权限配置调整流程角色调整-角色授权级别调整如需限定业务处理平台数据记录操作权限，可进行本地角色授权级别调整。授权级别，主要分为读取和写这两大类操作：M（使用输入帮助进行读取）R（读取）S（写锁定的记录；若记录的最后更改人不是当前用户，则解锁）E（写锁定的记录）D（更改锁标识）W（写数据记录）*（所有操作）在某些特定业务中，在业务处理平台维护的数据记录需审核后生效，此时需要使用与锁标识有关的授权级别。2.3权限配置调整流程对维护数据记录的账号，需分配授权级别带有E和S的角色。对审核数据记录的账号，需分配授权级别带有D的角色，或直接将角色的授权级别设为“*”。2.3权限配置调整流程角色调整-角色授权级别调整权限管理员账号解锁、重置密码、权限调整，通过问题平台提报，由项目组处理。2.4权限相关账号及用途权限管理员账号账号命名规则系统权限系统配置账号S+企业简码+姓名拼音DH3-500用户管理员账号企业简码+BC0001PH3-800权限分配管理员账号企业简码+BC0002PH3-800安全管理员账号企业简码+BC0003PH3-800系统配置（DH3-500）双击”SAP快捷方式”按钮，进入登录界面，点击”新建”按钮进入下一屏点击“下一步（N）”按钮进入下一屏连接类型选择“自定义应用程序服务器”、描述填写“DH3-配置系统”、应用程序服务器填写“10.1.22.22”、系统编号填写“00”、系统标识写“DH3”，完成上述操作后点击“完成”按钮选择“DH3-配置系统”，点击“登录”按钮，在“客户端”栏输入“500”，输入权限配置账号和密码，回车后进入系统2.4权限相关账号及用途系统配置（PH3-800）在目录：\WINDOWS\system32\drivers\etc下，找到系统文件services，用记事本的方式打开。在末尾增加“sapmsPH33600/tcp”信息后，回车并保存。2.4权限相关账号及用途系统配置（PH3-800）双击”SAP快捷方式”按钮，进入登录界面，点击”新建”按钮进入下一屏点击“下一步（N）”按钮进入下一屏连接类型选择“组/服务