4.1以崗位為主線的權限設計

按照用戶的崗位要求來設置角色權限，比如PS模塊中不同項目中的各經理的權限設置和CS模塊中物流員、信息員的權限設置采用的就是這個辦法。

PS模塊權限優化采用的是“崗位基本角色”+“崗位特殊角色”來授予用戶權限。

該模塊的崗位包括10類，是項目、商務、財務經理等用戶。每一類崗位有一個“崗位基本角色”，即整個PS模塊有10個“崗位基本角色”。無論是哪個項目，各類經理的“崗位基本角色”是相同的，即他們這個崗位上的基本業務權限是相同的，即將相同的業務功能放在了“崗位基本角色”中。不同項目可查詢和維護的數據範圍不同，我們把這個不同點放在“崗位特殊角色”中，由“組織級別”中“WBS元素簡明標識”和“項目定義”兩個字段的值來確定。在設計上，“崗位特殊角色”是“崗位基本角色”的繼承角色，也可以說“崗位基本角色”是父角色，“崗位特殊角色”是子角色。例如公司有N個項目，那麼一個“崗位基本角色”下，就有N個“崗位特殊角色”相對應，就象一個父親可以有多個兒子一樣。各經理的權限就由“崗位基本角色”+“崗位特殊角色”定義好了。當某類經理的基本業務權限發生變動時，直接在崗位基本角色（父角色）中進行修改維護，通過繼承角色這一特殊的角色類型的自身屬性，可以將修改內容傳導到崗位特殊角色（子角色）中，這樣保證隻維護一個角色則所有該類經理都響應了這個維護。這樣在所有PS模塊角色數量是10*N的情況下，無論是發生了多大的權限變動，隻需要維護10個“崗位基本角色”即可，使得權限維護量大大降低，效率成倍提高。

4.2以業務功能為主線的權限設計

即按照業務功能要求來設置角色權限，比如MM、PLM等大多數模塊的權限設置采用的就是這個辦法。將各業務功能，如生產訂單發退料、預留單維護、框架協議查詢、設計類型文檔審批等功能分別進行設置，建立以功能分類的角色，哪個用戶需要這些功能就給哪個用戶分配角色，即權限設置與業務相關，與用戶無關，無論是用戶崗位發生變動或是業務功能發生變動，維護都是互相獨立的，不象以前是絞在一起的。在分配權限時，用戶的崗位職責有哪項工作，就給用戶哪項權限，用戶離開某一崗位或其業務有所變動，就將這個崗位的權限收回或將其變動的一部分收回。當某個業務功能發生變化時，直接維護該業務的角色即可，涉及此業務的所有用戶的權限則同時被自動維護，不需要單獨維護每一個用戶。

5、結束語

上述兩種設計是針對SAP模塊不同的特點進行的，既可以做到權限統一，思路清晰，用戶的權限不多不少，解決了本公司SAP權限管理存在的用戶權限過大問題，消除了SAP應用中的安全隱患；又使權限管理過程中維護量最小，效率最高，並且今後新增加的模塊可以借鑒這一思路。