2023年9月28日勉強会レポート SAPの権限管理

社内勉強会

会社には多くの業務や情報があるが、会社の立場によって行ってもよい業務やアクセスしてもよい情報の範囲は異なる。

たとえば、発注業務について何も権限がない社員が勝手に何かを発注してしまう、や、人事部しか見ることのできない社員の個人情報を他の部署の社員が見ることができてしまうといったことが起こるのは会社として大きな問題になる。

逆に、発注の権限がある社員であるにも関わらず発注業務を行えない、や、人事部の社員であるにも関わらず社員の必要な情報にアクセス出来ないというようなことが起こるのも問題である。

このように、「出来てはいけないはずなのに出来てしまう」、「出来なければならないのに出来ないという状況に陥らないために重要な仕組みが権限管理である。

 

権限管理の出発点 

権限管理とは、全ての人が、それぞれ権限を持つ仕事だけが行える状態に保つことである。簡単にいうと、「してもいいことが出来る」「してはいけないことは出来ない」という状態にすることをいう。

権限管理を行うためには、まず会社の役職者や担当者が行う仕事の範囲を明確にする必要がある。これを職務分掌と言う。

 

【職務分掌の表の例】

この表をみると、たとえば管理業務の一つである経営に関しては、社長と部長は関わる権限があるが、課長以下の役職の人は関わることはできない。このように、ある業務に対して誰が関わることができて、誰が関わることができないのかを明確にすることが権限管理の出発点となる。

 

 

権限管理の3つのポイント

権限管理を行うためには、組織権限・業務の内容・アクションの3つのポイントを掛け合わせることが必要である。

組織権限

営業部・生産部のように組織としての役割が異なる場合、行える業務も異なる。たとえば顧客の詳細な情報は営業部が知っていたとしても問題はないが、同じ会社内の組織であっても生産部が知っていることは認められないという場合がある。このように組織に応じて権限範囲を変えることが1つ目のポイントである

 

業務内容

職務分掌の表を例にすると、経営は社長や部長レベルしか関わることができず、資料作成は課長以下の役職の人だけが行うことになっている。このように、「何の業務か」によって権限範囲を変えることが2つ目のポイントである。

 

アクション

アクションは業務内容とは異なり、「新規作成する・変更する・閲覧する・削除する」といった具体的な行為を指す。同じ情報でも、閲覧権限がある人の範囲と、削除権限がある人の範囲は異なるはずである。このような具体的な操作まで設定することが3つ目のポイントである。

 

権限管理を行うためにはこれら3つのポイントを踏まえて、ある立場の人間が具体的な行為の権限が認められているかどうかを一つずつ検討・チェックしていく。

たとえば「営業部の名前と所属が記されたメンバーリストの一部を削除する」という行為について考えてみよう。

この行為が実行できるかの可否を、全ての役職や所属の人のパターンにおいて決定することが必要になる。ここで、

  • 営業部と人事部以外の人は全員不可
  • 人事部の人は可
  • 営業部の部長は可、それ以外の営業部の人は不可

と設定したとする。これによって、「営業部の名前と所属が記されたメンバーリストの一部を削除する」という具体的な一行為における権限範囲が明確になり、権限管理ができるようになる。

では、業務全体をどのように権限管理するかというと、3つのポイントの部分を変えてそれぞれ権限を決めていく。たとえば先ほどの例をふまえて、

  • 営業部ではなく、他の事業部のメンバーリストだったら権限はどうなるか
  • メンバーリストを操作するという人事系の業務ではなく、取引先とのやりとりだったら権限はどうなるか
  • 削除ではなく、閲覧だったら権限はどうなるか

のように考える。3つのポイントはそれぞれ多くのパターンがあり、業務はそれらの掛け合わせで表現できる。そのため掛け合わせた全てのパターンについて誰に権限を認めるかを決めていけば、業務全体の権限管理が実現できる。

 

SAPの権限管理

SAPの権限管理は、以下のような構造になっている。

 

ユーザマスタ

SAPを利用するユーザの情報を一元的に管理するマスタ。氏名や役職、所属部署などが管理される。SAPを利用する人間は必ずユーザマスタに登録されている必要がある。

 

権限ロール

権限ロールとは立場や役職に応じて、SAPで利用できる機能や参照できるデータ範囲をまとめたものである。たとえばバイトに出来る業務はバイトロール、営業部の人が出来る業務は営業部ロールという名前でまとめることが出来る。

ユーザマスタに権限ロールを紐づけることで、ユーザはそのロールに設定された業務ができるようになる。例えばユーザAに営業部ロールを設定すれば、Aさんは営業部ロールに設定されている業務を行うことが可能になる。

 

権限オブジェクト

権限オブジェクトとは、権限ロールで認められる具体的な操作を設定したものである。例えば営業部ロールの下に「顧客情報を登録する」という権限オブジェクトや、「在庫情報を確認する」という権限オブジェクトを設定できる。これにより営業部ロールを割り当てられたユーザは営業部ロール下にある権限オブジェクトの操作をすることができる仕組みになっている。

 

権限プロファイル

権限ロールが作成された時に半自動的に生成されるもので、システム上は権限プロファイルによって権限が制御されている。

 

 簡単にまとめると、

  • ユーザマスタはユーザの情報を管理する。
  • 権限ロールでどんな役割かを識別する。(例:営業部、課長…)
  • 権限オブジェクトで権限ロール内の具体的な業務を設定する

という構造で、SAPは権限管理を再現している。

 

まとめ

  • 会社には属している組織や就いている役職が異なる人が多数関わっており、行える業務や扱えるデータの範囲が異なる。それを管理・制御することを権限管理という。
  • 権限管理を行うには、まず職務分掌を行って「誰が」「何を」できるのかを明確にする必要がある。そして具体的な操作を、誰が行ってよくて誰が行ってはいけないのかを一つ一つ決めていく。
  • SAPの権限管理はユーザマスタ→権限ロール→権限オブジェクトという構造をとる。ユーザは紐づけられた権限ロール下の権限オブジェクトの操作を行うことができる。

 

感想

権限管理は一つミスがあると大きな問題につながりうる大事なものだという理解ができた。権限管理を実装していく際には、細かい業務や範囲の区別をミスなく行う必要があるため、実際権限管理の業務を担当している人は慎重に作業しているのだろうな、と想像した。

またSAPの権限管理について、ある程度まとまった業務のかたまりをロールとしてまとめることで、簡単にユーザにとって権限のある業務とそうでない業務をわけることができるというのは便利だなと思った。

(Visited 46 times, 1 visits today)
スポンサーリンク

コメント

タイトルとURLをコピーしました