SAP SuccessFactors的权限管理

【首发与公众号JohnnyHCM】

大型集团企业的很多需求，例如强/弱管控、共享服务、矩阵管理等，落地到系统，都要考验系统的权限管理能力（以及审批流程能力）。

可以说，一个系统的权限管理越强，越能支持架构、业务复杂的大型集团企业。

企业对HR系统权限管理的常见要求有：

1.功能权限的颗粒度要够细，可能细到具体页面具体按钮。

比如HR在岗位架构图中能看到“创建新岗位”按钮，而经理没有，普通员工则根本看不到组织架构图。

2.数据权限颗粒度足够细，可能需要到字段级。

例如HR能看到员工的“户口所在地”字段，但各级经理看不到下属的。

3.权限有管辖范围，范围通常基于组织架构、汇报关系或其他特定条件。

例如分公司HR能调整本公司的组织架构，而其他分公司的架构只能看不能改；又例如南区共享中心专员只能看到Base地在南方某几个城市的员工的社保信息。

4.权限有时效范围。

例如员工只能看到同事当前的岗位，但看不到过去的记录；又例如，人事专员只能看到员工近3年的地址信息，但薪酬专员要能看到最近5年的。

5.权限要易于维护，尽量自动更新。

例如员工晋升为主管，就自动能查看下属的绩效目标了；又例如分公司A的HR调到了分公司B，就自动能看到B公司员工的证件信息、而看不到A公司员工的了。

6.权限调整留痕，可审计。

目前SAP SuccessFactors在全球有近万家企业客户。

SuccessFactors的权限机制被称之为RBP（基于角色的权限，Role-based Permission）。根据SAP官方手册，它能够支撑百万员工级的企业。

RBP与管理系统常用的RBAC0权限模型基本一致，用权限角色（Role）建立用户与具体权限之间的关联。每个用户有一个或多个权限角色，每个角色有一项或多项权限。

在SuccessFactors中，设置权限角色，其实就是要设置：谁（Grant）可以对谁（Target）做什么（Permission）。

作为一个HR系统，权限的Target更多时候是一个范围内的员工员工，但也可以包含一个范围内的部门、岗位等基础架构元素（例如，分公司组织专员角色的作用对象是本公司的部门和岗位）。我们今天都以员工来举例。

SuccessFactors包含员工中心模块（EC）在内的大部分功能，共用同一套权限角色、配置入口和配置方法。

个别模块需要单独设置更具体的权限，如绩效表单的字段权限是在表单模板中设置的，今天暂不展开。

权限角色的配置点位于：Admin Center>Manage Permission Roles。

基础步骤如下：

1. 要从权限目录中，勾选这个角色拥有的权限。权限目录有两大类：用户权限（User Permissions）和管理权限（Administrator Permissions），下面再按模块功能细分。

具体这些✓要怎么勾，要参考各个模块的配置手册。

如下图，员工信息（包括HRIS Element和MDF）基本可以做到字段级别管控；有时效的字段，还能选择是否允许查看过往历史记录：

2.选择将角色授予哪些用户（Grant）

可以选择授予给所有人、所有经理、或者某个动态的权限组（Permission Group）

3.选择Grant对应的作用员工范围（Target）

可以选择本人、同部门的人、同公司的人、上级经理、各级下属等条件，以及制定权限组。

而既可以作为Grant又可以作为Target的权限组就是灵活实现复杂授权的关键。

权限组（Permission Group）支持根据条件自动加入/排除成员。

配置点：Admin Center > Manage Permission Group

例如，说我们可以设置，岗位为“82015200”的人自动进入“HR主管”这个权限组，权限组会根据人员转入转出这个岗位而实时自动更新。

所有标准人员信息表（HRIS Element）中的字段，包括客制字段，基本都可以作为权限组条件。

添加条件字段，可配置BCUI>Dynamic Group Filter。

补充说明，在同一个Role下，可以设置多组Grant-Target关系。例如，北部和南部共享中心的专员如果职责相同，只是管辖范围不同，那么就可以共用同一个角色，这样更易于长期维护：

在实际的实施项目中，顾问对于权限角色和权限组的梳理和设置就非常关键了。通常有这些要点：

• 为了设置权限组的条件，可能需要新增员工信息字段，或者调整字段的选项，这都会影响数据字典。因此，在业务梳理阶段就要尽早开始与各业务负责人、各模块顾问沟通相关需求。

• 权限角色通常基于未来业务流程图中的角色（泳道）来设置。

• 角色设置应遵循最小授权原则（principle of least privilege），只给必须的人必须的权限。

• 但考虑到给业务经理的赋能，可以适当考虑逐步为他们开放下属的数据权限和相关报表权限。

• 须满足各地个人隐私数据的相关法律法规要求。

为保证长期维护更加便捷、低风险，设置权限角色有如下经验技巧：

• 用尽量少的权限角色和权限组，多了以后维护不过来，也影响系统性能。

• 先设计通用角色（如集团通用的人事专员角色），再根据具体需求考虑有无必要设置专门角色（如香港公司人事专员角色）。

• 权限角色和权限组要遵行统一的命名规则，易于理解，方便日后查找。

• 每个角色的具体权限尽量不重叠（除了管理员角色），即同一用户不会从多个角色获得同一权限，方便问题排查。

• 权限组的条件尽量设置为公司、部门、职务等类别，而不是写死用户工号和岗位ID。（超级管理员等特殊角色除外）

• 只给尽量少的人（如集团超级管理员）调整权限的权限，权限变更应有内部流程。

• 所有的权限变更必须经过充分的评估，并先在测试系统验证。

• 权限需求、配置、变更记录都必须在专门的文档中记录。

• 制作权限角色和权限组相关报表，定期核对。制作权限调整的审计报表。

【更多相关分享，欢迎关注公众号JohnnyHCM】