ERP 系統的權限管理與以角色為主的權限管理 (RBAC)

(Powered By Microsoft Designer)

在前幾天的文章裡有說明了 ERP 有的基本模組，每個模組都負責不同的工作，所以整個程式相當龐大。由於這種複雜性，權限管理變得相當複雜。
如果沒有做好權限的管理，工程師在日常的工作中就會非常的痛苦，更不用說可能會有資安的風險。

@JT，今天有個新人進來，可以幫我開新人的 ERP 權限嗎？

如果這時候沒有一個好的權限管理系統，那就完了，整天開權限就飽了。
今天，就讓我們一起來看看常見的 ERP 系統權限管理工具吧！

以角色為主的權限管理 (RBAC)

RBAC（以角色為主的權限管理，Role-Based Access Control）是一種用於管理和控制資訊系統中使用者對資源訪問的方法。RBAC 通過將使用者分配不同的角色，以及這些角色被賦予的特定權限，來確保只有授權的用戶能夠訪問特定的資源和執行特定的操作。

舉例來說，如果今天同樣的情況發生了：

@JT，今天有個新人進來，可以幫我開新人的 ERP 權限嗎？
新人是 Accounting Team 的。

這個時候，我們只需要創立新人的帳號，並且在權限設定中選擇這個帳號有 Accounting Team 的權限，就完成了，輕鬆愜意。

ERP 系統中的權限管理分類

大部分的 ERP 系統都是以 RBAC 為基礎來進行權限控管系統的開發，在每個系統下又有 新增、修改、刪除、查詢、列印 等等的功能差異可以進行設定。
舉例來說，出貨團隊有權限可以查詢銷售訂單的資料，但沒有權限可以修改銷售訂單的內容。
利用每個系統搭配不同的功能權限，可以更安全也更妥當的安排 ERP 系統內部的權限管理。

我們可以利用角色的取名來區隔各個地區以及團隊中的角色，例如 Accounting-EU 代表了歐洲區的 Accounting Team，這樣子不只可以設定團隊的功能，也能有個別角色的功能，當然這些功能是可以重疊的，有些角色管理系統也可以設定優先度，來決定重疊狀況發生時依哪個角色的權限為主。

有些 ERP 系統內還會有 根據畫面來設定不同的角色權限 的功能，使用情境會和 RBAC 完全反過來，例如在銷售訂單頁面中，出貨團隊無法進行資料編輯。

工程師眼中的權限管理

權限管理一直都是一個麻煩但必須做的工作事項，如果公司內部的權限管理沒有切分得很仔細，工程師的工作流程就會受到干擾，內心就會受傷，不舒服。

理想的工作流程會是：

1. 新人來了 (Newbie Coming)
2. 要求系統權限 (Request Access) : 通常這個步驟我會用先前介紹過的表單收集需求法來收集需求，你需要權限就給我去填表單，不准直接密我。同時在填表時，要說明這個新帳號需要什麼權限。
3. 創建帳號，並且分派指定權限 (Create Account with Access) : 如果 RBAC 有設定好，就只需要在帳號上指派特定的團隊權限，不需要每個功能個別開。
4. 送出電子郵件，請新人設定密碼 (Received Email) : 在我使用的 ERP 系統中有這個功能，我覺得很棒，因為幫新人設定密碼這件事情很不合理，應由使用者自行設定密碼才對。

這樣子開帳號和權限這個工作流程就會變得很乾淨，也不會有那種開權限開一個下午的狀況發生。
做好任務與需求的管理，讓自己的工作更清楚更輕鬆。

結論

1. ERP 中每個模組都負責不同的工作，所以整個程式相當龐大。由於這種複雜性，權限管理變得相當複雜。
2. 大部分的 ERP 系統都是以 RBAC 為基礎來進行權限控管系統的開發，在每個系統下下又有 新增、修改、刪除、查詢、列印 等等的功能差異可以進行設定。
3. 我們可以藉由不同的角色取名，來管理不同地區的團隊權限。
4. 利用表單收集需求，搭配 RBAC 的權限管理系統，讓 IT 的日常任務變得更輕鬆與簡單。

Reference :

Wikipedia - Role-based Access Control
SAP - 權限
Acumatica - System Administration Training Guide