Banyak perusahaan telah memasang add-on, custom form, atau custom report di SAP Business One, tetapi tidak semua user seharusnya memiliki akses ke fitur tersebut. Tanpa pengaturan authorization yang tepat, risiko perubahan data tanpa kontrol, akses informasi sensitif, dan lemahnya audit trail dapat meningkat secara signifikan.
Ketika sebuah perusahaan berkembang, struktur organisasi menuntut adanya pembatasan hak akses yang jauh lebih spesifik daripada sekadar menu standar bawaan sistem.
Additional Authorization Creator adalah fitur bawaan SAP Business One yang digunakan untuk menambahkan custom authorization ke dalam menu General Authorizations. Fitur ini memungkinkan system administrator mengontrol hak akses terhadap custom form, add-on, stored procedure report, maupun User-Defined Window (UDW) secara granular berdasarkan user maupun user group.
Apa Itu Additional Authorization Creator di SAP Business One?
Secara out-of-the-box, SAP Business One menyediakan menu General Authorizations untuk mengatur hak akses terhadap modul dan form standar seperti Sales Order, A/P Invoice, hingga Journal Entry.
Namun, ketika sistem Anda mulai dimodifikasi menggunakan SDK (Software Development Kit), UI API, DI API, atau menambahkan User-Defined Objects (UDO), objek baru tersebut tidak akan muncul secara otomatis di jendela General Authorizations.
Di sinilah Additional Authorization Creator memainkan peran krusial. Fitur ini berfungsi sebagai jembatan untuk mendaftarkan ID unik dari form buatan sendiri (custom form), menu add-on pihak ketiga, hingga custom report ke dalam pohon hierarki General Authorizations standar.
Dengan memanfaatkan fitur ini, administrator dapat menerapkan tiga tingkatan hak akses standar SAP B1 pada objek kustom, yaitu:
- Full Authorization: User memiliki akses penuh untuk membuka, membaca, menambah, dan mengubah data.
- Read Only: User hanya dapat melihat data tanpa kemampuan untuk melakukan modifikasi atau interaksi lebih lanjut.
- No Authorization: Menu atau form akan terkunci sama sekali, bahkan dalam beberapa skenario, menu kustom tidak akan muncul di Main Menu user tersebut.
Mengapa Additional Authorization Dibutuhkan?
Mengabaikan aspek keamanan pada komponen kustom adalah salah satu celah terbesar dalam tata kelola ERP. Jika semua user dibiarkan memiliki tingkat akses yang sama terhadap add-on atau laporan internal, perusahaan Anda rentan terhadap berbagai risiko operasional dan finansial.
Untuk memahami pentingnya fitur ini, mari kita bedah matriks risiko dan solusi kontrol internal berikut:
| MASALAH UTAMA | DAMPAK PADA BISNIS | SOLUSI DENGAN ADDITIONAL AUTHORIZATION |
|---|---|---|
| Semua user memiliki akses yang sama ke menu kustom. | Kebocoran data sensitif (misal: laporan margin keuntungan atau data costing produksi). | Membatasi akses laporan kustom hanya untuk level manajemen atau User tertentu. |
| Tidak ada pemisahan tugas (Segregation of Duties / SoD). | User gudang bisa mengubah parameter Approval atau validasi harga pada Add-on penjualan. | Memisahkan hak akses entri data kustom dengan hak akses konfigurasi add-on. |
| Risiko tinggi terjadinya human error. | Data pada User-Defined Table (UDT) terhapus atau berubah secara tidak sengaja oleh user non-teknis. | Mengatur hak akses menjadi Read Only atau No Authorization bagi user operasional. |
| Audit trail internal yang lemah. | Sulit melacak siapa yang mengeksekusi fungsi utilitas kustom atau tools data-cleansing. | Memastikan setiap aktivitas fungsi kustom terikat pada User ID yang memiliki otorisasi formal. |
Bagaimana Cara Kerja Additional Authorization Creator?
Sebelum masuk ke langkah teknis, Anda perlu memahami beberapa parameter utama yang membentuk struktur sebuah Additional Authorization. Setiap entitas otorisasi baru didefinisikan oleh komponen-komponen berikut:
- Authorization ID: Kode unik (alphanumeric) yang menjadi pengenal utama otorisasi di dalam database. Sangat disarankan menggunakan prefix khusus perusahaan atau nama add-on (contoh:
A_PUR_RPT01). - Authorization Name: Deskripsi teks yang akan muncul pada pohon hierarki General Authorizations (contoh: Laporan Analisis Pembelian Terdalam).
- Form ID: ID string atau angka unik dari form yang ingin dikontrol. Untuk add-on, ini merujuk pada
FormUIDyang dideklarasikan pada baris kode UI API. Untuk laporan, ini bisa merujuk pada Query Wizard atau ID window tertentu. - Parent ID: Menentukan di bawah menu standar mana otorisasi kustom ini akan ditempatkan dalam hierarki General Authorizations.
- Level: Tingkatan dalam hierarki (contoh: Level 1 untuk grup utama, Level 2 untuk sub-menu di bawahnya).
- Display Order: Urutan tampilan item secara vertikal dibandingkan dengan item otorisasi kustom lainnya pada level yang sama.
- Authorization Type: Menentukan opsi hak akses yang tersedia untuk objek tersebut, apakah mendukung pilihan Full/Read/None atau hanya Full/None.
Setiap Additional Authorization yang sukses dibuat akan langsung terintegrasi dengan sistem User Authorization dan User Group Authorization standar. Ini berarti Anda tidak perlu mengonfigurasinya satu per satu per user secara manual jika perusahaan Anda sudah menerapkan sistem manajemen permission berbasis User Group.
Cara Setup Additional Authorization SAP Business One
Ikuti langkah-langkah terstruktur berikut untuk membuat dan menerapkan otorisasi tambahan secara aman pada sistem SAP Business One Anda.
Step 1: Masuk ke Additional Authorization Creator
Nyalakan aplikasi SAP Business One Anda menggunakan akun dengan hak akses Superuser. Masuk ke menu:
Administration > System Initialization > Authorizations > Additional Authorization Creator.
Window Additional Authorization Creator akan terbuka, menampilkan pohon otorisasi yang saat ini ada pada sistem.
Step 2: Menentukan Posisi Hierarki (Parent Level)
Sebelum membuat item baru, tentukan di mana item ini akan bernaung. Jika Anda ingin menempatkannya di bawah modul Purchasing standar:
- Klik pada area atau folder modul yang relevan di panel sebelah kiri.
- Gunakan tombol Add Same Level jika ingin membuat kategori utama baru, atau Add Sub Level jika ingin memasukkannya ke dalam sub-folder modul yang sudah ada.
Step 3: Menentukan Authorization ID dan Name
Pada panel kanan yang aktif, isi kolom identitas utama:
- Pada kolom Authorization ID, masukkan string unik tanpa spasi.
- Pada kolom Authorization Name, tuliskan nama yang representatif dan mudah dipahami oleh user atau auditor di kemudian hari.
Step 4: Menentukan Form ID yang Tepat
Ini adalah langkah paling krusial. Masukkan Form ID yang sesuai dengan objek kustom Anda. Jika Anda ingin mengamankan sebuah User-Defined Window atau add-on form, pastikan nilai string FormUID yang diinput sama persis (case-sensitive) dengan yang terdaftar di sistem internal objek tersebut.
Step 5: Mengatur Display Order dan Options
Tentukan Display Order dengan angka (misal: 1, 2, 3) untuk merapikan urutan tampilannya. Pada opsi Options, tentukan apakah form kustom ini mengizinkan status Read Only atau hanya pilihan biner Full/None.
Step 6: Menyimpan Konfigurasi Authorization
Setelah semua parameter terisi dengan benar, klik tombol Update atau Add di bagian bawah window untuk menyimpan konfigurasi ke dalam sistem database SAP Business One.
Step 7: Assign Authorization ke User atau Group
Sekarang, otorisasi baru Anda telah siap digunakan. Untuk menerapkannya ke user:
- Buka menu Administration > System Initialization > Authorizations > General Authorizations.
- Pilih User atau User Group target di panel sebelah kiri.
- Cari Authorization Name kustom yang baru saja Anda buat (biasanya berada di folder paling bawah dari modul induk yang Anda pilih atau di folder khusus User Authorizations).
- Ubah statusnya menjadi Full Authorization, Read Only, atau No Authorization sesuai matriks kebutuhan matriks kerja mereka.
- Klik Update untuk mengaplikasikan proteksi baru tersebut.
Memahami Struktur Authorization Hierarchy
Mengelola puluhan custom form tanpa struktur yang rapi akan membingungkan proses audit keamanan. Fitur Additional Authorization Creator mengadopsi konsep Parent-Child Authorization yang sangat fleksibel.
[Modul Utama: Purchasing - Custom] <-- Parent Level (Level 1) | +-- [Laporan Evaluasi Vendor] <-- Child Level (Level 2) | +-- [Form Approval Khusus] <-- Child Level (Level 2)
Untuk mengelola struktur hierarki ini dengan efisien, gunakan tiga fungsi tombol utama yang tersedia di dalam menu creator:
- Add Sub Level: Membuat cabang anak (child) di bawah item otorisasi yang sedang dipilih. Fitur ini sangat berguna untuk mengelompokkan beberapa custom report di bawah satu folder induk yang sama.
- Add Same Level: Membuat item otorisasi baru yang memiliki derajat setara dengan item yang sedang dipilih dalam struktur pohon.
- Delete Authorization: Menghapus item otorisasi kustom dari sistem. Perlu diingat, menghapus Authorization ID di sini tidak akan menghapus form atau add-on fisik dari database, melainkan hanya menghapus kontrol hak aksesnya saja di menu General Authorizations.
Contoh Implementasi untuk Add-On dan Custom Form
Mari kita lihat skenario dunia nyata di mana Additional Authorization diterapkan pada perusahaan berskala menengah di Indonesia untuk memperkuat kontrol internal mereka:
Kasus 1: Custom Report Purchasing (Stored Procedure / Crystal Reports)
Perusahaan memproduksi barang dengan formula rahasia dan memiliki laporan kustom bernama Laporan Harga Bahan Baku Utama.
- Sebelum Diterapkan: Laporan diletakkan pada menu umum. Setiap staf admin purchasing dapat melihat fluktuasi harga beli bahan baku rahasia, memicu kebocoran informasi ke kompetitor.
- Setelah Diterapkan: Dibuat Authorization ID khusus untuk laporan tersebut. Hak akses diatur No Authorization untuk seluruh staf, dan Full Authorization hanya diberikan kepada Purchasing Manager.
Kasus 2: Custom Approval Form (Add-On Logistik)
Perusahaan menggunakan add-on pihak ketiga untuk melakukan override batas kredit pelanggan (Credit Limit Override Window).
- Sebelum Diterapkan: Siapa saja yang mengetahui shortcut code atau menu add-on tersebut dapat membuka form dan menaikkan limit kredit secara ilegal.
- Setelah Diterapkan: Form ID dari window tersebut didaftarkan ke Additional Authorization Creator. Akses dikunci total bagi tim sales operasional, dan hanya dibuka untuk tim Finance Controller dengan status Full Authorization.
Best Practice Setup Authorization
Sebagai konsultan, saya menyarankan Anda untuk mengikuti prinsip-prinsip tata kelola berikut guna memastikan sistem ERP Anda tetap aman, scalable, dan mudah diaudit:
1. Terapkan Prinsip Least Privilege:
Selalu berikan hak akses seminimal mungkin yang diperlukan oleh user untuk menyelesaikan pekerjaan harian mereka. Mulailah dengan status No Authorization, lalu tingkatkan akses secara bertahap hanya jika ada permintaan resmi yang disetujui
2. Manfaatkan User Group:
Jangan pernah mengatur permission kustom per individu user jika organisasi Anda memiliki lebih dari 20 karyawan. Kelompokkan user ke dalam grup fungsional (misal: Group Fin-Logistics, Group Sales-Admin) lalu pasang Additional Authorization pada level grup tersebut untuk efisiensi manajemen.
Untuk panduan pengelolaan menu utama yang selaras dengan hak akses ini, Anda dapat merujuk pada Form Authorization & Main Menu Settings Guide in SAP Business One.
3. Dokumentasikan Seluruh Authorization ID:
Buatlah sebuah master spreadsheet yang mencatat seluruh Authorization ID, Form ID, nama objek, fungsi objek, serta pemilik proses bisnis (Business Process Owner) yang bertanggung jawab atas objek kustom tersebut.
4. Lakukan Review Berkala:
Lakukan audit hak akses minimal setiap 6 bulan sekali. Pastikan karyawan yang telah mutasi atau resign sudah dicabut hak akses kustomnya, dan pastikan tidak ada kebocoran hak akses akibat perubahan struktur organisasi.
Dampak terhadap Keamanan dan Audit Trail
Penerapan Additional Authorization yang disiplin berdampak langsung terhadap kepatuhan (compliance) perusahaan terhadap standar audit akuntansi keuangan. Ketika auditor eksternal melakukan pemeriksaan sistem informasi, salah satu fokus utama mereka adalah Segregation of Duties (SoD) pada sistem ERP.
Dengan mengunci form-form kustom, Anda menutup celah manipulasi data dari pintu belakang. Setiap kali seorang user mencoba mengakses form kustom yang tidak diotorisasi, sistem SAP Business One akan menolaknya secara otomatis dengan pesan kesalahan standar: “You are not authorized to perform this action”.
Selain itu, pastikan Anda juga mengombinasikan proteksi form kustom ini dengan pemantauan aktivitas log yang ketat. Untuk melacak perubahan data yang terjadi secara menyeluruh pada dokumen standar maupun kustom, Anda dapat mempelajari metodenya di panduan SAP B1 Access & Change Log for User Activity Monitoring.
Pengawasan berlapis ini memastikan bahwa setiap tindakan interaksi data kritis selalu meninggalkan jejak digital yang valid.
FAQ (Frequently Asked Questions)
Apa itu Additional Authorization Creator?
Fitur utilitas bawaan SAP Business One yang digunakan oleh administrator untuk mendaftarkan objek kustom (custom form, add-on, jendela data baru) ke dalam modul General Authorizations standar agar hak aksesnya dapat dikontrol.
Apa perbedaan General Authorization dan Additional Authorization?
- General Authorization adalah daftar hak akses bawaan pabrik (out-of-the-box) untuk modul standar SAP Business One.
- Additional Authorization adalah modul buatan administrator/konsultan untuk menampung hak akses form atau fungsi baru di luar standar bawaan SAP.
Bagaimana cara mengetahui Form ID di SAP Business One?
Aktifkan fitur System Information melalui menu View > System Information. Setelah aktif, arahkan kursor mouse Anda ke atas form atau window kustom yang ingin Anda cari tahu. Lihat di pojok kiri bawah layar aplikasi SAP B1; Anda akan melihat string informasi teknis yang memuat nilai Form=XXX atau FormID=XXX.
Bisakah authorization diterapkan ke add-on?
Bisa. Ini adalah salah satu fungsi utama dari Additional Authorization Creator. Anda hanya perlu meminta string FormUID atau ID Menu unik dari developer yang mengembangkan add-on tersebut, lalu mendaftarkannya ke dalam sistem hierarki otorisasi.
Apakah authorization dapat diberikan ke user group?
Ya, bisa. Setelah Anda selesai membuat otorisasi baru di Additional Authorization Creator, item tersebut akan langsung muncul di jendela General Authorizations. Dari sana, Anda bisa memilih tab User Groups dan menerapkan hak akses kustom tersebut ke seluruh anggota grup sekaligus.
Apakah perubahan authorization tercatat pada audit trail?
Ya. Setiap kali ada perubahan pemberian hak akses (misal dari Read Only menjadi Full Authorization) yang dilakukan oleh Superuser terhadap suatu user di jendela General Authorizations, perubahan tersebut akan terekam oleh sistem log internal SAP Business One untuk kebutuhan audit keamanan.
Kesimpulan
Fitur Additional Authorization Creator di SAP Business One merupakan instrumen yang sangat vital bagi perusahaan dalam mewujudkan tata kelola ERP yang aman, rapi, dan compliant.
Dengan kemampuan mengontrol akses terhadap custom form, add-on, dan laporan internal secara granular, risiko kebocoran data sensitif serta kesalahan operasional akibat human error dapat ditekan secara signifikan.
Implementasikan fitur ini dengan memegang prinsip least privilege dan dokumentasikan setiap ID kustom yang Anda buat demi kemudahan proses audit di masa mendatang.
Ingin mengoptimalkan keamanan dan kontrol akses SAP Business One di perusahaan Anda? Pelajari panduan SAP Business One lainnya atau diskusikan kebutuhan implementasi dengan tim konsultan yang berpengalaman.
