SAP权限控制建议.pdf.pdf

关于权限的控制的建议一. 关于 S E 3 8 / S A 3 8 的控制从安全的角度, 原则上, 应该限制一般用户在生产系统中直接运行程序( T c o d e : S E 3 8 / S A 3 8 ) , 因为大多数自开发程序和报表都可以使用 T c o d e : S E 9 3 建立 T c o d e , 然后授权, 但是, 有时又确实需要 S E 3 8 / S A 3 8 来运行一些特殊程序, 比如: ( 1 ) . S A P 的一些排错程序, S A P 有时很奇怪, 可以将多个逻辑完全一致的程序建立一大堆不同的 T c o d e , 也可能在业务出错时 O s s 会告诉你可运行哪个程序去检查, 因此, 此时需要 S E 3 8 / S A 3 8 去运行程序。( 2 ) . 生产系统做业务交易时出现 A B A P 错误或其它莫名错误, 通常, 对于此种特定异常问题, 此时跟踪程序是最佳最便捷的手段, 因此需要 S E 3 8 + / H 权限。( 3 ) . 自定义的增强, 函数或业务复杂的报表, 必须有生产机器上的业务数据才能判断, 需要跟踪时, 需要 S E 3 8 + / H 权限。 S E 3 8 的恶意运行可能带来一定潜在风险, 请参考权限: 透视 S A P 权限设计. d o c 那么如何有效控制 S E 3 8 不被滥用呢? 在 S E 3 8 的授权中, 可以限制只能执行特定允许程序, 如下图: [ 1 ] . S e 3 8 对应的授权对象 S _ D E V E L O P 。[ 2 ] . 作业 0 3 表示/ H 跟踪时仅能显示变量, 跟踪对处理特殊的异常问题很有效, 允许跟踪还必须加入允许对象类型 D E B U G ?见[ 4 ] 。[ 3 ] . 在第 3 行的 O B J N A M E 内容中输入限制可执行的程序, 这样就限制了只能执行受限制的程序?同样?必须同时还加入允许对象类型 P R O G 。[ 4 ] . S E 3 8 的允许对象类型, 只要包括 D E B U G ( 跟踪) , F U G R 和 P R O G , 简单理解 P R O G 表示所有自定义前缀为 Y * , Z * 的程序, 在[ 3 ] 中的 O B J N A M E 进一步限制指定程序, 如果此处不加入 D E B U G , 就不能跟踪; 不加入 P R O G 还是不允许执行程序。* S A P 允许执行的程序对象类型全在表 E U O B J 中? P R O G 大概表示自定义程序。 S E 3 8 包括授权对象 S _ D E V E L O P 和 S _ P R O G R A M , 而 S A 3 8 只包括授权对象 S _ P R O G R A M , S A 3 8 一般是只用来执行可执行程序的?除了有个授权组没有找到限制执行程序的设置。建议?如有必要, 在角色中限制 S E 3 8 只能跟踪和执行特定程序。二. 禁止增强 S M O D / C M O D 的授权不需要?假设在生产机器中授权 S M O D , 实际上反而会可能造成用户错误地取消增强, 事实上类似情况多次发生, 有的企业生产机和开发机同处一机, 结果, 有的增强竟然是跨 c l i e n t , 开发人