Комментарии по теме

««Создание быстрого ввода пароля в систему SAP ERP ECC на стороне клиента»»
Сергей Трапезников:
Согласитесь, в случае периодической смены паролей, Ваше решение будет не удобным. если с компа на комп, то тогда лучше использовать WTS (терминальный сервер), как промежуточный слой. По связке...
««Создание быстрого ввода пароля в систему SAP ERP ECC на стороне клиента»»
Сергей Трапезников:
Есть еще третий более простой способ -использование технологии single logon. Sap logon будет использовать windows пароль, очень удобно.
««Создание быстрого ввода пароля в систему SAP ERP ECC на стороне клиента»»
Олег Башкатов:
вот и продолжение наконец-то подготовил, где учитывается и периодическая смена пароля и принудительная, и пароль хранится не в открытом виде.   Общая идея такова: вместе со скриптом GuiXT...

База знаний

Вы можете подписаться на эту колонки этого автора, если авторизируетесь или зарегистрируетесь

Полные полномочия в SAP системе

26 июля 2018, 00:00

Как я уже отмечал, в AS ABAP SAP системы для разграничения доступа к информации существует набор ролей и полномочий. Исходное правило: что не разрешено, то запрещено. Таким образом, чтобы пользователь смог выполнить действие в системе или получить доступ к информации, необходимо ему назначить роль, с которой ассоциируется профиль полномочий, в котором, в свою очередь, содержатся конкретные полномочия. Подробнее в посте "Как понять каких полномочий не хватает пользователю?".



Для получения полного набора полномочий в ABAP части SAP системы существует 2 готовых профиля полномочий:

  • SAP_ALL - составной профиль полномочий, который содержит все полномочия в SAP системе;
  • SAP_NEW - составной профиль полномочий, который используется при обновлении системы. Обеспечивает достаточный набор полномочий во время операций обновления, таких как установка пакетов поддержки или обновление версии SAP системы. 

Таким образом, для того чтобы создать в системе пользователя со всеми полномочиями, некого Super User, достаточно в транзакции SU01 добавить ему профили полномочий SAP_ALL и SAP_NEW (рис. 1).

Рис. 1. Добавление всех полномочий пользователю в SAP системе.

Начиная с релизов SAP_BASIS 700 и выше, профиль полномочий SAP_NEW был заменен на роль с таким же именем - SAP_NEW. Подробности в SAP note # 1711620 - Role SAP_NEW replaces profile SAP_NEW

Наверное, не стоит говорить, что эти профили не стоит раздавать в системе направо и налево. Так же в целях безопасности необходимо время от времени выявлять пользователей, которые имеют в системе такие неограниченные полномочия. Использовать для этого можно отчет RSUSR002, про который я писал в этом посте. В продуктивной системе вообще никому не рекомендуется присваивать вышеуказанные профили.

SAP ноты на эту тему:


Так же можно посмотреть SAP курсы "ADM 940 - ABAP AS Authorization Concept" и "ADM 950 - Secure SAP System Management".

Ролевое назначение : SAP Консультант / Consultant

Функциональная область : Информационные технологии / IT, Basis, ABAP

Ключевые слова : Полномочия / Authorizations