Limitar usuario de sistema en pasos en jobs según departamento usuario diálogo.
 

Hola.

Me ha surgido una duda/problema en cuanto a la programación de jobs desde SM36.

Normalmente en todos los clientes que he administrado se suele tener un usuario genérico para los "pasos" de los jobs y suele tener "sap_all". Eso permite que si el usuario que programa el job un día fuese baja/se bloquee , como el paso esta con otro usuario sap_all sigan funcionando. Y lo del sap_all pues para que no tenga problemas de autorización en los pasos en ningún caso.

Pero ...ahora viene mi duda/miedo/pregunta:

Si permito a un desarrollador/administrador que "no puede ser SAP_ALL para no tener acceso a HR ( por ejemplo )" acceso a la SM36/SM37 para programar/modificar un job , como puedo limitar que en el "AUTHCKNAM" de los pasos solo pueda meter un usuario concreto y no "uno cualquiera" existente del sistema.

En mi caso como administrador poseo permisos para casi todo menos para determinadas tareas/modulos de SAP como FI, HR, etc. Asimismo tenemos un usuario genérico para lanzar los pasos de los jobs con "SAP_ALL" . Y ....como se puede evitar que yo programe un job diciendo que el paso se ejecute con ese usuario sap_all y por lo tanto pueda consultar/ejecutar cualquier modulo de SAP?. Me parece un fallo de seguridad enorme.

Podría crear un usuario para fondo y que no sea sap_all. Un usuario como administrador con acceso a casi todo y suficiente para ejecutar los reports de los jobs. Pero,como hago que en la SM36 coja ese usuario de fondo para determinados usuarios de diálogo y otro para otros usuarios de diálogo ?. Evidentemente necesito varios usuarios de fondo distintos, unos para la gente de HR con permisos para HR y no para administración y hacer que para determinados usuarios de diálogo solo puedan informar uno u otro en la SM36/SM37.

Siento tanto royo pero la idea es eliminar usuarios SAP_ALL para evitar se usen para los pasos de los jobs y con ello le de acceso total a cualquier usuario que programe el job mediante la creación de varios con roles ajustados dependiendo del dpto. y luego permitir su uso a unos u otros usuarios de diálogo.

GRACIAS !.

Por cierto, se que si a los usuarios que tienen acceso a la SM36 les pongo el objeto " S_BTCH_ADM = N " puedo hacer que no puedan indicar en los pasos otro usuario que no sea el suyo.

Pero no me resulta factible ( salvo no haya otro modo ) ya que si un día uno de esos usuarios es baja , los jobs cancelarían, con lo que antes de eliminar/bloquear un usuario debería sacar listado de las TCTC* mirando que jobs tienen pasos con ese usuario y cambiarlos a otro antes de bloquear/eliminar el anterior. Y con ello, incurrimos en el problema inicial...estamos creando pasos distintos al usuario propietario del job.

La idea es tener un usuario ZJOBS_HR con permisos solo para HR, otro ZJOBS_SISTEMAS para ADMIN_SAP , otro ZJOBS_DESARROLLO para los desarrolladores, etc, todos de fondo y con los roles ajustados como sus usuarios de diálogo, nada de sap_all. Y poder limitar de algún modo que cualquier usuario de HR tenga por defecto o solo permitido indicar en el paso su propio ZJOBS_HR y nunca otro. Y la gente de Desarrollo solo pueda poner ZJOBS_DESARROLLO y nunca programarlos con ZJOBS_HR .


Si el usuario diálogo que programa el job tiene unos permisos limitados no tiene sentido pueda poner en el paso cualquier otro usuario sea cual sea y el problema no es solo que sea y se quite el sap_all. Debe poder "filtrarse" pues aunque quitemos todos los sap_all del sistema, no quita pongamos un usuario de otro departamente y estaríamos en las mismas.