Tema: Permisos SAP_ALL usuario pasos jobs - Faltas de autorización crítica
Ver Mensaje Individual
  #1  
Viejo 09/09/14, 17:28:47
ElHechicero ElHechicero is offline
Junior Member
  
Fecha de Ingreso: feb 2007
Mensajes: 2
Exclamation Limitar usuario de sistema en pasos en jobs según departamento usuario diálogo.
Hola.

Me ha surgido una duda/problema en cuanto a la programación de jobs desde SM36.

Normalmente en todos los clientes que he administrado se suele tener un usuario genérico para los "pasos" de los jobs y suele tener "sap_all". Eso permite que si el usuario que programa el job un día fuese baja/se bloquee , como el paso esta con otro usuario sap_all sigan funcionando. Y lo del sap_all pues para que no tenga problemas de autorización en los pasos en ningún caso.

Pero ...ahora viene mi duda/miedo/pregunta:

Si permito a un desarrollador/administrador que "no puede ser SAP_ALL para no tener acceso a HR ( por ejemplo )" acceso a la SM36/SM37 para programar/modificar un job , como puedo limitar que en el "AUTHCKNAM" de los pasos solo pueda meter un usuario concreto y no "uno cualquiera" existente del sistema.

En mi caso como administrador poseo permisos para casi todo menos para determinadas tareas/modulos de SAP como FI, HR, etc. Asimismo tenemos un usuario genérico para lanzar los pasos de los jobs con "SAP_ALL" . Y ....como se puede evitar que yo programe un job diciendo que el paso se ejecute con ese usuario sap_all y por lo tanto pueda consultar/ejecutar cualquier modulo de SAP?. Me parece un fallo de seguridad enorme.

Podría crear un usuario para fondo y que no sea sap_all. Un usuario como administrador con acceso a casi todo y suficiente para ejecutar los reports de los jobs. Pero,como hago que en la SM36 coja ese usuario de fondo para determinados usuarios de diálogo y otro para otros usuarios de diálogo ?. Evidentemente necesito varios usuarios de fondo distintos, unos para la gente de HR con permisos para HR y no para administración y hacer que para determinados usuarios de diálogo solo puedan informar uno u otro en la SM36/SM37.

Siento tanto royo pero la idea es eliminar usuarios SAP_ALL para evitar se usen para los pasos de los jobs y con ello le de acceso total a cualquier usuario que programe el job mediante la creación de varios con roles ajustados dependiendo del dpto. y luego permitir su uso a unos u otros usuarios de diálogo.

GRACIAS !.
Úlima edición por ElHechicero fecha: 09/09/14 a las 17:53:37.
Responder Con Cita