MUNDOSAP

Regresar   MUNDOSAP > ADMINISTRACION SAP > Administración de Sistemas SAP
Nombre de Usuario
Contraseña
Home Descargas Registrar FAQ Miembros Calendario Buscar Temas de Hoy Marcar Foros Como Leídos




 
Respuesta
 
Herramientas Buscar en Tema Desplegado
  #1  
Viejo 09/09/14, 18:28:47
ElHechicero ElHechicero is offline
Junior Member
 
Fecha de Ingreso: feb 2007
Mensajes: 2
Exclamation Limitar usuario de sistema en pasos en jobs según departamento usuario diálogo.

Hola.

Me ha surgido una duda/problema en cuanto a la programación de jobs desde SM36.

Normalmente en todos los clientes que he administrado se suele tener un usuario genérico para los "pasos" de los jobs y suele tener "sap_all". Eso permite que si el usuario que programa el job un día fuese baja/se bloquee , como el paso esta con otro usuario sap_all sigan funcionando. Y lo del sap_all pues para que no tenga problemas de autorización en los pasos en ningún caso.

Pero ...ahora viene mi duda/miedo/pregunta:

Si permito a un desarrollador/administrador que "no puede ser SAP_ALL para no tener acceso a HR ( por ejemplo )" acceso a la SM36/SM37 para programar/modificar un job , como puedo limitar que en el "AUTHCKNAM" de los pasos solo pueda meter un usuario concreto y no "uno cualquiera" existente del sistema.

En mi caso como administrador poseo permisos para casi todo menos para determinadas tareas/modulos de SAP como FI, HR, etc. Asimismo tenemos un usuario genérico para lanzar los pasos de los jobs con "SAP_ALL" . Y ....como se puede evitar que yo programe un job diciendo que el paso se ejecute con ese usuario sap_all y por lo tanto pueda consultar/ejecutar cualquier modulo de SAP?. Me parece un fallo de seguridad enorme.

Podría crear un usuario para fondo y que no sea sap_all. Un usuario como administrador con acceso a casi todo y suficiente para ejecutar los reports de los jobs. Pero,como hago que en la SM36 coja ese usuario de fondo para determinados usuarios de diálogo y otro para otros usuarios de diálogo ?. Evidentemente necesito varios usuarios de fondo distintos, unos para la gente de HR con permisos para HR y no para administración y hacer que para determinados usuarios de diálogo solo puedan informar uno u otro en la SM36/SM37.

Siento tanto royo pero la idea es eliminar usuarios SAP_ALL para evitar se usen para los pasos de los jobs y con ello le de acceso total a cualquier usuario que programe el job mediante la creación de varios con roles ajustados dependiendo del dpto. y luego permitir su uso a unos u otros usuarios de diálogo.

GRACIAS !.

Úlima edición por ElHechicero fecha: 09/09/14 a las 18:53:37.
Responder Con Cita
  #2  
Viejo 09/09/14, 18:48:47
ElHechicero ElHechicero is offline
Junior Member
 
Fecha de Ingreso: feb 2007
Mensajes: 2
Por cierto, se que si a los usuarios que tienen acceso a la SM36 les pongo el objeto " S_BTCH_ADM = N " puedo hacer que no puedan indicar en los pasos otro usuario que no sea el suyo.

Pero no me resulta factible ( salvo no haya otro modo ) ya que si un día uno de esos usuarios es baja , los jobs cancelarían, con lo que antes de eliminar/bloquear un usuario debería sacar listado de las TCTC* mirando que jobs tienen pasos con ese usuario y cambiarlos a otro antes de bloquear/eliminar el anterior. Y con ello, incurrimos en el problema inicial...estamos creando pasos distintos al usuario propietario del job.

La idea es tener un usuario ZJOBS_HR con permisos solo para HR, otro ZJOBS_SISTEMAS para ADMIN_SAP , otro ZJOBS_DESARROLLO para los desarrolladores, etc, todos de fondo y con los roles ajustados como sus usuarios de diálogo, nada de sap_all. Y poder limitar de algún modo que cualquier usuario de HR tenga por defecto o solo permitido indicar en el paso su propio ZJOBS_HR y nunca otro. Y la gente de Desarrollo solo pueda poner ZJOBS_DESARROLLO y nunca programarlos con ZJOBS_HR .


Si el usuario diálogo que programa el job tiene unos permisos limitados no tiene sentido pueda poner en el paso cualquier otro usuario sea cual sea y el problema no es solo que sea y se quite el sap_all. Debe poder "filtrarse" pues aunque quitemos todos los sap_all del sistema, no quita pongamos un usuario de otro departamente y estaríamos en las mismas.
Responder Con Cita
Respuesta


Herramientas Buscar en Tema
Buscar en Tema:

Búsqueda Avanzada
Desplegado

Reglas de Mensajes
no puedes crear nuevos temas
no puedes responder temas
no puedes adjuntar archivos
no puedes editar tus mensajes

El código vB está On
Las caritas están On
Código [IMG] está On
Código HTML está Off
Saltar a Foro


Husos Horarios son GMT. La hora en este momento es 19:25:21.


www.mundosap.com 2006 - Spain
software crm, crm on demand, software call center, crm act, crm solutions, crm gratis, crm web