Karriere bei Brose
  • 13 User online von 18,799 Mitgliedern
  • 50,195 Beiträge zu 13,791 Themen
  • 13 User online von 18,799 Mitgliedern
  • 50,195 Beiträge zu 13,791 Themen
02196 7066-717
Willkommen Gast! Um alle Funktionen zu aktivieren müssen Sie sich Anmelden oder Registrieren.

Mitteilung

Icon
Error

Optionen
Gehe zum aktuellsten Beitrag Gehe zum letzten Ungelesenen
Offline n0vize  
#1 Geschrieben : Donnerstag, 18. Mai 2017 13:50:26(UTC)
n0vize

Beiträge: 67
Hallo Forum,

wir haben im Produktivsystem das Berechtigungsobjekt S_DEVELOP gesperrt.
Allerdings gibt es nun den Antrag, das Berechtigungsobjekt wieder zu vergeben, so dass der Berechtigte im Infoset Coding eingeben kann ohne aber die HR-Tabellen (gleiche Mandant) auslesen zu können.

Hat hierzu jemand eine Idee wie man das steuern kann?

Gruss
n0vize

Nehmen Sie an dieser Diskussion teil! SAP FORUM - SAP Community LoginHier registrieren.

Offline mas  
#2 Geschrieben : Donnerstag, 18. Mai 2017 14:08:16(UTC)
mas

Beiträge: 336
Hallo n0vize,

Im Produktivsystem Berechtigung für Entwicklung zulassen ist an sich schon grenzwertig.
Da ist ja im Prinzip das Scheunentor weit offen.
Ansonsten kann man nur sehr bedingt inschränken.
Entweder er hat Tabellenzugriff oder nicht.
Einige Tabellen im HR sind dann wenigsten noch geclustered - wenn der User aber Coding machen kann und darüber doch wieder über Funktionsbausteine Zugriff bekommt.....

Wir haben uns aus diesen Gründen vor einiger Zeit für eine Lösung von der Fa. topflow entschieden.
SE16XXL - darüber kann man den Zugriff auf einzelne Tabellen berechtigen und zusätzlich noch auf Zeilenebene (z.B. in Abhängigkeit vom Buchungskreis o.ä.).

Viele Grüsse

mas
Offline waltersen  
#3 Geschrieben : Freitag, 19. Mai 2017 08:59:42(UTC)
waltersen

Beiträge: 248
Mann
Wohnort: Hamburg
Hallo,

ich finde so etwas auch grenzwertig bzw. unüblich. Kann man ein Infoset nicht auf der Entwicklung bauen und durchtransportieren?

Gruß
Offline mas  
#4 Geschrieben : Freitag, 19. Mai 2017 16:04:12(UTC)
mas

Beiträge: 336
Doch kann man
im globalen Bereich

mas
Offline unkelbach  
#5 Geschrieben : Samstag, 20. Mai 2017 06:48:27(UTC)
unkelbach

Beiträge: 127
Germany
Wohnort: Hessen
Im Grunde gibt es hier die Möglichkeit Entwicklung und Transport zu trennen.

Allerdings bleibt das Problem weiterhin bestehen.


Zur Erstellung von Coding ist tatsächlich der Objekttyp PROG im Berechtigungsobjekt S_DEVELOP und 'AQ*' für OBJNAME erforderlich. Andernfalls ist ein Coding hier nicht möglich.Dieses gilt dann auch für einen Import von Query per Upload in ein anderes System, zumindest bei der Verwendung der Upload/Download Variante.

Beim Ausführen einer solchen Query / Infoset bedarf es dann aebr auch S_DEVELOP mit der Aktivität 03 und ggf. Objekttyp LDB.

Der Report RSAQR3TR ermöglicht jedoch nicht nur Upload / Download sondern auch den Transport von Query und Infoset.

Siehe Doku auf Consulut zu RSAQR3TR .

ALternativ könnte auch die Berechtigung für S_DEVELOP mit PROG im Produktivsysteme ienr anderen Person zugeordnet sein (SAP Basis) die wiederum dann die Query per Datei Upload importiert.

Bearbeitet vom Benutzer Samstag, 20. Mai 2017 06:49:46(UTC)  | Grund: Nicht angegeben

Offline n0vize  
#6 Geschrieben : Montag, 22. Mai 2017 15:53:51(UTC)
n0vize

Beiträge: 67
Hallo

Danke für Eure Hinweise.
Mir ist klar, dass das eine schwere Sicherheitslücke ist. Da wir die HR Daten teilweise auch im Entwicklungssystem haben hilft mir der Ansatz von Query transportieren nicht weiter.

Gruss
n0vize
Benutzer, die gerade dieses Thema lesen
Das Forum wechseln  
Du kannst keine neue Themen in diesem Forum eröffnen.
Du kannst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge nicht löschen.
Du darfst deine Beiträge nicht editieren.
Du kannst keine Umfragen in diesem Forum erstellen.
Du kannst nicht an Umfragen teilnehmen.

- Impressum -