ITPUB论坛-中国最专业的IT技术社区

 找回密码
 注册
查看: 4661|回复: 16

[BASIS] 关于ABAP开发人员的授权问题

[复制链接]
论坛徽章:
2
ITPUB十周年纪念徽章
日期:2011-11-01 16:26:59ITPUB 11周年纪念徽章
日期:2012-10-09 18:16:00
发表于 2012-8-14 11:01 | 显示全部楼层 |阅读模式
以前公司没上HR模块时,所有开发、支持人员的权限基本上和管理员一样,基本上什么都能干。
但现在上了HR模块后,问题来了:工资要保密,怎么办?那就设置权限吧,但是设置来设置去,却发现问题越来越多,总结一句话就是:防不胜防!
而且堵这种权限的漏洞还有一条基本原则:只要一个没堵住,前面堵再多漏洞基本上就是白干。

下面就举个例子说明一下这个问题,希望大家都分享一下各自的心得、高招。
首先要保密内容为:(1)基本工资数据表:PA0007;(2)读取工资核算结果函数:PYXX_READ_PAYROLL_RESULT
而我们的开发人员很多时候必须要在生产系统上运行程序才知道对不对,所以SE11、SE16、SM30、SE37、SE38等等权限统统都有。
开始堵漏洞:
1、 对于表PA0007的权限控制,首先就是管住SE16了(SE11看表字段是不用控制的)。在SE16的默认权限控制参数中,可以通过对象S_TABU_DIS的权限组DICBERCLS的值来限制,即排除PA。PA是HR业务数据表类(至于表属于什么权限组,可以在表TDDAT中查到,好像自己定义的表查不到、视图也查不到),排除PA后,基本上所有的HR主数据表PAXXXX都不能通过SE16查看数据了(好像控制过头了,不过系统的标准只能做到这个份),勉强达到效果了。但还有以下几个大漏洞不知道怎么堵:
      (a)别忘了,我们的开发人员都会写Select * from PA0007,而且这个语句到处都可以写;
      (b)还有“强大”的SAP Query,随便就可以把PA0007拖入数据集,想怎么看就怎么看;
      (c)不让我看表是吧,那我建个PA0007的视图总可以了吧,仍然想怎么看就怎么看;
      (d)肯定还有我没想到的.......
2、  对于函数PYXX_READ_PAYROLL_RESULT的权限控制,当然先从SE37入手,SE37的权限控制参数还是很多的,但权限设定的最大弱点就是要么设*,要么就列举所有允许的值,不能列举排除的值。所以要想只排除这个函数我也不知道要怎么设置!
      有人说,那就把SE37全关了呗(估计开发人员有点坐不住了)。OK,就算关了SE37的权限,就万事大吉了吗?绝对是NO!因为这个函数往往用在一些工资报表中,当然你肯定没给开发人员看工资报表的事务码权限,但开发人员不是有SE38或者最少有SA38的权限吧,只要能看源程序,再配合上断点调试,在权限检查时修改权限判断的返回值,没有什么是不能看的。
      有人说,那就把调试、SE38、SA38全部关了不就完事了吗(估计开发人员已经愤怒了)?我同意,如果把这些都关了确实是达到目的了,但问题是这时开发人员和关键用户还有什么分别?编程、调试是开发人员必备的工具,现在你把它全部没收了,那开发人员也只能说:咱走吧......
论坛徽章:
10
咸鸭蛋
日期:2011-07-15 10:00:292012新春纪念徽章
日期:2012-01-04 11:55:05复活蛋
日期:2012-05-21 07:46:29ERP板块每日发贴之星
日期:2011-08-16 01:01:01ERP板块每日发贴之星
日期:2011-08-03 01:01:01ERP板块每日发贴之星
日期:2011-07-29 01:01:01ERP板块每日发贴之星
日期:2011-07-28 01:01:02ERP板块每日发贴之星
日期:2011-07-26 01:01:01ERP板块每日发贴之星
日期:2011-07-16 01:01:02ITPUB十周年纪念徽章
日期:2011-11-01 16:25:22
发表于 2012-8-14 12:11 | 显示全部楼层
有点意思

使用道具 举报

回复
论坛徽章:
4
ITPUB十周年纪念徽章
日期:2011-11-01 16:24:042013年新春福章
日期:2013-02-25 14:51:242014年新春福章
日期:2014-02-18 16:43:09马上有钱
日期:2014-02-18 16:43:09
发表于 2012-8-14 13:01 | 显示全部楼层
"开发人员很多时候必须要在生产系统上运行程序才知道对不对"
--> That's the point.

使用道具 举报

回复
论坛徽章:
2
ITPUB十周年纪念徽章
日期:2011-11-01 16:26:59ITPUB 11周年纪念徽章
日期:2012-10-09 18:16:00
 楼主| 发表于 2012-8-14 14:25 | 显示全部楼层
kevincml 发表于 2012-8-14 13:01
"开发人员很多时候必须要在生产系统上运行程序才知道对不对"
--> That's the point.

的确,这人仁兄说到点子上了!

我以前也觉得这个不应该,开发就开发吧,开发完了就没开发什么事了。但实际应用过程中,任何报表、程序一旦正式启用,谁都不敢打包票完全正确,尽管你在测试系统没有出现任何问题。再加上很多不是太正规的公司,开发、技术支持都是包干到户,甚至是某些模块,全部是一人负责,程序写完放上生产机,数据是否准确就是你的职责。就算不永久授权给你在生产机运行、查看、调试程序的权限,但试运行阶段总还是要给的吧,一旦给了,前面说的那一大堆漏洞就来了……

使用道具 举报

回复
求职 : SAP实施
认证徽章
论坛徽章:
242
巴塞罗那
日期:2016-01-29 16:40:32巴塞罗那
日期:2016-01-29 16:40:32巴塞罗那
日期:2016-01-29 16:40:32巴塞罗那
日期:2016-01-29 16:40:32巴塞罗那
日期:2016-01-29 16:40:32芝加哥公牛
日期:2017-02-07 09:03:42芝加哥公牛
日期:2017-02-07 09:03:43芝加哥公牛
日期:2017-02-07 09:03:43芝加哥公牛
日期:2017-02-07 09:03:43芝加哥公牛
日期:2017-02-07 09:03:43
发表于 2012-8-14 22:10 | 显示全部楼层
做开发的不容易啊

使用道具 举报

回复
求职 : SAP实施
认证徽章
论坛徽章:
242
巴塞罗那
日期:2016-01-29 16:40:32巴塞罗那
日期:2016-01-29 16:40:32巴塞罗那
日期:2016-01-29 16:40:32巴塞罗那
日期:2016-01-29 16:40:32巴塞罗那
日期:2016-01-29 16:40:32芝加哥公牛
日期:2017-02-07 09:03:42芝加哥公牛
日期:2017-02-07 09:03:43芝加哥公牛
日期:2017-02-07 09:03:43芝加哥公牛
日期:2017-02-07 09:03:43芝加哥公牛
日期:2017-02-07 09:03:43
发表于 2012-8-14 22:10 | 显示全部楼层
做开发的不容易啊

使用道具 举报

回复
论坛徽章:
2
ITPUB十周年纪念徽章
日期:2011-11-01 16:26:59ITPUB 11周年纪念徽章
日期:2012-10-09 18:16:00
 楼主| 发表于 2012-8-17 10:38 | 显示全部楼层
期待高手指教!

使用道具 举报

回复
论坛徽章:
4
奥运会纪念徽章:花样游泳
日期:2012-08-23 15:21:34奥运会纪念徽章:拳击
日期:2012-08-27 15:24:14奥运会纪念徽章:拳击
日期:2012-09-10 15:14:37大众
日期:2013-12-13 09:48:21
发表于 2012-8-17 16:17 | 显示全部楼层
没办法的,企业里总是要这样限制的,
DEV->QAS->PRD
你有什么问题,在DEV里慢慢改吧,改完再上PRD,PRD里不给你什么权限的。

使用道具 举报

回复
论坛徽章:
1
2013年新春福章
日期:2013-02-25 14:51:24
发表于 2012-8-24 16:26 | 显示全部楼层
sodacc 发表于 2012-8-17 16:17
没办法的,企业里总是要这样限制的,
DEV->QAS->PRD
你有什么问题,在DEV里慢慢改吧,改完再上PRD,PRD里 ...

这才像懂点basis的人,prd上的权限很死的,dev 有没有数据

使用道具 举报

回复
论坛徽章:
4
奥运会纪念徽章:花样游泳
日期:2012-08-23 15:21:34奥运会纪念徽章:拳击
日期:2012-08-27 15:24:14奥运会纪念徽章:拳击
日期:2012-09-10 15:14:37大众
日期:2013-12-13 09:48:21
发表于 2012-8-24 20:59 | 显示全部楼层
ravi_zhou 发表于 2012-8-24 16:26
这才像懂点basis的人,prd上的权限很死的,dev 有没有数据

正式一点的dev-client是没有任何数据的,你开发人员,要测试,要到dev中的另外一个client,这里面是有数据的。
不能每一个client都开发,都有数据吧,这就不是企业的稳定追求了,这是你自己装sap玩的。

使用道具 举报

回复

您需要登录后才可以回帖 登录 | 注册

本版积分规则

TOP技术积分榜 社区积分榜 徽章 电子杂志 团队 统计 虎吧 老博客 知识索引树 读书频道 积分竞拍 文本模式 帮助
  ITPUB首页 | ITPUB论坛 | 数据库技术 | 企业信息化 | 开发技术 | 微软技术 | 软件工程与项目管理 | IBM技术园地 | 行业纵向讨论 | IT招聘 | IT文档 | IT博客
  ChinaUnix | ChinaUnix博客 | ChinaUnix论坛 | SAP ERP系统
CopyRight 1999-2011 itpub.net All Right Reserved. 北京皓辰网域网络信息技术有限公司版权所有 联系我们 网站律师 隐私政策 知识产权声明
京ICP证:060528号 北京市公安局海淀分局网监中心备案编号:1101082001 广播电视节目制作经营许可证:编号(京)字第1149号
  
快速回复 返回顶部 返回列表