Estimados, cómo están?
El área de IT de mi empresa tiene un único basis que cuenta con el perfil SAP_ALL en forma permanente. Los riesgos aparejados son múltiples y tenemos la intención de revocar ese perfil. Sin embargo él realiza todas las tareas de administración de SAP: pasajes a PRD, asignación de permisos a usuarios, etc.
Eso me plantea dudas:
1) Qué recomendación me darían para revocar el perfil y darle permisos exclusivamente para lo que necesita hacer diariamente?
2) Qué debo responder cuando me dice que necesita el perfil en forma permanente para resolver cualquier emergencia que surja y que roles más restringidos no le aseguran poder resolver los problemas?
3) Por más que revoquemos SAP_ALL, si él cuenta con posibilidad de asignar permisos, no podría asignarse SAP_ALL a si mismo? Existe forma de evitarlo?

Desde ya muchas gracias por su ayuda!!

Hola Jack,
El perfil sap_all no debería usarse para trabajos diarios en ambientes productivos. Es cierto que el Basis requiere de muchas transacciones técnicas que no lo tienen los usuarios ni funcionales, pero, eso no significa que deba tener asignado dicho perfil de manera permanente. Eso no es una buena práctica.
La recomendación sería:
a) Crear un rol asignándo todas las transacciones que necesita para su labor diaria. Asignarselo a su usuario y quitarle el perfil sap_all.
b) Si ustedes manejan informes mensuales sobre el comportamiento mensual de su sistema SAP, pueden pedir que acompañen un reporte de todos los usuarios que tengan asignado el perfil SAP_ALL, de repente más de uno lo tiene. Esto permitiría controlar que nadie tenga asignado dicho perfil, ni siquiera el Basis.
Saludos,
Hugo Venegas.

Nadie en un ambiente productivo y bajo circustancias normales debe tener el perfil SAP_ALL.

El Administrador (anteriormente Basis) del sistema, debe contar con transacciones que le permitan realizar su trabajo sin inconvenientes. Lo que debemos hacer es obtener una lista de todas estas transacciones y pedir que se nos sea otorgadas (autorizadas) para poder realizar las labores administrativas.

Hola, te recomiendo la transacción SUIM para que determines quienes tienen SAP_ALL en tu sistema.

Te recomiendo que también habilites la auditoría. Aunque un Basis no sea SAP_ALL mientras tenga acceso a la BD y al SO, podrá accesar SAP como ya lo vimos en otros mensajes del foro.

Depende de las políticas y grado de complejidad de tu organización.

Saludos.

Buenas tardes Jack Daniels,

El tema de SAP_ALL a las personas de BC, es un debate bastante interesante.

Mucha gente te dirá que es una tonteria restringir a una persona de basico, ya que a nivel de bases de datos, ellos tienen acceso a todas las tablas.

En Desarrollo y Calidad no veo mal un SAP_ALL para los Consultores (sean del area que sean), ya que un consultor suele saber lo que hace.

En producción ya cambia el asunto, porque hablamos de datos reales, y por un minimo fallo humano se puede liar una importante.

Así que mi opinion es:

Desarrollo: SAP_ALL a Consultores.
Calidad: SAP_ALL a Consultores y accesos restringidos a usuarios clave.
Producción: Accesos restringidos para Consultores y usuarios finales.


Un saludo!!