Seguridad Sap

[fiorelladm]

Hola quisiera saber si en Sap existe la manera de ejecutar una transacción pero haciendose pasar por otro usuario, por ejemplo entro a liberar una oc pero como otro usuario y cuando sacan el log no aparece mi usuario sino el otro por el que me hice pasar. En mi trabajo queremos saber si existe esa posibilidad para poder corregirla.

Gracias
Fiorella

[h_rossi]

Mira, que yo sepa nunca me ha pasado algo semejante. Y a no ser de que haya un bug en SAP, no creo que pueda ser posible realizar lo que describis.

[gfr]

Fiorella; como estas.
Te comento que existe una forma de hacer lo que vos comentas pero en los Log aparecieria el usuario que se logeo a SAP.
Los pasos serian los siguientes, si mal no recuerdo.
1) el usuario impostor tiene que tener acceso a DEBUG y saber ABAP (bastante)
2) debe agregarse el Rol de Liberacion de ordenes o en su defecto SAP_ALL(esto ya queda reflejado en el log de cambios de permisos. Ver SUIM)
3) poner un debug en el programa adecuado, y cuando solicita la rutina de liberacion debe cambiar los campos de usr y estrategia de liberacion por la deseada. Si mal no recuerdo tambien debe poner el proximo liberardor, por eso comento que tiene que saber mucho de tu compania.
4) luego liberar la orden.
Pero todo esto queda registrado en los LOG de sap con el usuario original, excepto en la orden de compra q queda el usr usurpado para que continue la cadena.

Si mal no recuerdo era algo parecido a lo que te describi.

NOTA: Nadie en produccion debe tener acceso a DBG y menos SAP_ALL o SAP_NEW, ni siquiera el Basis o Administrador del Sistema.

Saludos
Gustavo

[fiorelladm]

Gustavo: Muchas gracias por la ayuda, como puedo saber quienes tienen acceso al Debug??

Fiorella

[gfr]

Con la trx SUIM en "Roles por criterio de seleccion complejos" vas a "Seleccion por segun valores de autorizacion" en objeto pones S_DEVELOP, enter y de despliega varios check box en el de Tipo de objeto pones DEBUG y deberia traerte todos los roles que lo tienen, en los mismos te fijas que usuarios lo tienen asignados.

Sino tambien trx suim "Usuarios por criterio de seleccion complejos" vas a Por valores de autorizacion" ingresas S_DEVELOP despliega varios check box en el de Tipo de objeto pones DEBUG y deberia traerte todos los usuarios que lo tienen.

Saludos
Gustavo

[commizzo]

otra alternativa que existe, mas sencilla aunque un poco torpe, me parece, pero alternativa al fin, es que un usuario tenga acceso a la trx SU01, en ella pueda modificar la clave de acceso de otro usuario y loguearse directamente con este usuario.
Luego todas las acciones que realice quedaran grabadas con el nombre del usuario que usurpó.

El problema que presenta esta accion es que cuando el usuario original quiera loguearse no podra debido a que se modificó su contraseña. Podra darse cuenta de la situacion o lo mas probable es que piense que la ecribio mal o se la olvido y pedirá que se la limpien.

Se podra detectar esta maniobra verificando el log de utilizacion de la trx SU01 determinando que usuarios efectuaron modificaciones y que tipo de modificaciones.
Espero que sirva tambien,
saludos.-