Procedimiento SAP_ALL
 

Estimados amigos del foro, una consulta,
por temas de seguridad, en mi empresa tenemos restringido la asignacion del perfil SAP_ALL, solo para solo emergencias por temas de seguridad, pero por un tema de estadarizacion de procesos y procedimientos, me veo en la necesidad de definir un procedimiento para su asignacion, y queria saber si alguno tiene algunas pautas y/o politicas ya establecidas para su asignacion, por ejemplo:

etc...

Si alguno tiene ideas o comentarios al respecto se lo agrdecere.


salu2

Estadarizacion de procesos y procedimientos ??
Justamente si se estan estandarizando los procesos y procedimientos se debería optimizar la seguridad... y quieren asignar SAP_ALL ?? Me suena a contradictorio.

Me parece que... deberían rever esas cosas... :p
Para mi si se hace una gestion perfecta de pedidos de seguridad, podrían tranquilamente generar roles necesarios para NO otorgar sap_all...
Y dejar únicamente esa asignación para el personal idóneo.

Yo soy de los que NO dan SAP_ALL a nadie... pero bueno, si si o si quieres tener un procedimiento de asignación respetaría tus puntos mencionados en el tema, y ademas:
Saludos

Sap All
 

Quisiera aundar en el tema dl rol SAP ALL

Almenos por la descripción del rol, me indica que proporciona una amplitud de acción para el usuario que lo tiene, sin embargo, es porque tiene "n" de transacciones o por los valores de autorización que tienen asignados.

Álguién me podría orientar al respecto de este rol?

Por lo que veo es un tema delicado de seguridad

tal como tu lo dices...
SAP ALL da acceso a todo, puede crear usuarios, otorgar permisos a otros usuarios, generar programas, borrar datos, un sinfin de acciones potencialmente peligrosas.
Como politica, jamas dé acceso SAP ALL en ambiente productivo... en ambiente QUA no importa, pero en productivo nunca.

Ni siquiera personal que administra SAP tiene esos accesos en productivo.

Estimados amigos, lo que todos Uds. Comentan es cierto... No es recomendable... va en contra de la seguridad... puede generar mas problemas de los que soluciona... etc...

Pero ante una emergencia real (llamese negligencia, en muchos casos), se tiene que tomar accion inmediatamente... y ante cualquier posibilidad, uno debe de tener un A bajo la manga, para poder dar el soporte necesario... y para eso me sirve este procedimiento... el cual debe de sustentar y definir una emergencia, para poder dar solucion con todos los estandares de seguridad necesarios...


salu2

Sap All
 

Pregunta a qué se refieren con un ambiente productivo y aun ambiente QUA???

Saludos.

Sap All
 

cuando asignan el rol SAP ALL, el riesgo que tenemos, es porque asignan un sinfin de transacciones; o porque asignan transacciones con valores de autorización "*"?

Saludos

Pues en esa política y procedimiento, para su asignación deberá de autorizar:
Además que la actividad se monitoriará al usuario con el perfil de SAP_ALL; así como detallar el tiempo y duración de la asignación de dicho perfil.

No olvidar, bajo que motivos (causas) se deberá asignar dicho perfil.

Saludos Master Brezhnev

Hola Lilia...

SAP_ALL es un perfil estandar de SAP.
Trae acceso total al sistema.
Sería acceso "*" a todos los objetos de seguridad.
No hay nada (que yo sepa) donde un SAP_ALL (estandar) no pueda acceder.

Con "productivo" y "QAS" los chicos se refieren a los entornos.
Productivo es el entorno/ambiente real de tu empresa, donde la contabilidad y todo lo que hagas dentro del sistema es lo que sirve para generar los balances financieros a tus jefes... donde si contabilizas mil millones de pesos a un proveedor "x" sin querer, por error tuyo, viene tu jefe y te despide. Jajajajaja (humor).

QAS es un ambiente de "calidad". Por lo general se utiliza para hacer pruebas. Donde podes contabilizar mil millones de pesos contra cualquier cosa, y no hay peligro de nada. El sistema se prueba... pero NO se desarrolla en QAS, NO se parametriza aquí. Solo se prueba... prueba error, y documentacion. Para eso sirve.

Otro ambiente es DES (la nomenclatura puede cambiar), aquí solo se desarrolla, o se parametriza... y NO se prueba.

Despues de que parametrizas en DES, mandas la orden de transporte a QAS, pruebas... si esta todo correcto, liberas la orden para que pase a PRD (productivo).

Así mas o menos funciona el mundo SAP.

Este mensaje es muy OFFTOPIC, pero creo que es importante que lo sepais.
Saludos!

Pd: disculpas al autor por desvirtuar.

Sap_all
 

Hola :

Pregunta, en dónde puedo encontrar el soporte por escrito, sobre los riesgos que implica asignar el rol SAP_ALL??

Gracias por el apoyo.

Que tengan un buen día !!

Saludos

LILIA el soporte escrito te lo estamos diciendo... es como si tuvieras todos los obejtos de autorización configurados con "*"... es acceso total a todas las transacciones sin restricciones de nada, documentación para eso? mmmmm pues tiene acceso a todo y ya jejejejeje pueden hacer lo que quieran en el sistema... qué mas riesgo que ese?

BREZHNEV pues aquí como poítica tenemos no asignar SAP_ALL sino a nosotros que somos los administradores, no más... hay ocasiones en que como dices se necesitan que tengan acces a todo para apagar un incendio por algún error en el sistema, así que lo que en la mayoría de de casos hacemos es que las personas vienen hasta el área, les asignamos el permiso mientras están con nosotros, hacen lo que tienen que hacer y se lo quitamos, esa puede ser otra forma en que puedes hacer las cosas con la tranquilidad que tú mismo estás viendo lo que están haciendo.

Saludos

Buenos días,

El SAP_ALL dá acceso a casi todas las transacciones del sistema (para completarla añadiría SAP_NEW).

Realmente no se si existe documentación referente al agujero de seguridad que produce que un usuario final tenga SAP_ALL, ya que es muy esplicito esta falta de seguridad.

- Rompe con la segregación de funciones que se determina a nivel de cliente.
- Accesos a transacciones criticas (y de consultor) como: SM30, SPRO, PFCG, SU01, PA30, etc.
- Riesgos de negocio.
..

Tantos son los casos de falta de seguridad que se puede dar con un usuario final con SAP_ALL, que una auditoría podria ser un verdadero problema para el cliente.

Espero que encuentres la documentación necesaria para ello.
Un saludo.