|
Herramientas | Buscar en Tema | Desplegado |
#1
|
|||
|
|||
Limitar usuario de sistema en pasos en jobs según departamento usuario diálogo.
Hola.
Me ha surgido una duda/problema en cuanto a la programación de jobs desde SM36. Normalmente en todos los clientes que he administrado se suele tener un usuario genérico para los "pasos" de los jobs y suele tener "sap_all". Eso permite que si el usuario que programa el job un día fuese baja/se bloquee , como el paso esta con otro usuario sap_all sigan funcionando. Y lo del sap_all pues para que no tenga problemas de autorización en los pasos en ningún caso. Pero ...ahora viene mi duda/miedo/pregunta: Si permito a un desarrollador/administrador que "no puede ser SAP_ALL para no tener acceso a HR ( por ejemplo )" acceso a la SM36/SM37 para programar/modificar un job , como puedo limitar que en el "AUTHCKNAM" de los pasos solo pueda meter un usuario concreto y no "uno cualquiera" existente del sistema. En mi caso como administrador poseo permisos para casi todo menos para determinadas tareas/modulos de SAP como FI, HR, etc. Asimismo tenemos un usuario genérico para lanzar los pasos de los jobs con "SAP_ALL" . Y ....como se puede evitar que yo programe un job diciendo que el paso se ejecute con ese usuario sap_all y por lo tanto pueda consultar/ejecutar cualquier modulo de SAP?. Me parece un fallo de seguridad enorme. Podría crear un usuario para fondo y que no sea sap_all. Un usuario como administrador con acceso a casi todo y suficiente para ejecutar los reports de los jobs. Pero,como hago que en la SM36 coja ese usuario de fondo para determinados usuarios de diálogo y otro para otros usuarios de diálogo ?. Evidentemente necesito varios usuarios de fondo distintos, unos para la gente de HR con permisos para HR y no para administración y hacer que para determinados usuarios de diálogo solo puedan informar uno u otro en la SM36/SM37. Siento tanto royo pero la idea es eliminar usuarios SAP_ALL para evitar se usen para los pasos de los jobs y con ello le de acceso total a cualquier usuario que programe el job mediante la creación de varios con roles ajustados dependiendo del dpto. y luego permitir su uso a unos u otros usuarios de diálogo. GRACIAS !. Úlima edición por ElHechicero fecha: 09/09/14 a las 17:53:37. |
#2
|
|||
|
|||
Por cierto, se que si a los usuarios que tienen acceso a la SM36 les pongo el objeto " S_BTCH_ADM = N " puedo hacer que no puedan indicar en los pasos otro usuario que no sea el suyo.
Pero no me resulta factible ( salvo no haya otro modo ) ya que si un día uno de esos usuarios es baja , los jobs cancelarían, con lo que antes de eliminar/bloquear un usuario debería sacar listado de las TCTC* mirando que jobs tienen pasos con ese usuario y cambiarlos a otro antes de bloquear/eliminar el anterior. Y con ello, incurrimos en el problema inicial...estamos creando pasos distintos al usuario propietario del job. La idea es tener un usuario ZJOBS_HR con permisos solo para HR, otro ZJOBS_SISTEMAS para ADMIN_SAP , otro ZJOBS_DESARROLLO para los desarrolladores, etc, todos de fondo y con los roles ajustados como sus usuarios de diálogo, nada de sap_all. Y poder limitar de algún modo que cualquier usuario de HR tenga por defecto o solo permitido indicar en el paso su propio ZJOBS_HR y nunca otro. Y la gente de Desarrollo solo pueda poner ZJOBS_DESARROLLO y nunca programarlos con ZJOBS_HR . Si el usuario diálogo que programa el job tiene unos permisos limitados no tiene sentido pueda poner en el paso cualquier otro usuario sea cual sea y el problema no es solo que sea y se quite el sap_all. Debe poder "filtrarse" pues aunque quitemos todos los sap_all del sistema, no quita pongamos un usuario de otro departamente y estaríamos en las mismas. |
Herramientas | Buscar en Tema |
Desplegado | |
|
|