0

我正在通过访问编辑现有 IDoc 并重新处理它们来调查未经授权交易的风险。

在以下场景中,以下特征适用:

  • 用户 Y 属于财务部门,可以访问 SAP 中的财务交易。
  • 用户 Y 已创建 IDOC(与金融交易相关)。
  • 用户 X 属于 HR 部门,无权访问 SAP 中的财务交易。
  • 用户 X 具有更改 IDOCS 的 T 代码级别访问权限。

我的问题是,这些场景中哪一个是正确的,其背后的技术原因是什么?

  1. 用户 X 可以编辑现有 IDOC 并成功重新处理它,因为 IDOC/系统检查了 IDOC 创建者(在本例中为用户 Y)的授权。
  2. 用户 X 可以编辑现有 IDOC 并成功重新处理它,因为 IDOC 在队列中并且不检查额外授权。
  3. 用户 X 可以编辑现有 IDOC,但不能重新处理它,因为 IDOC/系统会检查 IDOC 更改者(在本例中为用户 X)的授权。
4

2 回答 2

0

假设用户 X 创建了出站IDoc 并且用户 Y 收到了这个入站IDoc,以下结局对于您的场景将是真实的:

  1. 错误的
  2. 错误的
  3. 真的

您必须清楚:发件人与IDoc的处理器无关,只有处理器重要。SAP 甚至建议将发件人的授权降至最低,并在后台集中处理 IDoc,以消除授予额外授权的需要。

通常,IDocs 授权模型是围绕这些对象运行的,其中最重要的是S_IDOCMONIS_IDOCCTRL,一般规则是:

如果用户有权显示 IDocs(由 控制 S_IDOCMONI),他也可以发送它。

如果要限制某些 IDoc 类型在 BD87 中查看和处理,则必须实施 SAP note 1269516

于 2017-04-10T19:49:35.263 回答
0

您可以为 IDOC 消息类型创建授权对象,因此用户不能编辑或发送未经授权的消息类型。否则用户可以选择 1,2 或 3。详细信息在这里:http ://sambitsapbasis.blogspot.com.tr/2009/08/special-authorization-object-for-idoc.html

于 2016-11-30T18:43:22.460 回答