Текущее время: Сб, июн 23 2018, 22:05

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 20 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения: Выписка банка, полномочия на счет собственного банка
СообщениеДобавлено: Пн, май 21 2018, 13:41 
Специалист
Специалист

Зарегистрирован:
Пт, июн 29 2007, 12:24
Сообщения: 191
Откуда: Москва
Пол: Женский
День добрый!

Коллеги, поделитесь опытом ограничения полномочий на доступ к постобработке ЭБВ конкретным собственным банком. Т.е. запускает себе пользователь FEBAN/FEBA_BANK_STATEMENT/FEB_BSPROC , но система ему показывает позиции выписки только по тем собственным банкам, на которые есть полномочия.
Насколько я понимаю, стандартные объекты полномочий ограничивают только по БЕ . Вариант для этих транзакций сделать не получается, первый экран с выбором банка не отражается в итогах записи варианта.

Может еще есть какие то идеи?


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Выписка банка, полномочия на счет собственного банка
СообщениеДобавлено: Пн, май 21 2018, 14:16 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Ср, фев 21 2007, 09:50
Сообщения: 940
Откуда: Москва
Пол: Мужской
Karta написала:
Насколько я понимаю, стандартные объекты полномочий ограничивают только по БЕ

Вероятно, Вы пишете про F_FEBB_BUK, он проверяется первым по счету.

Но там сразу после него идет F_BKPF_BES на группу полномочий из основного 51 счета, по которому была проведена выписка. Все это реализовано внутри LNEW_FEBAF01, подпрограмма SELECT_ITEMS внутри loop по позициям g_docs (строка из FEBEP). Дак вот вполне себе решение, разве нет? Этот же объект полномочий разграничивает доступ к просмотру документов с банковскими счетами (actvt = 03), вводу (actvt = 01). На мой взгляд, это вполне подобающее и комплексное решение.


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Выписка банка, полномочия на счет собственного банка
СообщениеДобавлено: Пн, май 21 2018, 18:36 
Специалист
Специалист

Зарегистрирован:
Пт, июн 29 2007, 12:24
Сообщения: 191
Откуда: Москва
Пол: Женский
Большое вам спасибо!
Способ хороший. Но объект полномочий F_BKPF_BES, судя по SU24, не проверяется транзакциями FEBAN и пр.
Выходит, даже если я добавлю его в роль, проверка не пройдет, Так?


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Выписка банка, полномочия на счет собственного банка
СообщениеДобавлено: Пн, май 21 2018, 19:06 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Ср, фев 21 2007, 09:50
Сообщения: 940
Откуда: Москва
Пол: Мужской
Karta написала:
Способ хороший. Но объект полномочий F_BKPF_BES, судя по SU24, не проверяется транзакциями FEBAN и пр.


Ошибочно думать, что SU24 показывает все объекты полномочий, которые проверяются в транзакции. Через SU24 можно:
- отключить совсем проверку при запуске транзакции (authority-check всегда вернет 0)
- набить дефолтные значения для генератора профилей, как только транзакция будет добавлена в роль.
The default status of an authorization object defines whether or not an authorization default value for the object is to be added in the profile generator to the authorizations of the role when the application is added to a role. Possible values are "Yes", "Yes, Without Values", or "No".

Вот и все ее назначение. Эмпирическим путем легко установить, что куча объектов для транзакций не показывается в SU24. Примерно также работает, к примеру, OBA5. Класс сообщений может содержать 300 сообщений, но настраиваемыми будут только 5 из них.

Поэтому если Вы все это время использовали SU24 как способ проверить, какие объекты есть в программе или транзакции, то завязывайте с этим :D

Karta написала:
Выходит, даже если я добавлю его в роль, проверка не пройдет, Так?

Пройдет еще как. Я уже все проверил. Как говорится, все уже украдено до Вас :D
Но для этого проверьте инклуд LNEW_FEBAF01. Есть у Вас там такой authority-check или нет. Потому что если его нет, то, конечно же, НЕ ПРОЙДЕТ.
А если есть, как у меня, то все ок.

loop at g_docs assigning <docs>. "hw732749
authority-check object 'F_FEBB_BUK'
id 'BUKRS' field <docs>-bukrs "hw732749
id 'ACTVT' field '03'.
if sy-subrc <> 0.
delete g_docs.
continue.
*authority check for account display "hw732749
else.
if <docs>-hkont <> l_hkont.
l_hkont = <docs>-hkont.
clear l_begru.
select single begru from skb1 into l_begru
where bukrs = <docs>-bukrs
and saknr = <docs>-hkont.
endif.
if not l_begru is initial.
authority-check object 'F_BKPF_BES'
id 'BRGRU' field l_begru
id 'ACTVT' field '03'.
if sy-subrc <> 0.
delete g_docs.
continue.
endif.


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Выписка банка, полномочия на счет собственного банка
СообщениеДобавлено: Чт, май 24 2018, 10:38 
Специалист
Специалист

Зарегистрирован:
Пт, июн 29 2007, 12:24
Сообщения: 191
Откуда: Москва
Пол: Женский
Спасибо вам большое, добрый человек! Оно таки работает, моя задача решена.

Осталось несколько теоретических вопросов:

1. Если SU24 не показывает всех проверяемых объектов полномочий, то что тогда показывает? Только эмпирический путь и дебаг или еще есть? При трассировке полномочий в st01 проверяемость объекта F_BKPF_BES тоже не отобразилась. Точнее, пока я его в роль не добавила - не отобразилось. Т.е. через трассировку проверяемые объекты тоже не найдутся

2. Если поставить точку прерывания на указанное вами место в инклюде, а затем запустить FEBAN - в отладку я не проваливаюсь. Что меня крайне расстроило и вызвало подозрения что не сработает ограничение по объекту F_BKPF_BES. Но ограничение сработало. Доктор, что я делаю не так?


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Выписка банка, полномочия на счет собственного банка
СообщениеДобавлено: Чт, май 24 2018, 22:37 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Ср, фев 21 2007, 09:50
Сообщения: 940
Откуда: Москва
Пол: Мужской
Karta написала:
Если SU24 не показывает всех проверяемых объектов полномочий, то что тогда показывает?

Видимо, показывает те объекты, которыми можно "манипулировать": отключать проверку для заданных транзакций или использовать для генерации профиля в PFCG. Отсутствие объекта в SU24 всего лишь говорит нам о том, что проверку данного объекта нельзя отключить и для данного объекта нельзя выставить дефолтные полномочия при генерации профиля. Иными словами, полномочия проверяться будут всегда "так, как они есть в профиле", только и всего (будут проверяться, если система до этого объекта доберется, потому что я видел, что он проверяется только после успешной проверки на БЕ, а вот эта проверка как раз разруливается через SU24).

Karta написала:
При трассировке полномочий в st01 проверяемость объекта F_BKPF_BES тоже не отобразилась. Точнее, пока я его в роль не добавила - не отобразилось. Т.е. через трассировку проверяемые объекты тоже не найдутся

Трассировка - весьма специфическая вещь. Там надо еще миллион раз подумать, какие галки врубать и т.д. Вообще не пользуюсь трэйсом для поиска объектов уже давно, тупо ставлю точку на authority-check. Могу допустить, что объект трэйсится, если он вообще присутствовал в профиле. А поскольку его там до включения Вами не было, система его не нашла, трэйсить было и нечего. Вполне себе довод.

Karta написала:
Если поставить точку прерывания на указанное вами место в инклюде, а затем запустить FEBAN - в отладку я не проваливаюсь.

Это невозможно. Я именно таким способом данный объект и нашел. Если успешно пройдет сквозь проверку на БЕ, точно остановится. Еще пробуйте :D Может, не успела точка сформироваться, бывает такое. Также поставьте еще несколько точек: в самом начале подпрограммы, перед лупом по таблице позиций, еще несколько. Select_items - ключевая подпрограмма в фебане, не может не зайти. А как только зайдет, долбим F5. Уверен, дойдет до проверки.


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Выписка банка, полномочия на счет собственного банка
СообщениеДобавлено: Пт, май 25 2018, 13:04 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Чт, дек 20 2007, 19:21
Сообщения: 1072
Интересная тема. Объекты полномочий можно добавить руками, или на базе той же трассировки. Это удобно что бы максимально автоматизировать создание ролей - добавил транзакцию и получил все объекты сразу. Настройки SU24 могут быть изменены самостоятельно в том числе для своих разработок.

_________________
я твой сап эфай внедрял
BAdI-позитив


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Выписка банка, полномочия на счет собственного банка
СообщениеДобавлено: Пт, май 25 2018, 21:44 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Ср, фев 21 2007, 09:50
Сообщения: 940
Откуда: Москва
Пол: Мужской
Kengur написал(а):
Интересная тема. Объекты полномочий можно добавить руками, или на базе той же трассировки. Это удобно что бы максимально автоматизировать создание ролей - добавил транзакцию и получил все объекты сразу. Настройки SU24 могут быть изменены самостоятельно в том числе для своих разработок.


Удобно, спору нет. Но если автор прав и объект проверяется, но при этом не трейсится, то уже неудобно. Странно это. Дойдут руки - проверю.


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Выписка банка, полномочия на счет собственного банка
СообщениеДобавлено: Пн, май 28 2018, 10:49 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Чт, дек 20 2007, 19:21
Сообщения: 1072
Yozhhhhh написал:
Kengur написал(а):
Интересная тема. Объекты полномочий можно добавить руками, или на базе той же трассировки. Это удобно что бы максимально автоматизировать создание ролей - добавил транзакцию и получил все объекты сразу. Настройки SU24 могут быть изменены самостоятельно в том числе для своих разработок.


Удобно, спору нет. Но если автор прав и объект проверяется, но при этом не трейсится, то уже неудобно. Странно это. Дойдут руки - проверю.

не бывает такого. все что проверяется - трейсится, если включена трассировка. а вот твой метод не работает, потому что часть объектов в модуле ядра, и там отладки нет.

_________________
я твой сап эфай внедрял
BAdI-позитив


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Выписка банка, полномочия на счет собственного банка
СообщениеДобавлено: Пн, май 28 2018, 12:57 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Ср, фев 21 2007, 09:50
Сообщения: 940
Откуда: Москва
Пол: Мужской
Kengur написал(а):
не бывает такого. все что проверяется - трейсится, если включена трассировка. а вот твой метод не работает, потому что часть объектов в модуле ядра, и там отладки нет.


Никто доступные для настройки объекты полномочий по банковской выписке в модуль ядра не засунет. А если объект настолько глубоко расположен, то это будет явно объект системного характера, через который задачи разграничения доступа к пользовательским данным не решить.


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Выписка банка, полномочия на счет собственного банка
СообщениеДобавлено: Пн, май 28 2018, 13:02 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Чт, дек 20 2007, 19:21
Сообщения: 1072
Я про общие случаи говорю.

В случае с выпиской скорей всего другой вариант - часто проверки на нескольких уровнях идут. Например если есть полномочия на один объект, то другие объекты потом не проверяются (более низкого уровня). Так что что бы что то где то разграничить иногда надо убрать какой то объект из роли.

_________________
я твой сап эфай внедрял
BAdI-позитив


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Выписка банка, полномочия на счет собственного банка
СообщениеДобавлено: Пн, май 28 2018, 13:09 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Ср, фев 21 2007, 09:50
Сообщения: 940
Откуда: Москва
Пол: Мужской
Kengur написал(а):
Я про общие случаи говорю.

Про общие я соглашусь.
Kengur написал(а):
Например если есть полномочия на один объект, то другие объекты потом не проверяются

В случае с выпиской, кстати, именно так и было. Сначала проверялся F_FEBB_BUK, при неудаче запись удалялась. При удачной проверке шло дальше до F_BKPF_BES.
Поэтому способ с расстановкой точек сработает в любом случае. Мы так или иначе окажемся на первой точке, а дальше будет легко отследить, в какие объекты еще зайдет, для этого достаточно будет прыгать по следующим. Вопрос с трассировкой вот интересно было бы проверить.


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Выписка банка, полномочия на счет собственного банка
СообщениеДобавлено: Пн, май 28 2018, 13:22 
Специалист
Специалист

Зарегистрирован:
Пт, июн 29 2007, 12:24
Сообщения: 191
Откуда: Москва
Пол: Женский
Yozhhhhh написал:
Но если автор прав и объект проверяется, но при этом не трейсится, то уже неудобно. Странно это. Дойдут руки - проверю.

Объект стал показываться в трейсе после того как соответствующий объект был добавлен в роль. До этого - нет. Видимо, это верно и так должно быть. Но для меня по прежнему остается великой тайной как найти все проверяемые системой объекты полномочий без дебага. Все выписку дебажить - это большой труд, там вложенность подпрограмм основательная.


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Выписка банка, полномочия на счет собственного банка
СообщениеДобавлено: Пн, май 28 2018, 14:04 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Чт, дек 20 2007, 19:21
Сообщения: 1072
Karta написала:
Yozhhhhh написал:
Но если автор прав и объект проверяется, но при этом не трейсится, то уже неудобно. Странно это. Дойдут руки - проверю.

Объект стал показываться в трейсе после того как соответствующий объект был добавлен в роль. До этого - нет. Видимо, это верно и так должно быть. Но для меня по прежнему остается великой тайной как найти все проверяемые системой объекты полномочий без дебага. Все выписку дебажить - это большой труд, там вложенность подпрограмм основательная.

Такого не бывает. Если бы где то проверялся он раньше, то там была бы ошибка полномочий просто. Трассировка это то же самое как поставить точку прерывания.

Вы хотите работу ради работы? Если есть цель для определенного орг.уровня разделить роли, то ее и надо преследовать. И не обязательно при этом "познать вселенную".

_________________
я твой сап эфай внедрял
BAdI-позитив


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Выписка банка, полномочия на счет собственного банка
СообщениеДобавлено: Пн, май 28 2018, 17:43 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Ср, фев 21 2007, 09:50
Сообщения: 940
Откуда: Москва
Пол: Мужской
В общем-то я протрейсил и соглашусь с Kengur, что если проверка выполнялась, то отчет по трассировке ее покажет.
Я оставлял некоторую долю вероятности на то, что если объекта в сгенерированном профиле нет чисто физически, то и проверять нечего, типа сразу будет RC не 0. А вот если объект есть, то идет проверка, которая еще не обязательно будет успешной в результате.
Однако эту версию можно отмести, потому что если бы у автора совсем не было объекта в роли, то он бы сам (до включения объекта) не смог бы пользоваться транзакцией FEBAN. Если только ни один счет главной книги в данной БЕ в системе автора вообще не имел begru, что теоретически возможно... но очень маловероятно. В общем, раздумывать тут особо действительно не нужно, получилось и получилось.

Karta написала:
Но для меня по прежнему остается великой тайной как найти все проверяемые системой объекты полномочий без дебага. Все выписку дебажить - это большой труд, там вложенность подпрограмм основательная.

Да ну не все там так страшно. Вложенность может быть хоть на сто уровней вниз, а authority-check может проверяться всего два раза. Так что ставите точку и дебажите. Кто-то же должен делать порой грязную работу :D Это Вы, похоже, не сидели с отладчиком по 5-6 часов с красными ушами в поисках какого-нибудь местечка для неявного расширения. А найти authority - это полная ерунда. Что касается ответа на Ваш вопрос, то ни SU24, ни трассировка такого ответа не дадут. С первым не получится по причинам, озвученным выше (не все объекты перечислены). Со вторым можно сломаться самому на первой неуспешной проверке, потому что дальше будет выход и вполне возможно, что до нужного объекта Вы так и не доберетесь.


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 20 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Русская поддержка phpBB