Текущее время: Пт, мар 29 2024, 00:29

Часовой пояс: UTC + 3 часа


Правила форума


ВНИМАНИЕ! Прежде чем задавать вопрос, ознакомьтесь со ссылками ниже:

Вопросы по отличиям версий SAP, Add-On, EHP - сюда
Вопросы по SAP Front End (SAPlogon, SAPgui, guiXT и т.д.) - сюда
Вопросы по LSMW - сюда
Вопросы по архивации в SAP - сюда
Вопросы по SAP GRC - сюда
Вопросы по SAP Business Workplace (почте SAP) и SAP Office - сюда
Вопросы по miniSAP (SAP mini basis) - сюда
Вопросы по SAP HANA - сюда
Вопросы по лицензированию продуктов SAP - сюда



Начать новую тему Ответить на тему  [ Сообщений: 14 ] 
Автор Сообщение
 Заголовок сообщения: Запрет просмотра через SE11/SE16 отдельных записей в таблице
СообщениеДобавлено: Пн, сен 14 2015, 22:44 
Начинающий
Начинающий

Зарегистрирован:
Пн, сен 14 2015, 22:05
Сообщения: 2
Всем доброго времени суток.

Появилась необходимость дать разработчикам права на просмотр таблицы, но при этом закрыть по условию некоторые записи.
У Oracle есть продукт Oracle Database Vault для разделение прав пользователей Oracle на записи в таблице. Ищется похожее решение для защиты от просмотра записей в таблице пользователями SAP.

Буду благодарен за любые идеи.


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Запрет просмотра через SE11/SE16 отдельных записей в таблице
СообщениеДобавлено: Пн, сен 14 2015, 23:00 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Чт, сен 28 2006, 11:36
Сообщения: 1365
Откуда: Москва
Пол: Мужской
Odinec написал(а):
Всем доброго времени суток.

Появилась необходимость дать разработчикам права на просмотр таблицы, но при этом закрыть по условию некоторые записи.
У Oracle есть продукт Oracle Database Vault для разделение прав пользователей Oracle на записи в таблице. Ищется похожее решение для защиты от просмотра записей в таблице пользователями SAP.

Буду благодарен за любые идеи.

Вы знаете, что SAP ходит в БД всегда под одним и тем-же пользователем - SAPSR3 либо SAP<SID> для старых версий?
и неважно: разработчик это или бизнес-юзер или админ.

говоря техническим языком - любой рабочий процесс, поднимающий коннект к БД, идет под одним и тем-же аккаунтом.

Также хочу отметить, что SAP сильно не приветствует манипуляций на уровне БД и в большинстве случаев может отказать в поддержке. на эту тему есть нота.

нота про oracle в целом - 105047 - Support for Oracle functions in the SAP environment
нота про vault - 1355140 - Using Oracle Database Vault in an SAP environment
Цитата:
With Oracle Database Vault, sensitive data of the SAP application can be protected from unauthorized access by highly-privileged database users (for example, database administrators) via the SQL interface. Companies and organizations receive this type of technical option to safeguard sensitive data against unauthorized access and thus fulfill their compliance guidelines without having to change their application for this.


да, с уровня SAP, насколько я знаю, только роли и полномочия.


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет просмотра через SE11/SE16 отдельных записей в таблице
СообщениеДобавлено: Вт, сен 15 2015, 04:31 
Специалист
Специалист

Зарегистрирован:
Ср, янв 16 2013, 04:04
Сообщения: 170
имхо, наиболее правильный с точки зрения простоты и геморроя вариант - не пускать разработчиков на продуктив. Пусть копошатся на своей БД в которой удалены либо замаскированы эти секретные записи.


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет просмотра через SE11/SE16 отдельных записей в таблице
СообщениеДобавлено: Ср, сен 16 2015, 12:18 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Вт, авг 31 2004, 14:57
Сообщения: 5257
Откуда: Ростов невеликий
Пол: Мужской
шрам написал:
да, с уровня SAP, насколько я знаю, только роли и полномочия.

5 коп: если система ERP, то объект авторизации S_TABU_LIN можно посмотреть

_________________
Нет сегодняшних проблем -
есть вчерашние ошибки
(с)


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет просмотра через SE11/SE16 отдельных записей в таблице
СообщениеДобавлено: Ср, сен 16 2015, 17:36 
Гуру-модератор
Гуру-модератор
Аватара пользователя

Зарегистрирован:
Пн, окт 11 2004, 20:32
Сообщения: 2470
Пол: Мужской
sap2me написал(а):
имхо, наиболее правильный с точки зрения простоты и геморроя вариант - не пускать разработчиков на продуктив. Пусть копошатся на своей БД в которой удалены либо замаскированы эти секретные записи.

Соглашусь насчет правильности, но не соглашусь насчет простоты и геморроя. Если организовывать копирование продуктивных данных в тест с сопутствующим маскированием данных - то я более чем уверен что это не просто и наверняка геморройно :) По крайней мере первичная организация такого процесса

_________________
- Может ли настоящий мастер кунг-фу получить по морде?
- Настоящий мастер может все!


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет просмотра через SE11/SE16 отдельных записей в таблице
СообщениеДобавлено: Чт, сен 17 2015, 03:38 
Специалист
Специалист

Зарегистрирован:
Ср, янв 16 2013, 04:04
Сообщения: 170
ArmAnn написал:
Если организовывать копирование продуктивных данных в тест с сопутствующим маскированием данных - то я более чем уверен что это не просто и наверняка геморройно

в нормальной конторе уже должны быть продуктивные и разработческие системы. И уже как-то настроен перенос данных. Осталось административным усилием выгнать разрабов из продуктива (и закрепить его технически) и написать sql скриптец маскирующий данные. Минут за 15. Таблицы и поля как я понял у автора есть.

Вою конечно со стороны разрабов будет много. они ж привыкли "работать" на васе пупкине и маше голубкиной, а тут абстрактые клиент1, клиент2 с адресами адрес1 ,адрес2. Но это уже совсем другая песня :)


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет просмотра через SE11/SE16 отдельных записей в таблице
СообщениеДобавлено: Чт, сен 17 2015, 09:52 
Гуру-модератор
Гуру-модератор
Аватара пользователя

Зарегистрирован:
Пн, окт 11 2004, 20:32
Сообщения: 2470
Пол: Мужской
sap2me написал(а):
ArmAnn написал:
Если организовывать копирование продуктивных данных в тест с сопутствующим маскированием данных - то я более чем уверен что это не просто и наверняка геморройно
в нормальной конторе уже должны быть продуктивные и разработческие системы. И уже как-то настроен перенос данных. Осталось административным усилием выгнать разрабов из продуктива (и закрепить его технически) и написать sql скриптец маскирующий данные. Минут за 15. Таблицы и поля как я понял у автора есть.
Расскажите плиз подробней как бы вы организовали регулярный перенос данных из прода в тест и особенно про пятнадцатиминутный скрипт, маскирующий данные. Разумеется с учетом того, что копируем не 2-3 таблицы, а все мандантозависимые данные

sap2me написал(а):
Вою конечно со стороны разрабов будет много. они ж привыкли "работать" на васе пупкине и маше голубкиной, а тут абстрактые клиент1, клиент2 с адресами адрес1 ,адрес2. Но это уже совсем другая песня :)
Могу вас заверить как разработчик - разработчикам побую. Вой будет со стороны консультантов (потому что им надо будет повторять проблемные ситуации в тесте, что влечет дополнительные временные затраты), и со стороны пользователей - так как у них горит например налоговая отчетность, и им ждать пока смоделируют ситуацию в тесте совсем не хочется.

P.S. у меня взгляд со стороны абапера поддержки. Со стороны проекта несколько другая специфика

_________________
- Может ли настоящий мастер кунг-фу получить по морде?
- Настоящий мастер может все!


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет просмотра через SE11/SE16 отдельных записей в таблице
СообщениеДобавлено: Чт, сен 17 2015, 10:06 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Вт, авг 31 2004, 14:57
Сообщения: 5257
Откуда: Ростов невеликий
Пол: Мужской
ArmAnn написал:
P.S. у меня взгляд со стороны абапера поддержки. Со стороны проекта несколько другая специфика

а по теме-то? она "съехала"?

_________________
Нет сегодняшних проблем -
есть вчерашние ошибки
(с)


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет просмотра через SE11/SE16 отдельных записей в таблице
СообщениеДобавлено: Чт, сен 17 2015, 10:30 
Гуру-модератор
Гуру-модератор
Аватара пользователя

Зарегистрирован:
Пн, окт 11 2004, 20:32
Сообщения: 2470
Пол: Мужской
Skif написал:
ArmAnn написал:
P.S. у меня взгляд со стороны абапера поддержки. Со стороны проекта несколько другая специфика

а по теме-то? она "съехала"?
да кому она интересна, тема то :)

_________________
- Может ли настоящий мастер кунг-фу получить по морде?
- Настоящий мастер может все!


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет просмотра через SE11/SE16 отдельных записей в таблице
СообщениеДобавлено: Пт, сен 18 2015, 03:57 
Специалист
Специалист

Зарегистрирован:
Ср, янв 16 2013, 04:04
Сообщения: 170
ArmAnn написал:
Расскажите плиз подробней как бы вы организовали регулярный перенос данных из прода в тест

это вы сейчас к чему клоните? что у вас нет отдельных систем разработки и тестирования? ну я надеюсь, что в этом разделе не все такие и худо бедно по конторам ландшафт настроен и перенос данных как то организован.

ArmAnn написал:
особенно про пятнадцатиминутный скрипт, маскирующий данные. Разумеется с учетом того, что копируем не 2-3 таблицы, а все мандантозависимые данные

это как раз самое неинтересное. Вы как абапер должны быть знакомы с командами update и delete. У меня сложилось впечатление, что ТС знает конкретные таблицы и поля к которым нужно "закрыть доступ" и речь идет не о всех десятках тысяч таблицах схемы. Впрочем, кажется я об этом уже говорил. :)

ArmAnn написал:
Вой будет со стороны консультантов (потому что им надо будет повторять проблемные ситуации в тесте, что влечет дополнительные временные затраты), и со стороны пользователей - так как у них горит например налоговая отчетность, и им ждать пока смоделируют ситуацию в тесте совсем не хочется.

понимаю ,что здесь пойдет выкручивание рук типа: у пользователя не идет отчет по конкретному юрлицу ,а на тесте у вас они замаскированы... поэтому мы вынуждены тратить кучу времени...

но тут, как говорится, у всех есть выбор: или терпеть неудобства консультантам или конторе смириться, что в один прекрасный момент база клиентов утечет к конкуренту.


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет просмотра через SE11/SE16 отдельных записей в таблице
СообщениеДобавлено: Пт, сен 18 2015, 11:06 
Гуру-модератор
Гуру-модератор
Аватара пользователя

Зарегистрирован:
Пн, окт 11 2004, 20:32
Сообщения: 2470
Пол: Мужской
sap2me, у вас странный подход - необходимость доступа к продуктивным данным считаете прихотью консультанта/абапера. Однако проблема здесь не в них, а несколькими уровнями выше - владельцу системы необходима оперативная поддержка, однако тратиться на внедрение и сопровождение регулярного процесса копирования с сопутствующим маскированием продуктивных данных владелец почему то не хочет.
У нас есть классическое предложение: 'Дешево! Быстро! Качественно!', перефразируем как 'Дешево! Быстро! Безопасно!' - и выбираем два из трех.
1. Если дешево и быстро - то абаперов в продуктив. Не безопасно.
2. Дешево и безопасно - моделируем в тесте. Не быстро
3. Безопасно и быстро - (у SAPа есть соответствующий продукт для маскирования данных. Покупаем, внедряем, используем). Не дешево

Вот угадайте с трех раз что обычно выбирает бизнес.
И все эти обсуждения на тему ограничения полномочий в se16 - попытка как то сгладить минусы п.1, но принципиально проблемы это не решает: хотите безопасно - выбирайте безопасность, а не стоимость

_________________
- Может ли настоящий мастер кунг-фу получить по морде?
- Настоящий мастер может все!


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет просмотра через SE11/SE16 отдельных записей в таблице
СообщениеДобавлено: Пт, сен 18 2015, 12:29 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Вт, авг 31 2004, 14:57
Сообщения: 5257
Откуда: Ростов невеликий
Пол: Мужской
ArmAnn написал:
И все эти обсуждения на тему ограничения полномочий в se16

https://www.sappack.com/control-access-to-tables-in-sm30-and-se16n-on-line-level/

_________________
Нет сегодняшних проблем -
есть вчерашние ошибки
(с)


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет просмотра через SE11/SE16 отдельных записей в таблице
СообщениеДобавлено: Вс, сен 20 2015, 10:15 
Гуру-модератор
Гуру-модератор
Аватара пользователя

Зарегистрирован:
Пн, окт 11 2004, 20:32
Сообщения: 2470
Пол: Мужской
Skif написал:
ArmAnn написал:
И все эти обсуждения на тему ограничения полномочий в se16

https://www.sappack.com/control-access-to-tables-in-sm30-and-se16n-on-line-level/
интересно, но не спасет при наличии целенаправленного интереса и полномочий на отладчик. Второе у абапера как бы предполагается

_________________
- Может ли настоящий мастер кунг-фу получить по морде?
- Настоящий мастер может все!


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет просмотра через SE11/SE16 отдельных записей в таблице
СообщениеДобавлено: Пн, сен 21 2015, 08:44 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Вт, авг 31 2004, 14:57
Сообщения: 5257
Откуда: Ростов невеликий
Пол: Мужской
ArmAnn написал:
интересно, но не спасет при наличии целенаправленного интереса и полномочий на отладчик. Второе у абапера как бы предполагается

тут уж "или - трусы или крестик.."

_________________
Нет сегодняшних проблем -
есть вчерашние ошибки
(с)


Принять этот ответ
Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 14 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Русская поддержка phpBB