SAPфорум.RU
https://sapboard.ru/forum/

Кто должен создавать роли: базис или функциональные консультанты
https://sapboard.ru/forum/viewtopic.php?f=14&t=97300		 Страница 1 из 2
Автор:  Jaspv [ Пн, фев 04 2019, 10:04 ]
Заголовок сообщения:  Кто должен создавать роли: базис или функциональные консультанты
Приветствую, коллеги!

Возник такой организационный вопрос, может, его уже кто-то у себя разруливал:

Есть команда по сопровождению SAP-систем: группа консультантов по направлениям, ABAP-еры, базисники. Руководят командой пару менеджеров - чистых управленцев, не вникающих в технические нюансы SAP'а.

Вопрос: можно ли им мотивированно доказать, что создание/редактирование ролей лежит в плоскости обязанностей консультантов по направлениям при выполнении изменений в системе? Чистой группы по security нет, базис выполняет функции назначения ролей и ведения матрицы, эта группа далека от понимания функциональной части.
Ситуация возникла в связи с введением нового каталога услуг и SLA, где идут попытки перераспределения обязанностей между группами.
Автор:  Admin [ Пн, фев 04 2019, 14:02 ]
Заголовок сообщения:  Re: Кто должен создавать роли: базис или функциональные консультанты
В данный момент работаю на проекте, где используется подобный подход (консультанты сами генерят роли), и могу сказать, что это зло. Консультанты не должны вникать в технические аспекты конструирования ролей (их наверняка гораздо больше элементарного подцепления в роли транзакций и пунктов меню), иначе роли периодически получаются кривые и косые, что вызывает законное недовольство пользователей (особенно, если эта кривокосая роль доехала до продуктива). Особенно пикантными бывают ситуации, когда человеку назначается слишком много полномочий (и человек делает какую-то бяку), или же наоборот - полномочия взаимоисключающие.

Гораздо более логично было бы сочинить какой-то максимально удобный для базисника опросник, необходимый для конструирования ролей, и после этого все-таки выделить из имеющейся группы базиса (или взять отдельного) специалиста по секьюрити.
Автор:  шрам [ Вт, фев 05 2019, 08:59 ]
Заголовок сообщения:  Re: Кто должен создавать роли: базис или функциональные консультанты
как консультант по безопасности, в данный момент, могу сказать следующее:
1. Тех. архитектура должна быть только в одних руках. Будь то ландшафт, профильные параметры, транспорты или роли. Иначе, неминуемо начнется бардак.
2. В ведении ролей нет ничего сложного. Главное определить стратегию, маску именования и людей, которые будут это делать на регулярной основе. При массовых роллаутах, замечательно работает логика derived ролей.
3. Как и говорил выше уважаемый Admin, тема SoD однажды возникнет в том или ином виде. Хотя бы в недовольстве бизнеса. Поэтому изначально стоит исходить из правила - давать ровно столько, сколько надо для выполнения конкретной функции. И это совершенно не обязательно должна быть одна роль.

П.с. Я тоже совершенно не силен во всем функциональном портфолио SAP (коий приходится поддерживать), однако это не мешает выполнять свои обязанности, вносить улучшения и создавать что-то новое. Главное - определить внятный переводчик с языка бизнес-терминов на технический язык.
Автор:  murenets [ Пн, фев 11 2019, 12:07 ]
Заголовок сообщения:  Re: Кто должен создавать роли: базис или функциональные консультанты
Я придерживаюсь противоположного мнения относительно предыдущих ораторов. Роль - это гораздо больше чем транзакции и пункты меню.
Роль или список ролей должны отражать логическое рабочее место.
И консультанты-функциональщики это те люди, которые лучше всех должны знать что именно можно, а что нельзя на этом рабочем месте.
Кто имеет право изменить заявку на закупку, а кто только просмотреть. Какие БЕ, заводы и т.д. должны быть доступны. И т.п.
Это уже совсем не базисник должен знать. Да и "головы у него не хватит", чтобы за весь функционал это понимать.
Мне нравится подход, когда базис создает некоторую общую роль, которая позволяет выполнять "общесистемные" функции, такие как фавориты, просмотр собственных запросов в спул и т.п.
Функциональные консультанты генерят "основную функциональную часть роли".
Базисники проводят тестирование роли и ее присвоение, тем более - перенос в продуктив. При этом тестируют именно отсутствие лишних полномочий на администрирование. Например отсутвие полного доступа к SU01.
Автор:  Kuranov.Dmitry [ Пн, фев 11 2019, 14:19 ]
Заголовок сообщения:  Re: Кто должен создавать роли: базис или функциональные консультанты
ИМХО, консультанты-технологи должны создавать роли согласно хотелкам клиента/бизнеса, а утверждать и назначать должны базисники, отсеивая косячные роли
Автор:  Skif [ Ср, фев 13 2019, 10:22 ]
Заголовок сообщения:  Re: Кто должен создавать роли: базис или функциональные консультанты
Kuranov.Dmitry написал(а):
ИМХО, консультанты-технологи должны создавать роли согласно хотелкам клиента/бизнеса, а утверждать и назначать должны базисники, отсеивая косячные роли

а "косячность" это что?
на критические объекты безопасники проверяют (иначе аудит-то настучит по ж..), а проверка зон видимости и доступов к операциям это технологов ответственность. Если что, отправляют на доработку консам.
А "назначать" давно уже автоматом делается - от должности (как и блокировать по увольнению, переходу). Базис утром просто смотрит протокол - кому что назначено, отнято, блокировано. (вот разблокировать- это пока ручками :). Причём это централизовано, через LDAP по всем системам (не только SAP).

p.s. у базиса другого гемора хватает :P
Автор:  Kuranov.Dmitry [ Ср, фев 13 2019, 10:25 ]
Заголовок сообщения:  Re: Кто должен создавать роли: базис или функциональные консультанты
Skif написал:
Kuranov.Dmitry написал(а):
ИМХО, консультанты-технологи должны создавать роли согласно хотелкам клиента/бизнеса, а утверждать и назначать должны базисники, отсеивая косячные роли

а "косячность" это что?
на критические объекты безопасники проверяют (иначе аудит-то настучит по ж..), а проверка зон видимости и доступов к операциям это технологов ответственность. Если что, отправляют на доработку консам.
А "назначать" давно уже автоматом делается - от должности (как и блокировать по увольнению, переходу). Базис утром просто смотрит протокол - кому что назначено, отнято, блокировано. (вот разблокировать- это пока ручками :). Причём это централизовано, через LDAP по всем системам (не только SAP).

p.s. у базиса другого гемора хватает :P

Например, как выше писал админ, противоречивость полномочий
Автор:  murenets [ Ср, фев 13 2019, 13:04 ]
Заголовок сообщения:  Re: Кто должен создавать роли: базис или функциональные консультанты
Skif написал:
Kuranov.Dmitry написал(а):
ИМХО, консультанты-технологи должны создавать роли согласно хотелкам клиента/бизнеса, а утверждать и назначать должны базисники, отсеивая косячные роли

а "косячность" это что?
на критические объекты безопасники проверяют (иначе аудит-то настучит по ж..), а проверка зон видимости и доступов к операциям это технологов ответственность. Если что, отправляют на доработку консам.
А "назначать" давно уже автоматом делается - от должности (как и блокировать по увольнению, переходу). Базис утром просто смотрит протокол - кому что назначено, отнято, блокировано. (вот разблокировать- это пока ручками :). Причём это централизовано, через LDAP по всем системам (не только SAP).

p.s. у базиса другого гемора хватает :P


Ну, вы - авангард вселенной! :)
Автор:  Skif [ Ср, фев 13 2019, 14:07 ]
Заголовок сообщения:  Re: Кто должен создавать роли: базис или функциональные консультанты
Kuranov.Dmitry написал(а):
Например, как выше писал админ, противоречивость полномочий

Таки-да, поработать трассером надо сначала, копировать стандарт в свою и тюнить уже её. А не пихать в кучу, а потом удивляться, что S_TCODE в 5-и экземплярах. Но нормальный аудит быстро мозги вправляет :). Трассер опять же забывать не надо - при апгрейдах полномочия "плывут" и понимаешь, что хорошо когда роль одна и она - твоя.
Вот со структурными это действительно траблы....были. Пришлось заставить перелопатить прямые A/B293 для US в PD-шки для S, чтоб RHPROFL0 и их обрабатывала.
Но это вопрос воспитания уже - запускать процесс не надо.
Автор:  sonyericsson [ Ср, фев 13 2019, 14:12 ]
Заголовок сообщения:  Re: Кто должен создавать роли: базис или функциональные консультанты
На всех проектах где работаю за ведение ролей отвечают отдельные люди - команда безопасников (ни базис ни консультанты)
Автор:  Skif [ Ср, фев 13 2019, 14:41 ]
Заголовок сообщения:  Re: Кто должен создавать роли: базис или функциональные консультанты
sonyericsson написал(а):
На всех проектах где работаю за ведение ролей отвечают отдельные люди - команда безопасников (ни базис ни консультанты)

За это ратую всегда. Более того, желательно, чтобы этот человек сидел в кадрах, но быть в оперативном подчинении ИБ. Чтобы знать сотрудников с этапа приёма на работу, проводить инструктажи, вести полномочия с пониманием ответственности.
Автор:  pberezin [ Пн, фев 25 2019, 09:47 ]
Заголовок сообщения:  Re: Кто должен создавать роли: базис или функциональные консультанты
Цитата:
А "назначать" давно уже автоматом делается - от должности

Это как?
Ведь должность в штатном расписании не всегда однозначно соотносится с набором выполняемых бизнес-функций/задач?
Или у Вас там на основе интеграции с объектами 1T/1F saphr-а както реализовано?
Автор:  Skif [ Пн, фев 25 2019, 23:42 ]
Заголовок сообщения:  Re: Кто должен создавать роли: базис или функциональные консультанты
pberezin написал:
Это как?
Ведь д лжность в штатном расписании не всегда однозначно соотносится с набором выполняемых бизнес-функций/задач?

это да..- этот процесс воспитания и бизнес-культуры. у нас это заняло лет 10. Но зато, теперь, в условиях быстрых кадровых решений (по переброске сотрудников в "болевые точки"), после прибытия на место работы (региональный филиал), новый директор (к примеру) сразу получает положенный ему набор функций (главное чтобы ОК отработал чётко - перевод на новую должность).

Были изучены и "особенности", для которых, как уже писал, используются присвоения (опять же к должности!) принадлежность к искусственно созданной группе ( напр.: ОК, кураторы, акцепторы, ТОП-ы).
Но - никаких прямых присвоений! (кроме супер-пупер ес-но :)

зы администраторов ( с su01) у нас нет уже лет 5. Боюсь никто и не вспомнит как что там нажимать нужно. PPOMW - основной инструмент.
pps:вру :) - я иногда выручаю - бывают случаи :)
Автор:  pberezin [ Вт, фев 26 2019, 07:27 ]
Заголовок сообщения:  Re: Кто должен создавать роли: базис или функциональные консультанты
Цитата:
администраторов ( с su01) у нас нет уже лет 5. Боюсь никто и не вспомнит как что там нажимать нужно. PPOMW - основной инструмент

космический космос какойто :D

а это на стандарном функционале накручено, или ZSAP ?
Автор:  bdmalex [ Вт, фев 26 2019, 10:41 ]
Заголовок сообщения:  Re: Кто должен создавать роли: базис или функциональные консультанты
Цитата:
а это на стандарном функционале накручено, или ZSAP ?

У нас аналогичная картина, всё в рамках стандарта...
Страница 1 из 2 Часовой пояс: UTC + 3 часа
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
http://www.phpbb.com/