SAPфорум.RU https://sapboard.ru/forum/ |
|
Кто должен создавать роли: базис или функциональные консультанты https://sapboard.ru/forum/viewtopic.php?f=14&t=97300 |
Страница 1 из 2 |
Автор: | Jaspv [ Пн, фев 04 2019, 10:04 ] |
Заголовок сообщения: | Кто должен создавать роли: базис или функциональные консультанты |
Приветствую, коллеги! Возник такой организационный вопрос, может, его уже кто-то у себя разруливал: Есть команда по сопровождению SAP-систем: группа консультантов по направлениям, ABAP-еры, базисники. Руководят командой пару менеджеров - чистых управленцев, не вникающих в технические нюансы SAP'а. Вопрос: можно ли им мотивированно доказать, что создание/редактирование ролей лежит в плоскости обязанностей консультантов по направлениям при выполнении изменений в системе? Чистой группы по security нет, базис выполняет функции назначения ролей и ведения матрицы, эта группа далека от понимания функциональной части. Ситуация возникла в связи с введением нового каталога услуг и SLA, где идут попытки перераспределения обязанностей между группами. |
Автор: | Admin [ Пн, фев 04 2019, 14:02 ] |
Заголовок сообщения: | Re: Кто должен создавать роли: базис или функциональные консультанты |
В данный момент работаю на проекте, где используется подобный подход (консультанты сами генерят роли), и могу сказать, что это зло. Консультанты не должны вникать в технические аспекты конструирования ролей (их наверняка гораздо больше элементарного подцепления в роли транзакций и пунктов меню), иначе роли периодически получаются кривые и косые, что вызывает законное недовольство пользователей (особенно, если эта кривокосая роль доехала до продуктива). Особенно пикантными бывают ситуации, когда человеку назначается слишком много полномочий (и человек делает какую-то бяку), или же наоборот - полномочия взаимоисключающие. Гораздо более логично было бы сочинить какой-то максимально удобный для базисника опросник, необходимый для конструирования ролей, и после этого все-таки выделить из имеющейся группы базиса (или взять отдельного) специалиста по секьюрити. |
Автор: | шрам [ Вт, фев 05 2019, 08:59 ] |
Заголовок сообщения: | Re: Кто должен создавать роли: базис или функциональные консультанты |
как консультант по безопасности, в данный момент, могу сказать следующее: 1. Тех. архитектура должна быть только в одних руках. Будь то ландшафт, профильные параметры, транспорты или роли. Иначе, неминуемо начнется бардак. 2. В ведении ролей нет ничего сложного. Главное определить стратегию, маску именования и людей, которые будут это делать на регулярной основе. При массовых роллаутах, замечательно работает логика derived ролей. 3. Как и говорил выше уважаемый Admin, тема SoD однажды возникнет в том или ином виде. Хотя бы в недовольстве бизнеса. Поэтому изначально стоит исходить из правила - давать ровно столько, сколько надо для выполнения конкретной функции. И это совершенно не обязательно должна быть одна роль. П.с. Я тоже совершенно не силен во всем функциональном портфолио SAP (коий приходится поддерживать), однако это не мешает выполнять свои обязанности, вносить улучшения и создавать что-то новое. Главное - определить внятный переводчик с языка бизнес-терминов на технический язык. |
Автор: | murenets [ Пн, фев 11 2019, 12:07 ] |
Заголовок сообщения: | Re: Кто должен создавать роли: базис или функциональные консультанты |
Я придерживаюсь противоположного мнения относительно предыдущих ораторов. Роль - это гораздо больше чем транзакции и пункты меню. Роль или список ролей должны отражать логическое рабочее место. И консультанты-функциональщики это те люди, которые лучше всех должны знать что именно можно, а что нельзя на этом рабочем месте. Кто имеет право изменить заявку на закупку, а кто только просмотреть. Какие БЕ, заводы и т.д. должны быть доступны. И т.п. Это уже совсем не базисник должен знать. Да и "головы у него не хватит", чтобы за весь функционал это понимать. Мне нравится подход, когда базис создает некоторую общую роль, которая позволяет выполнять "общесистемные" функции, такие как фавориты, просмотр собственных запросов в спул и т.п. Функциональные консультанты генерят "основную функциональную часть роли". Базисники проводят тестирование роли и ее присвоение, тем более - перенос в продуктив. При этом тестируют именно отсутствие лишних полномочий на администрирование. Например отсутвие полного доступа к SU01. |
Автор: | Kuranov.Dmitry [ Пн, фев 11 2019, 14:19 ] |
Заголовок сообщения: | Re: Кто должен создавать роли: базис или функциональные консультанты |
ИМХО, консультанты-технологи должны создавать роли согласно хотелкам клиента/бизнеса, а утверждать и назначать должны базисники, отсеивая косячные роли |
Автор: | Skif [ Ср, фев 13 2019, 10:22 ] |
Заголовок сообщения: | Re: Кто должен создавать роли: базис или функциональные консультанты |
Kuranov.Dmitry написал(а): ИМХО, консультанты-технологи должны создавать роли согласно хотелкам клиента/бизнеса, а утверждать и назначать должны базисники, отсеивая косячные роли а "косячность" это что? на критические объекты безопасники проверяют (иначе аудит-то настучит по ж..), а проверка зон видимости и доступов к операциям это технологов ответственность. Если что, отправляют на доработку консам. А "назначать" давно уже автоматом делается - от должности (как и блокировать по увольнению, переходу). Базис утром просто смотрит протокол - кому что назначено, отнято, блокировано. (вот разблокировать- это пока ручками . Причём это централизовано, через LDAP по всем системам (не только SAP). p.s. у базиса другого гемора хватает |
Автор: | Kuranov.Dmitry [ Ср, фев 13 2019, 10:25 ] |
Заголовок сообщения: | Re: Кто должен создавать роли: базис или функциональные консультанты |
Skif написал: Kuranov.Dmitry написал(а): ИМХО, консультанты-технологи должны создавать роли согласно хотелкам клиента/бизнеса, а утверждать и назначать должны базисники, отсеивая косячные роли а "косячность" это что? на критические объекты безопасники проверяют (иначе аудит-то настучит по ж..), а проверка зон видимости и доступов к операциям это технологов ответственность. Если что, отправляют на доработку консам. А "назначать" давно уже автоматом делается - от должности (как и блокировать по увольнению, переходу). Базис утром просто смотрит протокол - кому что назначено, отнято, блокировано. (вот разблокировать- это пока ручками . Причём это централизовано, через LDAP по всем системам (не только SAP). p.s. у базиса другого гемора хватает Например, как выше писал админ, противоречивость полномочий |
Автор: | murenets [ Ср, фев 13 2019, 13:04 ] |
Заголовок сообщения: | Re: Кто должен создавать роли: базис или функциональные консультанты |
Skif написал: Kuranov.Dmitry написал(а): ИМХО, консультанты-технологи должны создавать роли согласно хотелкам клиента/бизнеса, а утверждать и назначать должны базисники, отсеивая косячные роли а "косячность" это что? на критические объекты безопасники проверяют (иначе аудит-то настучит по ж..), а проверка зон видимости и доступов к операциям это технологов ответственность. Если что, отправляют на доработку консам. А "назначать" давно уже автоматом делается - от должности (как и блокировать по увольнению, переходу). Базис утром просто смотрит протокол - кому что назначено, отнято, блокировано. (вот разблокировать- это пока ручками . Причём это централизовано, через LDAP по всем системам (не только SAP). p.s. у базиса другого гемора хватает Ну, вы - авангард вселенной! |
Автор: | Skif [ Ср, фев 13 2019, 14:07 ] |
Заголовок сообщения: | Re: Кто должен создавать роли: базис или функциональные консультанты |
Kuranov.Dmitry написал(а): Например, как выше писал админ, противоречивость полномочий Таки-да, поработать трассером надо сначала, копировать стандарт в свою и тюнить уже её. А не пихать в кучу, а потом удивляться, что S_TCODE в 5-и экземплярах. Но нормальный аудит быстро мозги вправляет . Трассер опять же забывать не надо - при апгрейдах полномочия "плывут" и понимаешь, что хорошо когда роль одна и она - твоя. Вот со структурными это действительно траблы....были. Пришлось заставить перелопатить прямые A/B293 для US в PD-шки для S, чтоб RHPROFL0 и их обрабатывала. Но это вопрос воспитания уже - запускать процесс не надо. |
Автор: | sonyericsson [ Ср, фев 13 2019, 14:12 ] |
Заголовок сообщения: | Re: Кто должен создавать роли: базис или функциональные консультанты |
На всех проектах где работаю за ведение ролей отвечают отдельные люди - команда безопасников (ни базис ни консультанты) |
Автор: | Skif [ Ср, фев 13 2019, 14:41 ] |
Заголовок сообщения: | Re: Кто должен создавать роли: базис или функциональные консультанты |
sonyericsson написал(а): На всех проектах где работаю за ведение ролей отвечают отдельные люди - команда безопасников (ни базис ни консультанты) За это ратую всегда. Более того, желательно, чтобы этот человек сидел в кадрах, но быть в оперативном подчинении ИБ. Чтобы знать сотрудников с этапа приёма на работу, проводить инструктажи, вести полномочия с пониманием ответственности. |
Автор: | pberezin [ Пн, фев 25 2019, 09:47 ] |
Заголовок сообщения: | Re: Кто должен создавать роли: базис или функциональные консультанты |
Цитата: А "назначать" давно уже автоматом делается - от должности Это как? Ведь должность в штатном расписании не всегда однозначно соотносится с набором выполняемых бизнес-функций/задач? Или у Вас там на основе интеграции с объектами 1T/1F saphr-а както реализовано? |
Автор: | Skif [ Пн, фев 25 2019, 23:42 ] |
Заголовок сообщения: | Re: Кто должен создавать роли: базис или функциональные консультанты |
pberezin написал: Это как? Ведь д лжность в штатном расписании не всегда однозначно соотносится с набором выполняемых бизнес-функций/задач? это да..- этот процесс воспитания и бизнес-культуры. у нас это заняло лет 10. Но зато, теперь, в условиях быстрых кадровых решений (по переброске сотрудников в "болевые точки"), после прибытия на место работы (региональный филиал), новый директор (к примеру) сразу получает положенный ему набор функций (главное чтобы ОК отработал чётко - перевод на новую должность). Были изучены и "особенности", для которых, как уже писал, используются присвоения (опять же к должности!) принадлежность к искусственно созданной группе ( напр.: ОК, кураторы, акцепторы, ТОП-ы). Но - никаких прямых присвоений! (кроме супер-пупер ес-но зы администраторов ( с su01) у нас нет уже лет 5. Боюсь никто и не вспомнит как что там нажимать нужно. PPOMW - основной инструмент. pps:вру - я иногда выручаю - бывают случаи |
Автор: | pberezin [ Вт, фев 26 2019, 07:27 ] |
Заголовок сообщения: | Re: Кто должен создавать роли: базис или функциональные консультанты |
Цитата: администраторов ( с su01) у нас нет уже лет 5. Боюсь никто и не вспомнит как что там нажимать нужно. PPOMW - основной инструмент космический космос какойто а это на стандарном функционале накручено, или ZSAP ? |
Автор: | bdmalex [ Вт, фев 26 2019, 10:41 ] |
Заголовок сообщения: | Re: Кто должен создавать роли: базис или функциональные консультанты |
Цитата: а это на стандарном функционале накручено, или ZSAP ? У нас аналогичная картина, всё в рамках стандарта... |
Страница 1 из 2 | Часовой пояс: UTC + 3 часа |
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group http://www.phpbb.com/ |