Текущее время: Чт, мар 28 2024, 14:37

Часовой пояс: UTC + 3 часа


Правила форума


ВНИМАНИЕ! Прежде чем задавать вопрос, ознакомьтесь со ссылками ниже:

Вопросы по отличиям версий SAP, Add-On, EHP - сюда
Вопросы по SAP Front End (SAPlogon, SAPgui, guiXT и т.д.) - сюда
Вопросы по LSMW - сюда
Вопросы по архивации в SAP - сюда
Вопросы по SAP GRC - сюда
Вопросы по SAP Business Workplace (почте SAP) и SAP Office - сюда
Вопросы по miniSAP (SAP mini basis) - сюда
Вопросы по SAP HANA - сюда
Вопросы по лицензированию продуктов SAP - сюда



Начать новую тему Ответить на тему  [ Сообщений: 16 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения: Кто должен создавать роли: базис или функциональные консультанты
СообщениеДобавлено: Пн, фев 04 2019, 10:04 
Начинающий
Начинающий

Зарегистрирован:
Ср, июл 27 2011, 15:16
Сообщения: 3
Приветствую, коллеги!

Возник такой организационный вопрос, может, его уже кто-то у себя разруливал:

Есть команда по сопровождению SAP-систем: группа консультантов по направлениям, ABAP-еры, базисники. Руководят командой пару менеджеров - чистых управленцев, не вникающих в технические нюансы SAP'а.

Вопрос: можно ли им мотивированно доказать, что создание/редактирование ролей лежит в плоскости обязанностей консультантов по направлениям при выполнении изменений в системе? Чистой группы по security нет, базис выполняет функции назначения ролей и ведения матрицы, эта группа далека от понимания функциональной части.
Ситуация возникла в связи с введением нового каталога услуг и SLA, где идут попытки перераспределения обязанностей между группами.


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Кто должен создавать роли: базис или функциональные консультанты
СообщениеДобавлено: Пн, фев 04 2019, 14:02 
Администратор
Администратор
Аватара пользователя

Зарегистрирован:
Пн, авг 16 2004, 21:27
Сообщения: 4366
Откуда: Москва
Пол: Мужской
В данный момент работаю на проекте, где используется подобный подход (консультанты сами генерят роли), и могу сказать, что это зло. Консультанты не должны вникать в технические аспекты конструирования ролей (их наверняка гораздо больше элементарного подцепления в роли транзакций и пунктов меню), иначе роли периодически получаются кривые и косые, что вызывает законное недовольство пользователей (особенно, если эта кривокосая роль доехала до продуктива). Особенно пикантными бывают ситуации, когда человеку назначается слишком много полномочий (и человек делает какую-то бяку), или же наоборот - полномочия взаимоисключающие.

Гораздо более логично было бы сочинить какой-то максимально удобный для базисника опросник, необходимый для конструирования ролей, и после этого все-таки выделить из имеющейся группы базиса (или взять отдельного) специалиста по секьюрити.

_________________
С уважением,
Admin
e-mail: admin @ sapforum.ru


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Кто должен создавать роли: базис или функциональные консультанты
СообщениеДобавлено: Вт, фев 05 2019, 08:59 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Чт, сен 28 2006, 11:36
Сообщения: 1365
Откуда: Москва
Пол: Мужской
как консультант по безопасности, в данный момент, могу сказать следующее:
1. Тех. архитектура должна быть только в одних руках. Будь то ландшафт, профильные параметры, транспорты или роли. Иначе, неминуемо начнется бардак.
2. В ведении ролей нет ничего сложного. Главное определить стратегию, маску именования и людей, которые будут это делать на регулярной основе. При массовых роллаутах, замечательно работает логика derived ролей.
3. Как и говорил выше уважаемый Admin, тема SoD однажды возникнет в том или ином виде. Хотя бы в недовольстве бизнеса. Поэтому изначально стоит исходить из правила - давать ровно столько, сколько надо для выполнения конкретной функции. И это совершенно не обязательно должна быть одна роль.

П.с. Я тоже совершенно не силен во всем функциональном портфолио SAP (коий приходится поддерживать), однако это не мешает выполнять свои обязанности, вносить улучшения и создавать что-то новое. Главное - определить внятный переводчик с языка бизнес-терминов на технический язык.


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Кто должен создавать роли: базис или функциональные консультанты
СообщениеДобавлено: Пн, фев 11 2019, 12:07 
Директор
Директор

Зарегистрирован:
Пт, дек 22 2006, 12:17
Сообщения: 775
Пол: Мужской
Я придерживаюсь противоположного мнения относительно предыдущих ораторов. Роль - это гораздо больше чем транзакции и пункты меню.
Роль или список ролей должны отражать логическое рабочее место.
И консультанты-функциональщики это те люди, которые лучше всех должны знать что именно можно, а что нельзя на этом рабочем месте.
Кто имеет право изменить заявку на закупку, а кто только просмотреть. Какие БЕ, заводы и т.д. должны быть доступны. И т.п.
Это уже совсем не базисник должен знать. Да и "головы у него не хватит", чтобы за весь функционал это понимать.
Мне нравится подход, когда базис создает некоторую общую роль, которая позволяет выполнять "общесистемные" функции, такие как фавориты, просмотр собственных запросов в спул и т.п.
Функциональные консультанты генерят "основную функциональную часть роли".
Базисники проводят тестирование роли и ее присвоение, тем более - перенос в продуктив. При этом тестируют именно отсутствие лишних полномочий на администрирование. Например отсутвие полного доступа к SU01.


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Кто должен создавать роли: базис или функциональные консультанты
СообщениеДобавлено: Пн, фев 11 2019, 14:19 
Менеджер
Менеджер
Аватара пользователя

Зарегистрирован:
Вт, сен 05 2017, 23:56
Сообщения: 537
ИМХО, консультанты-технологи должны создавать роли согласно хотелкам клиента/бизнеса, а утверждать и назначать должны базисники, отсеивая косячные роли


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Кто должен создавать роли: базис или функциональные консультанты
СообщениеДобавлено: Ср, фев 13 2019, 10:22 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Вт, авг 31 2004, 14:57
Сообщения: 5257
Откуда: Ростов невеликий
Пол: Мужской
Kuranov.Dmitry написал(а):
ИМХО, консультанты-технологи должны создавать роли согласно хотелкам клиента/бизнеса, а утверждать и назначать должны базисники, отсеивая косячные роли

а "косячность" это что?
на критические объекты безопасники проверяют (иначе аудит-то настучит по ж..), а проверка зон видимости и доступов к операциям это технологов ответственность. Если что, отправляют на доработку консам.
А "назначать" давно уже автоматом делается - от должности (как и блокировать по увольнению, переходу). Базис утром просто смотрит протокол - кому что назначено, отнято, блокировано. (вот разблокировать- это пока ручками :). Причём это централизовано, через LDAP по всем системам (не только SAP).

p.s. у базиса другого гемора хватает :P

_________________
Нет сегодняшних проблем -
есть вчерашние ошибки
(с)


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Кто должен создавать роли: базис или функциональные консультанты
СообщениеДобавлено: Ср, фев 13 2019, 10:25 
Менеджер
Менеджер
Аватара пользователя

Зарегистрирован:
Вт, сен 05 2017, 23:56
Сообщения: 537
Skif написал:
Kuranov.Dmitry написал(а):
ИМХО, консультанты-технологи должны создавать роли согласно хотелкам клиента/бизнеса, а утверждать и назначать должны базисники, отсеивая косячные роли

а "косячность" это что?
на критические объекты безопасники проверяют (иначе аудит-то настучит по ж..), а проверка зон видимости и доступов к операциям это технологов ответственность. Если что, отправляют на доработку консам.
А "назначать" давно уже автоматом делается - от должности (как и блокировать по увольнению, переходу). Базис утром просто смотрит протокол - кому что назначено, отнято, блокировано. (вот разблокировать- это пока ручками :). Причём это централизовано, через LDAP по всем системам (не только SAP).

p.s. у базиса другого гемора хватает :P

Например, как выше писал админ, противоречивость полномочий


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Кто должен создавать роли: базис или функциональные консультанты
СообщениеДобавлено: Ср, фев 13 2019, 13:04 
Директор
Директор

Зарегистрирован:
Пт, дек 22 2006, 12:17
Сообщения: 775
Пол: Мужской
Skif написал:
Kuranov.Dmitry написал(а):
ИМХО, консультанты-технологи должны создавать роли согласно хотелкам клиента/бизнеса, а утверждать и назначать должны базисники, отсеивая косячные роли

а "косячность" это что?
на критические объекты безопасники проверяют (иначе аудит-то настучит по ж..), а проверка зон видимости и доступов к операциям это технологов ответственность. Если что, отправляют на доработку консам.
А "назначать" давно уже автоматом делается - от должности (как и блокировать по увольнению, переходу). Базис утром просто смотрит протокол - кому что назначено, отнято, блокировано. (вот разблокировать- это пока ручками :). Причём это централизовано, через LDAP по всем системам (не только SAP).

p.s. у базиса другого гемора хватает :P


Ну, вы - авангард вселенной! :)


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Кто должен создавать роли: базис или функциональные консультанты
СообщениеДобавлено: Ср, фев 13 2019, 14:07 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Вт, авг 31 2004, 14:57
Сообщения: 5257
Откуда: Ростов невеликий
Пол: Мужской
Kuranov.Dmitry написал(а):
Например, как выше писал админ, противоречивость полномочий

Таки-да, поработать трассером надо сначала, копировать стандарт в свою и тюнить уже её. А не пихать в кучу, а потом удивляться, что S_TCODE в 5-и экземплярах. Но нормальный аудит быстро мозги вправляет :). Трассер опять же забывать не надо - при апгрейдах полномочия "плывут" и понимаешь, что хорошо когда роль одна и она - твоя.
Вот со структурными это действительно траблы....были. Пришлось заставить перелопатить прямые A/B293 для US в PD-шки для S, чтоб RHPROFL0 и их обрабатывала.
Но это вопрос воспитания уже - запускать процесс не надо.

_________________
Нет сегодняшних проблем -
есть вчерашние ошибки
(с)


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Кто должен создавать роли: базис или функциональные консультанты
СообщениеДобавлено: Ср, фев 13 2019, 14:12 
Специалист
Специалист

Зарегистрирован:
Вт, июл 24 2007, 12:38
Сообщения: 116
На всех проектах где работаю за ведение ролей отвечают отдельные люди - команда безопасников (ни базис ни консультанты)

_________________
В стандарте...


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Кто должен создавать роли: базис или функциональные консультанты
СообщениеДобавлено: Ср, фев 13 2019, 14:41 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Вт, авг 31 2004, 14:57
Сообщения: 5257
Откуда: Ростов невеликий
Пол: Мужской
sonyericsson написал(а):
На всех проектах где работаю за ведение ролей отвечают отдельные люди - команда безопасников (ни базис ни консультанты)

За это ратую всегда. Более того, желательно, чтобы этот человек сидел в кадрах, но быть в оперативном подчинении ИБ. Чтобы знать сотрудников с этапа приёма на работу, проводить инструктажи, вести полномочия с пониманием ответственности.

_________________
Нет сегодняшних проблем -
есть вчерашние ошибки
(с)


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Кто должен создавать роли: базис или функциональные консультанты
СообщениеДобавлено: Пн, фев 25 2019, 09:47 
Старший специалист
Старший специалист

Зарегистрирован:
Чт, мар 29 2007, 11:51
Сообщения: 330
Откуда: Yugorsk.RU
Пол: Мужской
Цитата:
А "назначать" давно уже автоматом делается - от должности

Это как?
Ведь должность в штатном расписании не всегда однозначно соотносится с набором выполняемых бизнес-функций/задач?
Или у Вас там на основе интеграции с объектами 1T/1F saphr-а както реализовано?


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Кто должен создавать роли: базис или функциональные консультанты
СообщениеДобавлено: Пн, фев 25 2019, 23:42 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Вт, авг 31 2004, 14:57
Сообщения: 5257
Откуда: Ростов невеликий
Пол: Мужской
pberezin написал:
Это как?
Ведь д лжность в штатном расписании не всегда однозначно соотносится с набором выполняемых бизнес-функций/задач?

это да..- этот процесс воспитания и бизнес-культуры. у нас это заняло лет 10. Но зато, теперь, в условиях быстрых кадровых решений (по переброске сотрудников в "болевые точки"), после прибытия на место работы (региональный филиал), новый директор (к примеру) сразу получает положенный ему набор функций (главное чтобы ОК отработал чётко - перевод на новую должность).

Были изучены и "особенности", для которых, как уже писал, используются присвоения (опять же к должности!) принадлежность к искусственно созданной группе ( напр.: ОК, кураторы, акцепторы, ТОП-ы).
Но - никаких прямых присвоений! (кроме супер-пупер ес-но :)

зы администраторов ( с su01) у нас нет уже лет 5. Боюсь никто и не вспомнит как что там нажимать нужно. PPOMW - основной инструмент.
pps:вру :) - я иногда выручаю - бывают случаи :)

_________________
Нет сегодняшних проблем -
есть вчерашние ошибки
(с)


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Кто должен создавать роли: базис или функциональные консультанты
СообщениеДобавлено: Вт, фев 26 2019, 07:27 
Старший специалист
Старший специалист

Зарегистрирован:
Чт, мар 29 2007, 11:51
Сообщения: 330
Откуда: Yugorsk.RU
Пол: Мужской
Цитата:
администраторов ( с su01) у нас нет уже лет 5. Боюсь никто и не вспомнит как что там нажимать нужно. PPOMW - основной инструмент

космический космос какойто :D

а это на стандарном функционале накручено, или ZSAP ?


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Кто должен создавать роли: базис или функциональные консультанты
СообщениеДобавлено: Вт, фев 26 2019, 10:41 
Модератор
Модератор

Зарегистрирован:
Пт, окт 06 2006, 15:20
Сообщения: 338
Откуда: Москва
Пол: Мужской
Цитата:
а это на стандарном функционале накручено, или ZSAP ?

У нас аналогичная картина, всё в рамках стандарта...


Принять этот ответ
Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 16 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Русская поддержка phpBB