Текущее время: Чт, мар 28 2024, 12:43

Часовой пояс: UTC + 3 часа


Правила форума


ВНИМАНИЕ! Прежде чем задавать вопрос, ознакомьтесь со ссылками ниже:

Вопросы по отличиям версий SAP, Add-On, EHP - сюда
Вопросы по SAP Front End (SAPlogon, SAPgui, guiXT и т.д.) - сюда
Вопросы по LSMW - сюда
Вопросы по архивации в SAP - сюда
Вопросы по SAP GRC - сюда
Вопросы по SAP Business Workplace (почте SAP) и SAP Office - сюда
Вопросы по miniSAP (SAP mini basis) - сюда
Вопросы по SAP HANA - сюда
Вопросы по лицензированию продуктов SAP - сюда



Начать новую тему Ответить на тему  [ Сообщений: 16 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения: Кто должен создавать роли: базис или функциональные консультанты
СообщениеДобавлено: Пн, фев 04 2019, 10:04 
Начинающий
Начинающий

Зарегистрирован:
Ср, июл 27 2011, 15:16
Сообщения: 3
Приветствую, коллеги!

Возник такой организационный вопрос, может, его уже кто-то у себя разруливал:

Есть команда по сопровождению SAP-систем: группа консультантов по направлениям, ABAP-еры, базисники. Руководят командой пару менеджеров - чистых управленцев, не вникающих в технические нюансы SAP'а.

Вопрос: можно ли им мотивированно доказать, что создание/редактирование ролей лежит в плоскости обязанностей консультантов по направлениям при выполнении изменений в системе? Чистой группы по security нет, базис выполняет функции назначения ролей и ведения матрицы, эта группа далека от понимания функциональной части.
Ситуация возникла в связи с введением нового каталога услуг и SLA, где идут попытки перераспределения обязанностей между группами.


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Кто должен создавать роли: базис или функциональные консультанты
СообщениеДобавлено: Пн, фев 04 2019, 14:02 
Администратор
Администратор
Аватара пользователя

Зарегистрирован:
Пн, авг 16 2004, 21:27
Сообщения: 4366
Откуда: Москва
Пол: Мужской
В данный момент работаю на проекте, где используется подобный подход (консультанты сами генерят роли), и могу сказать, что это зло. Консультанты не должны вникать в технические аспекты конструирования ролей (их наверняка гораздо больше элементарного подцепления в роли транзакций и пунктов меню), иначе роли периодически получаются кривые и косые, что вызывает законное недовольство пользователей (особенно, если эта кривокосая роль доехала до продуктива). Особенно пикантными бывают ситуации, когда человеку назначается слишком много полномочий (и человек делает какую-то бяку), или же наоборот - полномочия взаимоисключающие.

Гораздо более логично было бы сочинить какой-то максимально удобный для базисника опросник, необходимый для конструирования ролей, и после этого все-таки выделить из имеющейся группы базиса (или взять отдельного) специалиста по секьюрити.

_________________
С уважением,
Admin
e-mail: admin @ sapforum.ru


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Кто должен создавать роли: базис или функциональные консультанты
СообщениеДобавлено: Вт, фев 05 2019, 08:59 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Чт, сен 28 2006, 11:36
Сообщения: 1365
Откуда: Москва
Пол: Мужской
как консультант по безопасности, в данный момент, могу сказать следующее:
1. Тех. архитектура должна быть только в одних руках. Будь то ландшафт, профильные параметры, транспорты или роли. Иначе, неминуемо начнется бардак.
2. В ведении ролей нет ничего сложного. Главное определить стратегию, маску именования и людей, которые будут это делать на регулярной основе. При массовых роллаутах, замечательно работает логика derived ролей.
3. Как и говорил выше уважаемый Admin, тема SoD однажды возникнет в том или ином виде. Хотя бы в недовольстве бизнеса. Поэтому изначально стоит исходить из правила - давать ровно столько, сколько надо для выполнения конкретной функции. И это совершенно не обязательно должна быть одна роль.

П.с. Я тоже совершенно не силен во всем функциональном портфолио SAP (коий приходится поддерживать), однако это не мешает выполнять свои обязанности, вносить улучшения и создавать что-то новое. Главное - определить внятный переводчик с языка бизнес-терминов на технический язык.


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Кто должен создавать роли: базис или функциональные консультанты
СообщениеДобавлено: Пн, фев 11 2019, 12:07 
Директор
Директор

Зарегистрирован:
Пт, дек 22 2006, 12:17
Сообщения: 775
Пол: Мужской
Я придерживаюсь противоположного мнения относительно предыдущих ораторов. Роль - это гораздо больше чем транзакции и пункты меню.
Роль или список ролей должны отражать логическое рабочее место.
И консультанты-функциональщики это те люди, которые лучше всех должны знать что именно можно, а что нельзя на этом рабочем месте.
Кто имеет право изменить заявку на закупку, а кто только просмотреть. Какие БЕ, заводы и т.д. должны быть доступны. И т.п.
Это уже совсем не базисник должен знать. Да и "головы у него не хватит", чтобы за весь функционал это понимать.
Мне нравится подход, когда базис создает некоторую общую роль, которая позволяет выполнять "общесистемные" функции, такие как фавориты, просмотр собственных запросов в спул и т.п.
Функциональные консультанты генерят "основную функциональную часть роли".
Базисники проводят тестирование роли и ее присвоение, тем более - перенос в продуктив. При этом тестируют именно отсутствие лишних полномочий на администрирование. Например отсутвие полного доступа к SU01.


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Кто должен создавать роли: базис или функциональные консультанты
СообщениеДобавлено: Пн, фев 11 2019, 14:19 
Менеджер
Менеджер
Аватара пользователя

Зарегистрирован:
Вт, сен 05 2017, 23:56
Сообщения: 537
ИМХО, консультанты-технологи должны создавать роли согласно хотелкам клиента/бизнеса, а утверждать и назначать должны базисники, отсеивая косячные роли


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Кто должен создавать роли: базис или функциональные консультанты
СообщениеДобавлено: Ср, фев 13 2019, 10:22 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Вт, авг 31 2004, 14:57
Сообщения: 5257
Откуда: Ростов невеликий
Пол: Мужской
Kuranov.Dmitry написал(а):
ИМХО, консультанты-технологи должны создавать роли согласно хотелкам клиента/бизнеса, а утверждать и назначать должны базисники, отсеивая косячные роли

а "косячность" это что?
на критические объекты безопасники проверяют (иначе аудит-то настучит по ж..), а проверка зон видимости и доступов к операциям это технологов ответственность. Если что, отправляют на доработку консам.
А "назначать" давно уже автоматом делается - от должности (как и блокировать по увольнению, переходу). Базис утром просто смотрит протокол - кому что назначено, отнято, блокировано. (вот разблокировать- это пока ручками :). Причём это централизовано, через LDAP по всем системам (не только SAP).

p.s. у базиса другого гемора хватает :P

_________________
Нет сегодняшних проблем -
есть вчерашние ошибки
(с)


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Кто должен создавать роли: базис или функциональные консультанты
СообщениеДобавлено: Ср, фев 13 2019, 10:25 
Менеджер
Менеджер
Аватара пользователя

Зарегистрирован:
Вт, сен 05 2017, 23:56
Сообщения: 537
Skif написал:
Kuranov.Dmitry написал(а):
ИМХО, консультанты-технологи должны создавать роли согласно хотелкам клиента/бизнеса, а утверждать и назначать должны базисники, отсеивая косячные роли

а "косячность" это что?
на критические объекты безопасники проверяют (иначе аудит-то настучит по ж..), а проверка зон видимости и доступов к операциям это технологов ответственность. Если что, отправляют на доработку консам.
А "назначать" давно уже автоматом делается - от должности (как и блокировать по увольнению, переходу). Базис утром просто смотрит протокол - кому что назначено, отнято, блокировано. (вот разблокировать- это пока ручками :). Причём это централизовано, через LDAP по всем системам (не только SAP).

p.s. у базиса другого гемора хватает :P

Например, как выше писал админ, противоречивость полномочий


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Кто должен создавать роли: базис или функциональные консультанты
СообщениеДобавлено: Ср, фев 13 2019, 13:04 
Директор
Директор

Зарегистрирован:
Пт, дек 22 2006, 12:17
Сообщения: 775
Пол: Мужской
Skif написал:
Kuranov.Dmitry написал(а):
ИМХО, консультанты-технологи должны создавать роли согласно хотелкам клиента/бизнеса, а утверждать и назначать должны базисники, отсеивая косячные роли

а "косячность" это что?
на критические объекты безопасники проверяют (иначе аудит-то настучит по ж..), а проверка зон видимости и доступов к операциям это технологов ответственность. Если что, отправляют на доработку консам.
А "назначать" давно уже автоматом делается - от должности (как и блокировать по увольнению, переходу). Базис утром просто смотрит протокол - кому что назначено, отнято, блокировано. (вот разблокировать- это пока ручками :). Причём это централизовано, через LDAP по всем системам (не только SAP).

p.s. у базиса другого гемора хватает :P


Ну, вы - авангард вселенной! :)


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Кто должен создавать роли: базис или функциональные консультанты
СообщениеДобавлено: Ср, фев 13 2019, 14:07 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Вт, авг 31 2004, 14:57
Сообщения: 5257
Откуда: Ростов невеликий
Пол: Мужской
Kuranov.Dmitry написал(а):
Например, как выше писал админ, противоречивость полномочий

Таки-да, поработать трассером надо сначала, копировать стандарт в свою и тюнить уже её. А не пихать в кучу, а потом удивляться, что S_TCODE в 5-и экземплярах. Но нормальный аудит быстро мозги вправляет :). Трассер опять же забывать не надо - при апгрейдах полномочия "плывут" и понимаешь, что хорошо когда роль одна и она - твоя.
Вот со структурными это действительно траблы....были. Пришлось заставить перелопатить прямые A/B293 для US в PD-шки для S, чтоб RHPROFL0 и их обрабатывала.
Но это вопрос воспитания уже - запускать процесс не надо.

_________________
Нет сегодняшних проблем -
есть вчерашние ошибки
(с)


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Кто должен создавать роли: базис или функциональные консультанты
СообщениеДобавлено: Ср, фев 13 2019, 14:12 
Специалист
Специалист

Зарегистрирован:
Вт, июл 24 2007, 12:38
Сообщения: 116
На всех проектах где работаю за ведение ролей отвечают отдельные люди - команда безопасников (ни базис ни консультанты)

_________________
В стандарте...


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Кто должен создавать роли: базис или функциональные консультанты
СообщениеДобавлено: Ср, фев 13 2019, 14:41 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Вт, авг 31 2004, 14:57
Сообщения: 5257
Откуда: Ростов невеликий
Пол: Мужской
sonyericsson написал(а):
На всех проектах где работаю за ведение ролей отвечают отдельные люди - команда безопасников (ни базис ни консультанты)

За это ратую всегда. Более того, желательно, чтобы этот человек сидел в кадрах, но быть в оперативном подчинении ИБ. Чтобы знать сотрудников с этапа приёма на работу, проводить инструктажи, вести полномочия с пониманием ответственности.

_________________
Нет сегодняшних проблем -
есть вчерашние ошибки
(с)


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Кто должен создавать роли: базис или функциональные консультанты
СообщениеДобавлено: Пн, фев 25 2019, 09:47 
Старший специалист
Старший специалист

Зарегистрирован:
Чт, мар 29 2007, 11:51
Сообщения: 330
Откуда: Yugorsk.RU
Пол: Мужской
Цитата:
А "назначать" давно уже автоматом делается - от должности

Это как?
Ведь должность в штатном расписании не всегда однозначно соотносится с набором выполняемых бизнес-функций/задач?
Или у Вас там на основе интеграции с объектами 1T/1F saphr-а както реализовано?


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Кто должен создавать роли: базис или функциональные консультанты
СообщениеДобавлено: Пн, фев 25 2019, 23:42 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Вт, авг 31 2004, 14:57
Сообщения: 5257
Откуда: Ростов невеликий
Пол: Мужской
pberezin написал:
Это как?
Ведь д лжность в штатном расписании не всегда однозначно соотносится с набором выполняемых бизнес-функций/задач?

это да..- этот процесс воспитания и бизнес-культуры. у нас это заняло лет 10. Но зато, теперь, в условиях быстрых кадровых решений (по переброске сотрудников в "болевые точки"), после прибытия на место работы (региональный филиал), новый директор (к примеру) сразу получает положенный ему набор функций (главное чтобы ОК отработал чётко - перевод на новую должность).

Были изучены и "особенности", для которых, как уже писал, используются присвоения (опять же к должности!) принадлежность к искусственно созданной группе ( напр.: ОК, кураторы, акцепторы, ТОП-ы).
Но - никаких прямых присвоений! (кроме супер-пупер ес-но :)

зы администраторов ( с su01) у нас нет уже лет 5. Боюсь никто и не вспомнит как что там нажимать нужно. PPOMW - основной инструмент.
pps:вру :) - я иногда выручаю - бывают случаи :)

_________________
Нет сегодняшних проблем -
есть вчерашние ошибки
(с)


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Кто должен создавать роли: базис или функциональные консультанты
СообщениеДобавлено: Вт, фев 26 2019, 07:27 
Старший специалист
Старший специалист

Зарегистрирован:
Чт, мар 29 2007, 11:51
Сообщения: 330
Откуда: Yugorsk.RU
Пол: Мужской
Цитата:
администраторов ( с su01) у нас нет уже лет 5. Боюсь никто и не вспомнит как что там нажимать нужно. PPOMW - основной инструмент

космический космос какойто :D

а это на стандарном функционале накручено, или ZSAP ?


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Кто должен создавать роли: базис или функциональные консультанты
СообщениеДобавлено: Вт, фев 26 2019, 10:41 
Модератор
Модератор

Зарегистрирован:
Пт, окт 06 2006, 15:20
Сообщения: 338
Откуда: Москва
Пол: Мужской
Цитата:
а это на стандарном функционале накручено, или ZSAP ?

У нас аналогичная картина, всё в рамках стандарта...


Принять этот ответ
Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 16 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Русская поддержка phpBB