Текущее время: Вт, фев 19 2019, 02:54

Часовой пояс: UTC + 4 часа


Правила форума


ВНИМАНИЕ! Прежде чем задавать вопрос, ознакомьтесь со ссылками ниже:

Вопросы по отличиям версий SAP, Add-On, EHP - сюда
Вопросы по SAP Front End (SAPlogon, SAPgui, guiXT и т.д.) - сюда
Вопросы по LSMW - сюда
Вопросы по архивации в SAP - сюда
Вопросы по SAP GRC - сюда
Вопросы по SAP Business Workplace (почте SAP) и SAP Office - сюда
Вопросы по miniSAP (SAP mini basis) - сюда
Вопросы по SAP HANA - сюда
Вопросы по лицензированию продуктов SAP - сюда



Начать новую тему Ответить на тему  [ Сообщений: 11 ] 
Автор Сообщение
 Заголовок сообщения: Кто должен создавать роли: базис или функциональные консультанты
СообщениеДобавлено: Пн, фев 04 2019, 11:04 
Начинающий
Начинающий

Зарегистрирован:
Ср, июл 27 2011, 16:16
Сообщения: 3
Приветствую, коллеги!

Возник такой организационный вопрос, может, его уже кто-то у себя разруливал:

Есть команда по сопровождению SAP-систем: группа консультантов по направлениям, ABAP-еры, базисники. Руководят командой пару менеджеров - чистых управленцев, не вникающих в технические нюансы SAP'а.

Вопрос: можно ли им мотивированно доказать, что создание/редактирование ролей лежит в плоскости обязанностей консультантов по направлениям при выполнении изменений в системе? Чистой группы по security нет, базис выполняет функции назначения ролей и ведения матрицы, эта группа далека от понимания функциональной части.
Ситуация возникла в связи с введением нового каталога услуг и SLA, где идут попытки перераспределения обязанностей между группами.


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Кто должен создавать роли: базис или функциональные консультанты
СообщениеДобавлено: Пн, фев 04 2019, 15:02 
Администратор
Администратор
Аватара пользователя

Зарегистрирован:
Пн, авг 16 2004, 22:27
Сообщения: 4098
Откуда: Москва
Пол: Мужской
В данный момент работаю на проекте, где используется подобный подход (консультанты сами генерят роли), и могу сказать, что это зло. Консультанты не должны вникать в технические аспекты конструирования ролей (их наверняка гораздо больше элементарного подцепления в роли транзакций и пунктов меню), иначе роли периодически получаются кривые и косые, что вызывает законное недовольство пользователей (особенно, если эта кривокосая роль доехала до продуктива). Особенно пикантными бывают ситуации, когда человеку назначается слишком много полномочий (и человек делает какую-то бяку), или же наоборот - полномочия взаимоисключающие.

Гораздо более логично было бы сочинить какой-то максимально удобный для базисника опросник, необходимый для конструирования ролей, и после этого все-таки выделить из имеющейся группы базиса (или взять отдельного) специалиста по секьюрити.

_________________
С уважением,
Admin
e-mail: admin @ sapforum.ru


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Кто должен создавать роли: базис или функциональные консультанты
СообщениеДобавлено: Вт, фев 05 2019, 09:59 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Чт, сен 28 2006, 12:36
Сообщения: 1332
Откуда: Москва
Пол: Мужской
как консультант по безопасности, в данный момент, могу сказать следующее:
1. Тех. архитектура должна быть только в одних руках. Будь то ландшафт, профильные параметры, транспорты или роли. Иначе, неминуемо начнется бардак.
2. В ведении ролей нет ничего сложного. Главное определить стратегию, маску именования и людей, которые будут это делать на регулярной основе. При массовых роллаутах, замечательно работает логика derived ролей.
3. Как и говорил выше уважаемый Admin, тема SoD однажды возникнет в том или ином виде. Хотя бы в недовольстве бизнеса. Поэтому изначально стоит исходить из правила - давать ровно столько, сколько надо для выполнения конкретной функции. И это совершенно не обязательно должна быть одна роль.

П.с. Я тоже совершенно не силен во всем функциональном портфолио SAP (коий приходится поддерживать), однако это не мешает выполнять свои обязанности, вносить улучшения и создавать что-то новое. Главное - определить внятный переводчик с языка бизнес-терминов на технический язык.


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Кто должен создавать роли: базис или функциональные консультанты
СообщениеДобавлено: Пн, фев 11 2019, 13:07 
Директор
Директор

Зарегистрирован:
Пт, дек 22 2006, 13:17
Сообщения: 763
Пол: Мужской
Я придерживаюсь противоположного мнения относительно предыдущих ораторов. Роль - это гораздо больше чем транзакции и пункты меню.
Роль или список ролей должны отражать логическое рабочее место.
И консультанты-функциональщики это те люди, которые лучше всех должны знать что именно можно, а что нельзя на этом рабочем месте.
Кто имеет право изменить заявку на закупку, а кто только просмотреть. Какие БЕ, заводы и т.д. должны быть доступны. И т.п.
Это уже совсем не базисник должен знать. Да и "головы у него не хватит", что бы за весь функционал это понимать.
Мне нравится подход, когда базис создает некоторую общую роль, которая позволяет выполнять "общесистемные" функции, такие как фавориты, просмотр собственных запросов в спул и т.п.
Функциональные консультанты генерят "основную функциональную часть роли".
Базисники проводят тестирование роли и ее присвоение, тем более - перенос в продуктив. При этом тестируют именно отсутствие лишних полномочий на администрирование. Например отсутвие полного доступа к SU01.


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Кто должен создавать роли: базис или функциональные консультанты
СообщениеДобавлено: Пн, фев 11 2019, 15:19 
Старший специалист
Старший специалист
Аватара пользователя

Зарегистрирован:
Ср, сен 06 2017, 00:56
Сообщения: 415
ИМХО, консультанты-технологи должны создавать роли согласно хотелкам клиента/бизнеса, а утверждать и назначать должны базисники, отсеивая косячные роли


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Кто должен создавать роли: базис или функциональные консультанты
СообщениеДобавлено: Ср, фев 13 2019, 11:22 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Вт, авг 31 2004, 15:57
Сообщения: 5152
Откуда: Ростов невеликий
Пол: Мужской
Kuranov.Dmitry написал(а):
ИМХО, консультанты-технологи должны создавать роли согласно хотелкам клиента/бизнеса, а утверждать и назначать должны базисники, отсеивая косячные роли

а "косячность" это что?
на критические объекты безопасники проверяют (иначе аудит-то настучит по ж..), а проверка зон видимости и доступов к операциям это технологов ответственность. Если что, отправляют на доработку консам.
А "назначать" давно уже автоматом делается - от должности (как и блокировать по увольнению, переходу). Базис утром просто смотрит протокол - кому что назначено, отнято, блокировано. (вот разблокировать- это пока ручками :). Причём это централизовано, через LDAP по всем системам (не только SAP).

p.s. у базиса другого гемора хватает :P

_________________
Нет сегодняшних проблем -
есть вчерашние ошибки
(с)


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Кто должен создавать роли: базис или функциональные консультанты
СообщениеДобавлено: Ср, фев 13 2019, 11:25 
Старший специалист
Старший специалист
Аватара пользователя

Зарегистрирован:
Ср, сен 06 2017, 00:56
Сообщения: 415
Skif написал:
Kuranov.Dmitry написал(а):
ИМХО, консультанты-технологи должны создавать роли согласно хотелкам клиента/бизнеса, а утверждать и назначать должны базисники, отсеивая косячные роли

а "косячность" это что?
на критические объекты безопасники проверяют (иначе аудит-то настучит по ж..), а проверка зон видимости и доступов к операциям это технологов ответственность. Если что, отправляют на доработку консам.
А "назначать" давно уже автоматом делается - от должности (как и блокировать по увольнению, переходу). Базис утром просто смотрит протокол - кому что назначено, отнято, блокировано. (вот разблокировать- это пока ручками :). Причём это централизовано, через LDAP по всем системам (не только SAP).

p.s. у базиса другого гемора хватает :P

Например, как выше писал админ, противоречивость полномочий


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Кто должен создавать роли: базис или функциональные консультанты
СообщениеДобавлено: Ср, фев 13 2019, 14:04 
Директор
Директор

Зарегистрирован:
Пт, дек 22 2006, 13:17
Сообщения: 763
Пол: Мужской
Skif написал:
Kuranov.Dmitry написал(а):
ИМХО, консультанты-технологи должны создавать роли согласно хотелкам клиента/бизнеса, а утверждать и назначать должны базисники, отсеивая косячные роли

а "косячность" это что?
на критические объекты безопасники проверяют (иначе аудит-то настучит по ж..), а проверка зон видимости и доступов к операциям это технологов ответственность. Если что, отправляют на доработку консам.
А "назначать" давно уже автоматом делается - от должности (как и блокировать по увольнению, переходу). Базис утром просто смотрит протокол - кому что назначено, отнято, блокировано. (вот разблокировать- это пока ручками :). Причём это централизовано, через LDAP по всем системам (не только SAP).

p.s. у базиса другого гемора хватает :P


Ну, вы - авангард вселенной! :)


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Кто должен создавать роли: базис или функциональные консультанты
СообщениеДобавлено: Ср, фев 13 2019, 15:07 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Вт, авг 31 2004, 15:57
Сообщения: 5152
Откуда: Ростов невеликий
Пол: Мужской
Kuranov.Dmitry написал(а):
Например, как выше писал админ, противоречивость полномочий

Таки-да, поработать трассером надо сначала, копировать стандарт в свою и тюнить уже её. А не пихать в кучу, а потом удивляться, что S_TCODE в 5-и экземплярах. Но нормальный аудит быстро мозги вправляет :). Трассер опять же забывать не надо - при апгрейдах полномочия "плывут" и понимаешь, что хорошо когда роль одна и она - твоя.
Вот со структурными это действительно траблы....были. Пришлось заставить перелопатить прямые A/B293 для US в PD-шки для S, чтоб RHPROFL0 и их обрабатывала.
Но это вопрос воспитания уже - запускать процесс не надо.

_________________
Нет сегодняшних проблем -
есть вчерашние ошибки
(с)


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Кто должен создавать роли: базис или функциональные консультанты
СообщениеДобавлено: Ср, фев 13 2019, 15:12 
Специалист
Специалист

Зарегистрирован:
Вт, июл 24 2007, 13:38
Сообщения: 101
На всех проектах где работаю за ведение ролей отвечают отдельные люди - команда безопасников (ни базис ни консультанты)

_________________
В стандарте...


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Кто должен создавать роли: базис или функциональные консультанты
СообщениеДобавлено: Ср, фев 13 2019, 15:41 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Вт, авг 31 2004, 15:57
Сообщения: 5152
Откуда: Ростов невеликий
Пол: Мужской
sonyericsson написал(а):
На всех проектах где работаю за ведение ролей отвечают отдельные люди - команда безопасников (ни базис ни консультанты)

За это ратую всегда. Более того, желательно, чтобы этот человек сидел в кадрах, но быть в оперативном подчинении ИБ. Чтобы знать сотрудников с этапа приёма на работу, проводить инструктажи, вести полномочия с пониманием ответственности.

_________________
Нет сегодняшних проблем -
есть вчерашние ошибки
(с)


Принять этот ответ
Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 11 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: BingBot


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Русская поддержка phpBB