Yetkilendirmeye ait kritik nesneler

Övünç DİNÇ

Çözüm Ekibi
Kayıtlı Üye
Katılım
8 Eki 2016
Mesajlar
939
Çözümler
4
Tepki puanı
276
Puanları
63
Yaş
42
Konum
İzmir
Web Sitesi
sapforo.com
Kullandığınız SAP Modülleri
  1. SAP MM
  2. SAP PP
  3. SAP FI
  4. SAP QM
Katılım Bölgesi
  1. İzmir
Geliştirme ve Program yürütme (SE38, SA38)

S_DEVELOP
Geliştirme yapma yetkisi. Canlı sistemde son kullanıcıya kesinlikle verilmemesi gereken bir yetki nesnesidir. Standart işlerde bu yetki nesnesine ihtiyaç yoktur. İçerdiği kritik yetkilerden biri de DEBUG yetkisidir. Canlı sistemdeki bir kullanıcıda bulunması uygun değildir. Geliştirme yapan kullanıcılara ihtiyaç duyulduğunda verilmelidir (debug sadece), verilmiş kullanıcılarda da sadece görüntüleme yetkisi bulunmalıdır. Create, Change, Delete , Create in DB, Delete in DB, Convert to DB yetkileri olmamaldır.

Kullanım: Oluşturulmuş tüm rollerin içinden S_DEVELOP yetki nesnesi disable edilmelidir.

S_PROGRAM
Program Çalıştırma yetkisi. SE38 ve SA38 işlem kodlarından program yürütebilme (dialog ve background) ve varyant oluşturup bakımını yapma yetkisi. Kullanıcılara direkt S_PROGRAM yetkisi vermek güvenlik açığı sayılabilir. Eğer program yetki grupları oluşturulmamış ise kullanıcı her programı çalıştırabilir.

Kullanım: Mümkün olduğu kadar kullanıcılara bu yetki verilmeyip çalıştırılması gereken raporların transaction koduna bağlanması gerekir. Böylece yetki kısıtlama transaction bazında mümkün olacaktır. Yoksa çalıştırılması gereken programlar için yetki grupları oluşturulup bunlarla kısıtlama sağlanmalıdır.

Background İşlemler Yetkileri (SM36-SM37)

S_BTCH_JOB
SM37 işlem koduna girme yetkisi olan biri başkalarının işlerini release ederek başlamasını sağlayabilir.
Kullanım: Background işlerle çalışan kullanıcılar dışında disable edilmeli.

S_BTCH_NAM
Artalan işini planlayan kullanıcının seçebileceği kullnıcıları belirler.
Kullanım: Ihtiyaca göre

S_BTCH_ADM
Bir kullanıcının artalan işleri yöneticisi olup olmadığını belirler.
Kullanım: Sadece artalan iş yöneticilerine verilmelidir.

S_RZL_ADM (SM49, SM69)
Harici program çalıştırma yetkisi. Genelde ihtiyaç duyulmayan bir yetkidir.
Kullanım: Sadece ihtiyacı olan kullanıcılarda bulunmalıdır. Disable…

Yazıcı ve Spool İşlemleri (SPAD, SP01, SP02)

S_SPO_DEV
Kullanıcının kullanabileceği yazıcıları belirler.
S_SPO_ACT

Spool requestleri ile yapılabilecek işlemler. Kullanıcı sadece kendi spool requestlerini yönetebilmelidir.
S_ADMI_FCD

Spool sistemi yöneticisi işlemleri. Çok önemli bir yetki nesnesidir. Kullnıcılara direkt sistem yönetimi fonksiyonları sağlar. Son Kullanıcıların bu yetkiye ihtiyaçları yoktur.

GUI İşlemleri

S_GUI
Genelde kullanıcılarda bulunması gerekir. Dikkat edilmesi gereken fonksiyonları download ve upload. Kritik verilerin güvenliği için disable edilmesi gerekebilir.

S_DATASET
Canlı sistemde genelde “read” ve “read with filter” dışındaki aktivitelere ihtiyaç duyulmaz.
S_RFC

RFC işlemlerinin güvenliğini sağlar. Bu yetki nesnesi ile kimlerin RFC olarak başka sistemlere bağlanabileceği belirlenir. Genelde son kullnıcılarda ihtiyaç duyulan bir yetki değildir. RFC işlemleri bu iş için özel olarak oluşturulmuş artalan kullanıcıları ile yapılmalıdır.

Kullanım: disable

Tablo Kontrolü (SE16, SM30, SM31)

S_TABU_DIS
Doğrudan tablo giriş yetkisi verir. Kısıtlama görüntüle ve değiştir şeklinde değiştirilebilir. Kullanıcılar canlı sistemde genelde doğrudan tablo giriş ihtiyacı duymazlar. Eğer ihtiyaç duyan kullanıcılar varsa bunlara sadece ihtiyaç duydukları tablolar için yetki verilmelidir. Bunu da tablo yetki grupları ile sağlamak mümkündür.

Kullanım: SE16 işlem koduna ihtiyaç duyuluyorsa, bu yetki en uygun yetkilendirme, SE16 işlem kodunun ilgili tablo ile bir bir işlem koduna bağlanmasıdır. Yoksa yetki grupları oluşturulup kısıtlama yapılmalıdır.

S_TABU_CLI

S_TABU_DIS ile aynı. Üstbirim bağımsız tabloların giriş yetkilerini sağlar. Güvenliği S_TABU_DIS gibi sağlanmalıdır.
Kullnıcıların genelde ihtiyaçları olmaz.

Arşivleme
S_ARCHIVE

Arşivleme yetkileri için yetki nesnesi. Arşivleme yapmayacak kullanıcıların ihtiyaç duyacağı bir yetki değildir. Rollerin kalabalık olmaması açısından silinmesinde fayda vardır.

Kullanıcı Yönetimi
S_USER_GRP

Kullanıcıların oluşturulması, değiştirilmesi, yetki atanması ile iligli yetkileri içerir.
Kullanım:Sadece kullanıcı yöneticilerinde olmalıdır.

S_USER_AGR
Rollerin oluşturulması ve yönetilmesi ile ilgili yetkileri içerir.
Kullanım: Sadece kullanıcı yöneticilerinde olmalıdır.
S_USER_TCD

Kullanıcı yöneticileri için rollerin içine eklenebilecek transactionları belirler
Kullanım: İhtiyaca göre
S_USER_VAL

Kullanıcı yöneticileri için bir rolün içine hangi yetkilerin eklenebileceğini kısıtlar.
Kullanım: İhtiyaca göre

S_USER_AUT
Rollerin “Yetkilerin değiştirilmesi” bölümüne kimlerin girebileceğini belirler.
Kullanım: Sadece kullanıcı yöneticilerinde olmalıdır.

S_USER_PRO
Bir rolün generate edilebilme yetkisi.
Kullanım: Sadece kullanıcı yöneticilerinde olmalıdır

CTS Yetkileri
S_TRANSPRT

Requestlerle ilgili yetkileri belirler. Canlı sistemde son kullanıcıların bu yetkiye ihtiyaçları yoktur.
Kullanım: Sadece ihtiyaç duyacak kullanıcılarda bulunmalıdır. Dğer rollerden disable edilmelidir. Son kullanıcıların ihtiyacı yoktur.

S_CTS_ADMI
Sistem yönetimi ile ilgili çok kritik yetkileri içerir. Support package yükleme, request import, sistemi uyarlamaya ve değişkliğe açma, kapama gibi.
Kullanım: Sadece sistem yöneticisinde olmalıdır. Dğer rollerden disable edilmelidir.
 
Üst