我正在通过访问编辑现有IDoc并重新处理它们来研究未授权交易的风险。
在以下情景中,以下特征适用:
我的问题是,哪些方案是正确的,背后的技术推理是什么?
答案 0 :(得分:0)
您可以为IDOC消息类型创建授权对象,因此用户无法编辑或发送未经授权的消息类型。否则用户可以1,2或3.详细信息在这里:http://sambitsapbasis.blogspot.com.tr/2009/08/special-authorization-object-for-idoc.html
答案 1 :(得分:0)
假设用户X创建了出站 IDoc而用户Y收到了此入站 IDoc,则以下结尾将适用于您的方案:
你必须明确说明:发件人与IDoc的处理器无关,只有处理器才重要。 SAP甚至recommends将发件人的授权降至最低,并在后台集体处理IDoc,以消除授予其他授权的需要。
通常,IDocs授权模型围绕these objects运行,其中最重要的是S_IDOCMONI
和S_IDOCCTRL
,一般规则是:
如果用户有权显示IDoc(由IDM控制)
S_IDOCMONI
),他也能发送它。
如果要限制某些IDoc类型以便在BD87中查看和处理,则必须实施SAP备注1269516。