编辑和（重新）处理IDoc的授权

Question

我正在通过访问编辑现有IDoc并重新处理它们来研究未授权交易的风险。

在以下情景中，以下特征适用：

• 用户Y属于财务部门，可以访问财务部门 SAP中的交易。
• 用户Y创建了IDOC（与财务交易相关）。
• 用户X属于人力资源部门，无法访问SAP中的财务交易。
• 用户X具有对更改IDOC的T代码级访问权。

我的问题是，哪些方案是正确的，背后的技术推理是什么？

1. 用户X可以编辑现有IDOC并重新处理成功，因为IDOC /系统会检查IDOC创建者的授权（在这种情况下：用户Y）。
2. 用户X可以编辑现有的IDOC并重新处理成功，因为IDOC在队列中并且不会检查其他授权。
3. 用户X可以编辑现有的IDOC，但可以不重新处理它，因为IDOC /系统会检查IDOC转换器的授权（在这种情况下：用户X）。

Answer 1

您可以为IDOC消息类型创建授权对象，因此用户无法编辑或发送未经授权的消息类型。否则用户可以1,2或3.详细信息在这里：http://sambitsapbasis.blogspot.com.tr/2009/08/special-authorization-object-for-idoc.html

Answer 2

假设用户X创建了出站 IDoc而用户Y收到了此入站 IDoc，则以下结尾将适用于您的方案：

1. 假
2. 假
3. 真

你必须明确说明：发件人与IDoc的处理器无关，只有处理器才重要。 SAP甚至recommends将发件人的授权降至最低，并在后台集体处理IDoc，以消除授予其他授权的需要。

通常，IDocs授权模型围绕these objects运行，其中最重要的是S_IDOCMONI和S_IDOCCTRL，一般规则是：

  

如果用户有权显示IDoc（由IDM控制）   S_IDOCMONI），他也能发送它。

如果要限制某些IDoc类型以便在BD87中查看和处理，则必须实施SAP备注1269516。