编辑和(重新)处理IDoc的授权

时间:2016-11-30 17:40:06

标签: authorization sap idoc

我正在通过访问编辑现有IDoc并重新处理它们来研究未授权交易的风险。

在以下情景中,以下特征适用:

  • 用户Y属于财务部门,可以访问财务部门 SAP中的交易。
  • 用户Y创建了IDOC(与财务交易相关)。
  • 用户X属于人力资源部门,无法访问SAP中的财务交易。
  • 用户X具有对更改IDOC的T代码级访问权。

我的问题是,哪些方案是正确的,背后的技术推理是什么?

  1. 用户X可以编辑现有IDOC并重新处理成功,因为IDOC /系统会检查IDOC创建者的授权(在这种情况下:用户Y)。
  2. 用户X可以编辑现有的IDOC并重新处理成功,因为IDOC在队列中并且不会检查其他授权。
  3. 用户X可以编辑现有的IDOC,但可以重新处理它,因为IDOC /系统会检查IDOC转换器的授权(在这种情况下:用户X)。

2 个答案:

答案 0 :(得分:0)

您可以为IDOC消息类型创建授权对象,因此用户无法编辑或发送未经授权的消息类型。否则用户可以1,2或3.详细信息在这里:http://sambitsapbasis.blogspot.com.tr/2009/08/special-authorization-object-for-idoc.html

答案 1 :(得分:0)

假设用户X创建了出站 IDoc而用户Y收到了此入站 IDoc,则以下结尾将适用于您的方案:

  1. 你必须明确说明:发件人与IDoc的处理器无关,只有处理器才重要。 SAP甚至recommends将发件人的授权降至最低,并在后台集体处理IDoc,以消除授予其他授权的需要。

    通常,IDocs授权模型围绕these objects运行,其中最重要的是S_IDOCMONIS_IDOCCTRL,一般规则是:

      

    如果用户有权显示IDoc(由IDM控制)   S_IDOCMONI),他也能发送它。

    如果要限制某些IDoc类型以便在BD87中查看和处理,则必须实施SAP备注1269516