¡Caminando hacia el éxito!

Aprende en Comunidad

Avalados por :

Riesgos de eliminar las autorizaciones DEBUG y ATTACH DEBUGGER del usuario _SYS_REPO en SAP ERP

  • Creado 01/03/2024
  • Modificado 01/03/2024
  • 28 Vistas
0
Cargando...

Hola,

Tenemos al usuario _SYS_REPO con autorizaciones de DEBUG en el esquema\contenido SAPERP (SAPABAP1):

Sé que modificar la autorización de un usuario técnico no es una buena idea, pero el auditor recomendó eliminar DEBUG, ATTACH DEBUGGER de ese usuario.

Tengo algunas dudas al respecto, ya que esa autorización se otorgó durante la instalación estándar de NW al esquema\catálogo ABAP. No encontré información en la guía de seguridad.

¿Puedes decirme si hay algún riesgo si eliminamos las autorizaciones DEBUG, ATTACH DEBUGGER del usuario _SYS_REPO?

screenshot-1.jpg
Pedro Pascal
Se unió el 07/03/2018
Pinterest
Telegram
Linkedin
Whatsapp

4 Respuestas

0
Cargando...

Hola Daulet,

En primer lugar, _SYS_REPO es el propietario de todos los objetos en el repositorio y nadie puede iniciar sesión directamente en _SYS_REPO. Por lo tanto, me pregunto por qué su auditor está preocupado por el privilegio del esquema SAP de _SYS_REPO. Necesita privilegios en el esquema sap, si desea construir y activar modelos que lean desde el esquema sap.

La mayoría de estos privilegios de esquema SAP para _SYS_REPO son otorgados automáticamente por el Software Provisioning Manager, cuando SAP se instala en la base de datos HANA.

Consulte más en 2101316 - SAP HANA: Privileges of the ABAP database user

Me enteré de que en HEC, _SYS_REPO solo tiene privilegio de SELECT en SAPABAP1 (no lo he verificado en HEC para confirmar), pero en el caso de on-premise, el Software Provisioning Manager va un poco más allá y otorga privilegios adicionales también para evitar posibles problemas frecuentes de privilegios de modelado.

lars.breddemann ha explicado bien los detalles aquí https://answers.sap.com/questions/190291/too-many-privileges-for-sysrepo.html

Puede eliminar el debug de _SYS_REPO (no debería ser un problema), sin embargo, creo que debería estar en posición de explicarle al auditor que _SYS_REPO no es un usuario para iniciar sesión. Por lo tanto, no debería preocuparse por sus privilegios.

Respondido el 15/04/2024
LUCIANO RIOJA GHIOTTO
Se unió el 13/07/2019
0
Cargando...

Los artefactos de desarrollo son todas las "cosas" que se pueden crear y activar en el repositorio de HANA.

Esto incluye vistas de cálculo, vistas SQL, procedimientos almacenados, código XS, etc.

Dudo que el sistema NW falle inmediatamente si el usuario _SYS_REPO no estuviera presente o no tuviera todos los privilegios estándar, pero la funcionalidad del repositorio de HANA ciertamente se verá afectada.

Además, hasta donde sé, modificar usuarios del sistema (y sus privilegios) no está soportado.

Sería recomendable consultar primero con SAP antes de hacerlo.

Respondido el 15/04/2024
LUCIANO RIOJA GHIOTTO
Se unió el 13/07/2019
0
Cargando...

Hola Lars, gracias,

¿Qué son los "artefactos de desarrollo"? ¿Son estos "artefactos" necesarios para la funcionalidad normal de NW (ERP)?

Utilizamos la base de datos como tiempo de ejecución para el sistema ERP,

directamente en HANADB solo se crean algunas vistas estándar para MDG.

Respondido el 15/04/2024
LUCIANO RIOJA GHIOTTO
Se unió el 13/07/2019
0
Cargando...

_SYS_REPO necesita esas autorizaciones para poder otorgarlas durante la activación de artefactos de desarrollo.

Dado que _SYS_REPO no puede utilizarse para iniciar sesión en la base de datos o cambiar el contexto de seguridad a ese de _SYS_REPO, el riesgo probablemente sea menor de lo que asume el auditor.

La parte importante aquí es que el usuario _SYS_REPO está desactivado por defecto y no puede activarse.

Respondido el 15/04/2024
LUCIANO RIOJA GHIOTTO
Se unió el 13/07/2019

contacto@primeinstitute.com

(+51) 1641 9379
(+57) 1489 6964

© 2024 Copyright. Todos los derechos reservados.

Desarrollado por Prime Institute

¡Hola! Soy Diana, asesora académica de Prime Institute, indícame en que curso estas interesado, saludos!
Hola ¿Puedo ayudarte?