¡Caminando hacia el éxito!

Aprende en Comunidad

Avalados por :

Riscos de remover as autorizações DEBUG e ATTACH DEBUGGER do usuário _SYS_REPO no SAP ERP

  • Creado 01/03/2024
  • Modificado 01/03/2024
  • 22 Vistas
0
Cargando...

Olá,

Temos o usuário _SYS_REPO com autorizações de DEBUG no esquema\conteúdo SAPERP (SAPABAP1):

Eu sei que modificar a autorização de um usuário técnico não é uma boa ideia, mas o auditor recomendou remover DEBUG, ATTACH DEBUGGER desse usuário.

Tenho algumas dúvidas a respeito, pois essa autorização foi concedida durante a instalação padrão do NW no esquema\catálogo ABAP. Não encontrei informações no guia de segurança.

Você pode me dizer se há algum risco se removermos as autorizações DEBUG, ATTACH DEBUGGER do usuário _SYS_REPO?

screenshot-1.jpg
Pedro Pascal
Se unió el 07/03/2018
Pinterest
Telegram
Linkedin
Whatsapp

4 Respuestas

0
Cargando...

Olá Daulet,

Em primeiro lugar, _SYS_REPO é o proprietário de todos os objetos no repositório e ninguém pode fazer login diretamente em _SYS_REPO. Portanto, questiono por que seu auditor está preocupado com o privilégio do esquema SAP de _SYS_REPO. Ele precisa de privilégios no esquema SAP se quiser construir e ativar modelos que leiam do esquema SAP.

A maioria desses privilégios de esquema SAP para _SYS_REPO são concedidos automaticamente pelo Software Provisioning Manager, quando o SAP é instalado no banco de dados HANA.

Consulte mais em 2101316 - SAP HANA: Privilégios do usuário de banco de dados ABAP

Fiquei sabendo que no HEC, _SYS_REPO tem apenas privilégio de SELECT em SAPABAP1 (não verifiquei no HEC para confirmar), mas no caso de on-premise, o Software Provisioning Manager vai um pouco além e concede privilégios adicionais também para evitar possíveis problemas frequentes de privilégios de modelagem.

lars.breddemann explicou bem os detalhes aqui https://answers.sap.com/questions/190291/too-many-privileges-for-sysrepo.html

Você pode remover o debug de _SYS_REPO (não deve ser um problema), no entanto, acredito que você deve ser capaz de explicar ao auditor que _SYS_REPO não é um usuário para fazer login. Portanto, não deveria se preocupar com seus privilégios.

Respondido el 15/04/2024
LUCIANO RIOJA GHIOTTO
Se unió el 13/07/2019
0
Cargando...

Os artefatos de desenvolvimento são todas as "coisas" que podem ser criadas e ativadas no repositório do HANA.

Isso inclui visualizações de cálculo, visualizações SQL, procedimentos armazenados, código XS, etc.

É duvidoso que o sistema NW falhe imediatamente se o usuário _SYS_REPO não estiver presente ou não tiver todos os privilégios padrão, mas a funcionalidade do repositório do HANA certamente será afetada.

Além disso, até onde sei, modificar usuários do sistema (e seus privilégios) não é suportado.

Seria recomendável consultar primeiro a SAP antes de fazê-lo.

Respondido el 15/04/2024
LUCIANO RIOJA GHIOTTO
Se unió el 13/07/2019
0
Cargando...

Olá Lars, obrigado,

O que são os "artefatos de desenvolvimento"? São esses "artefatos" necessários para a funcionalidade normal do NW (ERP)?

Utilizamos o banco de dados como tempo de execução para o sistema ERP,

diretamente no HANADB, apenas algumas visualizações padrão para MDG são criadas.

Respondido el 15/04/2024
LUCIANO RIOJA GHIOTTO
Se unió el 13/07/2019
0
Cargando...

_SYS_REPO precisa dessas autorizações para concedê-las durante a ativação de artefatos de desenvolvimento.

Como _SYS_REPO não pode ser usado para fazer login no banco de dados ou alterar o contexto de segurança para o de _SYS_REPO, o risco provavelmente é menor do que o assumido pelo auditor.

A parte importante aqui é que o usuário _SYS_REPO está desativado por padrão e não pode ser ativado.

Respondido el 15/04/2024
LUCIANO RIOJA GHIOTTO
Se unió el 13/07/2019

contacto@primeinstitute.com

(+51) 1641 9379
(+57) 1489 6964

© 2024 Copyright. Todos los derechos reservados.

Desarrollado por Prime Institute

¡Hola! Soy Diana, asesora académica de Prime Institute, indícame en que curso estas interesado, saludos!
Hola ¿Puedo ayudarte?