Como adicionar o objeto de autorização S_TABU_DIS para conceder acesso a uma tabela específica

Bons pontos. Como ex-auditor, tenho algumas limitações na aplicação prática das minhas ideias de segurança...

Parece que quanto mais tabelas precisam ser mantidas (em produção) ou exibidas diretamente, menos viável se torna usar a segurança s_tabu_dis e é necessário confiar em (digamos 100) códigos de transação geradores de visualização de manutenção e deixar s_tabu_dis aberto.

Posso lidar com isso, mas o que não entendo é como manter alguns grupos de autorização de tabela em 100 tabelas (inserindo várias linhas de uma vez em SUCU e a função) pode ser mais trabalhoso do que criar 100 transações (cada uma separadamente) que chamam o SM30 de qualquer maneira?

PS: Se quiser lutar contra os auditores, mantenha as tabelas de um cliente diferente.

Cumprimentos,

Julius

Respondido el 15/04/2024

LUCIANO RIOJA GHIOTTO

Se unió el 13/07/2019

Agregar

Olá Julius!

Sim, entendo o que você quer dizer, e tecnicamente não estou totalmente em desacordo.

Como regra geral, pessoalmente sou contra dar acesso direto a tabelas aos usuários finais. Às vezes daria acesso ao SM30, mas ainda é difícil de controlar.

Claro que você pode atribuir uma tabela específica (por exemplo, PA0001) a um grupo de autorização do cliente (ZX) e então o acesso é concedido apenas a essa tabela. Mas como consultor de segurança, você perde o controle sobre o acesso, pois não está baseado no nome da tabela específica, mas sim no grupo de autorização, então quando outra tabela é atribuída a ZX, ela também seria acessível sem que você altere a função. Talvez esteja tudo bem, mas novamente, talvez não esteja.

Sempre lutei contra dar acesso ao SE16 aos usuários finais, e até agora tenho vencido a batalha.

Mas talvez eu devesse dar o SE16, sem o S_TABU_DIS, apenas para desafiar os auditores?

Respondido el 15/04/2024

LUCIANO RIOJA GHIOTTO

Se unió el 13/07/2019

Agregar

Olá Sr. Blaster,

Você escreveu: <i>"Pessoalmente, não recomendaria :-)"</i>

O que há de errado com SE16 / SM30 / SE16N, etc. (ou qualquer outro que não seja mais crítico do que não ter autorizações para o sistema) se o usuário tiver as autorizações corretas para S_TABU_DIS?

Saudações,

Julius

Respondido el 15/04/2024

LUCIANO RIOJA GHIOTTO

Se unió el 13/07/2019

Agregar

Primeiro. Você desafiou o usuário sobre por que ele absolutamente precisa olhar diretamente para a tabela?

Segundo. Você realmente não pode dar acesso a apenas uma tabela. Você dará acesso a um grupo de tabelas. Você pode ver os grupos de tabelas em TDDAT. Se precisar dar acesso a esta tabela em particular, terá que atribuí-la a um novo grupo de tabelas.

Terceiro. Você pode fornecer acesso através, por exemplo, do SE16.

Pessoalmente, embora não recomendaria

Respondido el 15/04/2024

LUCIANO RIOJA GHIOTTO

Se unió el 13/07/2019

Agregar

Etiquetas más populares

Ver todo

4 Respuestas

Etiquetas más populares

Preguntas más populares

Partners: