Cómo agregar el objeto de autorización S_TABU_DIS para dar acceso a una tabla específica

Buenos puntos. Como ex auditor, tengo algunas limitaciones en la aplicación práctica de mis ideas de seguridad...

Parece que cuantas más tablas haya que mantener (en producción) o mostrar directamente, menos factible se vuelve usar la seguridad de s_tabu_dis y debes confiar en (digamos 100) códigos de transacción generadores de vista de mantenimiento y dejar s_tabu_dis abierto.

Puedo vivir con eso, pero lo que no entiendo es cómo mantener algunos grupos de autorización de tabla en 100 tablas (insertando múltiples líneas a la vez en SUCU y el rol) puede ser más esfuerzo que crear 100 transacciones (cada una por separado) que llaman a SM30 de todos modos?

PD: Si quieres luchar contra los auditores, mantén las tablas desde un cliente diferente.

Saludos,

Julius

Respondido el 15/04/2024

LUCIANO RIOJA GHIOTTO

Se unió el 13/07/2019

Agregar

¡Hola Julius!

Sí, entiendo a lo que te refieres, y técnicamente no estoy totalmente en desacuerdo.

Como regla general, personalmente estoy en contra de dar acceso directo a tablas a los usuarios finales. A veces daría acceso a SM30, pero aún es difícil de controlar.

Claro que puedes asignar una tabla en particular (por ejemplo, PA0001) a un grupo de autorización específico del cliente (ZX) y luego el acceso se otorga solo a esta tabla. Pero como consultor de seguridad, pierdes el control sobre el acceso, ya que no te basas en el nombre de la tabla en particular, sino en el grupo de autorización, por lo que cuando se asigna otra tabla a ZX, esta también sería accesible sin que cambies el rol. Quizás esté bien, pero nuevamente, quizás no lo esté.

Siempre he luchado contra dar acceso a SE16 a los usuarios finales, y hasta ahora he ganado la batalla.

Pero quizás debería dar SE16, sin S_TABU_DIS, solo para desafiar a los auditores 😉

Respondido el 15/04/2024

LUCIANO RIOJA GHIOTTO

Se unió el 13/07/2019

Agregar

Hola Sr. Blaster,

Escribiste: <i>"Personalmente, no lo recomendaría :-)"</i>

¿Qué está mal con SE16 / SM30 / SE16N, etc. (o cualquier otro que no sea más crítico que no tener autorizaciones para el sistema) si el usuario tiene las autorizaciones correctas para S_TABU_DIS?

Saludos,

Julius

Respondido el 15/04/2024

LUCIANO RIOJA GHIOTTO

Se unió el 13/07/2019

Agregar

Primero. ¿Has desafiado al usuario sobre por qué absolutamente tiene que mirar directamente en la tabla?

Segundo. Realmente no puedes dar acceso a solo una tabla. Darás acceso a un grupo de tablas. Puedes ver los grupos de tablas en TDDAT. Si necesitas dar acceso a esta tabla en particular, tendrías que asignarla a un nuevo grupo de tablas.

Tercero. Puedes proporcionar el acceso a través de, por ejemplo, SE16.

Personalmente, aunque no lo recomendaría

Respondido el 15/04/2024

LUCIANO RIOJA GHIOTTO

Se unió el 13/07/2019

Agregar

Etiquetas más populares

Ver todo

4 Respuestas

Etiquetas más populares

Preguntas más populares

Partners: