Внедрение SAP R/3: Руководство для менеджеров и инженеров
Шрифт:
Пользователь EARLYWATCH имеет авторизацию только для доступа к функциям мониторинга характеристик работы системы; он также может просматривать (но не изменять) технические данные, необходимые для служб
EARYWATCH и GoingLive Check, если через удаленное соединение к системе подключаются консультанты SAP. Первоначальный пароль пользователя EARYWATCH — SUPPORT, при создании основной записи ему присваивается профиль авторизации S_TOOLS_EX_A.
После инсталляции системы рекомендуется сменить первоначальные пароли для всех указанных пользователей.
Группы активности — это группы пользователей, которых объединяет либо общая функциональная
В широком смысле авторизация пользователей включает в себя все устройства предоставления доступа пользователям SAP для осуществления тех или иных функций или видов деятельности. Такие авторизации присваиваются пользователям путем фиксирования профилей и авторизации в соответствующих основных записях пользователя. Как станет ясно после прочтения остальных подразделов, присвоение прав доступа в SAP — достаточно сложная, комплексная процедура.
В соответствии со свойственной SAP философией многократного использования, система SAP предлагает широкий спектр наиболее часто используемых заранее заданных профилей авторизации для облегчения работы администратора. Пользователю можно быстро присвоить заранее заданный профиль из этой библиотеки профилей, или многократно использовать стандартную авторизацию как шаблон для создания новых, индивидуальных профилей (при этом сами стандартные авторизации не должны изменяться). Когда создается новый профиль, перед использованием его необходимо активировать.
Поля авторизации
Это элемент самого низкого уровня в системе авторизации. Поля авторизации — компоненты объектов авторизации; они ассоциируются с элементами данных в словаре данных АВАР/4. Эти поля могут быть классом разработки, группой пользователей или областью приложений, а также могут идентифицировать деятельность, т. е. операции с защищенными системами проверки прав доступа. Такие операции могут быть следующих типов: создание, изменение, просмотр, печать, блокирование, удаление, запись, активация, изменение параметров просмотра документов и т. д.
Объекты авторизации
Объекты авторизации — это элементы или объекты, необходимые для поддержания безопасности системы SAP. Объект авторизации содержит до 10 полей авторизации. Пользователям дозволяется осуществить системную функцию только после успешного прохождения проверки прав доступа во всех полях авторизации.
Для облегчения управления все объекты авторизации группируются в классы авторизации в зависимости от областей их применения. На рис. 11.4 представлен экран Обновление авторизации.
Рис. 11.4. Экран Обновление авторизации.
Авторизации
Авторизации определяют допустимые значения полей авторизации по кодам компаний, областям приложений, группам пользователей и т. д. Авторизация может состоять из многих действительных значений или диапазонов значений для соответствующего поля авторизации. Символ «*» разрешает любые значения, отсутствие значения означает отказ авторизации.
Авторизации применимы к профилям авторизации
с соответствующими объектами авторизации. Если авторизация изменяется, все профили, в которые входит данная авторизация также изменяются.Авторизация и составные профили
Профиль авторизации состоит из многих объектов авторизации. Составной профиль состоит из комплекта профилей авторизации, что особенно удобно, если пользователям для выполнения своих обязанностей необходимо несколько авторизации. Это — высший уровень, на котором в основной записи пользователя авторизации могут задаваться для конкретного пользователя. На рис. 11.5 представлен начальный экран профилей авторизации.
Рис. 11.5. Начальный экран профилей авторизации.
Любые изменения в профилях вступают в силу и затрагивают права доступа пользователей только после активации измененных профилей и после завершения пользователем текущей сессии. Измененный профиль будет действовать только при следующем подключении этого пользователя.
Профиль авторизации SAP_ALL дает права доступа в масштабе всей системы, в том числе к техническим функциям и функциям, связанным с приложениями. Профиль авторизации S A P N E W подразумевает, что к нему добавляются все новые объекты авторизации для существующих функций, введенные в новые релизы R/3.
Несмотря на то, что один главный пользователь может осуществлять все администрирование пользователей в SAP, компания SAP настоятельно рекомендует распределять ответственности за поддержание основных записей по пользователям и авторизацию между тремя администраторами для обеспечения максимальной безопасности, а также для упрощения процедур администрирования. Обязанности этих трех администраторов могут распределяться следующим образом:
• Администратор пользователей — осуществляет наблюдение за всеми или несколькими группами пользователей, а также задает и обновляет главные записи пользователей и присваивает пользователям одну или несколько групп активности.
• Администратор профилей авторизации — может задавать или модифицировать авторизации и профили, но не может изменять основные записи пользователей или группы активности.
• Администратор групп активности — создает группы активности и определяет соответствующие транзакции R/3, но не может изменять основные записи пользователей или профили авторизации.
Трассировка авторизации
Трассировка авторизации полезна в случае, если пользователь испытывает трудности с доступом к той или иной важной для него функциональности или транзакции. Авторизацию можно проверить двумя способами:
• Транзакция анализа авторизации — это быстрый метод, специально предназначенный для анализа авторизации, но он доступен только в текущей сессии пользователя. Получив сообщение об ошибке, пользователь может запустить это средство анализа из любого экрана, выбрав из меню «Система — Утилиты — Просмотр и проверка авторизации» (или использовать код транзакции SU53) для просмотра объекта авторизации и соответствующих значений.
• Системная трассировка — это инструмент общего назначения, который рассматривался в подразделе «Системные утилиты трассировки» в главе 7. Один из пунктов меню этого инструмента — проверка авторизации. Активизировать опцию и запустить сессию трассирования можно для любой транзакции или экрана. Имеется возможность записать на диск результаты трассировки для последующего исследования.