Добрый день комрады.

Скажите, у вас в организациях кто ведет роли и полномочия?
консультанты по направлениям или базис?

И кто должен это делать? Базис который незнает бизнеса или консультант который говорит что это базисная работа?

роли должна проверять, присваивать и вести служба security, а разрабатывать - консультанты по модулям

Что я видел:
1. "наполняют" объектами консультанты, присваивает и аудитит базис.
2. сидит отдельный базисник который отвечает за роли и за все объекты. Соответственно он все и делает - и объекты добавляет и присваивает и аудитит.
3. "наполняют" объектами консультанты, присваивает человек от бизнеса, аудитит базис

Добрый день!
Зависит от того, какая у вас концепция полномочий. Шаблонную роль у нас создают консультанты, деривируют/присваивают в GRC, аудит вроде бы базис.

документ разрабатывается в проекте - "Политика информационной безопасности" - там все вопросы и уточняются. В ответственных решениях не только полномочия, но и поддержка бэкапа относятся к безопасности.

У нас концепция состоит из деревируемых ролей, в итоге ролей
Материнских ~170
Деревируемых ~ 8000

Скажите, базис сможет вытянуть все это (в плане ведения и тех и тех ролей)? не понимая особенностей бизнеса?

Или все-таки это стоит возложить на Консультантов по направлениям? (целиком вместе с деревацией)

PS

просто меня заверяют что материнские роли - обязанность консультанта , а Деревируемые - базис... это ок?

Если деревируемые исключительно по орг уровням - то нормально.

Разработка - консультанты по модулям, общий контроль и ответсвенность за базисником.

Откуда базису знать какой орг уровень где прописывать , если их в ролях до 10 штук а ролей по 50 БЕ и у каждой БЕ по 15 заводов

Всем привет.
Как вижу я правильную организацию работы:
1. консультанты - классифицируют проблему; помогают решить не сложные тех. задачи; объщаются с бизнесом на тему, как это работет и что нужно сделать, чтобы получилось "вот".
2. авторизация - (у многих эту функцию выполняют консультанты, что считаю неправильным подходм) они занимаются изменением системы, т.е. конкретно меняют \ создают роли. Т.е. консультант понятным, для авторизатора, языком говорит что нужно бизнесу, авторизатор это делает.
3. security - проверяет работу авторизаторов, т.е. проверяет вновь созданные роли, либо изменение в старых + занимается присвоение полномочий (ну не единолично, а на последнем этапе), и согласование прочей деятельности (выгрузки, фоновые задания, копирование системы и т.п.)
4 Базис - это администраторы системы - накатывают патчи\обновления, проверяют загрузку серверов, + на них, по идее, внешняя безопасность, безопасность периметра, копирование системы и многое многое друго (плюс у нас в конторе они занимаются переносом в продуктив(после согласования seurity))

p.s. sorry за ошибки
p.p.s. если речь не о текущей работе, а о проектах , то там появляются еще другие персонажи.

Ну по уму 98% ролей по орг уровням должны соответствовать орг уровню пользователя.
Т.е. роль для бухалтера в БЕ 1111 должна быть ограничена по орг уровню БЕ 1111. Остальные 2% ролей соответственно пошире орг полномочия - например у глав буха группы компании ограничений по БЕ вообще не должно быть и т.д.

Мухи отдельно...

ещё мои 2 копейки:

1. Базис выполняет очень разные задачи. Иногда это одна группа, но бывает эти функции разделены между специалистами соответствующих отделов предприятия. Минимальное ядро SAP Basis-а (то что никуда не пристроишь это транспорты, производительность и апдейты SAP-систем.
Впрочем и второе-третье может быть отдано на аутсорсинг, а транспорты и ежедневка поручена дежурной IT 1-линии (если она есть) предприятия. (т.е. настроен SM- мониторинг со всеми приблудами)

2. Безопасность. Можно считать , что Basis/Security, это прошедшие ADM940/950. Эти люди могут иметь доступ к конфиденциальным данным, получать за это соответствующую надбавку и находится в структуре отдела безопасности. В отличие от других basis-специалистов, они могут иметь права доступа в рабочие манданты продуктивных систем. (но и это может быть ограничено через CUA и оргструктурное ведение ролей)
Кроме того, централизованная бэкап-служба (с администраторами DB) предприятия иногда находится там же, как обеспечивающая общую безопасность данных.

ну да, я это не стал писать т.к. слишком много всего, естетственно, что у security должны быть полномочия во всех системах т.к. задачи бывают разные и необходимо контролировать рабочий процесс постоянно, контроль работы security обычно проверяется внешним аудитом (ну скажем раз в 3 года) а по поводу курсов... ADM940/950 - там много чего нет, это очень поверхностные курсы, нормальный безопасник должен шарить и в бизнесе и в работе консультантов и в авторизаторах и в базисе, но этого можно достичь только опытом, так что на эти два курса я бы не уповал... там куча всего, нужно знать abap иначе как проверять authority check? а если транзакция рукописная, ее тоже надо проверить, подводных камней много.

рассмотрен лоукостер - клиент считает каждый рупь и не планирует "нормальных" в штате
а имеющихся "общесистемных" безопасников отправить "повысить квалификацию" на 940/950 и поручить полномочия. И раз в год-два их будут бить за sap_all и прочие шалости

углУбить разделение труда на ниве повышения производительности - нынешний мэйнстрим

это-то и печально, так что как я и писал выше только время, только опыт...ну и желание самого человека развиваться... кстати, может не в тему, но подскажите как можно глянуть что из компонентов GRC установлено, а то базис не хочет работать ))