Возможны ли полномочия на просмотр программ без их запуска?

LKU

Добрый день!
Стоит такая задача - дать консультантам в продуктиве возможность смотреть исходные тексты программ, но не запускать их на выполнение.попробовали дать se38 + объект S_DEVELOP с операцией 03 "просмотр".
Тестирование показывает, что все равно можно в se38 запустить программу на заполнение.
Что можно сделать?

Ctrelok

При добавлении транзакции SE38 в роль, автоматом подтягиваются ещё объекты полномочий.
В объекте полномочий S_PROGRAM, необходимо снять галочки у пункта "Операция пользователя".

LKU

Объект полномочий S_PROGRAM из роли убран, программу все равно можно запустить на запуск.

Jelena

Тоже интересен этот вопрос. Вот что нашлось "in the internets":

Цитата:

Is there a way to create a profile with access to the SE38 T code with only display authorization (not create/execute/delete)? I have restricted the field to DISPLAY alone in authorizations data, but still, some programs can be executed. The R/3 version is 4.5B.

> EXPERT RESPONSE
Place an authorization group on every Type 1 program (except Type 1 type-pools) and give end users authority to execute all the programs using an authorization for S_PROGRAM that has actions BTCSUBMIT and VARIANT. Do not grant access for action SUBMIT. The user will be able to submit reports from any transaction that will start the report but not from SE38 or SA38 or from any other path to a code editor including System/Status.
In some versions of SAP, it is possible to submit a report while viewing the code for an include program for the report. You must make sure that this is not possible in your version, and if it is, you must determine the availability of OSS notes to correct the weakness in your version. Later versions of SAP all allow for executing Type 1 code while viewing an include, but they do enforce the authorization check.

http://searchsap.techtarget.com/expert/ ... m1,00.html

Цитата:

I think this will work. Enter the vaules below but don't include the object S_PROGRAM. I don't have time to test it.

S_DEVELOP
Object ABAP/4 Development Workbench
Authorization XXXXXXXXXX
Field Values
Activity
03
Development class for transport system
$*, T*, Y*, Z*
Node name
*
Development object ID
FUGR, PROG
Authorization group ABAP/4 program
' '

http://sap.ittoolbox.com/groups/technic ... ess-948978

Черепах

Тоже тема заинтересовала.
В общем я перебрал все возможные варианты, и пришел к выводу, что наличие авторизации S_DEVELOP с активностью 03 вкупе с S_TCODE se38 всегда дает возможность исполнения программы. Видимо, надо искать обходные пути, при которых нет явного назначения S_TCODE se38.

Единственное, возможно в каком-нибудь пакете это исправлено. Может имеет смысл запостить сообщение на портал?

Jelena

Похоже, что нота 1012066 - Editor: Enhanced authorization check for executing reports описывает модификацию, с помощью которой этого можно достигнуть. Ну или надо authorization group программам присваивать (никогда пока что этого не делала).

Цитата:

Symptom

You can execute a report in transaction SE38 or SE80 in the standard system if you have display or change authorization and if the report is not assigned to any authorization group.

Reason and Prerequisites

The SUBMIT authorization for the S_PROGRAM authorization object is only checked if an authorization group was assigned to the report.

Solution

You can make the authorization check stricter with the modification of the EXTENDED_AUTH_CHECK_FOR_REPS function module delivered with this note.

aar

А можно написать свою программу для просмотра программ, сделать для нее транзакцию и дать полномочия только на эту транзакцию.
Вариант? :-)

bdmalex

IMHO, правильнее вообще не пускать абаперов на продуктив...

..
...
В крайнем случае дать им разрешение на запуск RS_REPAIR_SOURCE
(1167258 - Security note: Program RS_REPAIR_SOURCE)...а все остальные полномочия "отрезать"...

John Doe

aar написал(а):

А можно написать свою программу для просмотра программ, сделать для нее транзакцию и дать полномочия только на эту транзакцию.

Озадачился и написал

Программа для просмотра текста программ

aar

John Doe написал:

aar написал(а):

А можно написать свою программу для просмотра программ, сделать для нее транзакцию и дать полномочия только на эту транзакцию.

Озадачился и написал

Программа для просмотра текста программ

Здорово!
Добавить еще EDITOR-CALL FOR it_coding DISPLAY-MODE TITLE programm — и вообще красота.
:-)

Правила форума

Возможны ли полномочия на просмотр программ без их запуска?

Кто сейчас на конференции