Текущее время: Чт, мар 28 2024, 12:28

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 13 ] 
Автор Сообщение
 Заголовок сообщения: Ликбез - проверка полномочий для ТН
СообщениеДобавлено: Пн, сен 27 2021, 11:38 
Ассистент
Ассистент

Зарегистрирован:
Чт, сен 06 2012, 15:44
Сообщения: 39
Доброго дня! Прошу подсказать подходы к решению проблемы. Есть веб-сервисы по кадрам, и каждый сотрудник может посмотреть по себе инфу, так же как и руководитель по себе и подчиненным. Было замечено, что на фронте в отладчике, в запросе одата можно подставлять любые табельники и смотреть что приходит. Тоесть любой пытливый юзер увидит к примеру оклад гендира.
Чтобы юзер получал данные согласно полномочиям требуется завязаться на проверку сруктурных полномочий пользователя на входе. Но не совсем понятно как это делается и какая задача ставится разработчику. Повторюсь это касается запросов, в ЛК все ограничено ess mss и тп


Пометить тему как нерешенную
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Ликбез - проверка полномочий для ТН
СообщениеДобавлено: Пн, сен 27 2021, 12:03 
Гуру-эксперт
Гуру-эксперт

Зарегистрирован:
Пт, сен 07 2007, 07:53
Сообщения: 1392
У вас либо полномочия неправильно нарезаны, либо ваши веб-сервисы как-то читают данные без проверки полномочий.
Если полномочия нарезаны верно, и программы читают данные как положено через ФМ (не обращаются напрямую к таблицам), то и прочитать данные, до которых нет доступа, нельзя. При этом не требуется в каждой отдельной программе дополнительно что-то проверять, типа структурных полномочий.


Пометить тему как нерешенную
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Ликбез - проверка полномочий для ТН
СообщениеДобавлено: Пн, сен 27 2021, 12:14 
Ассистент
Ассистент

Зарегистрирован:
Чт, сен 06 2012, 15:44
Сообщения: 39
RoustR написал(а):
У вас либо полномочия неправильно нарезаны, либо ваши веб-сервисы как-то читают данные без проверки полномочий.

там инфотипы читаются через ФМ, но у них стоит параметр не проверять структурные полномочия.
Попробуем включить потестить
И главное не понятно, сломется ли что, например не сможет юзер видеть свои банковские реквизится или что-то в этом роде...


Пометить тему как нерешенную
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Ликбез - проверка полномочий для ТН
СообщениеДобавлено: Пн, сен 27 2021, 13:25 
Гуру-эксперт
Гуру-эксперт

Зарегистрирован:
Пт, сен 07 2007, 07:53
Сообщения: 1392
Ну есть же объект полномочий P_PERNR, с помощью которого можно определить доступ к данным своего ТН. Пропишите доступ ко всем ИТ своего ТН, будет доступ ко всем ИТ.


Пометить тему как нерешенную
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Ликбез - проверка полномочий для ТН
СообщениеДобавлено: Пн, сен 27 2021, 16:19 
Ассистент
Ассистент

Зарегистрирован:
Чт, сен 06 2012, 15:44
Сообщения: 39
RoustR написал(а):
Ну есть же объект полномочий P_PERNR, с помощью которого можно определить доступ к данным своего ТН. Пропишите доступ ко всем ИТ своего ТН, будет доступ ко всем ИТ.


А служба поддержки получается не сможет видеть эти данные, только сам юзер?

Второй вопрос : каким образом формируется структура подчиненных в профиле MSS, хотя-бы по дефолту?


Пометить тему как нерешенную
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Ликбез - проверка полномочий для ТН  Тема решена
СообщениеДобавлено: Вт, сен 28 2021, 11:03 
Почетный гуру
Почетный гуру

Зарегистрирован:
Вт, ноя 07 2006, 10:12
Сообщения: 1193
Откуда: Москва
Пол: Мужской
flashdeath написал(а):
RoustR написал(а):
Ну есть же объект полномочий P_PERNR, с помощью которого можно определить доступ к данным своего ТН. Пропишите доступ ко всем ИТ своего ТН, будет доступ ко всем ИТ.


А служба поддержки получается не сможет видеть эти данные, только сам юзер?

Второй вопрос : каким образом формируется структура подчиненных в профиле MSS, хотя-бы по дефолту?


Для MSS ксть отдельная ветка в спро. Технрически это тупо sapquery, который просто отбирает всех сотрудников O, где для этой O есть связь к P через O-B012-S.

Тот P, который находится на этой S, когда запускает свой личный MSS-кабинет видит всех своих нпосредственных подчиненных.

Еще гд мона посмотреть настройки MSS это транзакция POWL_COCKPIT там найдете где нить что-то связайнное с MSS и там уже смотрите как кокпиты настроены.

_________________
С уважением, Р.В. Величко


Пометить тему как нерешенную
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Ликбез - проверка полномочий для ТН
СообщениеДобавлено: Вт, сен 28 2021, 15:58 
Ассистент
Ассистент

Зарегистрирован:
Чт, сен 06 2012, 15:44
Сообщения: 39
metha написал:
Еще гд мона посмотреть настройки MSS это транзакция POWL_COCKPIT там найдете где нить что-то связайнное с MSS и там уже смотрите как кокпиты настроены.


Про кокпит слышал только ATC - инспектор кода. Что вообще из себя представляют кокпиты?


Пометить тему как нерешенную
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Ликбез - проверка полномочий для ТН
СообщениеДобавлено: Ср, сен 29 2021, 08:26 
Почетный гуру
Почетный гуру

Зарегистрирован:
Вт, ноя 07 2006, 10:12
Сообщения: 1193
Откуда: Москва
Пол: Мужской
Это спец.функциональность для ESS/MSS портала (и не только), в двух словах не объяснить, поищите в сети, есть очень хорошие мануалы. Самая главная суть их в том что для них есть из коробки

_________________
С уважением, Р.В. Величко


Пометить тему как нерешенную
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Ликбез - проверка полномочий для ТН
СообщениеДобавлено: Ср, сен 29 2021, 22:04 
Ассистент
Ассистент

Зарегистрирован:
Чт, сен 06 2012, 15:44
Сообщения: 39
Стало понятно, то что включив проверку на структурки (в которых задействованы почти стандартные фмники по некоторым объектам ОМ) есс мсс профили до сих пор не исключают получение одата запросов по любым другим табельникам. Хм... знать бы какие практики в этом случае есть... Кажется проверка на полномочия ничем не поможет в случае изменения одата запросов на фронте, в отладке.


Пометить тему как нерешенную
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Ликбез - проверка полномочий для ТН
СообщениеДобавлено: Чт, сен 30 2021, 05:18 
Директор
Директор

Зарегистрирован:
Вт, ноя 09 2010, 19:59
Сообщения: 792
Откуда: Novosibirsk
Пол: Мужской
flashdeath написал(а):
знать бы какие практики в этом случае есть... Кажется проверка на полномочия ничем не поможет в случае изменения одата запросов на фронте, в отладке.

можно попортить реальные данные в дев и тест системах
а в проде поставить ограничение на использование DEBUG (через FireFighter например)
но если вы используете в портале SSO то для тестирования ESS/MSS вам только через тестовых пользователей проводить тестирование
но в свете например NW750 SPS22 IE11 Edge Chrome вы будете вынуждены дополнительные настройки выполнять


Пометить тему как нерешенную
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Ликбез - проверка полномочий для ТН
СообщениеДобавлено: Чт, сен 30 2021, 17:17 
Ассистент
Ассистент

Зарегистрирован:
Чт, сен 06 2012, 15:44
Сообщения: 39
Оказывается еще в самих методах чтения и доставания данных из ИТ можно включать выключать проверки полномочий... мда это для меня откровение честно говоря))
Тоесть указать юзера в ООСБ это еще верхушка айсберга...


Пометить тему как нерешенную
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Ликбез - проверка полномочий для ТН
СообщениеДобавлено: Пн, окт 04 2021, 16:47 
Старший специалист
Старший специалист
Аватара пользователя

Зарегистрирован:
Пт, ноя 03 2006, 08:10
Сообщения: 476
Откуда: Архангельск
Пол: Мужской
flashdeath написал(а):
Доброго дня! Прошу подсказать подходы к решению проблемы. Есть веб-сервисы по кадрам, и каждый сотрудник может посмотреть по себе инфу, так же как и руководитель по себе и подчиненным. Было замечено, что на фронте в отладчике, в запросе одата можно подставлять любые табельники и смотреть что приходит. Тоесть любой пытливый юзер увидит к примеру оклад гендира.
Чтобы юзер получал данные согласно полномочиям требуется завязаться на проверку сруктурных полномочий пользователя на входе. Но не совсем понятно как это делается и какая задача ставится разработчику. Повторюсь это касается запросов, в ЛК все ограничено ess mss и тп


дополнительный веб-сервис с отправкой SMS кодоа доступа на номер телефона


Пометить тему как нерешенную
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Ликбез - проверка полномочий для ТН
СообщениеДобавлено: Пн, окт 04 2021, 17:13 
Ассистент
Ассистент

Зарегистрирован:
Чт, сен 06 2012, 15:44
Сообщения: 39
sergeyt написал:
flashdeath написал(а):
Доброго дня! Прошу подсказать подходы к решению проблемы. Есть веб-сервисы по кадрам, и каждый сотрудник может посмотреть по себе инфу, так же как и руководитель по себе и подчиненным. Было замечено, что на фронте в отладчике, в запросе одата можно подставлять любые табельники и смотреть что приходит. Тоесть любой пытливый юзер увидит к примеру оклад гендира.
Чтобы юзер получал данные согласно полномочиям требуется завязаться на проверку сруктурных полномочий пользователя на входе. Но не совсем понятно как это делается и какая задача ставится разработчику. Повторюсь это касается запросов, в ЛК все ограничено ess mss и тп


дополнительный веб-сервис с отправкой SMS кодоа доступа на номер телефона


Вопрос решили. Но насчет SMS идея тоже ничего :lol:


Пометить тему как нерешенную
Вернуться к началу
 Профиль Отправить email  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 13 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Русская поддержка phpBB