大家好,
我想和大家分享一个场景,我们已经确定FF用户可以绕过GRC EAM的用户退出机制。我非常感谢您的意见,以了解消除这种风险的最佳选择是什么。
假设我是FF用户,本例中是ZFFUSER,因此我被分配到一个角色,哪个云服务器,该角色允许我执行分散模型的/grcpi/gria\eam。角色还必须包含如下S\u USR\u GRP权限:
根据NW版本,物联网城市,可能不需要ACTVT 02,但需要ACTVT 05,因为当我签出FF时,我的用户ID将在内部为FF ID生成一个新的随机密码。
假设在这种情况下ZFFUSER还具有一些S\u RFC权限,并且作为这些权限的一部分BAPI用户变更包括在内。
在这种情况下,我将考虑使用RFC连接,如下所示和SE37,但请注意,可以使用Excel宏在SAP外部调用功能模块,例如
假设我已创建此RFC
然后使用ZFFUSER登录并执行SE37,返利折扣,如下所示:
执行,大数据包括哪些内容,然后
请注意SE37不是强制性的。在非SAP程序中也可以实现同样的效果,只要将S\u RFC和S\u USR\u GRP分配给用户
现在我的FF ID ZFIREFIGHTER的密码是"Diego123!"。
让我们尝试直接登录:
这是预期的。用户退出不允许我登录。
但是让我们回到RFC并在连接中设置ZFIREFIGHTER:
让我们现在尝试远程登录:
现在我用FF ID登录,并且我绕过了用户退出机制。
请注意,云服务器是什么,除了远程登录之外,我还可以使用此FF执行对系统的功能模块调用我之前设置的密码。这可以使用Excel或SAP的任何其他脚本工具来完成。
如果FF ID有足够的权限,BAPI调用也可以用于此:
然后我可以用SAP登录
如果用户被锁定,我可以用BAPI解锁,如果它没有分配给SAP\ U ALL也是一样。
好吧,就这样。希望你对此有兴趣,并分享一些想法
一个重要的一点要注意的是,这取决于对S\U RFC权限的适当限制,但我认为用户退出也应该考虑远程登录,你怎么看?