大家好，

我想和大家分享一个场景，我们已经确定FF用户可以绕过GRC EAM的用户退出机制。我非常感谢您的意见，以了解消除这种风险的最佳选择是什么。

假设我是FF用户，本例中是ZFFUSER，因此我被分配到一个角色，哪个云服务器，该角色允许我执行分散模型的/grcpi/gria\eam。角色还必须包含如下S\u USR\u GRP权限：

根据NW版本，物联网城市，可能不需要ACTVT 02，但需要ACTVT 05，因为当我签出FF时，我的用户ID将在内部为FF ID生成一个新的随机密码。

假设在这种情况下ZFFUSER还具有一些S\u RFC权限，并且作为这些权限的一部分BAPI用户变更包括在内。

在这种情况下，我将考虑使用RFC连接，如下所示和SE37，但请注意，可以使用Excel宏在SAP外部调用功能模块，例如

假设我已创建此RFC

然后使用ZFFUSER登录并执行SE37，返利折扣，如下所示：

执行，大数据包括哪些内容，然后

请注意SE37不是强制性的。在非SAP程序中也可以实现同样的效果，只要将S\u RFC和S\u USR\u GRP分配给用户

现在我的FF ID ZFIREFIGHTER的密码是"Diego123！"。

让我们尝试直接登录：

这是预期的。用户退出不允许我登录。

但是让我们回到RFC并在连接中设置ZFIREFIGHTER：

让我们现在尝试远程登录：

现在我用FF ID登录，并且我绕过了用户退出机制。

请注意，云服务器是什么，除了远程登录之外，我还可以使用此FF执行对系统的功能模块调用我之前设置的密码。这可以使用Excel或SAP的任何其他脚本工具来完成。

如果FF ID有足够的权限，BAPI调用也可以用于此：

然后我可以用SAP登录

如果用户被锁定，我可以用BAPI解锁，如果它没有分配给SAP\ U ALL也是一样。

好吧，就这样。希望你对此有兴趣，并分享一些想法

一个重要的一点要注意的是，这取决于对S\U RFC权限的适当限制，但我认为用户退出也应该考虑远程登录，你怎么看？