同样地，并非所有可以通过创建越来越多的角色和授权限制来解决的问题，都必须通过创建更多角色、更多管理和更多下游成本来处理，比如用户重新认证，业务角色所有权等来启动你的轮子旋转。

因此，在可能的情况下，必须有一些更有机和更清洁的方法来解决问题，而不是为了安全而（有时）使用安全螺母和螺栓的方法来锁人，在SAP应用程序安全方面，哪些功能方面的安全保护有时与门把手和安全限制门一样有用。

我举了一个例子，说明如何保持开放的心态，并根据需求找到最合适的解决方案，而不是默认一切都是通过已知的方式进行的，比如SHD0和阻止一些数据输入，或者创建更多的角色，更多授权组，不了解在使用这些授权实体的整个生命周期内（即引入的新角色和授权）对GRC规则集和管理成本的下游影响（更多细节在后面的段落中）

业务案例：FBV0 tode access和PTP（采购到付款）用户与RTR（记录到报告）能够绕过FV50工作流控制直接发布JE的角色

上下文：项目已经根据财务单据类型分离了业务流程，用于日记账分录（JE）过账的RTR文档类型遵循基于工作流的两步驻车和过账流程，其中审批人（与parker不同的用户）必须在过账前批准JE。

此功能设计用于通过FV50 tcode进行驻车，但在全球推出时，由于小型商店，一些用户可以访问PTP和RTR角色，并且因此，大数据推荐，当他们试图在FBV0中过账所有停驻的分录时，可能会意外地通过FBV0过账日记账分录（不检查它们是否与PTP相关），因此，业务需求是任何用户都不能使用FBV0直接过账日记账分录。

方法：

初步评估：其中一个快速解决方案是分别创建另一个用于日记账分录处理的文档类型，并将所有PTP用户从该角色中排除，以便他们无法通过FBV0过账。这意味着需要在GRC中的角色和规则集级别维护的文档类型的附加授权组，大数据汇总，同样由于我们讨论的是小型商店，是什么阻止现有PTP用户无法获得包含日记账分录文档类型的新RTR角色。

等等！：让我们退一步，重新审视最初的需求，当我想到这个需求时，我明白这并不是一个基于访问限制用户的安全需求（意味着一些用户可以发布，而其他用户不能–即在允许其他用户的同时限制一些用户），云 服务器，这更像是一个系统需求，业务部门不希望任何对话框用户在任何情况下通过FBV0发布RTR文档类型–这导致我们在（本段开头讨论的快速修复解决方案）领域之外开发一个解决方案，为JE创建另一个未分配给当前角色的文档类型通过FBV0允许用户身份验证错误，啥是大数据，但是创建更多的角色也允许用户在小商店中再次获得新的角色，并且这个解决方案可能不会真正起作用，因为它没有解决根本原因。

GDTYFRC（深入，直到找到根本原因）：这个解决方案表面上看起来像是一个快速整洁的解决方案，这是大多数人所做的在与利益相关者进行初始选项评估讨论时，集团希望与之合作，这就是为什么作为安全GRC顾问，在根本原因得到解决之前，这一点非常重要，答案并不总是在于创造更多的角色和限制，而是真正确定需求，然后调整最佳的解决方案，从而全面解决问题。

所有这些加起来是什么：你的角色数量越少，永久免费自助建站软件，你对环境的总体控制就越好，你必须找到用户和角色之间的最佳比例，没有标准的方法来实现这一点，因为这取决于业务利益相关者的认同、法规、本地化，尽管你的最佳实践建议会有所不同，但你必须始终努力争取最简简化的，可扩展和可持续的解决方案，在各种情况下尽可能将事情最小化-在这种情况下更少更真实

详细解决方案：

选项a-创建新的文档类型验证组和新角色，以防止通过FBV0发布此类JE

实现：新角色–>新验证组->新规则集更改–>新的成本安全角色和GRC AC规则集前端的所有权和管理

少走的路：选项b–创建允许系统限制的验证规则，实际上有机地解决了问题，因为不考虑授权（授权允许访问，或者由于缺乏授权而受到限制，但如果用户具有适当的授权，则在系统级总是可能执行的），但这一要求要求要求系统级限制，因为业务部门显然不希望任何人在过帐日记账分录时绕过日记账分录工作流。。因此，使用验证规则的解决方案是一个更干净和一致的选择。以下部分提供了一些关于如何创建验证规则的输入。

P.S:需要注意的必然结果-如果授权已到位，但仍然不允许访问，那么答案可能就在别处，尤其是在这种情况下——从验证规则的角度进行检查不会有什么坏处

验证规则的实施步骤：

以下是所遵循的步骤，希望这能为安全顾问了解验证规则的工作原理提供一些基础知识。

步骤1：对什么做一个粗略的草稿你想要。。在这里，我们要防止在事务fbv0