亲爱的各位，

我参考了一些SAP笔记，KBA的，由Alessandro Banzer和Madhu Babu回答的线程，发现了GRC访问控制产品的一些标准行为（如我们所知）。

想和大家分享一下，希望对您有所帮助。

1.EAM合并日志报表中没有事务描述。

Ans：由于性能问题，物联网应用技术是什么，合并报表中没有事务描述。在10.0中，有多个系统，日志来自不同基础版本的多个系统。现在，为了显示事务描述，必须为每个系统进行RFC调用。因此发现获取每个系统的事务描述会降低日志报告的性能，因此EAM报告

2中不支持按照事务描述的设计。报告和分析中的风险分析与访问管理中的风险分析结果不匹配

答案：报告和分析选项卡中的风险分析始终是脱机分析，因此您应该运行批风险分析来填充违规数据。

访问管理中的风险分析是实时分析。

两者都是只有批量风险分析成功运行并完成时，结果才是相同的。

3.如果用户帐户中的任何角色被拒绝或删除，UAR通知不会发送给进行访问审查的用户。

答案：根据标准功能，不支持向用户发送通知

如果要向用户发送通知，请进行自定义

注意：2138427

4.使用用户访问权限检查删除直接和间接角色分配

Ans:1.间接分配的角色，特别是通过HR（基于职位）的角色，不能直接从SU01中删除。

2.GRC需要HR触发器（职位更改）的系统调用来删除间接分配的角色。

（间接角色可以从PO13中删除，但在SU01中不能删除。）

3.从GRC产品功能中，UAR请求将只删除直接分配

注意：2066401

5.我们不能在BRF中使用功能区域作为角色的属性+规则，因为功能区是一个表，可以在角色中维护多个

功能区，因此，决策表中的角色不能直接使用功能区作为属性，

我们可以使用业务流程或创建表操作，使用BRF+过程读取角色的功能区。

注意：1890452

6.在从业务角色管理（BRM）更新用户分配时，plugin系统中的变更单显示更新后的用户id为执行BRM更新分配的用户，而非SM59用户

plugin系统中的变更单显示更新后的用户为登录用户，谁执行了更新分配，而不是SM59用户id。

这是为了跟踪谁实际执行了设置。

7.更改日志报告不会给出任何用户id搜索结果

更改日志报告中的用户id筛选器旨在搜索用户id字段中特定用户所做的更改，在GRC NWBC中的任何特定

对象上。

本报告中不会捕获访问请求的审核日志。

这仅用于捕获对GRC中对象所做的更改。检查IMG中的访问控制配置设置，它包含用于启用各种GRC对象（如风险/功能（在ARA功能内）、角色（来自BRM）和角色）的日志记录的参数相似。对象GRC中的参数组"更改日志"属于本报告的范围。（在IMG–维护访问控制的配置设置中提供）。

8.更改分配的缓解控制ID会创建重复的缓解分配，而不是更新旧分配。

根据输入的控制ID创建新分配是系统的标准行为。如果对控件ID做了任何更改，它将触发一个新的赋值。我们可以借助程序GRAC\ U UPLOAD\ U MIT\ U ASSIGNMENTS和GRAC\ U DOWNLOAD\ U MIT\ U ASSIGNMENTS来进行大规模更改。

注意：2026425

9.当审批者第二次尝试批准控制ID工作流请求时，出现错误消息"缓解ID不唯一"，其中控制ID与第一个工作流中的控制ID相同。

如果工作流成功ENABLED–只有在批准工作时才会发生错误项目。如果工作流未启用–在创建时按保存时显示错误。

这与缓解控制工作流功能一致–允许提交两个同名的控制ID，

但不允许批准。（此场景可能非常特定于业务，应避免创建具有相同名称/Id的控件）。

如果是工作流，我们在创建控件时不会显示任何错误消息，因为控件Id在完成之前不会生成。

一旦启动缓解控制工作流并将其发送到审批者的收件箱，只有

完成第一个工作流并创建控制Id后，才会显示此错误消息。

创建两个缓解控制工作流并将其发送给同一审批人时，审批人将只能审批一个工作流。第二次，当他尝试批准具有相同控件名称的第二个工作流时，会显示错误消息"缓解ID不唯一"，因为系统中已经存在具有相同名称的控件ID。

重要提示：如果控件是在没有工作流的情况下创建的，此错误消息出现在最开始，因此，系统将限制第二次复制。

注意：2130931

10.缓解控制更改历史

缓解控制与过程控制集成，每当创建新的缓解控制时，条目将保存在以HRP*开始的表中，示例：HRP1000保存缓解控制对象ID。

这些对象ID从过程控制ID转换为访问控制ID，显示在访问控制屏幕上。

没有可用的更改历史。

可以通过"缓解分配"和"缓解控制维护"工作流请求跟踪缓解控制更改。

为了使控制更改和分配生成工作流请求，配置参数1061和1062应设置为"是"。

角色和用户的缓解分配存储在下表中

用户：GRACMITUSER角色：GRACMITROLE配置文件：GRACMITPROF用户组织：GracMitSerorg角色组织：GracMitSerorg

注意：2027376

11.为创建用户请求时已分配缓解控制的用户，不会启动SOD绕行路径。

根据设计，如果为某个风险分配了缓解控制，则不会启动SOD绕道。

如果用户访问被更改，并且出现新的风险，则会启动绕道。

但是对于已经分配了缓解控制的现有风险，请求将不会采取SOD绕道。

注：2073883

12.显示的结果不同"访问风险分析"和"访问风险评估"。