Создание концепции авторизации

Создание концепции авторизации

Концепция авторизации определяет различные функции, которые могут исполнять пользователи, принадлежащие различным организационным единицам. Как уже упоминалось в разделе «Администрирование пользователей» в главе 11, концепция авторизации поддерживает баланс между управлением правами доступа и присвоением привилегий для выполнения тех или иных задач в системе, а также затратами усилий на само администрирование системы. Эта задача подразумевает создание концепции авторизации, которая отвечала бы всем необходимым требованиям.

Клиенты компании SAP должны понимать, что в системах SAP авторизации могут существенно отличаться от авторизации в более старых системах, в том числе относительно распределения функций и ответственности пользователей. Бизнес-процессы могут быть гораздо более децентрализованы, некоторые шаги процессов устранены, и в некоторых случаях доступ к интегрированным данным может быть шире, чем в унаследованных системах. Системы SAP ориентируются на концепцию открытого доступа к информации и отчетности, прозрачности интегрированной системы; однако это может вызвать проблемы на уровне управления изменениями в области авторизации и прав доступа к тем или иным данным.

Ответственность за различные процессы и функции точно определены в Концептуальном плане; такие определения ответственности используются для создания концепции авторизации. Для облегчения создания и внедрения такой концепции в системе SAP R/3 предусмотрено Руководство по системной авторизации (System Authorizations Made Easy Guide).

Составление подробной концепции авторизации

Для контроля использования сети индивидуальными пользователями требуется структура профилей и авторизации, или концепция авторизации, которую можно составить следующим образом:

• Для каждого подразделения компании составить матрицу «Операции со всеми/некоторыми» и «Доступ ко всем/некоторым» (DO Some/All и SEE Some/All) чтобы составить профиль рисков в безопасности системы, причем это делается с участием ответственных за те или иные процессы и данные сотрудников под контролем отдела кадров. Четыре квадранта этой двумерной матрицы соответствуют следующим вариантам авторизации: Конечные пользователи могут запускать лишь некоторые определенные транзакции, и имеют доступ лишь к определенным данным в системе — «Операции с некоторыми, доступ к некоторым».

Конечные пользователи могут запускать все транзакции, но имеют доступ лишь к ограниченным областям данных — «Операции со всеми, доступ к некоторым».

• Конечные пользователи могут запускать лишь некоторые определенные транзакции, и иметь доступ ко всем данным в системе — «Операции с некоторыми, доступ ко всем».

• Конечные пользователи могут запускать все транзакции и иметь доступ ко всем данным в системе — «Операции со всеми, доступ ко всем».

• На основе подробных консультаций с владельцами бизнес-процессов составить матрицу распределения ролей в системе (Job Role), с указанием различных функций и обязанностей каждого пользователя.

• Составить карту отношений между транзакциями и опциями меню системы R/3, функциональными обязанностями сотрудников и соответствующими данными. Это легко сделать, используя Концептуальный план.

• Задать группы операций. При отметке операции группируются вместе.

• Задать профили авторизации.

• Для каждого пользователя определить основные данные по пользователю (см. раздел «Администрирование пользователей» в главе 11).

• Присвоить пользователям авторизации и группы операций.

• С помощью генератора профилей создать профили пользователей на основе заданных в системе SAP авторизации и групп операций.

Некоторые группы операций задаются только для общих авторизации — таких, как печать, факсимильная связь и использование модуля SAPOffice, которые доступны всем пользователям. Однако чем больше риск от открытия информации, тем строже должны быть ограничения к просмотру и изменению данных, что, в свою очередь, значительно облегчит внедрение систем безопасности.

Управление средой авторизации

На этом этапе необходимо внедрить среду авторизации. Компания SAP рекомендует разделить ответственность за обновление основных данных по пользователям и ответственность за авторизации между тремя администраторами с целью обеспечения максимальной безопасности, а также для упрощения процедур. Ниже приведены три типа администраторов:

• Администраторы пользователей: они создают и обновляют основные записи по пользователям и приписывают пользователей к тем или иным группам.

• Администраторы профилей авторизации: они создают или изменяют профили и авторизации, но не могут создавать пользователя или группу пользователей.

• Администраторы групп пользователей: они создают группы пользователей и определяют ассоциированные транзакции R/3, но не могут изменять пользователей или профили авторизации.

Утверждение концепции авторизации

Эта задача состоит в утверждении права каждого пользователя на выполнение тех или иных бизнес-процессов, транзакций и отчетов. Что подразумевает проверку: насколько тот или иной бизнес-процесс связан с обязанностями конкретного сотрудника, устранение несоответствий или расхождений, и, в случае необходимости, пересмотр концепции авторизации в зависимости от обстоятельств. Авторизации обязательно утверждаются владельцами бизнес-процессов.

Поделитесь на страничке

Следующая глава >

Похожие главы из других книг:

7.5.3. Проблемы авторизации

Из книги автора

7.5.3. Проблемы авторизации Авторизация — это слишком простой способ обеспечения безопасности. При передаче пароли шифруются простым кодированием Base64. Если хакер сможет перехватить пакет, содержащий имя пользователя и пароль, то он прочитает эту информацию через пять


10.2 Концепции TCP

Из книги автора

10.2 Концепции TCP В какой форме приложения должны пересылать данные в TCP? В каком виде TCP передает данные в IP? Каким образом передающий и принимающий протоколы TCP идентифицируют соединение между приложениями и необходимые для его реализации элементы данных? На все эти


А.1. Концепции

Из книги автора

А.1. Концепции В настоящее время насчитывается более двух тысяч языков программирования высокого уровня. Большинство этих языков возникло исходя из конкретных требований некоторой предметной области. Каждый новый язык позволял переходить ко все более и более сложным


Ключевые концепции

Из книги автора

Ключевые концепции [x]. Фундаментальная концепция объектной технологии основана на понятии класса. Класс это абстрактный тип данных, частично или полностью реализованный.[x]. Класс может иметь экземпляры, называемые объектами.[x]. Нельзя путать объекты (динамические


Ключевые концепции

Из книги автора

Ключевые концепции [x]. ОО-вычисления характеризуются высоко динамичной структурой времени выполнения, в которой объекты создаются только по запросу.[x]. Некоторые объекты, используемые ПО, являются моделями внешних объектов (обычно косвенными). Другие объекты служат


Ключевые концепции

Из книги автора

Ключевые концепции [x]. Существует три основных режима создания объектов: статический, основанный на стеке, динамический. Последний характерен для ОО-языков, но встречается везде, например, в Lisp, Pascal (указатели и new), C (malloc), Ada (типы доступа).[x]. В программах, создающих много


Ключевые концепции

Из книги автора

Ключевые концепции [x]. Классы могут иметь формальные родовые параметры, представляющие типы.[x]. Родовые классы служат для описания общих контейнерных структур данных, реализуемых одинаково, независимо от элементов, которые они содержат.[x]. Универсализация требуется


Ключевые концепции

Из книги автора

Ключевые концепции [x]. Утверждения - это булевы выражения, задающие семантические свойства класса и вводящие аксиомы и предусловия соответствующего абстрактного типа данных.[x]. Утверждения используются в предусловиях (требования, при выполнении которых программы


Ключевые концепции

Из книги автора

Ключевые концепции [x]. Обработка исключений - это механизм, позволяющий справиться с неожиданными условиями, возникшими в период выполнения.[x]. Отказ - это невозможность во время выполнения программы выполнить свой контракт.[x]. Программа получает исключение в результате:


Ключевые концепции

Из книги автора

Ключевые концепции [x]. Внешние программы доступны через хорошо определенный интерфейс.[x]. Объектная технология может служить в качестве механизма упаковки наследуемого ПО.[x]. Подпрограммы не могут модифицировать свои аргументы, хотя они могут изменять объекты,


Ключевые концепции

Из книги автора

Ключевые концепции [x]. С помощью наследования можно определять новые классы как расширение, специализацию и комбинацию ранее определенных классов.[x]. Класс, наследующий другому классу, называется его наследником, а исходный класс - его родителем. Распространенные на


Ключевые концепции

Из книги автора

Ключевые концепции [x]. Подход к конструированию ПО, подобный конструированию из кубиков, требует возможности объединения нескольких абстракций в одну. Это достигается благодаря множественному наследованию.[x]. В самых простых и наиболее общих случаях множественного


Ключевые концепции

Из книги автора

Ключевые концепции [x]. К инварианту класса автоматически добавляются инварианты его родителей.[x]. В подходе Проектирования по Контракту наследование, переопределение и динамическое связывание приводят к идее субподрядов.[x]. Повторное объявление подпрограммы


Ключевые концепции

Из книги автора

Ключевые концепции [x]. Статическая типизация - залог надежности, читабельности и эффективности.[x]. Чтобы быть реалистичной, статической типизации требуется совместное применение механизмов: утверждений, множественного наследования, попытки присваивания, ограниченной и


Ключевые концепции

Из книги автора

Ключевые концепции [x]. При любом подходе к конструированию ПО возникает проблема работы с глобальными объектами, совместно используемыми компонентами разных модулей, и инициализируемыми в период выполнения, когда какой-либо из компонентов первым к ним обратился.[x].


Концепции криптографии

Из книги автора

Концепции криптографии Что означает слово крипто ? Оно происходит от греческого слова «криптос» – скрытый. Поэтому целью криптографии является скрытие сути информации от посторонних лиц таким образом, чтобы с ней мог ознакомиться только тот, кому она предназначена. В