Администрирование пользователей

Администрирование пользователей

Следующим логическим шагом после инсталляции SAP и проектирования рабочей среды должно стать определение пользователей системы. В SAP предусмотрен гибкий, универсальный метод обеспечения безопасности данных и транзакций, основой которого является концепция пользователя SAP. Данные о пользователе хранятся и обновляются в основных записях по пользователю, а безопасность обеспечивается соответствующими профилями и авторизациями. В SAP авторизация может варьироваться, начиная с полного доступа ко всей системе (за исключением некоторых подробностей — таких, как размеры окладов) и заканчивая строго ограниченным доступом к нескольким задачам, связанным с выполнением непосредственных обязанностей. Как правило, пользователям даются почти полные права на доступ к функциям разработки и тестирования, но в рабочей среде системы доступ в значительной степени ограничен, в зависимости от исполняемых пользователем обязанностей.

Основные записи по пользователям

Основные записи по пользователям зависят от клиента SAP. Основная запись пользователя необходима для присвоения прав доступа для входа в систему, а также для назначения соответствующих паролей и профилей авторизации. Это подразумевает не только запись информации об адресе и трудовом договоре сотрудника, но и системную информацию — например, внешний вид начального экрана, тип пользователя, принтер по умолчанию и т. д. Основные записи по пользователям содержат следующую информацию:

• Первоначальный пароль пользователя, который в любой момент может изменить сам пользователь или системный администратор, в соответствии с ограничениями и требованиями по паролям.

• Тип пользователя: диалоговый пользователь (значение по умолчанию), пользователь пакетного ввода данных, пользователь пакетных процессов (фоновых заданий), внешних коммуникационных интерфейсов и Интернет-пользователь.

• Даты начала и окончания периода действительности записи

• Номер счета для анализа используемых данных и функций, степень активности и т. д. — может задаваться индивидуально или на уровне областей задач

• Группа активности — заранее заданная группа активности, которая присваивается пользователю

• Профили, определяющие доступность пользователю тех или иных функций. Обычно это стандартные профили SAP с возможностью внесения необходимых изменений

• Адрес, в котором указывается полная контактная информация пользователя

• Значения «по умолчанию» для меню «Пуск», транзакций, языка, принтера по умолчанию, формата даты и цифровых значений и т. д.

• Значения «по умолчанию» для параметров пользователя. В зависимости от обусловленных должностными обязанностями требований, эти параметры позволяют задавать значения для тех полей, с которыми пользователь чаще всего работает — это нацелено на ускорение ввода данных. Для того, чтобы задать один из таких параметров, системе требуется только идентификатор параметра (PID-номер) соответствующего поля и вводимое пользователем значение. В дальнейшем при каждом обращении данного пользователя к этому полю на любом экране системы будет содержаться заданное значение по умолчанию. Это значение пользователи могут самостоятельно менять в любой момент.

Привилегированные пользователи R/3

Стандартная инсталляция SAP создает особых пользователей в системе — клиентов ООО, 001, и 066, которые соответствуют пользователям SAP, DDIC, EARLYWATCH, соответственно.

Компания SAP рекомендует: пользователь SAP может и не иметь ассоциированной с ним основной записи, но при создании этому пользователю стоит присвоить следующие профили авторизации: SAP_ALL и SAP_NEW. Пароль по умолчанию для этого пользователя 06071992, причем его права доступа неограничены. Когда с помощью копирования пользователя SAP создается новый клиент, ему по умолчанию присваивается пароль PASS.

Пользователь DDIC всегда создается с изначальным паролем 19920706 и основной записью, которая ассоциирует с этим пользователем профили авторизации SAP_ALL и SAP_NEW. Этот пользователь имеет специальные авторизации для инсталляции, логистики программного обеспечения и словаря АВАР/4; в новых релизах системы R/3 требуется апгрейд. Однако пользователь DDIC использует систему транспортировки и внесения изменений АВАР только в режиме чтения, и поэтому не может вносить какие-либо усовершенствования.

Пользователь EARLYWATCH имеет авторизацию только для доступа к функциям мониторинга характеристик работы системы; он также может просматривать (но не изменять) технические данные, необходимые для служб

EARYWATCH и GoingLive Check, если через удаленное соединение к системе подключаются консультанты SAP. Первоначальный пароль пользователя EARYWATCH — SUPPORT, при создании основной записи ему присваивается профиль авторизации S_TOOLS_EX_A.

После инсталляции системы рекомендуется сменить первоначальные пароли для всех указанных пользователей.

Группы активности

Группы активности — это группы пользователей, которых объединяет либо общая функциональная деятельность, либо деятельность, связанная с одним из бизнес-процессов. Эти группы составляются на основе анализа матриц работы (служебных обязанностей) пользователей компании. Группа активности определяет транзакции и виды деятельности, которые связаны с обязанностями сотрудника, и идентифицируют сотрудника, ответственного за исполнение той или иной работы. Кроме того, группы активности зависят от клиента.

Авторизация пользователей

В широком смысле авторизация пользователей включает в себя все устройства предоставления доступа пользователям SAP для осуществления тех или иных функций или видов деятельности. Такие авторизации присваиваются пользователям путем фиксирования профилей и авторизации в соответствующих основных записях пользователя. Как станет ясно после прочтения остальных подразделов, присвоение прав доступа в SAP — достаточно сложная, комплексная процедура.

В соответствии со свойственной SAP философией многократного использования, система SAP предлагает широкий спектр наиболее часто используемых заранее заданных профилей авторизации для облегчения работы администратора. Пользователю можно быстро присвоить заранее заданный профиль из этой библиотеки профилей, или многократно использовать стандартную авторизацию как шаблон для создания новых, индивидуальных профилей (при этом сами стандартные авторизации не должны изменяться). Когда создается новый профиль, перед использованием его необходимо активировать.

Поля авторизации

Это элемент самого низкого уровня в системе авторизации. Поля авторизации — компоненты объектов авторизации; они ассоциируются с элементами данных в словаре данных АВАР/4. Эти поля могут быть классом разработки, группой пользователей или областью приложений, а также могут идентифицировать деятельность, т. е. операции с защищенными системами проверки прав доступа. Такие операции могут быть следующих типов: создание, изменение, просмотр, печать, блокирование, удаление, запись, активация, изменение параметров просмотра документов и т. д.

Объекты авторизации

Объекты авторизации — это элементы или объекты, необходимые для поддержания безопасности системы SAP. Объект авторизации содержит до 10 полей авторизации. Пользователям дозволяется осуществить системную функцию только после успешного прохождения проверки прав доступа во всех полях авторизации.

Для облегчения управления все объекты авторизации группируются в классы авторизации в зависимости от областей их применения. На рис. 11.4 представлен экран Обновление авторизации.

Рис. 11.4. Экран Обновление авторизации.

Авторизации

Авторизации определяют допустимые значения полей авторизации по кодам компаний, областям приложений, группам пользователей и т. д. Авторизация может состоять из многих действительных значений или диапазонов значений для соответствующего поля авторизации. Символ «*» разрешает любые значения, отсутствие значения означает отказ авторизации.

Авторизации применимы к профилям авторизации с соответствующими объектами авторизации. Если авторизация изменяется, все профили, в которые входит данная авторизация также изменяются.

Авторизация и составные профили

Профиль авторизации состоит из многих объектов авторизации. Составной профиль состоит из комплекта профилей авторизации, что особенно удобно, если пользователям для выполнения своих обязанностей необходимо несколько авторизации. Это — высший уровень, на котором в основной записи пользователя авторизации могут задаваться для конкретного пользователя. На рис. 11.5 представлен начальный экран профилей авторизации.

Рис. 11.5. Начальный экран профилей авторизации.

Любые изменения в профилях вступают в силу и затрагивают права доступа пользователей только после активации измененных профилей и после завершения пользователем текущей сессии. Измененный профиль будет действовать только при следующем подключении этого пользователя.

Профиль авторизации SAP_ALL дает права доступа в масштабе всей системы, в том числе к техническим функциям и функциям, связанным с приложениями. Профиль авторизации S A P N E W подразумевает, что к нему добавляются все новые объекты авторизации для существующих функций, введенные в новые релизы R/3.

Администрирование авторизации

Несмотря на то, что один главный пользователь может осуществлять все администрирование пользователей в SAP, компания SAP настоятельно рекомендует распределять ответственности за поддержание основных записей по пользователям и авторизацию между тремя администраторами для обеспечения максимальной безопасности, а также для упрощения процедур администрирования. Обязанности этих трех администраторов могут распределяться следующим образом:

• Администратор пользователей — осуществляет наблюдение за всеми или несколькими группами пользователей, а также задает и обновляет главные записи пользователей и присваивает пользователям одну или несколько групп активности.

• Администратор профилей авторизации — может задавать или модифицировать авторизации и профили, но не может изменять основные записи пользователей или группы активности.

• Администратор групп активности — создает группы активности и определяет соответствующие транзакции R/3, но не может изменять основные записи пользователей или профили авторизации.

Трассировка авторизации

Трассировка авторизации полезна в случае, если пользователь испытывает трудности с доступом к той или иной важной для него функциональности или транзакции. Авторизацию можно проверить двумя способами:

• Транзакция анализа авторизации — это быстрый метод, специально предназначенный для анализа авторизации, но он доступен только в текущей сессии пользователя. Получив сообщение об ошибке, пользователь может запустить это средство анализа из любого экрана, выбрав из меню «Система — Утилиты — Просмотр и проверка авторизации» (или использовать код транзакции SU53) для просмотра объекта авторизации и соответствующих значений.

• Системная трассировка — это инструмент общего назначения, который рассматривался в подразделе «Системные утилиты трассировки» в главе 7. Один из пунктов меню этого инструмента — проверка авторизации. Активизировать опцию и запустить сессию трассирования можно для любой транзакции или экрана. Имеется возможность записать на диск результаты трассировки для последующего исследования.

Генератор профилей

В SAP введен Генератор Профилей (Profile Generator) для автоматического присвоения профилей пользователям. Принцип его действия основывается на концепции авторизации, объектов авторизации и профилей авторизации, которая описывалась выше. В SAP предусмотрена обширная библиотека стандартных авторизации для различных областей деятельности.

Генератор Профилей взаимодействует со структурой групп активности. Как уже упоминалось выше, группы активности создаются для той или иной функциональной области, и им дается авторизация на использование подструктур меню предприятия. Генератор Профилей генерирует необходимые профили для групп активности, которые затем присваиваются конкретным пользователям администраторами. Одному пользователю может быть присвоено несколько групп активности.