限制SP01只能访问到非敏感输出信息

显示全部楼层 · 2010-3-1 11:20:05

HR模块与其它模块相比，更加关注对限制敏感信息的非法访问，这是由于HR的特殊性所决定的，许多敏感的信息（如薪酬等）存放于此模块中。

SP01便是其中一个可以访问到敏感信息的工具。SP01在其它模块中可能没有那么关键，但在HR模块中，由于人事部的用户有可能打印一些敏感信息（如薪酬等），而这些打印输出的信息可经由管理员（或者其它拥有SP01权限的用户）通过SP01访问到，因此，在正规的企业中，特别是有审计要求（如SOX）的企业中，实施HR模块后，对SP01的限制及关注便显得很重要。当然了，SP01只是其中一个可以对敏感信息造成潜在非法访问风险的途径，對于其它的潛在風險，可以接著在其它地方討論。

SAP对SP01的授权使用遵循以下原则：
1．
当然是TCODE层面了，这个略过；

2．
有SP01权限的用户，需要经过对象“S_ADMI_FCD”的检查，确认对哪一个client有使用SP01的权限
（详细的可参看SAP的帮助https://help.sap.com/saphelp_nw04s/helpdata/en/5a/4df93bad37f87ae10000000a114084/frameset.htm）

3．
经过以上第1及第2点的权限检查后，接着SAP会检查S_SPO_ACT对象的值，看看想要使用SP01权限的用户所属的profile中该对象的2个field是怎么定义的，这2个field是“SPOACTION”及“SPOAUTH”。第1个field定义用户拥有的操作权限是什么，即what action；第2个field定义用户可以对哪些用户提交的spool拥有操作权限，即whose spool file.
因此，可以利用第2个字段“SPOAUTH”定实现限制用户对某些敏感用户（如HR部门的用户）的spool request不能访问的目的。
（详细的可参看SAP的帮助http://help.sap.com/saphelp_nw70/helpdata/EN/c7/58c905e5bf11d18e2b0000e83dd9fc/frameset.htm）

参照下图：
首先，找到用户所属的那个拥有SP01的profile,找到对象“S_SPO_ACT”，双击该对象的“Authorization”，便可以看到对象的2个字段

1.GIF (36.72 KB, 下载次数: 11)
下载附件
2009-5-18 20:47 上传

第1个对象可以由实际需要定义，这里略过；主要看第2对象，如下图:

2.GIF (52.28 KB, 下载次数: 17)
下载附件
2009-5-18 20:47 上传

默认时，该对象的值是星号，即没有任何定义。双击它，出现定义该字段的值的窗口，在这里，可以输入你想让用户访问到的由其它用户提交的spool request.所以，如果HR部门的用户是“H”、“G”
，那么就不要把这2个帐号输入到这个被允许的用户列表中即可。
以上僅供參考，如果想據此操作，請先咨詢你的咨詢服務提供商得到正確指導。