HANA用户_SYS_REPO具有DEBUG授权

2020-08-18 00:09发布

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


嗨,

我们在SAPERP模式\内容(SAPABAP1)上具有DEBUG授权的用户_SYS_REPO:

我知道修改技术用户的授权不是一个好主意,但是审计师建议从该用户中删除DEBUG,ATTACH DEBUGGER。

对此我有一些疑问,因为在标准NW安装过程中,该授权已授予ABAP schema \ catalog。 我在安全指南中找不到信息。

您能告诉我,如果我们从_SYS_REPO用户中删除DEBUG,ATTACH DEBUGGER授权,会有任何风险吗?

screenshot-1.jpg (138.2 kB)

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


嗨,

我们在SAPERP模式\内容(SAPABAP1)上具有DEBUG授权的用户_SYS_REPO:

我知道修改技术用户的授权不是一个好主意,但是审计师建议从该用户中删除DEBUG,ATTACH DEBUGGER。

对此我有一些疑问,因为在标准NW安装过程中,该授权已授予ABAP schema \ catalog。 我在安全指南中找不到信息。

您能告诉我,如果我们从_SYS_REPO用户中删除DEBUG,ATTACH DEBUGGER授权,会有任何风险吗?

screenshot-1.jpg (138.2 kB)
付费偷看设置
发送
3条回答
能不能别闹
1楼-- · 2020-08-18 00:46

Daulet,您好,

首先,_SYS_REPO是存储库中所有对象的所有者,没有人可以直接登录_SYS_REPO。 因此,我很好奇为什么您的审计师担心_SYS_REPO的SAP模式特权。 如果要构建和激活从sap架构读取的模型,它需要sap架构的特权。

_SAP_HAN上安装的SAP时,大多数_SYS_REPO的SAP架构特权都是由Software Provisioning Manager自动授予的 数据库。

2101316-SAP HANA:ABAP数据库用户的特权中查看更多

我知道,在HEC中,_SYS_REPO仅具有SAPABAP1的SELECT特权(我尚未在HEC上对其进行确认以进行确认),但是在内部部署的情况下,Software Provisioning Manager可以使用 稍远一点,并赋予附加特权,以避免频繁出现建模特权问题。

Lars Breddemann /img/questions/190291/too-many-privileges-for-sysrepo.html

您可以从_SYS_REPO中删除调试(不应该是问题),但是,我相信,您应该可以尝试解释审核程序_SYS_REPO不是要登录的用户。因此,请不要担心 它的特权。

野沐沐
2楼-- · 2020-08-18 01:04

开发工件是可以在HANA存储库中创建和激活的所有"东西"。

其中包括计算视图,SQL视图,存储过程,XS代码,

我怀疑,如果_SYS_REPO用户不在或没有所有标准特权,NW系统将立即失败,但是HANA存储库功能肯定会受到影响。

此外,不支持afaik修改系统用户(及其特权)。

您可能需要先与SAP进行联系。

wang628962
3楼-- · 2020-08-18 01:01
< p> _SYS_REPO需要这些授权,以便能够在开发构件激活期间授予它们。

由于不能使用_SYS_REPO登录数据库或将安全上下文更改为_SYS_REPO的安全上下文,因此风险可能低于审核员的预期。

这里的重要部分是用户_SYS_REPO默认情况下处于禁用状态,无法激活。

一周热门 更多>