点击此处---> 群内免费提供SAP练习系统(在群公告中)
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
嗨,
我们在SAPERP模式\内容(SAPABAP1)上具有DEBUG授权的用户_SYS_REPO:
我知道修改技术用户的授权不是一个好主意,但是审计师建议从该用户中删除DEBUG,ATTACH DEBUGGER。
对此我有一些疑问,因为在标准NW安装过程中,该授权已授予ABAP schema \ catalog。 我在安全指南中找不到信息。
您能告诉我,如果我们从_SYS_REPO用户中删除DEBUG,ATTACH DEBUGGER授权,会有任何风险吗?
screenshot-1.jpg (138.2 kB)
Daulet,您好,
首先,_SYS_REPO是存储库中所有对象的所有者,没有人可以直接登录_SYS_REPO。 因此,我很好奇为什么您的审计师担心_SYS_REPO的SAP模式特权。 如果要构建和激活从sap架构读取的模型,它需要sap架构的特权。
_SAP_HAN上安装的SAP时,大多数_SYS_REPO的SAP架构特权都是由Software Provisioning Manager自动授予的 数据库。
在 2101316-SAP HANA:ABAP数据库用户的特权中查看更多
我知道,在HEC中,_SYS_REPO仅具有SAPABAP1的SELECT特权(我尚未在HEC上对其进行确认以进行确认),但是在内部部署的情况下,Software Provisioning Manager可以使用 稍远一点,并赋予附加特权,以避免频繁出现建模特权问题。
Lars Breddemann 在/img/questions/190291/too-many-privileges-for-sysrepo.html您可以从_SYS_REPO中删除调试(不应该是问题),但是,我相信,您应该可以尝试解释审核程序_SYS_REPO不是要登录的用户。因此,请不要担心 它的特权。
开发工件是可以在HANA存储库中创建和激活的所有"东西"。
其中包括计算视图,SQL视图,存储过程,XS代码,
我怀疑,如果_SYS_REPO用户不在或没有所有标准特权,NW系统将立即失败,但是HANA存储库功能肯定会受到影响。
此外,不支持afaik修改系统用户(及其特权)。
您可能需要先与SAP进行联系。
由于不能使用_SYS_REPO登录数据库或将安全上下文更改为_SYS_REPO的安全上下文,因此风险可能低于审核员的预期。
这里的重要部分是用户_SYS_REPO默认情况下处于禁用状态,无法激活。
一周热门 更多>