Ayuda SAP

Usuarios basicos con funcion debug activa!

Continuando la discusión desde ¿Qué atajos del teclado conocen en SAP?:

A raiz de este comentario me surge una idea duda, mezcla ^^
Los privilegios de usuarios.
Son necesarios para proteger la data y evitar el escape o el acceso imnecesario a funcionalidades que no le corresponde a algunos usuarios.
En este caso mencionare el debug, pero ustedes puede abundar.

Truco jam

solo digitando /h enter enter, te llevara al debug del programa y no es necesario que tu usuario tenga el perfil ABAP.

@jamcalex es bueno este truco mencionado, pero si ves algun usuario con esta funcionalidad activada, espero se la quites, ya que bien podrian manipular la data de reporteria y crear confuciones en todo el sistema.

Bien es solo una opinion, diganme que piensan de esto.

Muy bien no termino de entender el debate.

Los privilegios, le llamas a los permisos que tienen los usuarios SAP., verdad?
Si es por ahí, pues imaginate que existen para restringir el acceso a ciertas informaciones.
Un usuario de cuentas a pagar, no estaría bueno que pueda crear proveedores,o desbloquear pagos.

Como dije antes, no sé a qué apunta tu duda.

Estas en el camino @SidV.
Yo directamente apunto al truco de poder ver porque ocurre un error usando el truco mencionado arriba.

Digamos, eres usuario, y vienes y lees el truco esa info del debug y aprendes, y a la primera que te ocurre un error en pantalla, antes de reportarlo al departamento tecnico, entras en modo debug y ves porque esta dando el error…

Es un truco bueno para los tecnicos del area. Pero yo digo, si un usuario comun tiene acceso a realizar este proceso, entonces facilmente podria modificar datos a lo interno del sistema.
No se si estoy exagerando, pero he visto usuarios curiosos.

De hecho mi pregunta mas enfocada seria…
Creen que los usuarios basicos deban tener acceso al modo debug? Actualizare el encabezado.

1 me gusta

Ah, si vamos por ahí, de una que si un usuario básico pone /h y no va a entender nada!

Hablé de ésto aquí:

Pero no profundicé en lo que indicas de que un usuario básico tenga ese conocimiento.
La mayoría de los clientes por los que he pasado, los usuarios finales no tienen acceso al modo debug, así que por más que pongan /h, no pasa nada. :stuck_out_tongue:

1 me gusta

Creo que mi tip causo un poco de revuelo, es buen tip, pero si es algo que como consultor externo o interno se debe considerar, ya que muchas veces al hacer los roles de usuarios pensamos solo en las transacciones o autorizaciones que debe tener el usuario, y no en aquellas que debemos cuidar que no tengan.

En mi caso tome esas precauciones pero fue después de la implementación, ya que como comento el consultor que implemento se preocupo por lo que debería de tener el usuario no por lo que no debe de tener.

Y es correcto lo que comenta @SidV que a lo mejor al poner /h el usuario pudiera no entender nada, pero como gente de sistemas o de tecnología, debes esperar y anteponerte a lo peor, y no tomar riesgos.

Saludos.

Todos queremos un /h en nuestras vidas, no sean gandallas. jaja.

me ha funcionado de pelos…

pero tambien he usado el SQL Expres management para editar datos, jamas crei que SAP tuviera detalles, pero SQL Expres es muy chipocles.

Justo en la empresa donde laboro están evaluando quitar el permiso de Debug en el ambiente productivo, para mi como usuario me resulta incomodo no contar con /h pero por otro lado se puede evitar que algún usuario por error borre contenido de alguna tabla Z o Estándar, altere cantidades o durante la ejecución de algún programa brincarse las validaciones del mismo.

jajaj Y ahora toma forma mi comentario,

mira estos super usuarios
@silver
@adrian21marzo
Ustedes usan el /h como que son programadores xD
Bien hecho ustedes que saben usarlo y comprenden los riesgos del mismo, pero no todos los usuarios son como ustedes, y bien podrian meter la pata.

2 Me gusta

jejeje creo que mi tip ha causado algo de revuelo, hasta me siento mal, pero es algo que pasa y como dije no siempre el consultor en turno toma estas precauciones, como sugerencia porque no agregar la solución, como bloquear este /h para los usuarios mortales y que no hagan travesuras al sistema. creo seria buen aporte, a mas de uno les servirá.

Saludos.

Limitar el acceso al debug en productivo lo considero un error, en el momento menos indicado puedes necesitarlo, a todos nos ha pasado que un código funciona en calidad y al pasarlo a productivo no.
Eso si, lo que no se puede permitir es que alguien pueda modificar datos en el debug de productivo, eso si que es peligroso.

Es un tema de seguridad, el debug no se elimina en totalidad, pero se deja en ciertos usuarios especificos, ya sea el programador el funcional, o incluso el keyuser del departamento. Lo que si se debe de evitar es que cada PC de la company sin importar el usuario, tenga acceso a este valioso recurso.

Ya ya, se que no se elimina en su totalidad, me refería a eliminarlo para los usuarios.
Ante un problema que no consigues replicar es muy efectivo poder ir al puesto del usuario, ver lo que hace y usar el /h para poder investigar.
Además es divertido ver las caras que pone al verlo jejeje

Siguiendo este tema, que está un tanto abandonado…

Alguien me puede decir (quizás es medio @basis de seguridad esta consulta), cómo hacer para quitar la autorización de la función debug a los usuarios básicos?

Hola @SidV, No habia visto el tema, pero en versiones de netweaver 7.20 o superior el problema fue corregido y ya no es posible realizar /h sin contar con el objeto de autorización S_DEVELOP-FUNC Debug.

Otro que aun funciona en estas versiones es el modulo de funciones RS_HDSYS_CALL_TC_VARIANT el cual te lleva a la transacción deseada quitando el check de autorizaciones. Claro si no tienes autorizaciones dentro de la transacción no te dejara pasar. Pero un ejemplo yo tengo permisos para generar roles y perfiles, pero no tenia acceso a la transacción SCUP la cual es generación de perfiles masivamente, entonces use el modulo de función para acceder a la transacción y con los permisos de generar perfiles pude hacerlo masivamente.

Cordial Saludo,
William Neira

1 me gusta

yo he quitado la opcion en producción por auditoria externa ya que es un riesgo alto de modificaciones no autorizadas

quitar de los usuarios objeto de autorización S_DEVELOP con tipo de objeto DEBUG al menos con actividades 01 y 02 que permiten realizar modificaciones

2 Me gusta

Buenas noches en el tema de roles , para bloquear el debug se debe de especifcar el grupo de autorizaciones dentro del obj de Aut S_DEVELOP

1 me gusta

Este tema se cerró automáticamente 88 días después del último post. No se permiten nuevas respuestas.