Oprávnění: Profily
- Johana Zelinska
- 4. 5. 2023
- Minut čtení: 1
Aktualizováno: 13. 5. 2023
V předchozí části Uživatelé a typy oprávnění I.: Role jsme rozebrali základy rolí jako zdroje
uživatelských oprávnění. Nyní je čas podívat se stručně na oprávnění pocházející z profilů.
Best-practise doporučení zjednodušeně říká „nepoužívejte profily, používejte pouze role“. To je
nicméně z technického hlediska nemožné. Jak jsme si vysvětlili výše, role technicky fungují pomocí
profilů, vyhnout se profilům je tedy zcela nemožné. Toto doporučení ve skutečnosti říká „vyhněte se
manuálním profilům“. Vysvětleme si rozdíl:
Generovaný profil je takový, že vznikl pro technické potřeby role a „předání“ oprávnění z role do authorization bufferu uživatele (transakce SU56). Takovýto profil nikdy ručně neměníme, nepřiřazujeme a neodebíráme. Nástroje pro administraci rolí se o to postarají automaticky. Z organizačního hlediska můžeme takovéto profily ignorovat. Generované profily jsou označeny ikonkou červeno-bílého terče.
Manuální profil je takový, který jsme my (nebo někdo jiný) fyzicky vytvořili a neexistuje k němu role, která popisuje jeho obsah a stará se o jeho organizační náležitosti. Typickým příkladem takových profilů jsou SAP_ALL, dříve také SAP_NEW (nyní nahrazen generovanou rolí), S_A.CPIC a podobně. S manuálními profily pracujeme pomocí transakce SU02.
Manuálním profilům bychom se skutečně měli proaktivně vyhýbat, ale je třeba myslet na jejich
existence z hlediska revize oprávnění – kteří uživatelé mají manuální profily přiřazeny, proč, a zdali
by tyto profily neměly být odebrány nebo nahrazeny rolemi.
Nezapomeňte si přečíst také pokračování:
Comments