デバッグ権限について
こんばんは、カズヤんです。
久しぶりの投稿ですねwww 気付いたら桜の季節になってたりして... まあ、いいやww
今日は、SAPにおけるデバッグ権限についてちと書いてみます。
監査とかでSAPシステムのユーザに権限与えすぎだから権限外せみたいな指摘があって、その中でも「デバッグ権限」についても例外でないらしく、気になりました。
そもそも、インフラエンジニアからしたら「デバッグ」ってまじで何やねん??
って思うのが当然なので、まあ調べてみると、
プログラムのバグを発見して、そのバグを直すこと
だそうですww
つまりプログラムのソースコードを変更することができる権限を「デバッグ権限」ということらしいです。
SAPシステムでは、開発や移送関連で以下の権限がデバッグ権限に該当するようです。
・S_DEVELOP ABAPワークベンチ用権限
・S_TRANSPRT 移送オーガナイザ用権限
・S_LOG_COM 論理オペレーティングシステムの実行権限
参照:SAP ライブラリ - SAP NetWeaver Application Server Security Guide
今回問題なのは、開発機ユーザにこれらのシステム変更権限を付与することは当然ですが、本番機ユーザにこれらの権限が付与されることはよろしくないらしく、指摘を受けるはずです。通常、本番機でコーディングしたりといった開発をしないですからねwww
※SAPでは、開発機で開発して、検証機、本番機へと移送にて変更を加えるのが一般的ですから、本番機ユーザに変更権限があるとまずいというわけです。
しかし、これらの指摘を受けても、本番機ユーザのデバッグ権限を削除してやれば、特に問題なしです。削除方法に関しては、トランザクションSU01にて秒で終わるので、すぐ作業計画作っちゃってください。手順は一応以前の記事で少し触れています。
では、今日はこんなとこで失礼します。