Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

Безопасность Sap HCM. Авторизации

15.971 Aufrufe

Veröffentlicht am

  • Als Erste(r) kommentieren

Безопасность Sap HCM. Авторизации

  1. 1. Безопасность SAP HCMКак узнать зарплату коллеги,не вставая с рабочего места Евгения Шумахер Positive Technologies
  2. 2. Наш планМы не будем говорить• Об уязвимостях• О SAP Notes• О SAP-окруженииМы поговорим• О типах авторизаций в SAP HCM• О настройках авторизаций в SAP HCM• Об основных объектах авторизаций SAP HCM• Об аудите безопасности SAP HCM
  3. 3. SAP HCM – решение для управления персоналомХранятся критические данные: • ФИО, дата рождения • Паспортные данные, ИНН, СНИЛС • Банковские реквизиты • Заработная плата и другие вознаграждения • Данные об отработанном времениВыполняются финансовые операции: • Расчет зарплаты • Выплаты премий/бонусовИзменение данных может привести к финансовым потерямПросмотр данных может привести к нарушениям требованийзаконодательства
  4. 4. SAP HCM: угрозы и их последствия Человеческий фактор SAP HCM Утечка данных SAP BASIS Финансовые потери БД Нарушение требований ОС законодательства Мошенничество
  5. 5. Особенности настроек авторизаций SAP HCM
  6. 6. Косвенное присвоение ролей Орг. Роль единица Работа Роль Роль Должность Центр Роль работ Роль Сотрудник Пользователь РольСложно контролировать набор ролей пользователя
  7. 7. Общие и структурные полномочия• Общие полномочия определяют, к какой информации об объекте пользователь имеет доступ, а также вид доступа (чтение, запись)• Структурные полномочия определяют, к какому объекту в организационной структуре у пользователя есть доступПересечение структурных и общих полномочий делает контрольдоступа нетривиальной задачей
  8. 8. Общие полномочия в SAP HCM В чем особенности?
  9. 9. Полномочия = комбинация объектов авторизации Authorization object that is used to check authorizations for starting the transactions Структурные S_TCODE defined for an application. полномочияAuthorization object that is Authorization object that isused to check the used to check whether aauthorization for specific user is authorized to startfields in the PersonnelManagement components. PLOG P_TCODE the different HR transactions. The transaction code is checked. ОбщиеIf you use the PLOGauthorization object, youmust also set up a structural полномочияauthorization profile for theuser. Authorization objectAuthorization object that isused to control the user’s P_PERNR that enablesaccess to his or her own S_TABU_DIS authorization checks for displaying orpersonnel number and the editing table contentrelated HR data separately. An authorization object used to check the authorization for accessing HR master P_ORGIN data. The checks are run when HR infotypes are processed or read.
  10. 10. Настройки HR-авторизацийТранзакция OOAC (таблица T77S0) AUTSW–ORGIN – Включение/выключение объекта авторизации P_ORGIN (доступ к данным HR) AUTSW–PERNR – Включение/выключение объекта авторизации P_PERNR (проверка собственного табельного номера) AUTSW–ORGPD – Включение/выключение проверки структурных полномочий
  11. 11. Способы доступа к данным сотрудника HR-транзакции: PA20, PA30, PRMS, PRMD и др. Транзакции доступа к таблицам: SE16, SE16N, SE17 Запуск SAP-программ: SA38, SE38
  12. 12. S_TCODE, P_TCODE - полномочия для запуска транзакцииS_TCODE – транзакции всех модулейP_TCODE – только HR-транзакцииНастройкиAuthorization Field DescriptionTCD Transaction CodeТиповые ошибкиВсе транзакции TCD = *С … по … TCD = PA01 – PA61
  13. 13. S_TABU_DIS - полномочия для доступа к таблицамНеобходим для транзакций SE16 и др.НастройкиAuthorization Field Description ValuesDICBERCLS Authorization group PA: Employee dataACTVT Activity 02: Change 03: DisplayТиповые ошибкиВсе группы таблиц DICBERCLS = *Все действия ACTVT = All activities
  14. 14. Данные сотрудника хранятся в инфотипахЕдиницы информации для введения основных данных в системеуправления персоналом называются инфотипами• 0002 – личные данные• 0006 – адресные данные• 0008 – данные о заработной плате• 0009 – банковские данные
  15. 15. P_ORGIN – полномочия для доступа к данным HRНастройкиAuthorization Field DescriptionINFT InfotypeSUBTY SubtypeAUTHC Authorization level (such as read, write, matchcode)PERSA Personnel area (from infotype 0001)PERSG Employee group (from infotype 0001)PERSK Employee subgroup (from infotype 0001)VDSK1 Organizational key (from infotype 0001)Типовые ошибкиВсе действия AUTHC = *Все данные INFT = *
  16. 16. Ограничение по табельному номеру сотрудникаP_PERNR – объект авторизации, используемый для назначенияполномочий сотруднику на доступ к собственным данным. Имеетсамый высокий приоритетУ сотрудника должен быть табельный номер! Пользователь Сотрудник • Логин • ФИО • Пароль • Табельный номер • Полномочия • Должность • Отдел
  17. 17. P_PERNR – полномочия для доступа к собственным даннымНастройкиAuthorization Field Description ValuesAUTHC Authorization LevelPSIGN Interpretation of Assigned I: include Authorization E: exclude *=I >E>IINFTY InfotypeSUBTY Subtype
  18. 18. P_PERNR – полномочия для доступа к собственным даннымТиповые ошибкиРедактирование всей собственной информации AUTHC = * Можно все PSIGN = I AUTHC = * PSIGN = * INFTY = * INFTY = * SUBTY = * SUBTY = *Неоднозначная трактовка PSIGN = * = IОтсутствие P_PERNR (PSIGN = E) тоже необходимо проверять!
  19. 19. Авторизации пересекаютсяP_PERNR #1 AUTHC = R ДА AUTHC = * INFTY = 0014 PSIGN = I SUBTY = M120 INFTY = 0014 SUBTY = M* AUTHC = W INFTY = 0014 НЕТ SUBTY = B030P_PERNR #2 AUTHC = W, S, D, E PSIGN = E AUTHC = W INFTY = 0014 INFTY = 0014 SUBTY = M120 НЕТ SUBTY = *
  20. 20. Выводы Полномочия на выполнение действия – это не просто права на запуск транзакции; это комбинация авторизаций Авторизации пересекаются P_PERNR имеет наивысший приоритет, но его применимость зависит от многих настроек * - это почти всегда плохо
  21. 21. Что дальше?
  22. 22. Просмотр данных о зарплате коллег Пользователь имеет Проверка полномочия для просмотра данных • Получить список других сотрудников пользователей, имеющих полномочия для просмотра данных о заработной плате Пользователь других сотрудников узнает зарплату своего коллеги • Сравнить полученный список со списком пользователей, с утвержденными Демотивация полномочиями выполнение данного действия
  23. 23. Способы просмотра заработной платыЭкранные формыHR-транзакции: PA30, PA20, PRMS, PRMD, TPMD, TPMS, TPED,TPES, PA61, т.д.Инфотипы: 0008 (основные выплаты), 0014 (периодическиевыплаты/удержания), 0015 (дополнительные выплаты)
  24. 24. Способы просмотра заработной платыЧтение данных из таблицТранзакции для доступа к таблицам: SE16, SE16N, SE17Таблицы: PA0008, PA0014, PA0015
  25. 25. Выполнение проверок в SAP HCMТранзакция SUIM:User -> Users By Complex Selection Criteria -> By AuthorizationValues
  26. 26. Пользователи, имеющие полномочия для просмотраданных о заработной плате сотрудниковТранзакция PA20:AUTHORIZATION OBJECT 1: S_TCODE TCD: PA20 (Display HR Master Data)AUTHORIZATION OBJECT 2: P_ORGIN SUBTY: * PERSA: * PERSG: * PERSK: * VDSK1: * INFTY: 0008 AUTHC: R
  27. 27. Пользователи, имеющие полномочия для просмотраданных о заработной плате сотрудниковТранзакция SE16 и таблица PA0008:AUTHORIZATION OBJECT 1: S_TCODE TCD: SE16 (Display HR Master Data)AUTHORIZATION OBJECT 2: S_TABU_DIS DICBERCLS: PA (Employee Data) ACTVT: 03 (Display)
  28. 28. Отчет о результатах внутреннего аудита CIDA(Canadian International Development Agency)В организации численностью более 1700 человек Всем пользователям SAP HCM были доступны данные более 1700 сотрудников через транзакцию SE16 Вся группа поддержки SAP имела доступ к данным сотрудников У 14 ролей были полномочия для выполнения транзакции SA38 Отсутствовали какие-либо механизмы аудита http://www.acdi-cida.gc.ca
  29. 29. Резюме• Существуют общие и структурные авторизации; они могут пересекаться• Косвенное присвоение ролей в системе усложняет настройку полномочий• Данные HR хранятся в инфотипах; необходимо ограничивать доступ к ним• Доступ к данным можно получить через HR-транзакции и непосредственно через таблицы• Можно ограничивать доступ сотрудника к его собственным данным по табельному номеру• Полномочия для выполнения действия определяется комбинацией нескольких авторизаций
  30. 30. Что почитать? Курсы SAP HCM • HR940 • HR990 Книги SAP Press • Discover SAP ERP HCM (Greg Newman) • Authorizations in SAP HR (Martin Esch, Anja Junold) • SAP Security and Risk Management (Mario Linkies, Horst Karin) Лучшие практики от ANAO • Human Resource Information Systems • SAP ECC 6.0 Security and Control Блоги • http://saphr.ru
  31. 31. Спасибо за внимание Евгения Шумахер eshumaher@ptsecurity.ru

×