SAP by Sali · Project NEO
טוען את נוף ה-SAP…
SAP by Sali · Project NEO
טוען את נוף ה-SAP…
Roles and Security
פרק זה הוא יחידת-לימוד מלאה לתפקידים ולאבטחה ב-SAP IBP (Integrated Business Planning) בענן. אבטחה ב-IBP אינה רק 'מי נכנס למערכת' — היא קובעת אילו נתוני-תכנון כל משתמש רואה, מה מותר לו לשנות, ובאילו שלבים של תהליך-התכנון הוא מעורב. הפרק עוקב אחר מודל-האבטחה המלא: ניהול משתמשים ב-SAP Cloud Identity, יצירת קבוצות-משתמשים (user groups), הקצאת business roles הבנויים מ-business catalogs, ובקרת-הנתונים העדינה דרך permission filters עם read/write criteria — כולל permission filters בשלב-התהליך (process stage). כל תת-פרק מורחב ל-18 מקטעים: שלוש רמות-הסבר (מנהלים, מתחילים, יועצים), מטרה עסקית, דוגמת-תהליך, דוגמת CBC, ניווט באפליקציות-הניהול של IBP, טבלאות/אובייקטים, פרטי-קונפיגורציה, תרשים-זרימה, טעויות נפוצות, פתרון-תקלות, שיטות-מומלצות, שאלות-ראיון ומסקנות-מפתח. המטרה: לשלוט במודל-האבטחה של IBP מקצה-לקצה.
הסבר מנהלים
ניהול-האבטחה ב-IBP הוא שכבת-הבקרה המגדירה מי רשאי לעשות מה, ועל אילו נתונים. בשונה ממערכות ECC המסורתיות, אבטחה ב-IBP בענן בנויה על שלושה רכיבים משולבים: זהויות (SAP Cloud Identity), הרשאות תפקודיות (business roles המורכבים מ-business catalogs), ובקרת-נתונים (permission filters). הבנת המודל הזה היא תנאי-סף לכל מימוש IBP מאובטח ותואם-רגולציה.
הסבר למתחילים
דמיין בניין-משרדים. כדי לעבוד בו צריך שלושה דברים: כרטיס-כניסה לבניין (זהות), רשימת-החדרים שמותר לך להיכנס אליהם (התפקיד), והיתר לגעת רק בתיקים מסוימים בתוך כל חדר (סינון-הנתונים). ב-IBP בדיוק כך: הזהות פותחת את המערכת, ה-business role פותח אפליקציות ופעולות, וה-permission filter מצמצם את הנתונים שתראה ותשנה.
הסבר ליועצים
מודל-האבטחה של IBP הוא שכבתי ומורכב משלוש שכבות עצמאיות שמצטלבות: (1) Authentication — מנוהל ב-SAP Cloud Identity Services (Identity Authentication / IAS), כולל SSO ו-MFA. (2) Authorization תפקודית — business role אוסף business catalogs, שכל אחד מהם מעניק גישה לקבוצת-אפליקציות ופעולות (display/maintain). (3) Data-level security — permission filters עם read/write criteria מצמצמים שורות-נתונים לפי ערכי-מאפיינים (Master Data attributes). חשוב: שלוש השכבות הן AND — משתמש חייב לעבור את כולן. שינויי-הרשאות נכנסים לתוקף בכניסה הבאה (re-login) ולעיתים דורשים רענון-cache.
מטרה עסקית
דוגמת תהליך
דוגמת CBC
תרשים תהליך
ניווט / SPRO
קונפיגורציה
T-Codes
Tables
Fiori Apps
נתוני אב
טעויות נפוצות
פתרון תקלות
שיטות מומלצות
שאלות ראיון
Authentication (SAP Cloud Identity), Authorization תפקודית (business role המורכב מ-business catalogs), ו-Data-level security (permission filters עם read/write criteria). שלושתן פועלות כ-AND.
business role פותח אפליקציות ופעולות, אך אינו מצמצם אילו שורות-נתונים נראות. ללא permission filter המשתמש יראה את כל הנתונים שהאפליקציה מציגה.
מסקנות מפתח