Я вам этого не говорил, не писал, мы друг друга не знаем. Этот блог ведет аноним.
Теперь о серьезном. IDOC вы уже знаете, настраивать и запускать в космос тоже умеете. Работать с LSMW учили еще в начальных классах. Мы же не в США, вы точно должны это все знать.
Если скрестить эти две технологии, выключить голову, то можно сделать нечто страшное. Мы ранее учились использовать LSMW для создания IDOC. В некоторых случаях этот подход позволяет очень эффективно изменять данные и делать это быстрее, чем через пакетный ввод. Как и у любой технологии, есть отрицательная сторона.
Представьте, что мы записываем LSMW для формирования IDOC с HRMD_A. У нас есть родительский сегментик, есть сегменты с инфотипами — все просто и логично. В родительском сегменте есть такая штука как операция E1PLOGI-OPERA, которая может принимать значения D — Delete, I — Insert, U — Update.
При получении IDOC система смотрит на статус. Если буковка D или I, то выполняется полное удаление всего объекта. Неважно что лежит ниже в сегментах с инфотипами. Просто вызывается ФМ CALL FUNCTION ‘RH_DELETE_OBJECT’, куда передаются тип объекта и его идентификатор.
Когда мы пишем LSMW, то можем в силу человеческого фактора забыть, что I — Insert в области IDOC трактуется как «Удалить и создать», а не просто «Создать» новую запись инфотипа. Для нас логично, что «создать» означает создать новую запись инфотипа, который мы загружаем. Но САП он САП со своей лучшей практикой.
Так вот, если вы записываете LSMW по созданию записей ИТ через LSMW, укажите в операции буковку I (Insert), а потом без задней мысли запустите эти IDOC на обработку, то система молча удалит все табельные номера или объекты оргменеджмента в зависимости от того, что вы загружаете.
Это произойдет молниеносно, без возможности отката и записи в журнал аудита, без проверки полномочий (IDOC обычно под суперпользователями запускаются). Все что можно увидеть, это журнал самих IDOC.
И ЭТО ОЧЕНЬ ОЧЕНЬ ОЧЕНЬ опасно. НИКОГДА ТАК НЕ ДЕЛАЙТЕ. Автор сего опуса ответственности за ваши действия не несет, даже не просите.
Решения есть два:
- Забрать полномочия у консультантов на формирование и обработку IDOC в любом виде. Только проверенные системы могут формировать IDOC.
- Для каждого партнера в системе настроить пользователя с правильными полномочиями, чтобы нельзя было навредить. Транзакция WE20.
3 комментария
ZGilGelad
добро пожаловать в клуб:)
VirVit
В какой? 🙂
Роман Величко
Ну наверное в тот где люди с мозгами, а не без них