Презентация о безопасности SAP HCM (не моя)

Привет. Для начинающих и средней руки консультантов рекомендую простую и понятную презентацию от компании Positive Technologies на тему безопасности SAP HCM. Нашел в сети, никакого отношения к материалу и авторам не имею. Материал хороший, рекомендую 🙂


Где скачать САП

Этот вопрос часто задают мои ученики. Система нужна для практики. Есть несколько способов, как можно получить доступ к системе с затратами, близкими к нулевым. А потом пойти ко мне и моим друзьям поучиться. 

Самый сложный способ, это устроиться на работу в компанию, где есть внедренная система. Часто в компаниях стоят системы-песочницы, где можно все ломать и крушить. Совершенно бесплатно, еще и зарплату платят.

Самый простой способ – скачать образ виртуальной машины с уже предустановленной системой в сети. Это незаконно, не рекомендуемо автором данной заметки. 

Можно легально скачать урезанные версии системы, которые работают ограниченное количество времени или урезаны по функционалу. Такие версии выпущены для разработчиков. Смотреть сюда: https://www.sap.com/developer/trials-downloads.html

Можно найти друга, который работает в компании, где есть САП. Обычно там же есть удаленый доступ до песочниц. Тут уж как повезет с другом, системой, удаленкой и подписанными другом бумажками о неразглашении. 

А можно стать бесплатным партнером SAP. Вступить в экосистему SAP Partner Edge Open Ecosystem https://www.sap.com/partner/become.html Это бесплатно и полностью легально. Вендор предоставит полноценный доступ ко всем своим системам, бесплатные обновления и установки любых версий. Официальную поддержку. 10 профессиональных логинов, ключ разработчика. Ключ разработчика стоит в десятки раз меньше, чем полноценная лицензия клиента. Вам останется найти сервера для размещения системы. Но для 1-2 человек достаточно простого ноутбука за 30-60 тыс рублей. 


Вещи, о которых лучше не знать

Я вам этого не говорил, не писал, мы друг друга не знаем. Этот блог ведет аноним. 

Теперь о серьезном. IDOC вы уже знаете, настраивать и запускать в космос тоже умеете. Работать с LSMW учили еще в начальных классах. Мы же не в США, вы точно должны это все знать. 

Если скрестить эти две технологии, выключить голову, то можно сделать нечто страшное. Мы ранее учились использовать LSMW для создания IDOC. В некоторых случаях этот подход позволяет очень эффективно изменять данные и делать это быстрее, чем через пакетный ввод. Как и у любой технологии, есть отрицательная сторона. 

Представьте, что мы записываем LSMW для формирования IDOC с HRMD_A. У нас есть родительский сегментик, есть сегменты с инфотипами – все просто и логично. В родительском сегменте есть такая штука как операция E1PLOGI-OPERA, которая может принимать значения D – Delete, I – Insert, U – Update. 

При получении IDOC система смотрит на статус. Если буковка D или I, то выполняется полное удаление всего объекта. Неважно что лежит ниже в сегментах с инфотипами. Просто вызывается ФМ CALL FUNCTION ‘RH_DELETE_OBJECT’, куда передаются тип объекта и его идентификатор. 

Когда мы пишем LSMW, то можем в силу человеческого фактора забыть, что I – Insert в области IDOC трактуется как “Удалить и создать”, а не просто “Создать” новую запись инфотипа. Для нас логично, что “создать” означает создать новую запись инфотипа, который мы загружаем. Но САП он САП со своей лучшей практикой.

Так вот, если вы записываете LSMW по созданию записей ИТ через LSMW, укажите в операции буковку I (Insert), а потом без задней мысли запустите эти IDOC на обработку, то система молча удалит все табельные номера или объекты оргменеджмента в зависимости от того, что вы загружаете. 

Это произойдет молниеносно, без возможности отката и записи в журнал аудита, без проверки полномочий (IDOC обычно под суперпользователями запускаются). Все что можно увидеть, это журнал самих IDOC. 

И ЭТО ОЧЕНЬ ОЧЕНЬ ОЧЕНЬ опасно. НИКОГДА ТАК НЕ ДЕЛАЙТЕ. Автор сего опуса ответственности за ваши действия не несет, даже не просите. 

Решения есть два:

  • Забрать полномочия у консультантов на формирование и обработку IDOC в любом виде. Только проверенные системы могут формировать IDOC.
  • Для каждого партнера в системе настроить пользователя с правильными полномочиями, чтобы нельзя было навредить. Транзакция WE20.

Ведение статистических данных в SAP HCM

Оказывается в системе есть простенький инфотип, который позволяет вести данные по статистике. Часто компании изобретают свои инфотипы, когда стоит капельку присмотреться и увидеть что-то стандартное. 

Инфотип 0033 Statistics позволяет создавать любое количество подтипов (объектов учета) и определять в них параметры: что учитывать, какие могут быть исключения. 

Всего два ракурса V_T591A и V_T543A помогут нам сделать простейшую систему учета любых сущностей, которые нужны компании. У настроек есть периоды действия, что позволяет менять справочники с течением времени.

Сходу на ум приходят:

  • Производственный/непроиводственный персонал
  • Схемы премирования/мотивации
  • Параметры численности персонала (по функциям, по группам профессий/должностям)

В стандарте для СНГ этот инфотип нигде не используется, но доступен для ввода, поэтому можно распоряжаться им на свое усмотрение. 


Настраиваем соединения в SAP GUI for MAC

Вообще настраивать SAP GUI для MAC немного неудобно. Почему-то нет таких же красивых окошечек, как для винды.

Самый быстрый способ, это создать соединение и указать строку соединения на вкладке Expert. Например, вот так:

conn=/H/mysapserver/S/3202, где 02 номер инстанции (3202 это сетевой порт, соответственно, для этой инстанции). 

Можно добавить роутер, если он стоит в компании:

conn=/H/myrouter/H/mysapserver/S/3202

Если делаешь соединение с сервером, где включена балансировка, то есть соединяться нужно с группой серверов, а не одним, то начинаются танцы. Простое добавление параметра /G/MYGROUP не всегда работает.

Вообщем, надоело мне это удовольствие, и я пошел в документацию по настройке.

Выяснилось, что можно просто взять и скопировать. Ищем в винде файл SAPUILandscape.xml и копируем его на мак. В настройках SAP GUI в Preferences->Configuration->SAP UI Landscape прописываем путь к файлу вот так, например: /Users/virvit/SAPUILandscape.xml

И после этого можно добавлять новые соединения просто: нажимаем Создать новое соединение и из списка систем выбираем нужную. Либо в окне соединений есть выпадающий список, где по-умолчанию написано JavaGUI Services. Выбираем в нем Local и видим все наши системы.