Geliştirme ve Program yürütme (SE38, SA38)
S_DEVELOP
Geliştirme yapma yetkisi. Canlı sistemde son kullanıcıya kesinlikle verilmemesi gereken bir yetki nesnesidir. Standart işlerde bu yetki nesnesine ihtiyaç yoktur. İçerdiği kritik yetkilerden biri de DEBUG yetkisidir. Canlı sistemdeki bir kullanıcıda bulunması uygun değildir. Geliştirme yapan kullanıcılara ihtiyaç duyulduğunda verilmelidir (debug sadece), verilmiş kullanıcılarda da sadece görüntüleme yetkisi bulunmalıdır. Create, Change, Delete , Create in DB, Delete in DB, Convert to DB yetkileri olmamaldır.
Kullanım: Oluşturulmuş tüm rollerin içinden S_DEVELOP yetki nesnesi disable edilmelidir.
S_PROGRAM
Program Çalıştırma yetkisi. SE38 ve SA38 işlem kodlarından program yürütebilme (dialog ve background) ve varyant oluşturup bakımını yapma yetkisi. Kullanıcılara direkt S_PROGRAM yetkisi vermek güvenlik açığı sayılabilir. Eğer program yetki grupları oluşturulmamış ise kullanıcı her programı çalıştırabilir.
Kullanım: Mümkün olduğu kadar kullanıcılara bu yetki verilmeyip çalıştırılması gereken raporların transaction koduna bağlanması gerekir. Böylece yetki kısıtlama transaction bazında mümkün olacaktır. Yoksa çalıştırılması gereken programlar için yetki grupları oluşturulup bunlarla kısıtlama sağlanmalıdır.
Background Ä°ÅŸlemler Yetkileri (SM36-SM37)
S_BTCH_JOB
SM37 işlem koduna girme yetkisi olan biri başkalarının işlerini release ederek başlamasını sağlayabilir.
Kullanım: Background işlerle çalışan kullanıcılar dışında disable edilmeli.
S_BTCH_NAM
Artalan işini planlayan kullanıcının seçebileceği kullnıcıları belirler.
Kullanım: Ihtiyaca göre
S_BTCH_ADM
Bir kullanıcının artalan işleri yöneticisi olup olmadığını belirler.
Kullanım: Sadece artalan iş yöneticilerine verilmelidir.
S_RZL_ADM (SM49, SM69)
Harici program çalıştırma yetkisi. Genelde ihtiyaç duyulmayan bir yetkidir.
Kullanım: Sadece ihtiyacı olan kullanıcılarda bulunmalıdır. Disable…
Yazıcı ve Spool İşlemleri (SPAD, SP01, SP02)
S_SPO_DEV
Kullanıcının kullanabileceği yazıcıları belirler.
S_SPO_ACT
Spool requestleri ile yapılabilecek işlemler. Kullanıcı sadece kendi spool requestlerini yönetebilmelidir.
S_ADMI_FCD
Spool sistemi yöneticisi işlemleri. Çok önemli bir yetki nesnesidir. Kullnıcılara direkt sistem yönetimi fonksiyonları sağlar. Son Kullanıcıların bu yetkiye ihtiyaçları yoktur.
GUI Ä°ÅŸlemleri
S_GUI
Genelde kullanıcılarda bulunması gerekir. Dikkat edilmesi gereken fonksiyonları download ve upload. Kritik verilerin güvenliği için disable edilmesi gerekebilir.
S_DATASET
Canlı sistemde genelde “read” ve “read with filter” dışındaki aktivitelere ihtiyaç duyulmaz.
S_RFC
RFC işlemlerinin güvenliğini sağlar. Bu yetki nesnesi ile kimlerin RFC olarak başka sistemlere bağlanabileceği belirlenir. Genelde son kullnıcılarda ihtiyaç duyulan bir yetki değildir. RFC işlemleri bu iş için özel olarak oluşturulmuş artalan kullanıcıları ile yapılmalıdır.
Kullanım: disable
Tablo Kontrolü (SE16, SM30, SM31)
S_TABU_DIS
DoÄŸrudan tablo giriÅŸ yetkisi verir. Kısıtlama görüntüle ve deÄŸiÅŸtir ÅŸeklinde deÄŸiÅŸtirilebilir. Kullanıcılar canlı sistemde genelde doÄŸrudan tablo giriÅŸ ihtiyacı duymazlar. EÄŸer ihtiyaç duyan kullanıcılar varsa bunlara sadece ihtiyaç duydukları tablolar için yetki verilmelidir. Bunu da tablo yetki grupları ile saÄŸlamak mümkündür.

Kullanım: SE16 işlem koduna ihtiyaç duyuluyorsa, bu yetki en uygun yetkilendirme, SE16 işlem kodunun ilgili tablo ile bir bir işlem koduna bağlanmasıdır. Yoksa yetki grupları oluşturulup kısıtlama yapılmalıdır.
S_TABU_CLI
S_TABU_DIS ile aynı. Üstbirim bağımsız tabloların giriş yetkilerini sağlar. Güvenliği S_TABU_DIS gibi sağlanmalıdır.
Kullnıcıların genelde ihtiyaçları olmaz.
ArÅŸivleme
S_ARCHIVE
Arşivleme yetkileri için yetki nesnesi. Arşivleme yapmayacak kullanıcıların ihtiyaç duyacağı bir yetki değildir. Rollerin kalabalık olmaması açısından silinmesinde fayda vardır.
Kullanıcı Yönetimi
S_USER_GRP   
Kullanıcıların oluşturulması, değiştirilmesi, yetki atanması ile iligli yetkileri içerir.
Kullanım:Sadece kullanıcı yöneticilerinde olmalıdır.
S_USER_AGR
Rollerin oluşturulması ve yönetilmesi ile ilgili yetkileri içerir.
Kullanım: Sadece kullanıcı yöneticilerinde olmalıdır.
S_USER_TCD
Kullanıcı yöneticileri için rollerin içine eklenebilecek transactionları belirler
Kullanım: İhtiyaca göre
S_USER_VAL
Kullanıcı yöneticileri için bir rolün içine hangi yetkilerin eklenebileceğini kısıtlar.
Kullanım: İhtiyaca göre
S_USER_AUT
Rollerin “Yetkilerin deÄŸiÅŸtirilmesi” bölümüne kimlerin girebileceÄŸini belirler.
Kullanım: Sadece kullanıcı yöneticilerinde olmalıdır.
S_USER_PRO
Bir rolün generate edilebilme yetkisi.
Kullanım: Sadece kullanıcı yöneticilerinde olmalıdır
CTS Yetkileri
S_TRANSPRT
Requestlerle ilgili yetkileri belirler. Canlı sistemde son kullanıcıların bu yetkiye ihtiyaçları yoktur.
Kullanım: Sadece ihtiyaç duyacak kullanıcılarda bulunmalıdır. Dğer rollerden disable edilmelidir. Son kullanıcıların ihtiyacı yoktur.
S_CTS_ADMI
Sistem yönetimi ile ilgili çok kritik yetkileri içerir. Support package yükleme, request import, sistemi uyarlamaya ve deÄŸiÅŸkliÄŸe açma, kapama gibi.
Kullanım: Sadece sistem yöneticisinde olmalıdır. Dğer rollerden disable edilmelidir.

Serkan AKKAVAK
Bilgisayar Mühendisi
serkurumsal@yandex.com