Запрет диалоговой регистрации на центральной инстанции
OnaG 14 сентября 2012 1 576 SAP BASISСобственно инструкция с исходниками
Всем будет запрещен вход через SAPGUI на нее, кроме пользователей группы CENTRAL или SUPER (причем SUPER должна быть проставлена в учетной записи пользователя на вкладке ДаннРегистр и не обязательно будет на вкладке Группы, а CENTRALдолжна быть на вкладке Группы и не обязательно будет в ДаннРегистр).
Учитывая проведенные ранее работы по перенастройки SAPLOGON на распределение нагрузки, пользователи смогут успешно работать на остальных диалоговых инстанциях.
Запросы ставились в строгом порядке (инфа только для зарегестрированных пользователей):
Для работы решения необходима активация проекта ZLOGON в транзакции CMOD. Соответственно для его экстренного отключения – возможна деактивация.
Настройки проводятся в транзакции sm30 для таблички SSM_CUST.
Запреты ОТКЛЮЧЕНЫ – поля CI_DENY_ALWAYS и CI_LOGON_DENIED пустые:
Запреты ВКЛЮЧЕНЫ ДЛЯ ВСЕХ, КРОМЕ групп SUPER или CENTRAL – поле CI_DENY_ALWAYS=X, CI_LOGON_DENIED=X, CI_GRP_ALLOW=CENTRAL (группы SUPER исключается в программе при обработке автоматически и не требует отдельной настройки):
Запреты ВКЛЮЧЕНЫ ТОЛЬКО ДЛЯ ПОЛЬЗОВАТЕЛЕЙ В ГРУППЕ FORBIDDEN (этот вариант у нас практически использоваться не будет). Поля CI_DENY_ALWAYS=X, CI_LOGON_DENIED=X, CI_GRP_ALLOW=пустое, CI_GRP_DENY=FORBIDDEN(если заполнено это поле, то CI_GRP_ALLOW игнорируется).
Дополнительно в системе ведется табличка для анализа способов регистрации: ZLOGON_HISTORY. Поле LOGON_TYPE - это Logon Method (SL,SD,SN,NN,ND). Этот тип данных используется для логирования SNC входом в случае настроенного SNC на сервере (т.е. KerberosSSO для abap). Например при логоне пользователя несмотря на SNCпо паролю - пишется ND, в случае логона cSNC ключом – SL, при логоне с обычным логином и паролем без ssoчерез sapgui, в таблицу пишется PW. У нас будет только значение PW.