既存の IDoc の編集と再処理へのアクセスによる不正なトランザクションのリスクを調査しています。
以下のシナリオでは、次の特性が適用されます。
- ユーザー Y は財務部門に所属しており、SAP の財務取引にアクセスできます。
- ユーザー Y が IDOC を作成しました (金融取引に関連)。
- ユーザー X は人事部に所属しており、SAP の財務取引にはアクセスできません。
- ユーザー X は、IDOCS を変更するための T コード レベルのアクセス権を持っています。
私の質問は、これらのシナリオのどれが正しいものであり、その背後にある技術的な理由は何ですか?
- IDOC/システムが IDOC 作成者 (この場合はユーザー Y) の権限をチェックするため、ユーザー X は既存の IDOC を編集して正常に再処理できます。
- ユーザー X は、既存の IDOC を編集して正常に再処理できます。これは、IDOC がキューにあり、追加の承認を確認しないためです。
- ユーザー X は既存の IDOC を編集できますが、IDOC/システムが IDOC チェンジャー (この場合はユーザー X) の権限をチェックするため、再処理することはできません。