SAP生产机该不该开放Debuger权限
前段时间公司定制系统在调用SAP RFC接口的时候报错了,看错误消息一时半会儿也不知道是哪里参数数据错误,就想着进到SAP系统里面对这个接口做远程Debuger,跟踪一下参数变量的变化,结果发现根本就没有这个权限。
我记得当初入职的时候是有申请过这个权限的,包括IT总裁及公司老板在内的都同意了该申请,到SAP系统管理员那边的时候也照申请的权限更新了角色,但过了一段时间之后这个权限还是被收回了。联系系统管理员被告知:SAP生产机不能开放Debuger权限,哪怕是公司老板同意了也没用,原则上就是不能开放。
他口中的“原则”无非就是SAP生产机毕竟是企业生产真实的数据,权限把控要比较严格。如果一个账号有了Debuger权限,那就等于很大程度拥有了SAP系统很多权限,从审计以及IT管控上来说是不合理的。从他的角度上来说或许是对的,但站在IT业务和开发顾问的角度来看,如果遇到了非常规未知的错误,就必须通过Debuger来跟踪解决,甚至要跟踪到系统深层次的标准逻辑。那些妄想通过数据复制到测试机来让问题复现的做法都是愚蠢者的行为。
不仅如此,我还问过其他业务顾问,比如SD模块的业务顾问,他们的账号连SD模块很多权限都不具备(如VA02等),甚至连自开自发的报表权限都没有。有时候用户打电话发邮件过来反馈异常,常常让他们感到难堪,因为权限问题他们看不到这个异常。
算起来我混SAP界也是有一些年头了,一直都是用的sap_all,遇到什么问题解决从来不会为权限烦恼,也不会有人来稽核我IT账号的权限,而这么多年来我也从来没有因为权限过大而发生过什么误操作。
所以开放Debuger权限是一定有的,不管是不是SAP生产机,否则很多问题根本就没法解决。唯一要卡控的是谁能拥有这个权限。一般来说资深的开发顾问以及资历较深的SAP顾问应该拥有这个权限。这就看企业SAP系统管理员的规划了,如果只是偷懒而禁用这个权限,那我只能说像这种把SAP系统当菩萨供着的做法特别不专业和没水准。
文章的最后,再说一句:其实SAP系统是可以管理到一个账号可以用Debuger权限,但不允许修改任何变量的值。如此可以在一定程度上消除Debuger权限带来的数据风险,但我相信他们绝对不会。