用於編輯和（重新）處理IDoc的授權

Question

我正在通過訪問編輯現有的IDoc並對其進行重新處理來查看未授權事務的風險。

在以下情況下，以下特性適用：

• 用戶Y屬於財務部門，並已獲得金融 交易SAP。
• 用戶Y已創建IDOC（與金融交易相關）。
• 用戶X屬於人力資源部門，無法訪問SAP中的財務轉賬。
• 用戶X具有T代碼級訪問權限以更改IDOCS。

我的問題是，這些場景中哪一個是正確的，它背後的技術推理是什麼？

1. 用戶X可以編輯現有IDOC並且因爲IDOC /系統檢查IDOC創建者的授權（在這種情況下：用戶Y）重新處理成功。
2. 用戶X可以編輯現有IDOC並重新處理它成功，因爲IDOC在隊列中並且不檢查額外授權。
3. 用戶X可以編輯一個現有的IDOC，但可以不要重新處理它，因爲IDOC /系統檢查IDOC更換器（在這種情況下：用戶X）的授權。

Answer 1

您可以爲IDOC消息類型創建授權對象，因此用戶不能編輯或發送未經授權的消息類型。否則，用戶可以1,2或3。詳情請看這裏：http://sambitsapbasis.blogspot.com.tr/2009/08/special-authorization-object-for-idoc.html

Answer 2

假設用戶X創建出境的IDoc和用戶Y收到此入境的IDoc，下面的結局將是真正爲您的場景：

1. 假
2. 假
3. 真

你有要明確說明：發件人與IDoc的處理器無關，只有處理器事宜。 SAP甚至將recommends將發件人的授權降至最低，並在後臺集體處理IDoc，以消除授予額外授權的需要。

一般來說，IDocs的授權模型奔波these objects，其中最重要的，從它們S_IDOCMONI和S_IDOCCTRL，和一般的規則是：

如果用戶已被授權DISPLY IDocs的（這是由 S_IDOCMONI控制），他也能夠發送它。

如果您想限制某些IDoc類型在BD87中查看和處理，您必須實施SAP註釋1269516。