我正在通过访问编辑现有的IDoc并对其进行重新处理来查看未授权事务的风险。用于编辑和(重新)处理IDoc的授权
在以下情况下,以下特性适用:
- 用户Y属于财务部门,并已获得金融 交易SAP。
- 用户Y已创建IDOC(与金融交易相关)。
- 用户X属于人力资源部门,无法访问SAP中的财务转账。
- 用户X具有T代码级访问权限以更改IDOCS。
我的问题是,这些场景中哪一个是正确的,它背后的技术推理是什么?
- 用户X可以编辑现有IDOC并且因为IDOC /系统检查IDOC创建者的授权(在这种情况下:用户Y)重新处理成功。
- 用户X可以编辑现有IDOC并重新处理它成功,因为IDOC在队列中并且不检查额外授权。
- 用户X可以编辑一个现有的IDOC,但可以不要重新处理它,因为IDOC /系统检查IDOC更换器(在这种情况下:用户X)的授权。