Come gestire i problemi autorizzativi SAP nel modo corretto?

Quali sono le informazioni necessarie per risolvere e gestire la problematica nel minor tempo possibile?

Come identificare un problema autorizzativo in SAP?

Gli errori autorizzativi in SAP, oggi, sono semplici da individuare. Spesso infatti è il messaggio stesso ad indicare questa tipologia di errore, ad esempio:

• L'utente non dispone dell'autorizzazione per la transazione XY
• Manca l'autorizzazione per la creazione e la modifica dei dati...
• Manca l'autorizzazione alla divisione...

In passato soprattutto nell'area del controllo di gestione alcuni errori autorizzativi non erano immediati da individuare. Veniva infatti fornita una lista (nel caso delle reportistiche) con meno risultati senza ulteriori dettagli di errore.

Oggi questa situazione non si verifica più.

A differenza di altri problemi applicativi, che possono richiedere un tempo maggiore per capire dove sta il problema, nella parte autorizzativa, in situazioni dove apparentemente non è immediato capire se il problema è di natura autorizzativa, è possibile svolgere un test molto semplice per discriminare.

In ambiente di test o sandbox è possibile assegnare un ruolo ampio (oppure temporaneamente anche in produzione, tramite una apposita procedura definita). In questo modo è possibile capire se si tratta di un problema autorizzativo.

Infine esistono sistemi di trace che permettono per casistiche non riproducibili in ambiente produttivo di capire quali sono tutti i controlli autorizzativi effettuati. Vedi qui la lista delle transazioni SAP utili per gli aspetti security.

Quanto sopra è chiaramente possibile solo se sono stati utilizzati i meccanismi di controllo autorizzativo standard es. AUTHORITY-CHECK nel linguaggio ABAP. Se, soprattutto per i programmi custom, sono state utilizzate logiche autorizzative diverse es. se utente esiste in tabella XY allora ZY oppure se l'utente possiede il ruolo KJ allora può proseguire, quanto sopra non risulta essere applicabile.

In questi casi quindi diventa molto più complesso capire dove sta il problema "autorizzativo".

Quali sono i dati essenziali da fornire al supporto?

Che sia un supporto interno o esterno i dati da fornire sono i seguenti:

1. Sistema/mandante
2. Utenza utilizzata durante l'errore
3. Se possibile e se utile, i passaggi per replicare o simulare l'errore

Più in generale sarebbe ideale avere l'output della transazione SAP SU53. Questa transazione infatti è utile per avere quasi tutte le informazioni sopra citate. Eccetto come simulare il problema.

È utile pubblicare sulla intranet aziendale un manuale utente sulle problematiche autorizzative vedi esempio scaricabile qui. Oppure puoi utilizzare i piccoli video che abbiamo pubblicato sul nostro canale YouTube su come eseguire la transazione SU53 sia in italiano sia in inglese.

Versione Inglese:

Attenzione, nei sistemi web es. SAP CRM o SAP SRM ad esempio la transazione SU53 non è utilizzabile. In questi casi è utile poter simulare la problematica. Vedi punto 3 sopra.

Va detto tuttavia che nei sistemi citati sopra le modifiche autorizzative a seguito del rilascio in produzione della suite, sono limitate rispetto ad un sistema SAP ERP o S/4HANA.

Non sempre gli errori autorizzativi sono errori in senso stretto!

In molti casi alcune problematiche autorizzative emergono ma sono generate da precise scelte definite nel modello autorizzativo adottato.

In molti casi infatti i ruoli assegnati agli utenti sono segregati su dei livelli organizzativi definiti in SAP (ovvero società, divisioni, organizzazioni commerciali, organizzazioni acquisti etc..). La segregazione di questo tipo permette di suddividere il dominio dati di competenza. 

Diventa quindi fondamentale, in queste casistiche, capire se si tratta di problemi reali es. cambio di mansioni o di dominio dati, oppure se "non problemi". 

La decisione del chi fa cosa deve essere sempre in carico alla società, quindi il business nel caso degli utenti finali. Prima di processare tecnicamente la richiesta è quindi indispensabile un passaggio formale. Leggi qui quali sono gli owner importati da avere.

Serve un accesso ai sistemi produttivi per la risoluzione dei problemi autorizzativi?

Uno degli aspetti di chi svolge il supporto applicativo SAP o AMS application management services è quello di capire se ci sia davvero la necessità di avere accesso ai sistemi produttivi.

Anche se in alcuni casi questo potrebbe non essere visto come un problema, in altri esistono tutta una serie di vincoli livello di compliance che non possono essere ignorati. Leggi qui come gestire l'accesso in produzione di personale esterno.

Per gli aspetti autorizzativi, quindi modifica dei ruoli (non ad esempio gestione utenti) l'accesso in produzione non è necessario. Dato che le modifiche ai ruoli sono effettuate in ambiente di sviluppo e poi trasportate fino in produzione.

Attenzione, già in alcune release è possibile bloccare la modifica dei ruoli in ambiente produttivo. I ruoli infatti possono essere legati alla gestione del mandante SAP.

Per alcune casistiche di errore presenti solamente in ambiente produttivo, potrebbe essere necessario tuttavia un accesso, anche in sola lettura.

Leggi qui perché è importante avere un sistema di test aggiornato, anche per gli aspetti security SAP.