Asterisco negli oggetti autorizzativi, quando non farlo

Posted by Massimo Manara on Sep 3, 2025 8:15:00 AM

S_TCODE con valore * conviene? Quando serve farlo e quando no?

asterisco

Si potrebbe essere portati a pensare possa essere una semplificazione, a è realmente così?

 

Cosa significa asterisco * nelle autorizzazioni?

Il carattere asterisco * nella gestione delle autorizzazioni SAP, significa qualsiasi valore. Quindi inserendo questo carattere significa dare pieni "poteri" ad un determinato ruolo e quindi utente (attraverso gli oggetti autorizzativi).

 

Attenzione, tutti i valori che seguono l'asterisco non vengono considerati da SAP. Significa che se provo ad autorizzate tutte le società che hanno nella loro codifica *AE*, SAP interpreterà come * (ovvero ignorerà tutto quanto presente a seguito dell'asterisco).

 

Che impatti ci sono nell'uso di questo carattere sull'oggetto autorizzativo S_TCODE?

L'oggetto autorizzativo S_TCODE serve per abilitare le transazioni che un utente può eseguire. Ha un solo campo chiamato TCD dove è possibile inserire l'elenco delle transazioni da abilitare.

 

Seguendo la best practice SAP non è possibile inserire manualmente dei valori in questo campo (era possibile in passate release).

 

S_TCODE

 

Infatti, tramite l'uso dei ruoli, in particolare il menù del ruolo è possibile inserire le transazioni che saranno automaticamente popolate nel campo TCD dell'oggetto autorizzativo S_TCODE nel tab autorizzazioni del ruolo.

 

Display Roles

Tuttavia, inserendo nell'albero autorizzativo del tab autorizzazioni (Authorization) una autorizzazione "Manuale" sull'oggetto autorizzativo S_TCODE è possibile inserire ulteriori transazioni. Oppure anche range (intervalli) ad esempio tutte le transazioni che inziano con Z*

 

Questa azione comporta:

  • un disallineamento tra le transazioni inserite nel menù
  • una mancanza di governance, in quanto la documentazione/identificazione di "chi fa cosa" può essere più onerosa o imprecisa
  • un possibile problema durante gli upgrade di release (Upgrade di release)

 

Ma non è sempre sbagliato. Ad esempio per alcuni ruoli in ambito IT potrebbe essere corretto.

 

Fatta eccezione qunidi per eventuali ruoli IT, negli altri casi meglio evitare!

 

Iscriviti al blog se ancora non lo hai fatto!

 

 

Topics: PFCG SAP transaction, audit

Iscriviti qui!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutti

SAP Security Blog AGLEA RSS Feed

Aglea s.r.l. - Soggetta alla direzione e coordinamento di Horsa S.p.A. - P. IVA: IT 03868780960 - 2025 Privacy Policy - Cookie Policy - Whistleblowing