AGLEA SAP Security Blog

Business User SAP S/4HANA

Scritto da Massimo Manara | Feb 24, 2021 7:15:00 AM

Cosa sono e cosa introduce S/4HANA sulla parte di gestione delle utenze SAP?

 

 

Apparentemente nulla di nuovo, ma in realtà qualcosa di molto importante, che collega due mondi in precedenza non perfettamente uniti.

 

Scopriamolo assieme in questo post!

Come gestire le utenze SAP in ECC?

La gestione dell'anagrafica degli utenti SAP nel sistema SAP ECC avviene tramite l'utilizzo della transazione SU01.

 

Esistono chiaramente molti altri modi per gestire le utenze, ad esempio:

  • Tramite l'utilizzo della CUA (Central User Administration)
  • Tramite l'utilizzo di un software di Identity Management, che di fatto sostituisce la CUA
  • Tramite l'utilizzo di programmi terzi (usando le API standard che SAP offre come integrazione)
  • Tramite automazione di transazioni esistenti per gestire l'anagrafica utente

 

 

Anche nel sistema S/4HANA on premise la gestione degli utenti è la medesima ed avviene nello stesso modo, ma con alcune differenze, vedi sezioni successive.

 

Uno dei limiti presenti in SAP ERP ECC era proprio quello di poter collegare un dipendente alla sua utenza SAP, in maniera "forte" ovvero tramite un legame all'interno del sistema.

 

Per le più disparate ragioni ad esempio:

  • Poter riportare dei dati organizzativi nell'anagrafica utenti
  • Per poter automatizzare il ciclo di vita delle utenze, legato chiaramente a quelle del dipendente stesso (assunzioni, cessazioni e cambi di mansione principalmente)

 

Ma come vengono gestiti i dipendenti in SAP?

 

Come gestire le risorse umane in SAP?

In questo scenario, quindi dove è presente il modulo SAP HR o HCM, è il modulo SAP chiamato PA (Personnel Administration) che si occupa della definizione dei dipendenti/matricole (CID o Personnel Number).

 

Tramite le transazioni PA20 e PA30 è possibile visualizzare e gestire le risorse umane definite.

 

*L'immagine sopra è stata presa da un sistema IDES (Internet Demonstration and Evaluation System)

 

Qui tra i vari infotype possibili, un infotype rappresenta un insieme di informazioni relative ad un certo ambito per un determinato dipendente es. l'allocazione organizzativa, gli indirizzi (dove vive, domicilio, residenza etcc) e la comunicazione (telefono, mail, etcc).

 

In questo ultimo infotype (ogni infotype è denominato da un numero di 4 cifre univoco identificativo) chiamato 0105 vi è anche quello legato all'utenza SAP, in particolare il subtype 0001, viene inserita la USERID SAP (quella definita nella transazione SU01)

 

*L'immagine sopra è stata presa da un sistema IDES (Internet Demonstration and Evaluation System)

 

Quali sono le integrazioni tra questi due moduli SAP?

L'integrazione tra la definizione delle utenze e il modulo di SAP HR viene effettuata tramite l'utilizzo dell'infotype 0105 subtype 001, ovvero una particolare configurazione del modulo di PA (PersonnelAdministration) che collega un dipendente ad una utenza SAP.

 

In SAP Utenze e Dipendenti possono essere "oggetti" diversi e potenzialmente non collegati tra loro. Oppure possono esserlo. Chiaramente avere questo legame può facilitare tutta una serie di aspetti di gestione tra il dipartimento HR e quelli IT, nel processo di gestione delle utenze SAP.

 

Tuttavia, questo legame non comporta particolari automatismi.

 

Quale la novità in S/4HANA?

SAP S/4HANA introduce un nuovo modello di gestione delle identità per i business user. Nella definizione di SAP un business user è una persona che viene rappresentata da un business partner ed un collegamento con una utenza definita a sistema.

 

Il business user interagisce con i processi definiti a sistema ad esempio con il ruolo di buyer, agente, pianificatore della produzione e così via.

 

Un utente in SAP S/4HANA viene quindi relazionato in modo uno a uno (1:1) con un corrispondente business partner.

 

Questo chiaramente riduce la manutenzione delle identità aziendali e garantendo di fatto un aggiornamento costante tra utenti e dipendenti. Questo principio viene chiamato da SAP "Principle-of-One".

Di fatto viene creato una relazione tra UTENZA - BUSINESS PARTNER - SAP HR (Dipendente o Employee)

Quali quindi gli scenari?

 

  • Nessuna integrazione, tutto rimane come in SAP ECC per quanto riguarda questo aspetto nella gestione delle utenze SAP
  • Integrazione con Business Partner senza Workplace Address
    • I dati personali dell'utente, function e department, così come i dati di comunicazione non sono sincronizzati dal BP definito (ed HR collegato)
  • Integrazione con Business Partner con Workplace Address
    • I dati personali dell'utente, function e department, così come i dati di comunicazione sono sincronizzati dal BP definito (ed HR collegato)

 

 

A seconda dello scenario scelto le utenze saranno classificate in modo diverso:

  • '00' - User with Classic Address
  • '01' - Technical User
  • '02' - User With Business Partner Assignment without Workplace Address
    • '03' - Identity with BP Person, BP Organization
  • '04' - User With Business Partner Assignment with Workplace Address

 

Nella tabella USR21 (le tabelle security SAP quali sono?) è possibile vedere la tipologia di utente:

 

 

Questo dato viene anche mostrato in SU01:

 

 

O anche

 

 

Esistono diversi scenari di integrazione tra i dati organizzativi e la gestione delle utenze SAP.

 

La gestione di questi dati prende il nome di EEWA ovvero 'EmployeE Workplace Address ovvero tutte le informazioni presenti nell'anagrafica utenti come:

  • Company
  • Personal data, workplace data (department, room number, extension, etcc)

 

Ci sono tre soluzioni applicative per gestire il workplace address:

  • Human resources management (HR)
  • Business partner management (BP)
  • User management (US)

 

Tramite la seguente tabella di configurazione TBZ_V_EEWA_SRC (usando la transazione SM30) è possibile definite l'EEWA Source per i vari campi impattati.

 


Ma come sono mappati i campi tra SU01 e HR quanto l'integrazione del workplace è attiva? (Vedi anche OSS 2399801 - Synchronization report: Workplace Address corrections)

 

 

Puoi approfondire ulteriormente anche qui: 3094750 - Business User Management - FAQ


La creazione di un utente avverrà quindi seguendo questi passaggi

  1. Usando la transazione SU01 oppure IDM, o API
  2. Creazione del BP per l'utente
  3. Assegnamento dell'utente al BP creato in precedenza

 

 
Visualizza articolo completo