Cosa è il profilo SAP_ALL in SAP?
Perché è così critico?
Quale la differenza tra ruoli e profili SAP?
Sì, sono due oggetti distinti, leggi qui quali sono le differenze. Il SAP_ALL è un profilo, non un ruolo.
A cosa serve il profilo SAP_ALL?
Il profilo SAP_ALL contiene tutti gli oggetti autorizzativi SAP con il valore asterisco (ovvero tutto).
Serve per poter operare in SAP (se sono attivi i controlli autorizzativi, lo sai che è possibile disattivare globalmente i controlli di un sistema SAP?) senza limitazioni autorizzative.
A chi deve essere assegnato il profilo SAP_ALL?
In generale, nel sistema produttivo, nessun utente dovrebbe averlo assegnato. Anche se in alcune realtà, ancora oggi può essere difficile ipotizzarlo ed attuarlo, è così.
In generale ogni mestiere aziendale (in particolare in ambito IT, come amministratori del sistema) può essere svolto senza questo genere di abilitazione. Costruendo anzi dei ruoli IT specifici. Leggi qui cosa facciamo solitamente a riguardo. Ruoli per il personale ICT.
Ma è davvero tutto incluso?
In realtà no. Esistono delle configurazioni (es nella tabella PRGN_CUST il parametro ADD_S_RFCACL "2624572 - SAP_ALL | Handling of authorization object S_RFCACL") che indica se aggiungere o meno nel profilo SAP_ALL l'oggetto autorizzativo (molto critico se non presidiato correttamente) S_RFCACL. Ulteriori configurazioni esistono.
Il SAP_ALL deve essere generato?
Se hai fatto caso nella transazione SU21 è presente un pulsante chiamato appunto "Regenerate SAP_ALL" serve nel caso in cui siano creati nuovi oggetti autorizzativi (custom) per poterli includere nel caso non siano già presenti (439753 - Generating SAP_ALL with a transport of authorization objects - 3193287 - Records in SAL show that DDIC regenerated SAP_ALL profile ).
Ulteriori informazioni sulla tematica qui:
- 410424 - Customizing for generation of profile SAP_ALL
- 2548064 - How to use profile SAP_NEW, role SAP_NEW, and profile SAP_ALL
