Cosa è il profilo SAP_ALL in SAP?
Perché è così critico?
Sì, sono due oggetti distinti, leggi qui quali sono le differenze. Il SAP_ALL è un profilo, non un ruolo.
Il profilo SAP_ALL contiene tutti gli oggetti autorizzativi SAP con il valore asterisco (ovvero tutto).
Serve per poter operare in SAP (se sono attivi i controlli autorizzativi, lo sai che è possibile disattivare globalmente i controlli di un sistema SAP?) senza limitazioni autorizzative.
In generale, nel sistema produttivo, nessun utente dovrebbe averlo assegnato. Anche se in alcune realtà, ancora oggi può essere difficile ipotizzarlo ed attuarlo, è così.
In generale ogni mestiere aziendale (in particolare in ambito IT, come amministratori del sistema) può essere svolto senza questo genere di abilitazione. Costruendo anzi dei ruoli IT specifici. Leggi qui cosa facciamo solitamente a riguardo. Ruoli per il personale ICT.
In realtà no. Esistono delle configurazioni (es nella tabella PRGN_CUST il parametro ADD_S_RFCACL "2624572 - SAP_ALL | Handling of authorization object S_RFCACL") che indica se aggiungere o meno nel profilo SAP_ALL l'oggetto autorizzativo (molto critico se non presidiato correttamente) S_RFCACL. Ulteriori configurazioni esistono.
Se hai fatto caso nella transazione SU21 è presente un pulsante chiamato appunto "Regenerate SAP_ALL" serve nel caso in cui siano creati nuovi oggetti autorizzativi (custom) per poterli includere nel caso non siano già presenti (439753 - Generating SAP_ALL with a transport of authorization objects - 3193287 - Records in SAL show that DDIC regenerated SAP_ALL profile ).
Ulteriori informazioni sulla tematica qui: