Credenziali utenze tecniche SAP

Posted by Massimo Manara on Apr 1, 2026 8:14:59 AM

Perché è importante sapere quali sono le utenze tecniche utilizzate nei sistemi SAP e conoscere le credenziali di queste utenze particolari?

pipe

Ti sei mai chiesto se qualcuno le sta usando impropriamente? Tremi all'idea di cambiare le password a queste utenze perché sai che rischi qualche blocco nei processi aziendali?

Ma come dovrebbero essere gestiti questi aspetti?

Quali sono le utenze tecniche in SAP?

Esistono diverse tipologie di utenze tecniche in SAP, ne abbiamo già parlato in questo articolo "SAP System User naming convention".

Utenze tecniche

Perché è importante tenerle sotto controllo? E cosa significa?

Uno dei "problemi" comuni, soprattutto dopo un progetto è quello di risalire alle credenziali usate nel momento di creazione dell'utenza da parte di un partner o system integrator. È normale infatti che durante un progetto si debbano creare utenze tecniche. 

 

Ma per quale motivo questo rappresenta un problema?

 

Ipotizziamo uno dei casi peggiori, ovvero quello di aver subito un attacco informatico.

 

Ricordo infatti un caso realmente accaduto dove un cliente aveva rinvenuto, grazie a degli strumenti di ricerca nel web che permettono di capire se dati aziendali sono presenti in maniera pubblica in rete, ad esempio ricercando "@nome società.com" dei propri dati.

Nel caso specifico erano le credenziali di un database HANA di un sistema produttivo (globale). Pubblicate erroneamente da un fornitore.

 

 

In questo potrebbe essere necessario dover fare una rotazione delle credenziali di alcuni accessi. Anche le tempistiche con le quali questa rotazione avviene sono importanti. 

 

  1. In quanto tempo riesco a fare questa azione (senza creare problemi di business)?
  2. Ho una policy pronta da usare in questi casi?
  3. Dove sono archiviate le credenziali delle utenze tecniche? 
  4. Conosco quali sono gli impatti collaterali nel fare questa operazione? Potrei infatti dover cambiare credenziali anche in altri sistemi connessi

 

L'impatto sopra può inoltre cambiare se queste utenze hanno determinate abilitazioni o meno. Ad esempio, se by default, queste utenze hanno SAP_ALL (ovvero il profilo che contiene tutti gli oggetti autorizzativi SAP con valore asterisco, ovvero la possibilità di svolgere qualsiasi azione)

 

Quale profilazione devono avere? Nel contesto ABAP ne abbiamo già parlato qui "Utenze di sistema con SAP_ALL, no grazie!"

 

Utenze tecniche_sap

Iscriviti al blog se ancora non lo hai fatto!

 

Topics: sap_all, sap cyber security

Iscriviti qui!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutti

SAP Security Blog AGLEA RSS Feed

Aglea s.r.l. - Soggetta alla direzione e coordinamento di Horsa S.p.A. - P. IVA: IT 03868780960 - 2026 Privacy Policy - Cookie Policy - Whistleblowing