Gli upgrade SAP. Le autorizzazioni sono dimenticate, perché?

Posted by Massimo Manara on Jan 3, 2019 8:38:00 AM
Massimo Manara
Find me on:

 

Gli aggiornamenti di SAP sono frequenti. SAP rilascia aggiornamenti di funzionalità ai suoi prodotti ma anche nuove funzionalità o patch security.

 

SAP Security Update

Con meno frequenza le installazioni SAP recepiscono questi aggiornamenti. Un’attività di aggiornamento SAP richiede comunque una certa mole di lavoro. Anche se recentemente SAP ha ridotto il volume degli aggiornamenti privilegiando appunto la frequenza. Proprio per limitare l’impatto sui clienti.

 

Nonostante gli aggiornamenti vengano fatti per introdurre nuove funzionalità o garantire il supporto da parte di SAP, quasi sempre gli aspetti security sono sottovalutati e trascurati.

 

Cosa fare quindi prima e dopo un upgrade dal punto di vista security?

 

1. Prepararsi all’aggiornamento del sistema

Durante i vari rilasci dei nuovi pacchetti SAP tiene traccia delle nuove funzionalità o modifiche apportate al sistema.

Tramite il sito help.sap.com è possibile infatti vedere per ogni pacchetto rilasciato quale siano le nuove funzionalità introdotte.

 

SAP_UPGRADE

 

Leggere le nuove funzionalità introdotte per il componente di riferimento (es. area BASIS) dalla release di partenza a quella di arrivo ci permette di essere pronti a valutare nuove funzionalità Security SAP introdotte o capire eventuali modifiche a funzionalità esistenti.

 

2. Upgrade tecnico o funzionale?

 

Esistono due tipologie di SAP upgrade, tecnico o funzionale (a volte la terminologia può essere diversa):

  • Tecnico quanto viene effettuato un upgrade senza introdurre eventuali nuove funzionalità. In altre parole, tutto quello che c’era prima deve funzionare anche nella nuova release
  • Funzionale, effettuo l’upgrade del sistema per introdurre una nuova funzionalità es.: “New General Ledger”

 

Ovviamente il processo di upgrade in questi casi richiede sforzi e modi diversi per affrontare il progetto. Nel primo caso, soprattutto se la release di partenza e quella di arrivino sono molto vicine, gli sforzi sono molto minori, nel secondo caso è un vero e proprio progetto.

 

 

3. L’importanza di non usare i ruoli standard SAP

 

Come citato nella documentazione ufficiale, uno dei motivi per non utilizzare i ruoli standard SAP è quello dovuto agli upgrade di sistema.

Durante gli aggiornamenti di release anche i ruoli standard SAP possono essere aggiornati.

 

L’utilizzo diretto di questi ruoli, comporterebbe quindi la sovrascrittura dei “nostri” ruoli con quelli più recenti.

 

Ecco perché è importante, se decidi di utilizzare come base di partenza i ruoli standard SAP, fare sempre una copia nello spazio nomi del cliente (quindi Z oppure Y).

 

4. È tu come hai fatto i ruoli? Sono pronti per un upgrade di release SAP?

 

Nei progetti di upgrade lo sforzo per aggiornare i ruoli può essere di qualche giornata o di diverse decine di giornate.

 

Questo dipende da come sono fatti tecnicamente i ruoli autorizzativi.

 

Se i ruoli autorizzativi (comunemente noti anche come profili SAP) rispettano le best practices SAP è possibile utilizzare il tool automatico di upgrade (chiamato transazione SU25) seguendo i passaggi che esso propone.

 

In questo caso sarà automaticamente SAP ad effettuare molto del lavoro. A te rimarrà solamente l’adeguamento dei ruoli (più ruoli ci sono e più transazioni contengono, più la probabilità di doverli aggiornare salirà).

 

5. SAP HANA, S/4HANA quali sono i punti di attenzione security SAP?

 

Conviene chiarire da subito quale è la differenza tra HANA ed S/4HANA.

  • HANA, si tratta del database proprietario di SAP. Vedi anche ad esempio Oracle, DB2 Microsoft SQL
  • S/4HANA (scritto tutto attaccato) è l’applicativo che viene installato sul database HANA. Corrisponde alla suite SAP ERP installata su database HANA o altri

 

Quali sono i punti di attenzione durante gli upgrade verso il database HANA o S/4HANA?

  • Database HANA, dal punto di vista applicativo non ci sono molte azioni da svolgere. È sostanzialmente trasparente. Può essere tuttavia un momento per rivedere la security del database. Attivando ad esempio la crittografia delle comunicazioni, nativa nel database HANA, e l’hardening dei sistemi.
  • Molto diverso l’approccio ad S/4HANA per quanto riguarda le autorizzazioni SAP. Qui infatti l’interfaccia di accesso utente può cambiare notevolmente. Sono infatti introdotti diversi nuovi componenti:
    • SAP Gateway o FES Front End Server
    • SAP Backend o BES Back End Server
    • SAP Netweaver Business Client

 

L’accesso alle applicazioni S/4HANA avviene tramite l’interfaccia grafica di FIORI, la quale prevede le tile (mattonelle) che possono corrispondere alle transazioni in SAP ECC.

 

Qui è necessario definire un concetto autorizzativo tra il FES ed il BES abilitando i servizi Odata necessari al funzionamento dell’applicazione.

 

SAP Upgrade

Topics: patch, upgrade, su25, pfcg, HANA, S4/HANA

Voglio iscrivermi!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutto