Autorizzazioni SAP al contrario

Posted by Massimo Manara on Mar 25, 2026 8:15:00 AM

Per chi conosce il modello autorizzativo di SAP, sa che la negazione non è possibile. 

Designer

Ma esistono (come quasi sempre) delle eccezioni (foto generata tramite copilot).

Come funzionano le autorizzazioni SAP?

In generale nella sicurezza applicativa di SAP, non è possibile negare. Ovvero dire: "non puoi fare quella determinata operazione". Per ottenere questo risultato è sufficiente non attribuire quella determinata funzionalità.

 

Si tratta di un aspetto importante. Perché altri sistemi ragionano in modo diverso. Es. di default hai tutto e devo rimuovere quello che non puoi fare.

 

Oppure sistemi ibridi dove di base non puoi fare nulla se non ti viene esplicitamente autorizzato o negato.

 

In SAP di default non hai nulla, se non ti viene esplicitamente autorizzato e non puoi "negare". 

 

Esistono eccezioni!

 

Quali sono gli oggetti autorizzativi che ti permettono di negare o non fare controlli autorizzativi?

Ecco quali sono:

 

Due del modulo HR (Risorse Umane) ed un del sistema SAP Transportation Management.

 

  • P_PERNR - HR: Master Data - Personnel Number Check

    • Campo PSIGN - Interpretation of assigned personnel number

    Controverso oggetto autorizzativo che a seconda delle release ha cambiato significato (dall'help.sap)
    P_PERNR

  • P_ABAP - HR: reporting
    • Campo COARS - Degree of simplification for authorization check (P_ABAP Help SAP)

      COARS

      Dalla documentazione SAP:
      P_ABAP

  • T_ADMIN - Transp. Management: Administrative Settings (nel SAP Transportation Management)
    • Campo ACTVT (Attività) valore H1 (Deactivate)
    • 2890717 - TM Authorization Check in SAP S/4HANA


In sintesi:

  • P_PERNR ti permette di escludere (o includere) la gestione del proprio personnell number SAP. Ad esempio, se gestisco i cedolini (payroll) non posso gestire il mio cedolino

  • P_ABAP ti permette nei casi in cui ci siano elaborazioni massive sui dati HR (es. retribuzioni) di evitare (o fare) il numerosi controlli che potrebbero avvenire (generando potenzialmente problemi di performance). Solitamente utilizzato in utenze tecniche
  • T_ADMIN come sopra di fatto nel contesto SAP TM

 

Ne conosci altri? Scrivilo nei commenti!

 

Iscriviti al blog se ancora non lo hai fatto!

 

 

 

Topics: pfcg, oggetti autorizzativi critici, S/4HANA

Iscriviti qui!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutti

SAP Security Blog AGLEA RSS Feed

Aglea s.r.l. - Soggetta alla direzione e coordinamento di Horsa S.p.A. - P. IVA: IT 03868780960 - 2026 Privacy Policy - Cookie Policy - Whistleblowing