AGLEA SAP Security Blog

Autorizzazioni SAP al contrario

Scritto da Massimo Manara | Mar 25, 2026 7:15:00 AM

Per chi conosce il modello autorizzativo di SAP, sa che la negazione non è possibile. 

Ma esistono (come quasi sempre) delle eccezioni (foto generata tramite copilot).

Come funzionano le autorizzazioni SAP?

In generale nella sicurezza applicativa di SAP, non è possibile negare. Ovvero dire: "non puoi fare quella determinata operazione". Per ottenere questo risultato è sufficiente non attribuire quella determinata funzionalità.

 

Si tratta di un aspetto importante. Perché altri sistemi ragionano in modo diverso. Es. di default hai tutto e devo rimuovere quello che non puoi fare.

 

Oppure sistemi ibridi dove di base non puoi fare nulla se non ti viene esplicitamente autorizzato o negato.

 

In SAP di default non hai nulla, se non ti viene esplicitamente autorizzato e non puoi "negare". 

 

Esistono eccezioni!

 

Quali sono gli oggetti autorizzativi che ti permettono di negare o non fare controlli autorizzativi?

Ecco quali sono:

 

Due del modulo HR (Risorse Umane) ed un del sistema SAP Transportation Management.

 

  • P_PERNR - HR: Master Data - Personnel Number Check

    • Campo PSIGN - Interpretation of assigned personnel number

    Controverso oggetto autorizzativo che a seconda delle release ha cambiato significato (dall'help.sap)


  • P_ABAP - HR: reporting
    • Campo COARS - Degree of simplification for authorization check (P_ABAP Help SAP)



      Dalla documentazione SAP:


  • T_ADMIN - Transp. Management: Administrative Settings (nel SAP Transportation Management)
    • Campo ACTVT (Attività) valore H1 (Deactivate)
    • 2890717 - TM Authorization Check in SAP S/4HANA


In sintesi:

  • P_PERNR ti permette di escludere (o includere) la gestione del proprio personnell number SAP. Ad esempio, se gestisco i cedolini (payroll) non posso gestire il mio cedolino

  • P_ABAP ti permette nei casi in cui ci siano elaborazioni massive sui dati HR (es. retribuzioni) di evitare (o fare) il numerosi controlli che potrebbero avvenire (generando potenzialmente problemi di performance). Solitamente utilizzato in utenze tecniche
  • T_ADMIN come sopra di fatto nel contesto SAP TM

 

Ne conosci altri? Scrivilo nei commenti!

 

 

 

 
Visualizza articolo completo