Licenze SAP, come ottimizzare i costi?

Posted by Massimo Manara on May 8, 2019 8:15:00 AM
Massimo Manara
Find me on:

 

Ogni volta che devi affrontare la tematica servono giorni di lavoro?

Licensing SAP

Per capire quali licenze e come devono essere letti i report estratti da SAP?

 

Qualche suggerimento in questo articolo per rendere più semplice il processo del licensing SAP.

Come funziona il licensing SAP?

Esistono moltissimi sistemi SAP. Ognuno di questi può avere delle logiche diverse in tema di licensing. Nel sistema più diffuso, SAP ERP nella versione ABAP on-premises, il costo delle licenze SAP viene calcolato in funzione di quanti utenti sono definiti a sistema.

 

Esiste infatti un vero e proprio listino prezzi in base alla tipologia di utente, ad esempio:

  • SAP Professional oppure
  • SAP Limited
  • SAP Developer
  • o nel caso di SAP S/4HANA  le seguenti:
    • S/4HANA EM Developer access
    • S/4HANA EM Professional use
    • S/4HANA EM Functional use
    • S/4HANA EM Productivity use
    • S/4HANA Tech. SAP Engine User
    • S/4HANA Technical Use
  • ma ne esistono molte altre

 

Ogni strumento SAP può avere delle logiche diverse da quanto sopra, ad esempio:

  • A traffico, in base a quanti gigabyte sono stati trasmessi
  • A tipologia di utenti
  • A numero di oggetti tecnici gestiti, es. quante sedi tecniche sono state definite, quanti ordini di vendita sono stati processati
  • In base al fatturato dell'azienda
  • In base al numero di dipendenti dedicati a svolgere una certa attività
  • In base al numero di utenti definiti nel sistema (indipendentemente dalla tipologia utente)

 

In base al momento dell'acquisto di un certo prodotto, viene applicato un listino e delle metriche precise. Queste possono variare, a parità di sistema, nel tempo.

 

Come avviene il processo di licensing SAP?

Annualmente la SAP o eventuali rivenditori richiedono ai propri clienti di produrre delle estrazioni standard dai propri sistemi fornendo le evidenze in base alle metriche sopra.

 

Nel caso dei sistemi basati su tecnologia ABAP esistono due transazioni specifiche per svolgere queste operazioni:

  • USMM
  • SLAW

 

La prima serve, in un singolo sistema, per vedere tutte le utenze definite e classificarle in base alla tipologia (anche massivamente)

La seconda è il vero e proprio tool di licensing SAP, ovvero il SAP License Administration Workbench (SLAW).

 

Questo strumento, utile quando si hanno più sistemi SAP (basati su tecnologia ABAP), serve ad effettuare il consolidamento dei dati.

 

Sì, perché se un utente esiste in più sistemi, viene pagata una sola licenza. Nello strumento deve essere dichiarato quel è il criterio di consolidamento (normalmente la UserID dell'utenza in SAP) per, semplificando, rimuovere i duplicati.

 

Risulta quindi importante, se nel landscape SAP viene effettuato questo tipo di consolidamento, utilizzare la stessa utenza (UserID) nel caso sia la medesima persona che accede a sistemi SAP diversi.

 

Questo potrebbe tornare comodo anche nel caso di adozione di strumenti di Single Sign On.

 

Facciamo un esempio, ipotizzando di avere nel proprio landscape SAP due sistemi, un SAP ERP ed un SAP CRM.

 

  1. Nel sistema SAP ECC ho definito la persona Mario Rossi con MROSSI
  2. Nel sistema SAP CRM ho definito la stessa persona (Mario Rossi) con ROSSIM

 

Nel caso sopra dovrò pagare due licenze distinte (a parità di persona), in quanto utilizzando il consolidamento basato su UserID, ne verranno conteggiate due.

 

L'ottimo sarebbe stato definire entrambe le utenze con MROSSI o ROSSIM. Se fosse stata utilizzata la mail come criterio di consolidamento (ipotizzando che fosse definita la stessa mail per i due utenti sopra) ci sarebbe da pagare una sola utenza.

 

È possibile ottimizzare i costi delle licenze SAP?

La sicurezza dei sistemi ed utenze (User o Identity Maintenance) viene comunque in aiuto del processo di licensing di SAP. Definendo delle regole di scadenza delle utenze (utenze che vengono cessate o utenze a contratto determinato) si migliora la sicurezza del sistema ma anche il controllo dei costi di licenza software.

 

Quali sono le possibili attività da svolgere?

  • Realizza degli automatismi sulle utenze in dismissione (Il sistema delle risorse umane (HR Human Resource) è il punto ideale per avere queste informazioni):
    • Cessati
    • Utenze con contratti determinati
    • Utenze che si assentano dal lavoro per lunghi periodi
  • Gli utenti bloccati sono conteggiati nel license auditing, solo quelli scaduti da più di novanta giorni non sono conteggiati. Utilizza sempre la data di fine validità
  • Valuta il ribaltamento dei costi delle licenze ai vari dipartimenti
    • Sapere quanto si paga, è un deterrente per nuove licenze o ulteriori richieste, mostrare i costi è un ottimo modo per bloccare alla radice richieste non necessarie
  • Anticipa il license audit annuale di SAP effettuato tu un pre-audit
  • Definisci chiaramente chi in azienda si deve occupare della gestione/contrattazione delle licenze, non solo quelle di SAP
  • Se fai parte di un gruppo, valuta e condividi acquisti centralizzati
  • Effettua delle revisioni degli accessi (User Access Review). Ri-certificare il legame ruolo-utenti o le utenze direttamente, specialmente in SAP, non è solo utile ai fini della compliance, ma anche per effettuare alcune scelte in fase di audit

 

Ricordati inoltre che il logon multipli non sono ammessi dal contratto di SAP. Infatti, è tecnicamente possibile creare una utenza e, condividendo la password, far collegare più persone (pagando una sola licenza). In questo caso oltre a commettere una violazione nel contratto SAP si permette un possibile comportamento non lecito in termini di sicurezza dei dati.

 

Nel caso il sistema non sia configurato correttamente è possibile trovare tracce di molti logon multipli (anche senza reale necessità da parte degli utenti).

 

Viene quindi consigliato di inibire questa funzionalità nel sistema produttivo tramite l'uso di questi parametri:

  • login/disable_multi_gui_login impostato al valore 1 
  • login/multi_login_users=USER1,USER2,USER3,USER4

 

Lasciando eventualmente questa possibilità per gli utenti definiti nel parametro login/multi_login_users come mostrato sopra. 

 

Tramite la tabella USR41_MLD è possibile verificare se ci sono stati casi di logon multiplo prima di attivare i parametri sopra.

 

Al momento del logon se il parametro sopra (login/disable_multi_gui_login) sarà valorizzato ad 1 non sarà possibile avere più sessioni contemporanee.

 

multiple logon

Altrimenti, caso non corretto in produzione:

 

multiple logon disponibileSarà disponibile, l'opzione centrale di multiple logon.

 

Attenzione

 

Come SAP ti aiuta a classificare ed ottimizzare le utenze?

Tramite lo strumento USMM è possibile definire dei criteri di ottimizzazione utenze SAP in base a degli attribuiti e delle priorità.

 

Si tratta di una nuova funzionalità chiamata Rule Based Userid Classification. Diversi criteri sono utilizzati per effettuare queste selezioni tra cui:

  • Transazioni usate (Applications, vedi immagine sotto)
  • Attributi utenti
  • Ruoli assegnati

 

USMM_rule_based 

Si c'è qualche limite dello strumento e deve essere compilato da zero, sistema per sistema, dal cliente. Ma può essere comunque interessante.

 

Come Aglea può esserti utile?

Da diversi nostri clienti, negli anni, ci sono arrivate parecchie richieste di supporto in tema di license audit.

 

Questo ci ha permesso di definire un modello di lavoro che permette di ottimizzare la gestione delle licenze in base all'utilizzo effettivo.

 

Andando a capire quale tipologia è meglio assegnare ad ogni utente. Certo, questo è valido solo per quei sistemi dove è possibile capire cosa hanno fatto gli utenti. Eccetto i sistemi ABAP, gli altri hanno solitamente delle metriche molto tecniche, ad esempio: numero di GB di traffico, numero di processori, quantità di memoria etcc. quindi relativamente semplici da capire ed estrarre.

 

Abbiamo definito una libreria di controlli che permetto di risparmiare tempo.

 

Quali sono i criteri che utilizziamo, ad esempio:

  • Le transazioni/applicazioni utilizzate e la loro frequenza nel tempo
  • I ruoli assegnati
  • Attributi utenti (dipartimenti, funzione, gruppi utenti, centro di costo etc..)
  • Gli oggetti autorizzativi assegnati

 

La vera difficoltà sta capire che tipo di utenza assegnare agli utenti ed essere sicuri che sia quella corretta (anche a distanza di diverso tempo).

Iscriviti al blog se ancora non lo hai fatto!

Topics: usmm, sap license auditing, slaw, audit sap

Voglio iscrivermi!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutte