Durante il supporto quotidiano agli utenti capita spesso di dover richiedere alcune informazioni. Via mail oppure tramite lo strumento di ticketing aziendale.

Su quale sistema ti trovi? Cosa stavi facendo? Che transazioni stavi usando quando hai ricevuto l'errore così via...

Per agevolare queste richieste, in ambito SAP autorizzazioni, possiamo definire un breve manualetto utente da pubblicare, ad esempio, sulla intranet aziendale.

Come l'utente deve riportare le problematiche autorizzative?

Per quanto riguarda gli aspetti autorizzativi l'informazione più utile in questi casi è quella della transazione SU53. Questa transazione infatti consente di sapere tutte le informazioni necessarie alla risoluzione del problema autorizzativo.

Vediamo quali sono:

• L'utenza che ha il problema, sotto forma di nome tecnico
• Il sistema e mandante in cui si è verificato il problema
• L'ultimo errore autorizzativo (e lo storico delle ultime tre ore)
• Stored Checks"(Shift+F5) - La possibilità di vedere lo storico delle SU53 (anche su application diversi da dove è stato registrato l'errore, una volta salvato l'errore autorizzativo (vedi OSS Note 1974803 - How to display failed authorization checks across application servers in SU53)
• Failed checks since - Permette di visualizzare non solo l'ultimo errore autorizzativo ma quello delle ultime tre ore (vedi OSS Note 1671117 - SU53: Enhanced function and Web Dynpro suitability)

Casi particolari

In alcuni casi non è possibile eseguire la transazione SU53, oppure non è immediato identificare il codice della transazione dove si è ricevuto l'errore.

Ecco alcuni esempi.

• Una transazione copre il command field, come è possibile eseguire la transazione SU53.
  • in questo caso è sufficiente premere nell'angolo in alto a sinistra della SAP GUI per aprire un nuovo modo "Generare sessione" ed eseguire in quel nuovo modo la transazione SU53

• Come identificare il codice transazione SAP?
  • Premendo sull'icona evidenziata nell'immagine sotto, in basso a destra della SAP GUI è possibile identificare la transazione utilizzata al momento dell'errore. Questo era particolarmente utile quando la SU53 non mostrava, direttamente nel log, il codice transazionale. Nei sistemi più aggiornati questo problema non sussiste.

Guarda la differenza tra la SU53 di dieci anni fa e quella di oggi.

• Si vede solo l'ultimo errore autorizzativo in quella vecchia
• Nella nuova è presente anche il codice della transazione (eccetto per gli oggetti S_TCODE che è riportata direttamente nel campo)

Attenzione, nei sistemi SAP HR, soprattutto in passato, gli errori autorizzativi dovevano essere analizzati tramite transazione ST01 o STAUTHTRACE (vedi anche OSS 1916340 - Trace in ST01 instead of SU53 checking HR authorizations). Nei sistemi più recenti avendo uno storico di tre ore questo può essere evitato.

Guarda qui il video, puoi usarlo come link da diffondere in azienda!

Anche nel caso di SAP Fiori:

Errori della SU53

In alcune situazioni la transazione può riportare degli errori autorizzativi su oggetti tecnici e di sistema, ad esempio: S_CTS_ADMI,  S_TRANSLAT, S_TCODE=PFCG, S_USER_AGR, etc.

Per quale motivo questo avviene? 

Viene spiegato in dettaglio nella nota OSS 1525134 - SU53 shows 'strange' results (for instance for S_CTS_ADMI, S_TRANSLAT,....) alcune funzionalità che vengono controllate all'avvio delle transazioni verificano la presenza di funzioni amministrative. Per questo motivo gli oggetti sopra vengono controllati. Attenzione, questi oggetti non devono essere per nessun motivo inseriti nel ruolo di base. Leggi qui cosa dovrebbe contenere il ruolo di base e soprattutto cosa non deve contenere.

È corretto che siano presenti degli errori autorizzativi anche se tutto funziona correttamente? Sì, può essere corretto in quanto alcuni oggetti hanno delle logiche di controlli gerarchici, ad esempio gli oggetti autorizzativi per il controllo delle tabelle S_TABU_DIS ed S_TABU_NAM oppure gli oggetti S_RFC o S_RFCACL vedi anche OSS note 2656331 - S_RFC/S_RFCACL entries in authorization trace (SU53).

Un esempio pratico

Durante il supporto AMS che svolgiamo per i nostri clienti (Servizio AMS Security SAP) abbiamo preparato un documento per gli utenti finali, sotto forma di presentazione che descrive come usare la SU53, spesso questo documento viene pubblicato sulla intranet aziendale.

Scaricalo subito, personalizzalo e diffondilo nella tua azienda!