Multiple Logon

Posted by Massimo Manara on May 19, 2021 8:15:00 AM
Massimo Manara
Find me on:
LinkedIn

Effettuare logon multipli in SAP via GUI o via Web. Cosa comporta?

circle

 

È possibile farlo? Come evitare che accada e perché è importante verificare?

Cosa significa fare multiple logon?

Una volta definita una utenza in SAP, questa può effettuare diverse operazioni durante il logon e l'utilizzo del sistema.

 

  • Provare a collegarsi più volte
  • Aprire più sessioni (come se fossero finestre dell'esplora risorse di windows), una volta effettuata la fase di autenticazione

In questo caso parleremo della prima attività. Il collegarsi più volte avendo già effettuato un primo logon.

 

Questa operazione, seppure possibile, ha divere controindicazioni:

 

  • Può consumare più risorse, quindi attivare dei problemi di disponibilità del sistema
  • Non è conforme al contratto SAP, quindi compliance. Quest'ultimo prevede che nell'ambiente produttivo una persona si possa collegare una sola volta al sistema.
  • Il logon multiplo (con la stessa utenza) può attivare problemi di tracciabilità. Infatti se una medesima utenza è condivisa da più persone, in caso di problemi non sarà possibile, nella maggior parte dei casi, risalire a chi abbia effettuato una certa operazione

 

Come è possibile controllare il multiple logon in SAP?

Fortunatamente è possibile controllare il comportamento di questo aspetto tramite un parametro specifico chiamato: login/disable_multi_gui_login questo parametro con valore 1 permette di disabilitare la possibilità per una certa utenza di collegarsi più volte allo stesso sistema-mandante.

 

Attenzione questo parametro ha alcuni punti di attenzione:

  1. Il blocco avviene solo per la "coordinata" Utente-Mandante-Sistema. Con parametro attivo (quindi limitazione del logon multiplo) lo stesso utente si può collegare nello stesso momento su mandanti diversi dello stesso sistema
  2. Questo parametro si applica solo alle utenze di dialogo. Sono quindi escluse le utenze di sistema
  3. Il parametro sopra funziona solo per le connessioni GUI (SAP GUI). Quindi le connessioni Web, ad esempio, non rientrano. Ad esempio SAP GUI via web

 

In questo ultimo caso è tuttavia possibile usare un workaround, non valido in tutti i casi però. Attivando una specifica opzione (vedi immagine sotto, transazione SIFC su servizio WEBGUI) è possibile limitare il logon multiplo sulle nuove sessioni via web ma non impedirlo completamente, nel momento in cui si apra un nuovo tab nel browser in una sessione già aperta.

 

Questo per vincoli di gestione delle sessioni dei browser. Vedi anche OSS: 1841303 - Multiple Logon Restriction in case of webgui / ITS with parameter login/disable_multi_gui_login

 

SICF

 

Il alcune situazione tuttavia non è possibile bloccare completamente questa funzionalità. Per questo motivo esiste un ulteriore parametro che ammette delle eccezioni. Ovvero un elenco di utenti per i quali è ammesso il logon multiplo.

 

Il parametro in questo caso è il login/multi_login_users dove devono essere riportate le utenze separate da virgola es. USER1,USER2,USER3

 

Ma come è possibile capire se il sistema è configurato correttamente o meno e vedere chi ha sfruttato questo meccanismo?

 

Esistono diversi modi:

 

  1. Vedere i parametri di istanza sopra citati, tramite transazione Rz11 oppure RSPFPAR
  2. Provare a fare logon multiplo, se il sistema mostra una schermata con tre opzioni (anziché due) significa che il sistema ammette logon multipli

 

Ecco il messaggio della SAP GUI in un sistema dove il logon multiplo è ammesso. L'opzione centrale infatti permette di mantenere attivi i logon precedenti e quello attuale.

 

MULTIPLE LOGON
 

Mentre la seguente schermata, con blocco attivo, ne prevede solo due:

 

MULTIPLE LOGON_lock
 

Mentre tramite la tabella USR41_MLD (visibile da transazione SE16 in SAP) è possibile vedere chi e quando, anche nel passato ha effettuato logon multipli.

 

Quali sono le conseguenze del non farlo?

Come già riportato in precedenza le principali problematiche sono due:

  1. La mancata conformità al contratto SAP. Come riportato nelle immagini sopra, viene mostrato un chiaro messaggio legato al SAP license agreements "Note that multiple logons to the production system [...] are not part of the SAP license agreements."
    Leggi qui per un approfondimento sulle licenze SAP.
  2. Un problema di tracciabilità. Cosa accade se più persone in produzione usano la medesima utenza? Come riuscire a sapere chi ha fatto cosa in caso di problemi?

 

Iscriviti al blog se ancora non lo hai fatto!

 

Topics: sap license auditing, audit sap, sap logon, multiple logon

Voglio iscrivermi!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutti

SAP Security Blog AGLEA RSS Feed

Aglea s.r.l. - Soggetta alla direzione e coordinamento di Horsa S.p.A. - P. IVA: IT 03868780960 - 2024 | Privacy Policy - Cookie Policy