Quali sono gli oggetti autorizzativi critici in SAP? Esiste una lista ufficiale di quali sono e come devono essere gestiti?

Nelle ultime release di SAP qualcosa è cambiato rispetto a questa tematica. Leggi per scoprire nel dettaglio.

Autorizzazioni ed Oggetti autorizzativi critici, quali sono?

Sono diversi gli oggetti autorizzativi SAP che possono essere considerati critici. In questo caso parliamo solamente di quegli oggetti autorizzativi che dovrebbero essere rilasciati solamente agli amministratori del sistema e sicuramente non agli utenti finali.

Non esiste un elenco ufficiale se non quanto riportato nella letteratura SAP oppure quanto descritto nei corsi ufficiali SAP in particolare l'ADM940 e l'ADM950. Dalla release SAP_BASIS 7.55 (2986858 - Revision of transaction SU21) la SAP ha completamente rivisto la transazione SU21 che permette di ricercare e gestire gli oggetti di autorizzazione.

Introducendo anche un apposito attributo nell'anagrafica degli oggetti autorizzativi SAP chiamato "criticità" o in inglese "Criticality". Puoi trovare questa informazioine nella tabella TOBJVORFLG FLAG3 = C

Lo scopo di questo attributo non determina direttamente una criticità dell'oggetto ma impedisce (se un certo oggetto viene marcato come critico) di poter essere disattivato nei controlli (relativamente alla transazione SU22 e SU24). Ne consegue che la SAP lo considera essere critico. Così come tutti gli oggetti autorizzativi della classe Basis  (name pattern S_*) e HCM (name pattern P_* ed oggetto PLOG)

In sostanza se un oggetto è considerato critico, non è possibile disattivarne il controllo.

Lo sapevi che è possibile disattivare il controllo dei singoli oggetti autorizzativi nel sistema vero?

Quali i pincipali oggetti autorizzativi critici in SAP?

In generale, esistono diverse categorie di argomenti che meritano attenzioni particolari. Per ognuna nell'elenco seguente trovi:

• Quali sono gli oggetti critici (attenzione non è una lista completa!)
• Quale problematica può comportare se viene rilasciata senza controllo alle utenze

Sviluppi in SAP

Per la gestione degli sviluppi in SAP, questo è sicuramente l'oggetto più critico del sistema, in quanto permette di bypassare qualsiasi controllo autorizzativo

Oggetto autorizzativo:

• S_DEVELOP - ABAP Workbench

Cosa fare?

Non deve essere rilasciato a nessun utente nel sistema produttivo con attività operative.

Esecuzione programmi

In questo caso riguarda sempre la gestione dei programmi SAP, infatti ogni transazione o APP che viene eseguita di fatto richiama un programma. Nel caso specifico degli oggetti autorizzativi elencati sotto parliamo di programmi eseguibili ad esempio attraverso l'uso della transazioni SA38 ed SE38. 

Oggetti autorizzativi:

• S_PROGRAM - ABAP: Program Flow Checks
• S_PROGNAM - Generic Programm Start

Cosa fare?

Non devono essere rilasciati con i campi del gruppo programmi valorizzati ad asterisco (*).

Consultazione o modifica di dati in tabelle

Per questa famiglia di oggetti autorizzativi (S_TABU*) abbiamo creato un post ad hoc di approfondimento:  S_TABU_NAM S_TABU_DIS in SAP

Oggetti autorizzativi:

• S_TABU_CLI - Cross-Client Table Maintenance
• S_TABU_DIS - Table Maintenance (using standard tools such as SM30)
• S_TABU_LIN - Authorization for Organizational Unit
• S_TABU_NAM - Table Access by Generic Standard Tools
• S_TABU_RFC - Client Comparison and Copy: Data Export with RFC
• S_TABU_SQL - Authorization object for SQL Command Editor

Cosa fare?

Non devono essere rilasciati con i campi del gruppo tabelle/tabella valorizzati ad asterisco (*).

Esecuzione chiamate dall'esterno

Guarda qui il nostro video per capire quale problematica di esfiltrazione dati è possibile attraverso una gestione non corretta di questo oggetto autorizzativo (Data exfiltration da SAP - Esportazione non autorizzata dati da SAP)

• S_RFC -  Authorization Check for RFC Access

Cosa fare?

Non devono essere rilasciati con i campi del gruppo function/gruppo funzioni valorizzati ad asterisco (*).

Gestione delle query

Anche in questo caso abbiamo creato un post ad hoc sul tema leggi qui: SAP Query Security

Oggetto autorizzativo:

• S_QUERY - SAP Query Authorization

Cosa fare?

Leggi qui SAP Query Security per l'approfondimento.

Gestione dei job 

Questi oggetti autorizzativi, della famiglia dei job, ovvero di tutti quei programmi che sono pianificati in modo ricorsivo per svolgere delle attività del sistema. Ad fatturazione, generazione di report etcc.

Oggetti autorizzativi:

• S_BTCH_ADM - Background Processing: Background Administrator
• S_BTCH_API - Background Processing: Special Authorizations for API
• S_BTCH_EXT - External Scheduler
• S_BTCH_JOB - Background Processing: Operations on Background Jobs
• S_BTCH_NA1 - Batch Processing: User Name and Program
• S_BTCH_NAM - Background Processing: Background User Name
• S_BTCH_TMP - Background Processing: Operations on job templates

Cosa fare?

Solo le utenze che devono poter svolgere attività di gestione dei job devono avere gli oggetti autorizzativi sopra. Nessun utente finale deve poter avere gli oggetti sopra. Fa eccezione l'oggetto autorizzativo S_BTCH_JOB con il valore RELE nel caso si rilasci agli utenti finali la possibilità per i propri job di poter essere immediatamente rilasciati senza l'intervento di amministratori.

Oggetti da amministratori del sistema

In questo caso, l'oggetto autorizzativo sotto permette di svolgere delle azioni da amministratori del sistema di conseguenza nessun utente finale ha la necessità di averlo nelle proprie autorizzazioni.

Oggetto autorizzativo

• S_ADMI_FCD - System Authorizations

Con l'ìelenco di tutti i valori previsti dall'oggetto autorizzativo

AMSM - Basis Schema Mapping
AUDA - Basis audit administration
AUDD - Basis audit display auth.
BTCH - Batch input test environment
CONV - Table conversion by release upgrade
FONT - Maintenance of SAPscript font data
LANG - Language handling configuration
MEMO - Allocation of SAP memory management (RSMEMORY)
NADM - Network administration using trans. SM54, SM55, and SM58
PADM - Process administration using trans. SM04, SM50
RSET - Reset/delete data without archiving
SCP1 - Settings for character sets, languages, ...
SCP2 - Database character conversion
SHMU - Shared Memory Monitor Update Functions
SM21 - Analyze system log
ST22 - Cross-Client Dump Analysis
SP01 - Use of SP01 (All Users and Clients)
SPOS - Use of Transaction SP01 (all systems)
SP0R - Spool request management (all users)
SPAD - Spool administration (all clients)
SPAR - Client-specific spool administration
SPTD - TemSe administration (all clients)
SPTR - Client-specific TemSe administration
SMON - Call system monitoring tools
ST0M - Change trace switches
ST0R - Analyze traces
STAM - Display Single Record Statistics in Transaction STATS
STAU - Display User Name for External Single Record Statistics
STUF - Change Filter of User Traces for Authorization Checks
STUR - Evaluation of User Traces for Authorization Checks
SYNC - Reset buffers (buffer synchr. with $sync, $tab...)
T000 - Create new client
TLCK - Lock/unlock transactions
TRNL - Translation administration (Transaction SLW2)
TRNR - Translation administration SLWA/SLWB
TCTR - System-wide table control settings
UADM - Update Administration
UNIX - UNIX commands
COLA - OLE administration
X25 - Open X.25 connection for SAP
SPAA - Spool administration (device administration)
SPAB - Spool administration (general settings)
SPAC - Spool administration (device type, character sets)
SPAM - Spool administration (cross-client job authorization)
F4MX - Search help support by switching ActiveX on/off
F4IS - Activate/deactivate proposal search system-wide
TOUC - Execution of report TOUCHALL
SM02 - System Messages
SLIC - SAPLICENSE: Transaction SLICENSE
LC01 - liveCache Administration (Display Functions)
LC02 - liveCache Administration (Start, Stop)
LC03 - liveCache Administration (Integration, Configuration)
LC04 - liveCache Administration (Initialization)
PRIN - Cross-User Maintenance of Default Print Values
UBUF - Execute Report RSUSR405
ICFR - ICF Recorder Authorization for Administration Console
ICFA - ICF Administration Authorization (Transaction SICF)
RFCA - RFC Administration Authorization (Transaction SM59)
ICFS - ICF Authorization for PUBLIC Services (Transaction SICF)
DBA - Authorization for Database Administration
SMSS - MS SQL Server : Command Window
UMON - Administer Update Records (without Update System)
UDSP - Display Update Requests and their Data
QDEL - Authorization to delete a queue:  RSTRFCQDS, RSTRFCIDS
IGS - IGS Administration Authorization (Transaction SIGS)
SFTP - SAP FTP Administration
POPU - TH_POPUP
SQMA - Administration of SQL Monitor
SQMD - Read SQL Monitor Statistical Data
SCMA - Administration of ABAP Call Monitor
SCMD - Read ABAP Call Monitor Data
SCHD - Maintain Control Parameters for Change Documents
SUM - Use Software Update Manager Tools
ST13 - Use ST13 (BW Tools)
UCCC - Cross-Client Functions for UCON
HMAC - Security Audit Log - Generate HMAC
HMAD - Security Audit Log - Download HMAC
QADM - Queue Administration (SMQ1, SMQ2, SMQ3, BDA1)

Contattaci per scoprire come abbiamo aiutato i nostri clienti a gestire questi oggetti autrorizzativi critici ed altri nei propri sistemi SAP.