S/4HANA Security: 2 nuove funzionalità che non conosci

Posted by Massimo Manara on Feb 26, 2020 12:00:00 AM

Stai valutando la migrazione a SAP S/4HANA?

Sei già in fase di migrazione?

Hai già migrato?

 

SAPS4HANA

 

Nuove funzionalità, anche nella parte security, e la revisione dell'utilizzo di alcune transazioni importanti, non sono da sottovalutare.

 

Database HANA o applicazione S/4HANA?

Quali sono le differenze tra HANA ed S/4HANA? click per scoprirlo, prima di andare avanti, se già non le conosci.

 

La gestione delle autorizzazioni SAP e della Security cambia?

La struttura delle autorizzazioni nei sistemi S/4HANA è basata, come nell'applicativo SAP ECC sullo stack ABAP Netweaver.

 

Questo significa che tecnicamente non ci sono modifiche alla gestione della profilazione

nella nuova versione del sistema ECC (ERP Central Component) ovvero la soluzione S/4HANA.

 

Gli strumenti di gestione, principalmente:

  • Transazione PFCG Profile Generator per la gestione di utenti, ruoli, autorizzazioni e profili
  • Transazione SU01, per la gestione delle utenze

 

Sono rimaste invariate. Questo può essere un aspetto positivo per chi ogni giorno deve gestire la profilazione dei sistemi oppure implementare controlli di sicurezza SAP. Nulla di nuovo da imparare.

 

Ma attenzione, dalla release 1909 di SAP S/4HANA SAP ha deciso di modificare le valorizzazioni di default di alcuni profili di istanza SAP. Ovvero alcune configurazioni security di sistema. Quali sono?

 

Eccole:

PROFILO ISTANZA NOTA OSS
auth/check/calltransaction 515130
auth/object_disabling_active -
auth/rfc_authority_check 2216306
gw/reg_no_conn_info 2776748
gw/rem_start 2776748
icf/set_HTTPonly_flag_on_cookies 1277022
icm/HTTP/logging_0 2788140
icm/HTTP/logging_client_0 2788140
icm/security_log 2788140
login/disable_cpic -
login/password_downwards_compatibility 1023437
login/password_hash_algorithm 2140269
ms/HTTP/logging_0 2794817
ms/http_logging 2794817
rdisp/gui_auto_logout -
rdisp/vbdelete 2441606
rfc/callback_security_method 2678501
rfc/ext_debugging 668256
rfc/reject_expired_passwd 1591259
wdisp/add_xforwardedfor_header 2788140
Security Audit Log configuration 2838480

 

Ma quindi la S/4HANA non aggiunge nessuna novità?

In realtà ci sono dei cambiamenti. Parlando sempre degli aspetti di sicurezza S/4.

 

L'accesso ai sistemi tramite SAP FIORI, la parte mobile. Quindi tutta la gestione di quelli che vengono chiamati:

  • Catalog Role, ovvero l'insieme delle APP (Tile) che può vedere l'utente
  • Group Role, ovvero le APP che un utente può vedere nella pagina iniziale di FIORI

 

Questa architettura prevede inoltre la definizione di due ambienti specifici chiamati:

  • FES - Front End Server
  • BES - Back End Server

Il FES (Front End Server) è il sistema che di fatto espone le applicazioni agli utenti. Qui deve essere gestito l'accesso e le autorizzazioni alle applicazioni SAP FIORI.

 

Il BES (Back End Server) è il sistema ERP, quindi S/4HANA, nell'ipotesi di utilizzare un accesso FIORI ad S/4HANA.

 

In questo sistema vengono gestite le profilazioni come nella versione ECC. Tramite l'utilizzo dei ruoli, oggetti autorizzativi.

 

Il punto di attenzione diventa l'allineamento dei sistemi (dal punto di vista autorizzativo).

 

Se un utente esiste nel BES ed ha certe applicazioni APP, l'utente dovrà, dato che le APP ricevono i dati dal BES, avere le corrispettive autorizzazioni nel sistema backend.

 

A seconda dello scenario di implementazione che viene adottado potresti fare scelte diverse:

  • Greenfield o Brownfield (leggi qui se non conosci queste sigle)
  • BES e FES sulla stessa macchina o separati?
  • Come organizzare le APP Fiori nei rispettivi cataloghi? Meglio fare cataloghi grandi o granulari?

 

Ed a livello applicativo quali sono i punti di attenzione?

Una parte del cambiamento più rilevante è data dalla sostituzione di alcune transazioni SAP che diventano obsolete.

 

Business Partner S/4HANA

Sicuramente le transazioni SAP più impattate sono quelle delle anagrafiche fornitori e clienti.

Le transazioni seguenti sono diventano infatti obsolete e re-indirizzano alla "nuova" transazione BP (Business Partner):

  • FD01,FD02,FD03
  • FK01,FK02,FK03
  • MAP2,MAP3
  • MK01, MK02, MK03
  • V-03,V-04,V-05,V-06,V-07,V-08,V-09, V-11
  • VAP1, VAP2, VAP3
  • VD01, VD02,VD03
  • XD01, XD02, XD03
  • XK01, XK06, XK07, XK02, XK03

 

La transazione BP esisteva già in passato, ma con S/4HANA diventa di fondamentale utilizzo per le anagrafiche.

 

Le seguenti transazioni diventano obsolete senza effettuare un redirect.

  • FD06, FK06
  • MK06, MK12, MK18, MK19
  • VD06, XD06, XD07
  • V+21, V+22, V+23,
  • MAP21

 

La possibilità di andare a filtrare i match code

Una nuova attività è stata introdotta chiamata F4 al fine di poter effettuare dei filtri nei campi di ricerca (Match Code), raggiungibile premendo in un campo F4. Questo nuovo valore è presente nel campo ACTVT (Attività).

 

F4

 

Attenzione, per compatibilità verso il passato questa nuova attività viene controllata prima dell'attività di visualizza 03.

 

Se hai intenzione di implementarla devi rivedere le valorizzazioni presenti ad oggi nei ruoli autorizzativi.

 

Ecco gli oggetti impattati:

  • Clienti: F_KNA1_GEN, F_KNA1_GRP, F_KNA1_BED, F_KNA1_BUK, V_KNA1_VKO
  • Fornitori: F_LFA1_GEN, F_LFA1_GRP, F_LFA1_BEK, F_LFA1_BUK, M_LFM1_EKO

 

Topics: SAP FIORI Security

Iscriviti qui!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutti