SAP CUA - Central User Administration 5 spunti

Posted by Massimo Manara on Dec 14, 2022 8:15:00 AM
Massimo Manara
Find me on:
LinkedIn

Cosa significa CUA ed a cosa serve? Si tratta di un retaggio del passato oppure ancora oggi può essere presa in considerazione?

 

Rete CUA

Davvero è utile per automatizzare la gestione delle utenze? Potrebbe esserti utile?

 

1) Cosa è la CUA?

 

CUA è un acronimo che significa Central User Administration. Si tratta di una funzionalità, non è un prodotto soggetto a licenza, che può essere attivato nei sistemi SAP (basati su tecnologia ABAP).

 

Solitamente viene utilizzato il sistema Solution Manager, già collegato a tutti i sistemi, per sua natura, come CUA Master System. Ovvero il sistema dove è possibile creare le utenze e "sincronizzarle" sui sistemi satellite, senza doverle creare a mano.

 

Dall'Help.sap.com troviamo questa definizione

 

Central User Administration (CUA)

 

2) A cosa serve la Central User Administration?

L'obiettivo della CUA è quello di semplificare la gestione delle utenze e delle attribuzioni di abilitazioni quando vi è un landscape SAP complesso ovvero formato da molti sistemi.

 

Infatti, le utenze, a differenza di altri oggetti, non possono essere "trasportate" tra i sistemi, ad esempio quelli di sviluppo, quality o produzione. Per questo motivo la creazione di un utente, se necessaria su 20 o 30 sistemi potrebbe richiedere molto tempo.

 

La CUA permette di centralizzare in un unico punto la creazione e gestione delle utenze limitando quindi il tempo per la definizione o modifica delle abilitazioni agli utenti.

 

Ma cosa non fa la CUA?

  • Non permette di gestire o automatizzare la costruzione o modifica dei ruoli o profili
  • Non permette di gestire sistemi ibridi. Ovvero un po' cloud ed un po' on-premise.
  • Nel caso utilizzi la password come forma di autenticazione non permette l'invio di notifiche alle nuove utenze
  • Nel caso in cui ci siano sistemi di Identity Management in azienda verifica la compatibilità di questi sistemi

 

3) Che differenza c'è tra la CUA ed un sistema IDM?

 

Si, chiaramente ci sono differenze importanti tra la CUA ed i sistemi di Identity Management (leggi qui sotto gli approfondimenti)

 

 

La CUA ormai nata molto tempo fa era stata pensata per automatizzare la gestione operativa delle utenze (negli ambienti basati su ABAP). Nel corso del tempo, tuttavia, si sono introdotte molte politiche aziendali o normative o vincoli che hanno maggiore peso agli aspetti di compliance piuttosto che automation.

 

Questo ha quindi portato all'introduzione si sistemi per la gestione del ciclo di vita delle utenze con accorgimenti specifici (es. workflow approvativi, richieste self-service, processi di ri-validazione etcc).

 

Inoltre, nel corso del tempo sempre più sistemi sono stati introdotti in azienda, non solo SAP quindi. La gestione delle utenze nei soli sistemi SAP è diventato quindi un limite.

 

Per questo motivo parlare oggi di CUA può, per certi aspetti, essere anacronistico. Tuttavia, la SAP, in questo momento, supporta ancora questa configurazione e funzionalità. Che in alcuni contesti, probabilmente ancora oggi, può essere utile ed usata.

 

4) CUA e SAP GRC o SAP IAG?

Ma allora se ho un sistema di Identity Management la CUA serve? Probabilmente la risposta è no nella quasi totalità dei casi. 

 

Questo può dirsi anche nell'impiego di sistemi più recenti che possono fare provisioning delle utenze nei sistemi SAP (tra l'altro non solo on-premise, ma anche in cloud). Ad esempio, il SAP GRC Access Control ed il più recente SAP Identity Access Governance.

 

Per alcuni di questi, nel caso in cui ci sia già la CUA in azienda, valuta le varie compatibilità.

 

Per sistemi ERP non aggiornati, collegati alla CUA, l'uso di sistemi in cloud come il SAP IAG collegato a quest'ultima potrebbe non essere sfruttato.

 

5) Quando e come usarla? Serve ancora oggi?

 

Non è possibile affermare oggi, che la CUA è un sistema obsoleto e non supportato, in quanto nei fatti, almeno per il momento, non è così.

 

Come spesso accade è necessario svolgere alcune valutazioni, ad esempio:

  • Quanti sistemi ABAP based hai in azienda? Si giustifica l'introduzione di questo strumento?
  • Qual è la tua roadmap strategica? Hai in previsione di introdurre sistemi cloud?
  • Conviene privilegiare l'aspetto operativo oppure di compliance? Quindi usando strumenti di IDM o GRC?
  • Hai già un sistema di Identity in azienda? Forse non è utile farlo transitare dalla CUA attuale, se presente, oppure introdurla in questo contesto. Meglio far fare il provisioning direttamente al sistema di Identity

 

Iscriviti al blog se ancora non lo hai fatto!

Topics: SAP GRC, SAP IAG, userid, SAP cloud identity services, sap cua

Voglio iscrivermi!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutti

SAP Security Blog AGLEA RSS Feed

Aglea s.r.l. - Soggetta alla direzione e coordinamento di Horsa S.p.A. - P. IVA: IT 03868780960 - 2024 | Privacy Policy - Cookie Policy