SAP DELETE USER, conviene farlo oppure no?

Posted by Massimo Manara on Aug 18, 2021 8:15:00 AM
Massimo Manara
Find me on:
LinkedIn

Conviene cancellare dal sistema le utenze che non devono più accedere?

 

clean up users

 

Oppure è meglio lasciarle impedendone l'accesso? Quali pro e contro e cosa suggerisce di fare SAP?

Cancellare, bloccare, far scadere una utenza, cosa significa in SAP?

Esistono diversi modi e termini, spesso utilizzati come sinonimi, per impedire l'accesso ai sistemi SAP a persone che, ad esempio hanno lasciato l'azienda.

 

Per accedere ad un sistema, anche SAP, come sappiamo serve avere una utenza, più in generale delle credenziali (dirette, ad esempio password, oppure indirette token o simili). Per poter effettuare la fase di autenticazione.

 

Le modalità possono essere diverse:

  • Blocco dell'utenza
  • Delimitazione temporale
  • Disattivazione password (nel caso sia usato questo meccanismo per l'acceso, escludendo quindi meccanismi basati su Single Sing On ad esempio)

 

Le azioni sopra di fatto impediscono l'accesso da parte di un utente, ma hanno impatti diversi. Inoltre, non sono sempre tutte disponibili. In alcuni sistemi può non esserci un concetto di delimitazione temporale (es. utente valido dalla data o utente valido fino alla data).

 

Nel caso dei sistemi SAP è possibile impostare quindi una data di validità dell'utenza (iniziale o finale). Utile nel caso debba essere creata una utenza in anticipo rispetto all'ingresso/utilizzo effettivo dell'utente oppure nel caso in cui l'utenza (quindi la persona) lasci l'azienda (o la collaborazione) in una data pre-stabilita (eventualmente prorogabile).

 

Nel caso sotto un esempio di questa funzione tramite la transazione SU01 dei sistemi ABAP.

 

Ma quali sono le transazioni security? Scaricale qui.

 

SU01 validity period
 

Allo stesso modo, sempre utilizzando la medesima transazione lo stato di blocco utente

 

SU01 lock
 

Qui in realtà possono esserci diversi stati di blocco:

  • 0 - Attivo (Not locked) come il caso sopra
  • 32 - Bloccato centralmente, nel caso sia presente la CUA (Central User Administration)
  • 64 - Blocco dell'amministratore del sistema
  • 128 - Blocco per causa di logon errati
  • Ulteriori combinazioni (ad esempio 192 come somma di 128 e 64) sono possibili

 

Altri eventuali stati nella tabella USR02 campo UFLAG (nel caso dei sistemi ABAP) non sono leciti e quindi rappresentano di fatto una inconsistenza da indagare (vedi anche OSS note 1887820 - Incorrect User Lock Status (UFLAG) in table USR02 - SAP ONE Support Launchpad).

 

Tips. Se usi SAP GRC Access Control e vuoi gestire questi stati, dai una occhiata a questa nota OSS 2791368 - How to customize what UFLAG lock codes should be considered valid lock codes, when synchronizing users? - SAP ONE Support Launchpad

 

Infine la disattivazione della password, che tuttavia, non rappresenta un metodo ideale per impedire l'accesso ai sistemi.

 

SU01 password
 

Ma cosa conviene fare quindi?

 

Cancellare una utenza in SAP?

Tecnicamente questa opzione è prevista, chiaramente, e possibile. Senza particolari controindicazioni. Ovvero cancellando l'utenza non vengono cancellati anche i dati che ha gestito. Tutte le azioni che ha svolto a sistema rimangono come traccia (logs).

 

Esiste una procedura segnalata da SAP in due passaggi

  • Identificazione degli utenti non usati
  • Cancellazione massiva delle utenze

 

Attraverso il programma: RSUSR_LOCK_USERS è possibile effettuare diverse selezioni per individuare delle utenze che non usano il sistema (o volutamente scadute/bloccate)

 

RSUSR_LOCK_USERS_1
 

Dettaglio delle selezioni:

 

RSUSR_LOCK_USERS_2


Proseguendo poi tramite la transazione SU10DELETE alla loro cancellazione.

 

SU10DELETE


Solo una scomodità (che può essere, in parte mitigata), dopo la cancellazione di una utenza può esserci, ovvero in tutti i documenti di modifica rimarrà solo l'utenza (USERID) non sarà possibile risalire (direttamente) al nome e cognome della persona, una volta cancellata. Vedi anche "OSS 2793595 - What is best practice to deal with terminated SAP users?"

 

Questo può non essere un grande problema, soprattutto se la naming delle utenze è "parlante" (leggi qui come scegliere la naming delle userid). Ma nel caso in cui sia stata scelta una naming non parlante, ad esempio la matricola aziendale, può non essere così semplice.

 

Dicevamo, direttamente. Infatti SAP conserva anche queste informazioni, ma in tabelle secondarie (del SAP Office) che sarebbero da interrogare ad hoc per recuperare queste informazioni. Vedi tabelle seguenti, inserendo l'utenza nel campo USRNAM della tabella SOUD è possibile recuperane il nome e cognome.

 

USERID deleted
 

Ti segnalo anche questa nota che permette di vedere le modifiche fatte su nome e cognome di una certa utenza (3015177 - How to check when First Name or Last Name was changed in SU01)

 

Ma allora conviene cancellare una utenza SAP?

Rimane, alla fine, una scelta di ogni cliente. SAP non suggerisce di farlo in quanto

 

  • Potrebbero esserci necessità di compliance, premesso quanto sopra (che anche in dopo aver cancellato una utenza i log rimangono)

  • Nel caso in cui questa utenza sia stata utilizzata per sviluppare funzionalità custom o per effettuare delle configurazioni del sistema. Dato che queste azioni influenzano molto il comportamento del sistema (sempre per ragioni di conformità) sarebbe meglio evitare di cancellare questo genere di utenze. Anche se la loro cancellazione non comporterebbe alcuna criticità per la continuità dei servizi

  • Dal punto di vista delle licenze SAP, il fatto di mantenere a sistema (scadute) le utenze viene tenuto conto. Quindi non cancellando le utenze scadute, queste verrebbero comunque scartate dagli strumenti di license auditing SAP

  • Lasciando le utenze a sistema eviti che in futuro sia creata (o meglio riutilizzata) una utenza che avrebbe la stessa naming, pensa a questo caso: se la naming è prima letta del nome e cognome, l'utente Andrea Martino diventerebbe AMARTINO. Dopo qualche anno, immagina che Andrea lascia l'azienda e arriva al suo posto Anna Martino. L'utenza sarebbe la medesima secondo la naming quindi ancora AMARTINO che questa potrebbe essere semplicemente riattivata (azione sconsigliata)

 

In generale un utente potrebbe essere cancellato se tutte le azioni svolte da questo utente in termini di transazioni a sistema (qui intendo ad esempio documenti creati a sistema) o configurazioni svolte (o anche logs), non siano più attive o comunque siano state cancellate.

 

In questo caso allora anche l'utente potrebbe essere cancellato (o archiviato). Un aiuto su questa parte potrebbe avvenire tramite l'uso della transazione SE16SL (se disponibile nel tuo sistema).

 

Ultima considerazione legata al GDPR. Anche nel caso delle utenze ovviamente dovrebbe essere tenuto conto di questo aspetto.

 

Tramite l'utilizzo del prodotto SAP Information Lifecycle Management è possibile attivare degli ulteriori controlli proprio su questo aspetto. Ad esempio introducendo un ulteriore oggetto autorizzativo S_USER_BLK che permette di controllare l'accesso ai dati archiviati (dell'anagrafica utente).

 

Una volta gestito il periodo di retention ed anche l'eventuale Veto Checks, se presente.

 

SAP ILM USER RETENTION

Quali ulteriori considerazioni?

  • Se cancelli o blocchi un utente considera la verifica di job assegnati a questa utenza o l'utilizzo dell'utenza in destinazioni RFC (per il collegamento tra sistemi). In questi casi la cancellazione potrebbe comportare dei disservizi (tramite la nota seguente "1532884 - Mass changes of jobs" puoi spostare massivamente i job da una utenza ad un'altra)

  • Può capitare di sbloccare o bloccare massivamente le utenze, questi passaggi sono sempre delicati (potrebbe capitare infatti di fare errori). Una alternativa può essere quella di usare le security policy (leggi qui: SAP Password policy)

 

Iscriviti al blog se ancora non lo hai fatto!

 

 

 

 

 

Topics: audit sap, SU01 sap, delete user

Voglio iscrivermi!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutti

SAP Security Blog AGLEA RSS Feed

Aglea s.r.l. - Soggetta alla direzione e coordinamento di Horsa S.p.A. - P. IVA: IT 03868780960 - 2024 | Privacy Policy - Cookie Policy