Quanti modi esistono per gestire gli accessi in emergenza a SAP? Ogni sistema SAP supporta questo tipo di accessi?
Nei sistemi SAP ABAP based tramite il modulo Emergency Access Management del sistema SAP GRC Access Control.
Ma esistono altre soluzioni sul mercato che possono coprire questa necessità? Sì, ne parliamo in questo articolo.
SAP tramite lo strumento Emergency Access Management o Firefighter permette la gestione delle utenze di emergenza. Questo strumento, integrato suite del GRC Access Control, permette di assegnare ad un utente un'utenza di emergenza a seguito dell’approvazione da parte del responsabile dell’utente/amministratore.
Al termine dell’utilizzo, vengono consolidati automaticamente i dati ed inviati ad un responsabile delle super utenza per presa visione.
L’utilizzo delle utenze di emergenza dovrebbe essere sempre ben documentato tramite procedure.
I punti di attenzione che devono essere definiti per l’audit sono
Parti da qui per sapere quali transazioni auditing ti possono essere utili.
Possono essere molteplici le cause:
Queste situazioni rappresentano quindi un rischio elevato che può portare ad una situazione di emergenza. Dove una certa utenza (di business o, solitamente ICT) deve poter operare senza troppe restrizioni per risolvere un problema di business.
Diventa quindi importante definire un processo strutturato che non sempre è ben fluido. Nonostante sia definito, anche bene, sulle procedure. A seguito dell’approvazione, all’utente sarà assegnata un'utenza con l’autorizzazione o più in generale le abilitazioni SAP richieste.
L'ideale sarebbe evitare di comunicare delle credenziali. Ma fare in modo che l'utenza stessa o una utenza di emergenza, si attivi, senza definire una utenza ex-novo da rilasciare (comunicando credenziali) alle utenze
Al termine l’attività, l'utente che ha utilizzato dei "super-poteri" dovrà ritornare alla normalità. questo processo dovrebbe essere il più trasparente possibile, sia per l'utente sia per l'ICT (per evitare di incorrere in richieste frequenti ed attività manuali da dover tracciare).
Tutti i singoli passaggi dovrebbero essere inoltre registrati così da permettere in fase di audit di analizzare ogni singola azione eseguita su un'utenza.
Ci è capitato in parecchie situazioni di analizzare gli usi delle super-utenze, una volta definiti questo genere di processi. Possiamo affermare che spesso la si utilizza anche quando non vi è la necessità. Oppure nel dubbio durante i progetti, viene richiesta, anche se in realtà non serve effettivamente.
L’utenza di emergenza dovrebbe essere utilizzata nei seguenti casi:
Se non definisco una procedura di gestione delle super utenze è difficile capire cosa è stato fatto (dovrei andare a verificare tutti i log, non centralizzati in un unico punto e tenere traccia di tutte le richieste, a livello di processo ed approvazione). Molto difficile!
Sono alcune delle domande che è meglio porsi quando si sta per attivare o rivedere questo processo. Non sempre esiste una unica risposta, dipende spesso dal contesto. In alcuni casi le soluzioni ibride sono ammesse.
Ma quale potrebbe essere una modalità di gestione delle super utenze?
La suite XITING TIMES (della società Xiting) è un modulo della suite XAMS e permette di gestire un processo completo end to end di richiesta, gestione e logging delle super utenze.
Ma come funziona e come avviene tutto ciò?
Iniziamo con il dire che la soluzione è sviluppata completamente in ABAP, quindi, funziona perfettamente nel contesto ABAP based e supporta inoltre le attività di firefighting su database HANA. Questo aspetto è positivo in quanto è perfettamente integrata ed utilizzabile negli scenari dove sia presente un sistema di questo tipo quindi ad esempio SAP ERP ECC o S/4HANA (nel caso di scenario embedded).
Ma come viene gestito da questo software il processo di PAM (Privileged Access Management)?
Quindi, operativamente, ecco come funziona dal punto di vista dell'utilizzatore:
Di seguito la rappresentazione grafica dei vari passaggi descritti sopra
Ogni owner (definito nelle tabelle di configurazione) potrà poi, tramite una transazione specifica, prendere visione di tutte le attività svolte in regime di "super-utenza"
La soluzione che propone XITING permette quindi di:
Sei interessato a scoprire altri moduli e vantaggi della suite XAMS? Contattami!