SAP FUE e gestione delle utenze: guida pratica per ottimizzare licenze e accessi

Posted by Massimo Manara on Jun 10, 2026 8:15:00 AM

 

Le licenze SAP rappresentano una voce di costo rilevante per qualsiasi organizzazione che utilizza SAP S/4HANA. Il modello FUE (Full Use Equivalent) ha introdotto una nuova logica di misurazione rispetto al tradizionale Named User License (NUL) di SAP ECC, e con essa nuove complessità: come si calcola correttamente il numero di FUE necessari? Da dove si parte? E quali errori è più facile commettere?

cost

 

A queste domande si aggiunge un tema spesso sottovalutato: la gestione delle utenze. Ogni utenza ha un costo, diretto o indiretto, e le scorciatoie come le utenze condivise generano rischi che vanno ben oltre il risparmio apparente.

 

Questo post raccoglie quello che serve sapere per affrontare il tema FUE in modo strutturato, dal contratto al calcolo, fino alla gestione operativa degli accessi come riassunto dei vari nostri post blog.

 

Cosa sono le FUE in SAP?

FUE è l'acronimo di Full Use Equivalent, non Full User Equivalent né Full Usage Equivalent, come talvolta viene erroneamente indicato. Si tratta di una metrica introdotta da SAP per misurare il consumo di licenze in base al tipo di utilizzo del sistema, non al semplice conteggio degli utenti nominativi.

 

Il modello FUE si applica principalmente nei sistemi SAP S/4HANA e sostituisce il precedente sistema di Named User License (NUL) utilizzato in SAP ECC OnPremise. Il concetto di fondo è quello di un gettone: un FUE può essere speso per acquistare una licenza di tipo avanzato (rapporto 1:1) oppure per coprire più utenze di tipo meno esteso.

 

Le tipologie di utenza nel modello FUE

Le classificazioni principali sono quattro, con rapporti di conversione diversi:

  • Advanced — 1 FUE = 1 utenza (rapporto 1:1). Include utenti con abilitazioni estese, personale IT con accessi amministrativi, utenti con profili come SAP_ALL.
  • Core / Functional — 1 FUE = 5 utenze (rapporto 1:5). Tipicamente utenti operativi con accesso a processi specifici, ad esempio la ricezione merci o servizi.
  • Self-Service / Productivity — 1 FUE = 30 utenze (rapporto 1:30). Utenti con utilizzo limitato, tipicamente accesso a funzionalità di Employee Self-Service.
  • Developer — 1 FUE = 0,5 utenze, ovvero un Developer consuma 2 FUE (rapporto 2:1).

In sintesi: più le abilitazioni di un utente sono estese, più FUE consuma. Ottimizzare il modello autorizzativo significa anche ottimizzare il costo delle licenze, ma senza snaturare i profili solo per risparmiare.

Da dove iniziare il calcolo delle FUE?

Il punto di partenza corretto è il contratto sottoscritto con SAP. Esistono infatti diversi listini a seconda della tipologia di prodotto, e le FUE hanno nomi e codici leggermente diversi tra un contratto e l'altro, pur mantenendo la stessa logica di fondo.

 

Tipologie contrattuali e codici FUE per prodotto

Di seguito le principali tipologie contrattuali con i relativi codici utenza:

SAP S/4HANA Enterprise Management

  • HA — Developer access
  • HB — Professional use
  • HC — Functional use
  • HD — Productivity use

SAP S/4HANA Private Cloud Edition

  • GA — Development access
  • GB — Advanced use
  • GC — Core use
  • GD — Self-service use

SAP ERP Private Cloud Edition

  • IA — Development access
  • IB — Advanced use
  • IC — Core use
  • ID — Self-service use

SAP HANA Enterprise Cloud Classic

  • KA — Developer User
  • KB — Professional User
  • KD — Employee User
  • KE — ESS User
  • KF — ESS Core User

SAP HANA Enterprise Cloud S/4HANA

  • LA — Development access
  • LB — Professional use
  • LC — Functional use
  • LD — Productivity use

Ogni listino ha i propri codici, ma la logica di classificazione delle FUE è uniforme: identificare il tipo di utilizzo dell'utente e applicare il rapporto di conversione corrispondente.

 

Come si calcola tecnicamente il numero di FUE?

SAP mette a disposizione strumenti standard per il calcolo:

  • Per S/4HANA OnPremise e Private Cloud: le transazioni USMM o SLAW (e le versioni più recenti analoghe).
  • Per S/4HANA Public Cloud: l'applicazione SAP for Me.
  • In fase di migrazione da ECC: SAP rilascia un programma specifico (nota OSS 3113382 e 3333812) che simula le licenze necessarie basandosi sulle autorizzazioni attuali degli utenti/sviluppatori.

 

Questo ultimo punto è particolarmente rilevante: il programma di simulazione legge le autorizzazioni esistenti per stimare i FUE. Se il modello autorizzativo non è allineato al principio del minimo privilegio (least privilege / need-to-know), il calcolo restituirà un numero di FUE più alto del necessario.

 

7 punti di attenzione nel calcolo e nella gestione delle FUE

1. Il numero di utenti non è il numero di FUE

Sapere quanti utenti utilizzano SAP è un dato necessario ma non sufficiente. Il numero di FUE dipende dalla classificazione di ciascun utente, non dal loro conteggio totale. È necessario analizzare le abilitazioni di ogni profilo per determinare il tipo di utilizzo corrispondente.

 

2. La struttura dei processi influenza direttamente i FUE

La scelta tra processi centralizzati o decentralizzati ha un impatto diretto sui costi di licenza. Ad esempio, se la gestione degli acquisti o delle scritture contabili è distribuita tra più dipartimenti, un numero maggiore di utenti avrà accesso a funzionalità classificate come Functional (rapporto 1:5), aumentando il totale dei FUE necessari.

 

3. Senza dati storici, stima con una regola empirica

Se non disponi di uno storico di utilizzo, il calcolo preventivo è difficile. Come riferimento empirico: in media, le utenze classificate come Professional si attestano tra il 40% e il 60% delle utenze attive. È una stima di partenza, non una certezza — ma utile per costruire un primo budget.

 

4. SAP_ALL è sempre Professional: nessuna eccezione

Qualsiasi utente con il profilo SAP_ALL viene classificato automaticamente come Advanced/Professional (rapporto 1:1), poiché dispone di tutte le abilitazioni del sistema. Nessun utente in produzione dovrebbe avere questo profilo — né per ragioni di sicurezza né per ragioni di costo licenze.

 

5. Il personale IT tende ad avere classificazioni elevate

Gli amministratori di sistema e gli utenti IT accedono spesso a funzionalità con abilitazioni estese. Questo li porta tipicamente a rientrare nella categoria Advanced (1:1). È un elemento da pianificare esplicitamente, non da scoprire a consuntivo.

 

6. L'area Controlling richiede attenzione specifica

Gli utenti dell'area Controlling hanno frequentemente accesso a oggetti autorizzativi che SAP classifica come "full", proprio per la natura trasversale delle loro attività. Anche in questo caso il rischio è una classificazione più alta del previsto se non si analizza il profilo in anticipo.

 

7. Il Flexible Workflow può alzare la classificazione degli utenti

Il Flexible Workflow di SAP S/4HANA può richiedere oggetti autorizzativi legati alla tipologia Professional. Una parametrizzazione non corretta porta a classificazioni più alte del necessario: questo processo va verificato e configurato con attenzione prima del calcolo finale delle FUE.

 

Utenze condivise in SAP: un risparmio apparente con costi reali

Ogni utenza SAP ha un costo — che si tratti di un modello Named User o FUE. Di fronte a questo costo, alcune organizzazioni ricorrono alle utenze condivise (shared account): più persone che accedono al sistema con le stesse credenziali. È una pratica ancora presente, soprattutto nella gestione degli accessi per fornitori esterni, e viene percepita come un modo per ridurre i costi operativi.

In realtà, i rischi che introduce superano ampiamente il risparmio ottenuto.

 

I rischi concreti delle utenze condivise in SAP

  • Impossibilità di attribuire le azioni a una persona specifica. Se più persone usano la stessa utenza, il log di sistema registra le azioni ma non consente di risalire a chi le ha effettivamente eseguite. In caso di audit, errori o incidenti, questa mancanza è critica.
  • Password condivisa tra più persone. La password di un'utenza condivisa è nota a tutti coloro che la usano, rendendo inefficace qualsiasi meccanismo di autenticazione individuale.
  • Profili estesi per necessità operative. Poiché l'utenza condivisa deve servire persone con ruoli diversi, tende ad accumulare abilitazioni ampie. Questo aumenta il rischio di accessi non necessari e, nel modello FUE, può alzare la classificazione della licenza.
  • Nessun controllo su chi accede effettivamente. La condivisione a cascata — dove le credenziali vengono passate informalmente — rende impossibile sapere se le persone che accedono sono solo quelle formalmente autorizzate.
  • Non conformità contrattuale SAP. L'utilizzo condiviso di un'utenza può costituire una violazione delle condizioni di licenza SAP, con conseguenze in caso di audit (vedi anche il tema del Multiple Logon).

 

7 suggerimenti per una gestione corretta delle utenze SAP

1. Crea solo le utenze realmente necessarie in produzione

Non tutti i membri di un team devono avere un'utenza SAP nel sistema produttivo. Su un gruppo di 50 persone, spesso solo una parte ha effettiva necessità operativa di accesso diretto. Definire questo perimetro riduce i costi e semplifica la gestione.

 

2. Usa la condivisione dello schermo per le verifiche

Molte verifiche a sistema non richiedono un accesso diretto: possono essere effettuate tramite condivisione dello schermo con l'utente che ha già il problema, oppure con un'utenza IT dedicata. Non è necessario creare una nuova utenza per ogni necessità di controllo puntuale.

 

3. Sensibilizza per tempo sui tempi di risoluzione

Se l'organizzazione è abituata a ricevere supporto immediato tramite accesso condiviso, il passaggio a un modello di utenze individuali richiede una gestione del cambiamento anticipata. I tempi e le procedure di risoluzione dei problemi cambieranno: è importante comunicarlo prima, non dopo.

 

4. Struttura gli accessi per ambito o macro-ambito

Definire profili di accesso per area funzionale (acquisti, contabilità, logistica, ecc.) consente di mantenere il controllo anche quando il numero di utenti cresce. È più semplice da gestire e più difendibile in sede di audit rispetto a utenze create caso per caso.

 

5. Privilegia il Single Sign-On rispetto alle credenziali locali

Dove possibile, adotta sistemi di Single Sign-On (SSO): riducono il numero di credenziali da gestire, migliorano l'esperienza utente e consentono una gestione centralizzata degli accessi, facilitando anche le procedure di revoca immediata in caso di necessità.

 

6. Valuta l'adozione di una piattaforma PAM

Per gli accessi privilegiati — in particolare quelli del personale IT e degli amministratori di sistema — valuta l'adozione di una soluzione di Privileged Access Management (PAM) o di uno strumento Firefighter. Queste piattaforme consentono di tracciare, approvare e registrare ogni accesso privilegiato, riducendo il rischio e migliorando la tracciabilità.

 

7. Considera il costo reale della gestione degli accessi per i fornitori

La gestione delle utenze per fornitori e collaboratori esterni è spesso il contesto in cui le utenze condivise proliferano. Creare utenze individuali per decine di collaboratori ha un costo — ma ha anche un valore: in termini di sicurezza, tracciabilità e conformità contrattuale. Questa valutazione va fatta esplicitamente, non evitata.

 

Domande frequenti su SAP FUE e gestione delle utenze

Cosa significa FUE in SAP?

FUE sta per Full Use Equivalent. È la metrica introdotta da SAP per il calcolo delle licenze in S/4HANA, basata sul tipo di utilizzo del sistema da parte di ciascun utente, non sul semplice conteggio delle utenze nominative.

 

Qual è la differenza tra FUE e Named User License?

Il modello Named User License (NUL) conta gli utenti nominativi indipendentemente da come usano il sistema. Il modello FUE introduce una classificazione per tipo di utilizzo (Advanced, Core, Self-Service, Developer) con rapporti di conversione diversi. Risultato: utenti con uso limitato costano meno in termini di FUE rispetto a utenti con accessi estesi.

 

Come si calcola il numero di FUE necessari?

Si parte dal contratto SAP per identificare i codici utenza applicabili, poi si analizzano le abilitazioni di ciascun utente per determinarne la classificazione. Per S/4HANA OnPremise e Private Cloud si usano le transazioni USMM o SLAW; per il Public Cloud, l'applicazione SAP for Me. In fase di migrazione da ECC è disponibile un programma di simulazione tramite la nota OSS 3113382.

 

Le utenze condivise sono consentite in SAP?

No. L'utilizzo condiviso di un'utenza SAP può costituire una violazione delle condizioni contrattuali di licenza, oltre a introdurre rischi significativi di sicurezza: impossibilità di attribuire le azioni a una persona specifica, password condivisa, profili estesi e nessun controllo sugli accessi effettivi.

 

Cosa si può fare per ottimizzare i costi FUE senza stravolgere i profili?

L'ottimizzazione delle FUE passa dall'allineamento del modello autorizzativo al principio del minimo privilegio: rimuovere abilitazioni non necessarie, rivedere i profili del personale IT, verificare la parametrizzazione del Flexible Workflow e analizzare le utenze dell'area Controlling. L'obiettivo non è ridurre le abilitazioni per risparmiare sulle licenze a tutti i costi, ma avere un modello che rifletta il reale utilizzo del sistema.

 

Contattaci per capire come abbiamo aiutato molte società sul tema

Topics: sap license auditing, sap fue

Iscriviti qui!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutti

SAP Security Blog AGLEA RSS Feed

Aglea s.r.l. - Soggetta alla direzione e coordinamento di Horsa S.p.A. - P. IVA: IT 03868780960 - 2026 Privacy Policy - Cookie Policy - Whistleblowing