È normale in un sistema gestionale l'interrogazione dei dati. Ma quali sono gli strumenti a disposizione in un sistema SAP ERP? È corretto fare la reportistica in un sistema transazionale?

Quali sono gli impatti di sicurezza nel fare reporting aziendale dei dati in SAP e come è possibile mitigarli? Qual è il manuale SAP query di sopravvivenza?

Quali sono i modi per fare reporting in SAP ERP?

Ne esistono diversi, a seconda delle esigenze, tra i principali ci sono i seguenti:

• SAP Query (Transazioni SQ00, SQ01, SQVI), attenzione, nel modulo SAP HR esistono ulteriori transazioni di reporting specifiche
• Transazioni che eseguono programmi per estrarre report aziendali SAP

Il sistema gestionale SAP è lo strumento corretto per fare reporting?

Spesso ci si scontra con la domanda sopra. Esistono infatti due modalità distinte di database:

• OLAP On-Line Analysis Processing
• OLTP On-Line Transaction Processing

I primi progettati per effettuare reporting, mentre gli ultimi per l'elaborazione dei dati (non solo lettura quindi).

Nella famiglia dei prodotti SAP esistono molte soluzioni per effettuare del reporting, ad esempio SAP BW/BI Business Warehouse/Business Intelligence, SAP Business Objects e molti altri. Esistono ovviamente anche software terzi.

La conclusione è che se hai la necessità di analizzare molti dati e produrre molte viste (per ogni dipartimento), forse devi avere uno strumento pensato per svolgere quel lavoro e non puoi utilizzare l'ERP aziendale. Quest'ultimo ha degli strumenti per svolgere il reporting ma non è pensato per svolgere questo lavoro.

La sicurezza del reporting nell'ERP SAP

Detto quanto sopra, e riprendendo il titolo, uno degli aspetti security più critici è rappresentato dalle query SAP. Non esistono in realtà transazioni di sola visualizzazione in questo ambito.

Tutto viene controllato da un oggetto autorizzativo chiamato S_QUERY.

Questo oggetto, se presente nelle autorizzazioni dell'utente, determina se le transazioni delle query SAP (SQ00 ed SQ01, vedi immagine seguente), siano in sola visualizzazione oppure permettano di modificare il contenuto delle query.

Non solo. Il modulo delle query SAP ha al suo interno un piccolo concetto autorizzativo aggiuntivo a quello normalmente gestito tramite i ruoli (transazione PFCG).

Questo modello autorizzativo permette di gestire i gruppi utenti query (tramite la transazione SQ03).

Facciamo un esempio.

1. Voglio abilitare un utente alla sola visualizzazione delle query, cosa posso fare?
   • Autorizzato le transazioni disattivando l'oggetto S_QUERY. Questo permette di autorizzare le transazioni in sola lettura dei dati

Quanto sopra tuttavia non è sufficiente.

In quanto se disattivo l'oggetto S_QUERY devo obbligatoriamente inserire l'utente in uno o più gruppi utenti query definiti (questo permette di rilasciare all'utente la possibilità di vedere ed eseguire le query presenti in quel/quei gruppi). Solitamente i gruppi query sono strutturati per modulo SAP o funzione aziendale.

Non molto conveniente come gestione! Ma non è finita qui!

Una volta abilitato l'utente alla transazione, disattivato l'oggetto autorizzativo S_QUERY ed inserito l'utente nell'apposito gruppo, dovrai poi attribuire le corrette autorizzazioni sulle tabelle che le query richiamano.

Questo avviene tramite l'oggetto autorizzativo S_TABU_DIS/S_TABU_NAM (dove è possibile autorizzare un gruppo di tabelle o le singole tabelle del database SAP).

Non ci sarà quindi una transazione dedicata a cui associare le tabelle che dovranno essere autorizzate, questa autorizzazione dovrà essere rilasciata utente per utente oppure rilasciata assegnandola alla transazione SQ00 (rilasciando agli utenti più autorizzazioni del previsto).

Ulteriore approfondimento, leggi la nota OSS 24578 - SAP Query: Authorizations.

Quali sono le soluzioni per mettere in sicurezza il reporting ERP SAP?

La soluzione che negli anni abbiamo visto essere quella più efficace è quella di:

1. Dotarsi se possibile di un sistema per effettuare reporting aziendale/direzionale (evitando quindi di farlo nel sistema SAP ERP). Oltre agli aspetti di design e performance migliori del sistema, esistono ulteriori specificità autorizzative per segmentare e segregare meglio i dati, nel contesto del reporting. Non presenti in un sistema transazionale.
2. Nel caso in cui non sia possibile quanto sopra, definire per ogni query una transazione custom che esegua il programma generato dalla query stessa
1. Sì, sembra dispendioso. Ma in realtà non lo è in termini di gestione e governance in quanto ti permette di:

• Evitare di gestire i gruppi utenti query (non poco)
• Assegnare le corrette autorizzazioni di lettura delle tabelle alle singole transazioni che lo richiedono
• Avere una migliore governance di chi vede cosa (in ottica GDPR questo può essere importante)
• Semplificare il rilascio delle abilitazioni legate alle query. Diventano transazioni come tutte le altre e quindi possono essere inserite nei relativi job role
• Sì, devi definire una transazione custom in più, ma è solo un richiamo ad un programma (che in realtà è una query)

Come gestire le query in SAP quindi?

• Crea una transazione custom tramite transazione SE93 (ricordati di dare una naming alle transazioni custom, soprattutto per capire l'ambito e l'operatività)

• Identifica il nome del programma (query), tramite SQ00 seguendo il percorso mostrato sotto (Query -> More functions -> Display report name)

• Assegna il programma identificato nella definizione della transazione SAP
• Ricordati di assegnare tutte le autorizzazioni sulle tabelle usate dalla query alla transazione custom appena creata.
• Ricordati inoltre che le query devono essere trasportate da sviluppo fino in produzione

Devi mettere in sicurezza un sistema? Non ci sono solamente le query, ma molti altri aspetti security SAP da gestire ed affrontare.