Il profilo SAP_NEW è uno degli elementi più discussi (e fraintesi) nell'amministrazione SAP. Questa guida chiarisce la sua funzione, i rischi associati al suo utilizzo e le best practice da seguire.
Il profilo SAP_NEW è un profilo di autorizzazione standard SAP. Il suo nome può essere associato a "SAP New Authorizations" e viene generato automaticamente da SAP durante le operazioni di upgrade o aggiornamento del sistema.
In pratica, SAP_NEW raccoglie tutte le nuove autorizzazioni introdotte con la release più recente che non erano presenti nella versione precedente.
Viene quindi usato (in alcune situazioni) durante gli aggiornamenti del sistema (non assieme al SAP_ALL come spesso capita di trovare).
Funziona come un "paracadute" temporanea per garantire che il sistema continui a funzionare correttamente dopo un upgrade, senza che gli utenti vengano bloccati da nuovi check di autorizzazione introdotti con la nuova release.
Tecnicamente SAP_NEW contiene autorizzazioni con valore '*' (wildcard) per tutti i nuovi oggetti di autorizzazione introdotti nell'upgrade. Questo significa accesso completo e illimitato a qualsiasi funzionalità nuova del sistema.
Il profilo nasce per rispondere a una necessità molto specifica del ciclo di vita dei sistemi SAP. Quando SAP rilascia una nuova release del software (ad esempio da ECC 6.0 EHP7 a EHP8, oppure durante una migrazione verso S/4HANA), introduce inevitabilmente nuovi oggetti di autorizzazione e nuovi check all'interno del codice ABAP.
Senza SAP_NEW, gli utenti che prima potevano eseguire determinate transazioni si troverebbero improvvisamente bloccati da errori di autorizzazione per funzionalità che già usavano. Questo causerebbe interruzioni operative significative nell'immediato post-upgrade.
Non deve essere la via principale di upgrade. Ma solamente un "paracadute" da usare in reale necessità. Es. all'ultimo momento ti sei dimenticato di pensare alle autorizzazioni SAP. Se non vuoi ricevere parecchie segnalazioni di mancanze potresti usare questo approccio (l'alternativa, corretta da seguire, è quella dell'utilizzo della transazione SU25)
No. SAP_ALL contiene tutte le autorizzazioni del sistema (praticamente accesso superutente). SAP_NEW contiene solo le nuove autorizzazioni introdotte con l'ultimo upgrade. Entrambi sono da evitare in produzione, ma SAP_ALL è considerato ancora più critico. Il programma REGENERATE_SAP_NEW serve per generare la versione SAP_NEW a seconda della release di partenza ed arrivo. (1711620 - Role SAP_NEW replaces profile SAP_NEW)
Al momento, infatti, nelle ultime release è il ruolo SAP_NEW che viene creato e non il profilo.
Sì. SAP ricrea SAP_NEW ad ogni applicazione di un Kernel upgrade o Support Package Stack che introduce nuovi oggetti di autorizzazione. È quindi fondamentale ricontrollarlo dopo ogni aggiornamento significativo del sistema.
Se consideriamo la parte puramente "web", nessun impatto. Su questo aspetto è sempre importante lavorare con il Fiori content manager per aggiornare eventuali applicazioni Fiori obsolete o deprecate (SAP FIORI APP Deprecate)