Standard SAP Role, si utilizzano oppure è meglio non farlo?

Posted by Massimo Manara on Jun 17, 2020 8:15:00 AM
Massimo Manara
Find me on:
LinkedIn

 

SAP mette a disposizione dei ruoli pre-definiti anziché dover crearli da zero?

 

Ruoli standard SAP

 

Conviene utilizzarli oppure no? Per quale motivo spesso, o quasi sempre, non sono utilizzati?

 

Naming convention ruoli SAP

Sì, SAP per ogni sua applicazione, quindi sistema o modulo, rilascia dei ruoli chiamati standard SAP appunto.

 

Ma come si possono riconoscere?

 

I ruoli standard SAP hanno una naming molto precisa, sono tutti quelli che iniziano con SAP_*

 

Cosa suggerisce SAP?

La SAP stessa suggerisce di non utilizzare direttamente i ruoli "template", ovvero i ruoli standard SAP ma di utilizzarli eventualmente come riferimento per creare dei propri ruoli nello spazio nomi del cliente.

 

Lo spazio nomi del cliente in questo caso può anche non essere Z* o Y* ovvero tutti gli oggetti che normalmente non sono SAP ma del cliente. L'importante è che i ruoli non inizino con SAP*

 

Infatti se provi a creare un ruolo che inizia con SAP, nella transazione PFCG (Profile Generator) compare il messaggio sotto.

 

SAP ROLE NAMNIG

 

Ma per quale motivo è meglio evitare di utilizzarli?

Esistono diverse ragioni sul motivo per le quale è meglio non utilizzare i ruoli standard SAP, vediamo quelle principali.

 

Durante upgrade

SAP rilascia delle nuove release in base alla pianificazione degli aggiornamenti previsti. Nelle nuove funzionalità potrebbero essere presenti anche dei nuovi ruoli standard o delle integrazioni a ruoli standard esistenti.

 

Ecco quindi che se utilizzi i ruoli standard SAP così come sono, modificandoli, durante gli upgrade potresti perdere tutte le configurazioni fatte in quanto potrebbero essere sovrascritti.

 

Il contenuto dei ruoli

In questo caso potrebbero esserci diverse situazioni:

  • Il menù del ruolo potrebbe contenere tantissime transazioni. Molte in più rispetto a quanto realmente necessario
  • La ridondanza delle transazioni nei ruoli potrebbe essere molto elevata (con maggior tempo per la gestione nel day by day)
  • Le autorizzazioni, potrebbero contenere molte abilitazioni anche critiche
Perché quanto sopra? Non certo perché SAP non sia in grado di definire dei ruoli. Ma piuttosto è perché SAP definisce i ruoli per processo e per configurazione degli stessi.

Se devo definire degli ordini di vendita, spesso nel ruolo troverò anche parti di configurazione nel menù del ruolo. Questo potrebbe comportare quindi l'autorizzazioni a funzioni normalmente non rilasciate ad utenti (in alcuni casi anche critiche).

 

La gestione dell'adattarli alla propria realtà

Ne consegue che quasi sempre i ruoli SAP siano lasciati così come sono e ne vanga definito un set del cliente. Potrebbe essere molto più dispendioso adattare i ruoli standard rispetto a farli direttamente da zero.

 

La gestione della Segregation Of Duties

Non sempre i ruoli SAP standard tengono conto della matrice dei rischi definita dal cliente. Ne consegue che anche in questo caso i ruoli andrebbero adattati o spesso completamente stravolti.

 

E se li ho assegnati a qualche utente, cosa devo fare?

Uno dei controlli che svolgiamo, nelle nostre attività di verifica è proprio quello di andare a verificare se qualche utente ha assegnato dei ruoli standard SAP. Soprattutto per la parte legata a problematiche durante upgrade o autorizzazioni critiche.

 

L'ideale è, per sanare la situazione creare delle copie dei ruoli standard nello spazio nomi da te definito (customer name space). Sostituendo quindi i ruoli standard SAP con delle copie (eventualmente a parità di contenuto nel caso).

 

Attenzione, in alcuni casi e per alcuni sistemi questi ruoli potrebbero essere necessari. Ad esempio per i sistemi JAVA based. Anche se poco utilizzati, nel caso in cui un sistema JAVA utilizzi come repository delle utenze un sistema ABAP. Alcuni utenti avranno probabilmente il ruolo seguente:

  • SAP_J2EE_ADMIN
Questo ruolo assegnato nella parte ABAP dei sistemi può determinare l'essere amministratore nella parte JAVA.

In questo caso quindi questo ruolo non può essere convertito. Alcune situazioni simili potrebbero ad esempio far riferimento a sistemi SAP CRM.

 

In questi sistemi alcuni ruoli sono inseriti in tabelle di configurazione e quindi la rimozione o "conversione" degli stessi potrebbe generare dei disservizi a livello di business.

Iscriviti al blog se ancora non lo hai fatto!

Topics: pfcg, sap standard role

Voglio iscrivermi!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutti

SAP Security Blog AGLEA RSS Feed

Aglea s.r.l. - Soggetta alla direzione e coordinamento di Horsa S.p.A. - P. IVA: IT 03868780960 - 2024 | Privacy Policy - Cookie Policy