SU53 SAP perché gli errori autorizzativi non finiscono mai?

Posted by Massimo Manara on Mar 14, 2019 8:25:00 AM
Massimo Manara
Find me on:
LinkedIn

 

Da quando crei una nuova transazione a quando finalmente l’utente finale riesce ad eseguirla senza problemi passano giorni?

SU53

Forse qualcosa nel processo di creazione test e rilascio non ha funzionato come dovrebbe.

Come è possibile evitare che questo accada?

Non è chiaro agli attori coinvolti il modello autorizzativo

 

Nella peggiore delle ipotesi quando una nuova transazione SAP viene definita il processo di attribuzione prevede un rilascio del tipo: “Assegna questa transazione all’utente Mario Rossi”.

 

La modalità corretta di attribuzione dovrebbe avvenire attraverso l’identificazione di una figura professionale alla quale attribuire la nuova transazione. Magari da una analisi svolta dall’organizzazione aziendale.

 

La difficolta sopra si evidenzia quando non è ben chiaro a chi attribuire la transazione e come. Il risultato più probabile è che l'IT decida dove "assegnare" la transazione.

 

I test autorizzativi vengono fatti usando le utenze reali degli utenti in ambiente di test

 

Una delle prime nozioni sulla sicurezza in SAP è che le autorizzazioni sono additive.

Questo comporta che se un utente ha già dei ruoli (che contengono autorizzazioni). L’aggiunta di un nuovo ruolo a questo utente comporterà come risultato che l’utente otterrà le autorizzazioni già presenti più quelle nuove.

 

Dove è il problema?

 

Se la transazione presente nel nuovo ruolo, per poter funzionare correttamente ed in modo completo, necessità di un oggetto autorizzativo che si trova nei ruoli che ha già l’utente di test, il risultato del test sarà positivo.

 

Nel momento in cui quel nuovo ruolo sarà assegnato da solo ad un utente, allora si verificherà il problema (non emerso nelle fasi precedenti).

 

Test incompleti comportano problematiche di blocco di business in produzione ed errori autorizzativi apparentemente casuali anche a valle dei test. Oltre ad uno spreco collettivo (interno e/o esterno alla società) di tempo.

 

Non è ben chiaro chi deve fare cosa

Nel processo di rilascio di una nuova transazione ci sono diversi attori coinvolti.

  • Richiedente
  • Analista IT
  • Sviluppatore
  • Security
  • Tester
  • Gruppo IT per la gestione dei trasporti

 

Un documento di analisi per ogni transazione dovrebbe essere sempre rilasciato. Ci sono tuttavia delle parti che sono zone grigie tra gli attori sopra.

 

La più comune è il popolamento della transazione SU24. Questa transazione, fondamentale per la configurazione delle autorizzazioni in SAP, permette di collegare alla transazione gli oggetti autorizzativi.

 

Idealmente lo sviluppatore popola questo legame, chi crea i ruoli si troverà (dopo aver inserito la transazione) anche tutti gli oggetti autorizzativi che servono per farla funzionare. Solitamente questo non avviene generando delle zone grigie non presidiate o non eseguite gestendo quanto sopra in altri modi che causano una degenerazione del sistema.

 

Non vengono svolti dei test esaustivi (test parziale) o non viene svolto il test negativo

 

Un metodo utile anche se più dispendioso da fare ex-post, nel caso in cui non sia chiaro quali controlli avvengano in una transazione è la trace autorizzativa.

 

Quanto sopra permette se la transazione viene utilizzata in ogni sua funzionalità di capire quali siano gli oggetti autorizzativi da gestire.

 

È importante ricordare che il test dovrebbe essere svolto in maniera positiva (la funzionalità fa ciò che è stato previsto) negativa (la funzionalità non permette di fare altro che non sia quello previsto).

 

L'utilizzo di funzionalità amministrative

È possibile che la natura dell'errore ricevuto dall'utente sia dovuta a mancanze autorizzative su funzioni di amministrazione del sistema. Leggi qui come controllare gli sviluppi SAP.

 

Quando questo avviene? Ad esempio, sviluppando una transazione custom che scrive o legge file oppure che apre chiamate verso altri sistemi. In questi casi esistono funzionalità amministrative che possono essere usate per fare quanto sopra. 

In questi casi saranno quindi controllati degli oggetti autorizzativi dell'area basis SAP. 

 

La soluzione qui, se possibile, è quella di modificare il programma sviluppato, facendo sostituire le funzionalità amministrative con funzionalità da utente o altre soluzioni che evitino l'utilizzo di tali funzioni.

 

Cosa è la transazione SU53?

 

La transazione SU53 serve per visualizzare l'ultimo errore autorizzativo in SAP. Spesso, tuttavia, alcune transazioni hanno al loro interno molti oggetti autorizzativi. Questo causa che l'ultimo errore autorizzativo non sia quello che serve per risolvere il problema (OSS Note 1525134).

 

Tramite la nota OSS Note 1671117 - SU53 Enhanced function and Web Dynpro suitability è possibile vedere non solo l'ultimo errore autorizzativo ma gli ultimi 100 nelle ultime tre ore.

Il risultato potrebbe essere analogo a quello mostrato in figura sotto.

 

1

 

Leggi anche qui per capire cosa fare in caso di problemi OSS Note (2219873)

 

Desideri capire come migliorare la gestione della security SAP durante l'application maintenance system (AMS Security SAP)?

Iscriviti al blog se ancora non lo hai fatto!

Topics: quality, test system, sicurezza sap, su53

Voglio iscrivermi!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutti

SAP Security Blog AGLEA RSS Feed

Aglea s.r.l. - Soggetta alla direzione e coordinamento di Horsa S.p.A. - P. IVA: IT 03868780960 - 2024 | Privacy Policy - Cookie Policy