Oggi parliamo di "conviene usare i parametri utente per gestire le autorizzazioni?" Quali sono i vantaggi e svantaggi?

Cosa sono e a cosa servono i parametri utente?

Fanno parte dell'anagrafica utente SAP, si possono vedere attraverso la transazione SU01. Infatti esiste un apposito tab di questa transazione chiamato appunto "Parametri" o "Parameters" in inglese.

Hanno due principali scopi:

• Per pre-valorizzare dei campi nelle transazioni SAP. Ovvero immaginiamo il caso dove un utente debba lavorare sempre sulla medesima società durante l'utilizzo di SAP. In questo caso valorizzando il parametro legato alla società, in ogni transazione che conterrà quel campo, questo, sarà pre-valorizzato con un valore di default. Evitando quindi di dover sempre popolare quel campo. Quindi questa funzionalità permette di far risparmiare tempo durante il popolamento dei campi.
  
  

Questa ultima funzionalità è la ragione per la quale solitamente la transazione SU3 che permette agli utenti di modificarsi in autonomia i parametri utenti, non viene rilasciata. A favore della SU50 ad esempio. Ne abbiamo parlato anche nell'articolo su cosa deve contenere il ruolo di base SAP. 

La tabella SAP dove è possibile vedere tutti i parametri utenti si chiama TPARA mentre la tabella che contiene il legame Utente - Parametro e valore si chiama USR05.

Può non essere così semplice trovare documentazione completa su ogni parametro; infatti, alcuni di questi sono documentati tramite note specifiche nelle quali ci si imbatte, spesso, per specifiche problematiche. 

Anche nel caso di SAP FIORI è possibile usare i parametri. Nel caso in cui si utilizzi esclusivamente l'interfaccia APP, quindi via FIORI, è suggerito modificare questi parametri solamente via web. 

Perché potrebbero essere usati nel modello autorizzativo?

Ma quindi possono essere usati anche per gestire aspetti del modello autorizzativo SAP?

Nello standard in alcuni contesti la SAP lo ha fatto (vedi ad esempio i sistemi SAP CRM). Tuttavia è necessario fare una valutazione specifica. Infatti una delle problematiche maggiori è quella di ricordarsi nel lungo periodo di questo aspetto.

Cosa intendo dire?

• Se assegni un ruolo ad un utente è facile da vedere e gestire. Di fatto è il modello "standard" per abilitare qualcosa. Quindi è semplice da gestire sulle nuove utenze, e durante i cambi di mansione (aggiungi o rimuovi ruoli)
• Se un certo parametro viene utilizzato può non essere così evidente. Ovvero ad ogni modifica di un utente dovrei ricordarmi di quel o quei parametri che hanno un preciso significato all'interno di un determinato processo. Ti posso assicurare che è facilissimo in questo caso (dato che spesso non è solamente una persona che mette mano a questi aspetto in azienda) dimenticarsi completamente questa parte. Magari non appena la si è fatta ma dopo mesi o anni.

Quindi cosa accade in questo ultimo caso? Utenti che dovrebbero avere quel parametro non lo hanno (e quindi chiamate aggiuntive all'help desk), utenti che non dovrebbero averlo, in realtà continuano ad averlo. Dopo anni è anche facile non trovare documentazione e quindi può anche capitare che nessuno sappia poi a cosa serve realmente.

Punti di attenzione nei sistemi di gestione automatizzata delle utenze

Ma cosa accade se utilizzi strumenti automatici di gestione delle utenze, ad esempio degli strumenti di Identity Management o SAP GRC o IAS/IPS (Identity Authentication Service o Identity Provisioning Service)?

Chiaramente questi strumenti sono pensati principalmente per gestire attribuzioni ruoli ad utenti (anche se con alcuni di questi è chiaramente possibile gestire degli altri aspetti dell'anagrafica utente, tra cui anche i parametri).

Può quindi non essere così semplice integrare l'aspetto introdotto tramite un parametro utente in questi strumenti o comunque richiede ulteriore effort.

In conclusione, valuta attentamente, soprattutto tenendo conto del lungo periodo se utilizzare questa funzionalità per gestire gli aspetti autorizzativi.