Oggi parliamo di "conviene usare i parametri utente per gestire le autorizzazioni?" Quali sono i vantaggi e svantaggi?
Fanno parte dell'anagrafica utente SAP, si possono vedere attraverso la transazione SU01. Infatti esiste un apposito tab di questa transazione chiamato appunto "Parametri" o "Parameters" in inglese.
Hanno due principali scopi:
Questa ultima funzionalità è la ragione per la quale solitamente la transazione SU3 che permette agli utenti di modificarsi in autonomia i parametri utenti, non viene rilasciata. A favore della SU50 ad esempio. Ne abbiamo parlato anche nell'articolo su cosa deve contenere il ruolo di base SAP.
La tabella SAP dove è possibile vedere tutti i parametri utenti si chiama TPARA mentre la tabella che contiene il legame Utente - Parametro e valore si chiama USR05.
Può non essere così semplice trovare documentazione completa su ogni parametro; infatti, alcuni di questi sono documentati tramite note specifiche nelle quali ci si imbatte, spesso, per specifiche problematiche.
Anche nel caso di SAP FIORI è possibile usare i parametri. Nel caso in cui si utilizzi esclusivamente l'interfaccia APP, quindi via FIORI, è suggerito modificare questi parametri solamente via web.
Ma quindi possono essere usati anche per gestire aspetti del modello autorizzativo SAP?
Nello standard in alcuni contesti la SAP lo ha fatto (vedi ad esempio i sistemi SAP CRM). Tuttavia è necessario fare una valutazione specifica. Infatti una delle problematiche maggiori è quella di ricordarsi nel lungo periodo di questo aspetto.
Cosa intendo dire?
Quindi cosa accade in questo ultimo caso? Utenti che dovrebbero avere quel parametro non lo hanno (e quindi chiamate aggiuntive all'help desk), utenti che non dovrebbero averlo, in realtà continuano ad averlo. Dopo anni è anche facile non trovare documentazione e quindi può anche capitare che nessuno sappia poi a cosa serve realmente.
Ma cosa accade se utilizzi strumenti automatici di gestione delle utenze, ad esempio degli strumenti di Identity Management o SAP GRC o IAS/IPS (Identity Authentication Service o Identity Provisioning Service)?
Chiaramente questi strumenti sono pensati principalmente per gestire attribuzioni ruoli ad utenti (anche se con alcuni di questi è chiaramente possibile gestire degli altri aspetti dell'anagrafica utente, tra cui anche i parametri).
Può quindi non essere così semplice integrare l'aspetto introdotto tramite un parametro utente in questi strumenti o comunque richiede ulteriore effort.
In conclusione, valuta attentamente, soprattutto tenendo conto del lungo periodo se utilizzare questa funzionalità per gestire gli aspetti autorizzativi.