Transazioni ruoli SAP (e Security Manager)

Posted by Fabio Destro on Jan 9, 2019 8:35:00 AM
Fabio Destro

 

Quali sono le transazioni SAP Security da avere nei preferiti?

 

SAP Security Favorites

 

Transazioni per la gestione dei ruoli SAP, per la configurazione del profile generator, per fare auditing SAP. Alcune di queste utili solo in determinati momenti, altre utili quotidianamente.

Transazione PFCG

È la transazione principale per la costruzione dei ruoli SAP. PFCG significa generatore di profili (Profile Generator). Utilizzala per la profilazione degli utenti SAP.

 

Recentemente SAP ha introdotto due transazioni massive per la gestione dei ruoli la transazione PFCGMASSVAL (gestione dei valori all'interno del tab autorizzazioni) e la transazione PFCGMASSCOLLASSIGN (inserimento o rimozione massiva di ruoli singoli in ruoli collettivi).

 

pfcgmasscollassign

 

Esiste inoltre una transazione utile per distribuire i ruoli da un sistema centrale verso sistemi periferici PFCGROLEDIST

PFCGROLEDIST

 

 

Transazione SU01 (in visualizza) oppure SU01D

La transazione SU01 permette di poter visualizzare (se opportunamente segregata) l’anagrafica degli utenti SAP. La transazione SU01D permette la sola visualizzazione dell'anagrafica utenti SAP.

 

Transazione SE93 (authorization start)

In ogni transazione SAP è possibile definire un controllo tramite oggetto autorizzativo all'avvio della transazione. Se questo oggetto non è presente nel buffer autorizzativo utente la transazione non viene eseguita.

Nell'immagine sotto è possibile vedere che la transazione MM01 per poter essere eseguita necessità dell'oggetto autorizzativo M_MATE_STA con almeno il campo ACTVT (Attività) valorizzato a 01 (Creare)

 

se93

 

Transazione SM01 o SM01_CUS/SM01_DEV

Le transazioni SM01* permettono di bloccare globalmente una transazione SAP, indipendentemente dalle autorizzazioni dell’utente, dalla SAP_BASIS 7.50 è possibile utilizzare le nuove transazioni SM01_*

  • SM01 Lock Transactions
  • SM01_CUS Local App. Start Lock Maintenance (vedi immagine seguente)
  • SM01_DEV Global App. Start Lock Maintenance

 

SM01

 

Diventa inoltre possibile specificare una motivazione di blocco della transazione SAP, vedi immagine seguente.

 

SM01_CUS

 

Tramite la transazione RSAUDITC_BCE è possibile visualizzare se una o più transazioni SAP sono bloccate.

Le transazioni di blocco, fanno riferimento all'area sistemistica, security o altro? Scrivi nei commenti come la pensi!

 

Transazione SE97

Permette di gestire il comportamento delle transazioni richiamate tramite lo statement ABAP CALL_TRANSACTION, vedi immagine seguente. Nel caso della transazione MM01 è possibile visualizzare tutte le transazioni richiamabili ed il relativo controllo sull'oggetto autorizzativo S_TCODE durante il richiamo "Check Indicator"-

 

SE97

 

Transazione SUIM

La transazione SUIM in realtà è un menù di richiamo ad altre sotto-transazioni (vedi immagine seguente). Si tratta della reportistica Security SAP, su ruoli, utenti, autorizzazioni, profili, change document (documenti di modifica dell'area Basis Security SAP).

Ma offre anche la possibilità di effettuare dei confronti tra ruoli/utenti. Non ultima la possibilità di inserire dei controlli sulle autorizzazioni critiche SAP (una sorta di Critical Action e Critical Permission del SAP GRC Access Control)

 

SUIM

Lo sai che esiste un report per vedere gli utenti che non utilizzano SAP da più di n giorni? Vedi SUIM - Users -> By Logon Date and Password Change

 

Transazione ST01 o STAUTHTRACE o STUSERTRACE o STRFCTRACE

Si tratta delle transazioni per effettuare il troubleshooting delle autorizzazioni in SAP. Ne esistono diverse a seconda del trace da fare. Vedi immagine seguente per la STAUTHTRACE.

La transazione STAUTHTRACE supera i limiti della transazione ST01, ovvero non è application server dependent.

 

STAUTHTRACE

 

La transazione STSIMAUTHCHECK permette inoltre di effettuare un controllo tra le autorizzazioni di un utente ed una trace autorizzativa.

 

STSIMAUTHCHECK

 

Ehi, vuoi l'elenco in formato excel, fai click qui!

 

Transazione SM20N o RSAU_CONFIG/ RSAU_READ_LOG

Tramite la transazione SM20N è possibile visualizzare il contenuto del Security Audit log, approfondisci qui su come configurare ed installare il SAP Security Audit Log (SAL).

 

SM20N

Nuove funzionalità sono disponibili tramite la transazione RSAU_CONFIG, vedi immagine seguente.

 

RSAU_CONFIG

 

Transazione SU24

È la transazione che permette di poter configurare il comportamento del profile generator.

 

SU24

 

Transazione SUCOMP

Questa transazione permette di creare le company (Società) a livello di anagrafica utente. Posso definire una anagrafica di società che andrò ad associare all'utenza SAP (tramite transazione SU01).

 

SUCOMP

Nella transazione SU01 posso andare ad associare o richiamare la transazione di definizione delle company.

 

SU01_COMPANY

 

Transazione PFUD

È buona prassi pianificare un job periodico per il pareggiamento utenti. La transazione per farlo è la PFUD.

 

PFUD

 

Transazione SM30_SSM_CUST

Diverse sono le parametrizzazioni che possono essere apportate al session manager, tramite questa transazione è possibile gestirle.

 

SM30_SSM_CUST

 

Transazione SUPC

Utile durante la generazione massiva dei profili, la transazione SUPC permette di automatizzare questa fase.

 

SUPC

 

RSCSAUTH

Ogni programma SAP può avere un gruppo autorizzativo per proteggerne l’esecuzione. Tramite questa transazione è possibile gestirne il valore.

 

RSCSAUTH

 

Transazione SU20

Permette di visualizzare o gestire la definizione dei campi di autorizzazione.

SU20

 

Transazione SU21

Permette di visualizzare o gestire la definizione degli oggetti autorizzativi.

 

Transazione TU02

Permette di poter visualizzare le modifiche apportate ai profili d’istanza SAP.

 

TU02

 

Transazione RSPFPAR

Permette di poter visualizzare tutti i profili d’istanza SAP ed i relativi valori.

 

RSPFPAR

 

Transazione SE16T000

Permette la visualizzazione dello stato del mandante SAP.

 

T000

RZ11

Come per la transazione RSPFPAR ma in questo caso è possibile vedere la documentazione dettagliata di un singolo profilo d’istanza SAP.

 

RZ11

 

Transazione ST22

Anche se non prettamente security SAP in alcuni casi, ad esempio durante la mancanza di autorizzazioni sulla scrittura di file nell’application server può essere utile per visualizzare la causa autorizzativa dell’errore.

 

Transazioni AL08/SM04

Transazioni AL08/SM04 permettono di visualizzare gli utenti attualmente collegati all’application server (SM04, in questo caso anche di cancellare sessioni) oppure al sistema (AL08)

 

Transazione SM51

Anche se transazione sistemistica può essere utile, soprattutto nelle release dove non esiste la transazione STAUTHTRACE, per spostarsi da un application server all’altro.

 

Transazione AUTH_DISPLAY_OBJECTS

Utile per verificare lo stato (attivo/disattivo) degli oggetti autorizzativi SAP.

 

AUTH_DISPLAY_OBJECTS

 

SU25 SACF

Fondamentale durante la prima installazione ed aggiornamenti di sistema. Contiene inoltre una serie di rimandi ad altre transazioni per l’attivazione di ulteriori funzionalità ad esempio Switchable Authorization Checks SACF.

 

SU25

 

Durante un upgrade SAP, aggiornamento di un support package o migrazione ad S/4HANA, non dimenticarti delle autorizzazioni SAP, leggi come gestire le autorizzazioni SAP durante un upgrade!

 

Transazione PA20 (Infotype 0105)

Quando viene utilizzato il modulo HR per la gestione delle utenze SAP, la visualizzazione dell’infotype 0105 subtype 0001 permette di vedere quale USERID è associata al CID

 

Transazione PPOMW

Quando viene utilizzato il modulo HR per la gestione delle attribuzioni ruoli ad utenti, la transazione PPOMW permette di poter gestire l’attribuzione dei ruoli e delle utenze alle posizioni organizzative aziendali.

 

Transazione SE16N (Security)

Utile per poter interrogare le tabelle security SAP. Ma quali sono le tabelle sui ruoli e profili sap?

 

Transazioni OOSB, OOSP

Nel caso di segregazione della struttura organizzativa HR l’utilizzo dei profili strutturali diventa fondamentale. Tramite queste transazioni è possibile definire dei profili strutturali (PD Profile) e attribuirli alle utenze.

 

Scarica l'elenco delle transazioni SAP Security in formato EXCEL

 

 

Topics: sicurezza sap, consulenza sap security, transazioni sap

Voglio iscrivermi!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutti