Quali sono le transazioni SAP Security da avere nei preferiti?

Transazioni per la gestione dei ruoli SAP, per la configurazione del profile generator, per fare auditing SAP. Alcune di queste utili solo in determinati momenti, altre utili quotidianamente. Tieni presente che alcune di queste transazioni dovrebbero essere usate eventualmente in produzione tramite utenze di emergenza o firefighter.

Transazione PFCG

È la transazione principale per la costruzione dei ruoli SAP. PFCG significa generatore di profili (Profile Generator). Utilizzala per la profilazione degli utenti SAP.

Recentemente SAP ha introdotto due transazioni massive per la gestione dei ruoli la transazione PFCGMASSVAL (gestione dei valori all'interno del tab autorizzazioni) e la transazione PFCGMASSCOLLASSIGN (inserimento o rimozione massiva di ruoli singoli in ruoli collettivi).

Esiste inoltre una transazione utile per distribuire i ruoli da un sistema centrale verso sistemi periferici PFCGROLEDIST

Transazione SU01 (in visualizza) oppure SU01D

La transazione SU01 permette di poter visualizzare (se opportunamente segregata) l’anagrafica degli utenti SAP. La transazione SU01D permette la sola visualizzazione dell'anagrafica utenti SAP.

Transazione SE93 (authorization start)

In ogni transazione SAP è possibile definire un controllo tramite oggetto autorizzativo all'avvio della transazione. Se questo oggetto non è presente nel buffer autorizzativo utente la transazione non viene eseguita.

Nell'immagine sotto è possibile vedere che la transazione MM01 per poter essere eseguita necessità dell'oggetto autorizzativo M_MATE_STA con almeno il campo ACTVT (Attività) valorizzato a 01 (Creare)

Transazione SM01 o SM01_CUS/SM01_DEV

Le transazioni SM01* permettono di bloccare globalmente una transazione SAP, indipendentemente dalle autorizzazioni dell’utente, dalla SAP_BASIS 7.50 è possibile utilizzare le nuove transazioni SM01_*

• SM01 Lock Transactions
• SM01_CUS Local App. Start Lock Maintenance (vedi immagine seguente)
• SM01_DEV Global App. Start Lock Maintenance

Diventa inoltre possibile specificare una motivazione di blocco della transazione SAP, vedi immagine seguente.

Tramite la transazione RSAUDITC_BCE è possibile visualizzare se una o più transazioni SAP sono bloccate.

Le transazioni di blocco, fanno riferimento all'area sistemistica, security o altro? Scrivi nei commenti come la pensi!

Transazione SE97

Permette di gestire il comportamento delle transazioni richiamate tramite lo statement ABAP CALL_TRANSACTION, vedi immagine seguente. Nel caso della transazione MM01 è possibile visualizzare tutte le transazioni richiamabili ed il relativo controllo sull'oggetto autorizzativo S_TCODE durante il richiamo "Check Indicator"-

Transazione SUIM

La transazione SUIM in realtà è un menù di richiamo ad altre sotto-transazioni (vedi immagine seguente). Si tratta della reportistica Security SAP, su ruoli, utenti, autorizzazioni, profili, change document (documenti di modifica dell'area Basis Security SAP).

Ma offre anche la possibilità di effettuare dei confronti tra ruoli/utenti. Non ultima la possibilità di inserire dei controlli sulle autorizzazioni critiche SAP (una sorta di Critical Action e Critical Permission del SAP GRC Access Control)

Lo sai che esiste un report per vedere gli utenti che non utilizzano SAP da più di n giorni? Vedi SUIM - Users -> By Logon Date and Password Change

Una ulteriore funzionalità di reportistica, purtroppo senza transazione specifica, si tratta di un programma è: PRGN_DISPLAY_AUTH che permette di poter ricercare in un ruolo degli oggetti autorizzativi, come se fosse una query sulle tabelle AGR_DEFINE, AGR_TEXTS, AGR_1251 e AGR_1252, conosci queste tabelle? Leggi qui quali sono le tabelle security SAP.

Transazione ST01 o STAUTHTRACE o STUSERTRACE o STRFCTRACE

Si tratta delle transazioni per effettuare il troubleshooting delle autorizzazioni in SAP. Ne esistono diverse a seconda del trace da fare. Vedi immagine seguente per la STAUTHTRACE.

La transazione STAUTHTRACE supera i limiti della transazione ST01, ovvero non è application server dependent.

La transazione STSIMAUTHCHECK permette inoltre di effettuare un controllo tra le autorizzazioni di un utente ed una trace autorizzativa.

Ehi, vuoi l'elenco in formato excel, fai click qui!

Transazione SM20N o RSAU_CONFIG/ RSAU_READ_LOG

Tramite la transazione SM20N è possibile visualizzare il contenuto del Security Audit log, approfondisci qui su come configurare ed installare il SAP Security Audit Log (SAL).

Nuove funzionalità sono disponibili tramite la transazione RSAU_CONFIG, vedi immagine seguente.

Transazione SU24

È la transazione che permette di poter configurare il comportamento del profile generator.

Transazione SUCOMP

Questa transazione permette di creare le company (Società) a livello di anagrafica utente. Posso definire una anagrafica di società che andrò ad associare all'utenza SAP (tramite transazione SU01).

Nella transazione SU01 posso andare ad associare o richiamare la transazione di definizione delle company.

Transazione PFUD

È buona prassi pianificare un job periodico per il pareggiamento utenti. La transazione per farlo è la PFUD.

Transazione SM30_SSM_CUST

Diverse sono le parametrizzazioni che possono essere apportate al session manager, tramite questa transazione è possibile gestirle.

Transazione SUPC

Utile durante la generazione massiva dei profili, la transazione SUPC permette di automatizzare questa fase.

RSCSAUTH

Ogni programma SAP può avere un gruppo autorizzativo per proteggerne l’esecuzione. Tramite questa transazione è possibile gestirne il valore.

Transazione SU20

Permette di visualizzare o gestire la definizione dei campi di autorizzazione.

Transazione SU21

Permette di visualizzare o gestire la definizione degli oggetti autorizzativi.

Transazione TU02

Permette di poter visualizzare le modifiche apportate ai profili d’istanza SAP.

Transazione RSPFPAR

Permette di poter visualizzare tutti i profili d’istanza SAP ed i relativi valori.

Transazione SE16T000

Permette la visualizzazione dello stato del mandante SAP.

RZ11

Come per la transazione RSPFPAR ma in questo caso è possibile vedere la documentazione dettagliata di un singolo profilo d’istanza SAP.

Transazione ST22

Anche se non prettamente security SAP in alcuni casi, ad esempio durante la mancanza di autorizzazioni sulla scrittura di file nell’application server può essere utile per visualizzare la causa autorizzativa dell’errore.

Transazioni AL08/SM04

Transazioni AL08/SM04 permettono di visualizzare gli utenti attualmente collegati all’application server (SM04, in questo caso anche di cancellare sessioni) oppure al sistema (AL08)

Transazione SM51

Anche se transazione sistemistica può essere utile, soprattutto nelle release dove non esiste la transazione STAUTHTRACE, per spostarsi da un application server all’altro.

Transazione AUTH_DISPLAY_OBJECTS

Utile per verificare lo stato (attivo/disattivo) degli oggetti autorizzativi SAP.

SU25 SACF

Fondamentale durante la prima installazione ed aggiornamenti di sistema. Contiene inoltre una serie di rimandi ad altre transazioni per l’attivazione di ulteriori funzionalità, ad esempio, Switchable Authorization Checks SACF.

Durante un upgrade SAP, aggiornamento di un support package o migrazione ad S/4HANA, non dimenticarti delle autorizzazioni SAP, leggi come gestire le autorizzazioni SAP durante un upgrade!

Transazione PA20 (Infotype 0105)

Quando viene utilizzato il modulo HR per la gestione delle utenze SAP, la visualizzazione dell’infotype 0105 subtype 0001 permette di vedere quale USERID è associata al CID

Transazione PPOMW

Quando viene utilizzato il modulo HR per la gestione delle attribuzioni ruoli ad utenti, la transazione PPOMW permette di poter gestire l’attribuzione dei ruoli e delle utenze alle posizioni organizzative aziendali.

Transazione SE16N (Security)

Utile per poter interrogare le tabelle security SAP. Ma quali sono le tabelle sui ruoli e profili sap?

Transazioni OOSB, OOSP

Nel caso di segregazione della struttura organizzativa HR l’utilizzo dei profili strutturali diventa fondamentale. Tramite queste transazioni è possibile definire dei profili strutturali (PD Profile) e attribuirli alle utenze.

Transazione SACM Access Control Management (CDS/DDL)

Viene utilizzata per analizzare per il controllo delle autorizzazioni nelle CDS Views

Transazione SACMSEL (ACM Runtime Simulator)

Per poter effettuare delle simulazioni sulle Access controls

/UI2/FLP SAP Fiori Launchpad

È la transazione che permette di eseguire il fiori launchpad stando nella parte ABAP del Front End server (leggi qui l'approfondimento su SAP FIORI), se non conosci il link web.

Ricordati che se esegui le transazioni che iniziano con la / nella SAP GUI devi anteporre /n quindi /n/UI2/FLP

/UI2/FLPD_CONF e /UI2/FLPD_CUST

Sono le transazioni che permettono di gestire la costruzione o la modifica dei gruppi e/o dei cataloghi in ambito SAP Fiori, rispettivamente cross client o client dependent.