Quali sono le transazioni SAP Security da avere nei preferiti?
Transazioni per la gestione dei ruoli SAP, per la configurazione del profile generator, per fare auditing SAP. Alcune di queste utili solo in determinati momenti, altre utili quotidianamente. Tieni presente che alcune di queste transazioni dovrebbero essere usate eventualmente in produzione tramite utenze di emergenza o firefighter.
È la transazione principale per la costruzione dei ruoli SAP. PFCG significa generatore di profili (Profile Generator). Utilizzala per la profilazione degli utenti SAP.
Recentemente SAP ha introdotto due transazioni massive per la gestione dei ruoli la transazione PFCGMASSVAL (gestione dei valori all'interno del tab autorizzazioni) e la transazione PFCGMASSCOLLASSIGN (inserimento o rimozione massiva di ruoli singoli in ruoli collettivi).
Esiste inoltre una transazione utile per distribuire i ruoli da un sistema centrale verso sistemi periferici PFCGROLEDIST
La transazione SU01 permette di poter visualizzare (se opportunamente segregata) l’anagrafica degli utenti SAP. La transazione SU01D permette la sola visualizzazione dell'anagrafica utenti SAP.
In ogni transazione SAP è possibile definire un controllo tramite oggetto autorizzativo all'avvio della transazione. Se questo oggetto non è presente nel buffer autorizzativo utente la transazione non viene eseguita.
Nell'immagine sotto è possibile vedere che la transazione MM01 per poter essere eseguita necessità dell'oggetto autorizzativo M_MATE_STA con almeno il campo ACTVT (Attività) valorizzato a 01 (Creare)
Le transazioni SM01* permettono di bloccare globalmente una transazione SAP, indipendentemente dalle autorizzazioni dell’utente, dalla SAP_BASIS 7.50 è possibile utilizzare le nuove transazioni SM01_*
Diventa inoltre possibile specificare una motivazione di blocco della transazione SAP, vedi immagine seguente.
Tramite la transazione RSAUDITC_BCE è possibile visualizzare se una o più transazioni SAP sono bloccate.
Le transazioni di blocco, fanno riferimento all'area sistemistica, security o altro? Scrivi nei commenti come la pensi!
Permette di gestire il comportamento delle transazioni richiamate tramite lo statement ABAP CALL_TRANSACTION, vedi immagine seguente. Nel caso della transazione MM01 è possibile visualizzare tutte le transazioni richiamabili ed il relativo controllo sull'oggetto autorizzativo S_TCODE durante il richiamo "Check Indicator"-
La transazione SUIM in realtà è un menù di richiamo ad altre sotto-transazioni (vedi immagine seguente). Si tratta della reportistica Security SAP, su ruoli, utenti, autorizzazioni, profili, change document (documenti di modifica dell'area Basis Security SAP).
Ma offre anche la possibilità di effettuare dei confronti tra ruoli/utenti. Non ultima la possibilità di inserire dei controlli sulle autorizzazioni critiche SAP (una sorta di Critical Action e Critical Permission del SAP GRC Access Control)
Lo sai che esiste un report per vedere gli utenti che non utilizzano SAP da più di n giorni? Vedi SUIM - Users -> By Logon Date and Password Change
Una ulteriore funzionalità di reportistica, purtroppo senza transazione specifica, si tratta di un programma è: PRGN_DISPLAY_AUTH che permette di poter ricercare in un ruolo degli oggetti autorizzativi, come se fosse una query sulle tabelle AGR_DEFINE, AGR_TEXTS, AGR_1251 e AGR_1252, conosci queste tabelle? Leggi qui quali sono le tabelle security SAP.
Si tratta delle transazioni per effettuare il troubleshooting delle autorizzazioni in SAP. Ne esistono diverse a seconda del trace da fare. Vedi immagine seguente per la STAUTHTRACE.
La transazione STAUTHTRACE supera i limiti della transazione ST01, ovvero non è application server dependent.
La transazione STSIMAUTHCHECK permette inoltre di effettuare un controllo tra le autorizzazioni di un utente ed una trace autorizzativa.
Tramite la transazione SM20N è possibile visualizzare il contenuto del Security Audit log, approfondisci qui su come configurare ed installare il SAP Security Audit Log (SAL).
Nuove funzionalità sono disponibili tramite la transazione RSAU_CONFIG, vedi immagine seguente.
È la transazione che permette di poter configurare il comportamento del profile generator.
Questa transazione permette di creare le company (Società) a livello di anagrafica utente. Posso definire una anagrafica di società che andrò ad associare all'utenza SAP (tramite transazione SU01).
Nella transazione SU01 posso andare ad associare o richiamare la transazione di definizione delle company.
È buona prassi pianificare un job periodico per il pareggiamento utenti. La transazione per farlo è la PFUD.
Diverse sono le parametrizzazioni che possono essere apportate al session manager, tramite questa transazione è possibile gestirle.
Utile durante la generazione massiva dei profili, la transazione SUPC permette di automatizzare questa fase.
Ogni programma SAP può avere un gruppo autorizzativo per proteggerne l’esecuzione. Tramite questa transazione è possibile gestirne il valore.
Permette di visualizzare o gestire la definizione dei campi di autorizzazione.
Permette di visualizzare o gestire la definizione degli oggetti autorizzativi.
Permette di poter visualizzare le modifiche apportate ai profili d’istanza SAP.
Permette di poter visualizzare tutti i profili d’istanza SAP ed i relativi valori.
Permette la visualizzazione dello stato del mandante SAP.
Come per la transazione RSPFPAR ma in questo caso è possibile vedere la documentazione dettagliata di un singolo profilo d’istanza SAP.
Anche se non prettamente security SAP in alcuni casi, ad esempio durante la mancanza di autorizzazioni sulla scrittura di file nell’application server può essere utile per visualizzare la causa autorizzativa dell’errore.
Transazioni AL08/SM04 permettono di visualizzare gli utenti attualmente collegati all’application server (SM04, in questo caso anche di cancellare sessioni) oppure al sistema (AL08)
Anche se transazione sistemistica può essere utile, soprattutto nelle release dove non esiste la transazione STAUTHTRACE, per spostarsi da un application server all’altro.
Utile per verificare lo stato (attivo/disattivo) degli oggetti autorizzativi SAP.
Fondamentale durante la prima installazione ed aggiornamenti di sistema. Contiene inoltre una serie di rimandi ad altre transazioni per l’attivazione di ulteriori funzionalità, ad esempio, Switchable Authorization Checks SACF.
Durante un upgrade SAP, aggiornamento di un support package o migrazione ad S/4HANA, non dimenticarti delle autorizzazioni SAP, leggi come gestire le autorizzazioni SAP durante un upgrade!
Quando viene utilizzato il modulo HR per la gestione delle utenze SAP, la visualizzazione dell’infotype 0105 subtype 0001 permette di vedere quale USERID è associata al CID
Quando viene utilizzato il modulo HR per la gestione delle attribuzioni ruoli ad utenti, la transazione PPOMW permette di poter gestire l’attribuzione dei ruoli e delle utenze alle posizioni organizzative aziendali.
Utile per poter interrogare le tabelle security SAP. Ma quali sono le tabelle sui ruoli e profili sap?
Nel caso di segregazione della struttura organizzativa HR l’utilizzo dei profili strutturali diventa fondamentale. Tramite queste transazioni è possibile definire dei profili strutturali (PD Profile) e attribuirli alle utenze.
Viene utilizzata per analizzare per il controllo delle autorizzazioni nelle CDS Views
Per poter effettuare delle simulazioni sulle Access controls
È la transazione che permette di eseguire il fiori launchpad stando nella parte ABAP del Front End server (leggi qui l'approfondimento su SAP FIORI), se non conosci il link web.
Ricordati che se esegui le transazioni che iniziano con la / nella SAP GUI devi anteporre /n quindi /n/UI2/FLP
Sono le transazioni che permettono di gestire la costruzione o la modifica dei gruppi e/o dei cataloghi in ambito SAP Fiori, rispettivamente cross client o client dependent.