Come è possibile vedere cosa è stato fatto da un amministratore di sistema all'interno dei sistemi SAP?
In SAP purtroppo o per fortuna esistono moltissimi log (alcuni dei quali devono essere esplicitamente attivati). Ma non esiste un unico dashboard dove vederli, magari raggruppati per singolo utente. Ma una novità esiste!
Amministratore di sistema in SAP
Con la definizione di "amministratore di sistema" si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti, così come definito dal Garante della privacy.
In SAP può non essere così semplice capire cosa viene svolto da chi ha la possibilità di essere amministratore. Anzi meglio non esserlo se possibile e se non strettamente necessario.
Ci sono moltissimi log e molte modalità per svolgere la medesima operazione. Diventa quindi difficile senza ausilio di strumenti pensati per risolvere questo problema svolgere a mano un controllo sull'operato da parte degli amministratori.
Leggi qui cosa è il
Perché può essere utile SAP GRC Access Control
Certamente e ne abbiamo già parlato in diverse situazioni.
Sicuramente è importante alcune delle funzionalità offerte dal SAP GRC Access Control chiaramente non sono disponibili out-of-the-box in SAP. Tra le principali:
- Avere una unica dashboard, di tutti i log raccolti da SAP, per una specifica super-utenza utilizzata
- Avere un processo di approvazione della richiesta della super utenza
- Definire in maniera trasparente e semplice il provisioning delle super utenze, non ci sono password da trasmettere
- Avere un audit log preciso e completo di tutte le attività svolte per il modulo del SAP GRC che gestisce le super utenze (Emergency Access Management)
Ma in alcune situazioni non è ancora presente il SAP GRC, quindi cosa è possibile fare?
Ma se non ho SAP GRC cosa posso fare?
Tramite la nota OSS (2423576 - SAIS | Generic audit report about system changes) seguente la SAP, offre la possibilità di vedere in un unico punto i seguenti log, per uno o più utenti:
- Modifiche al mandante (SE06, SCC4)
- Security Audit Log (Transazioni RSAU* o SM20n)
- System Log (Transazione SM21)
- Table Logging (Transazione SCU3)
- Application Log (Transazione SLG1)
- Change Document (report RSSCD100)
- Modifiche ai programmi (Transazione SE95, SE84) e trasporti (SE03 o report RSWBOSSR)
Non male, per ognuna di queste uno specifico dettaglio di quanto fatto.
Certo, ci sono alcuni limiti evidenti rispetto al GRC ma può essere sicuramente una ottima funzionalità anche in attesa di installare il SAP GRC Access Control. Attenzione le indagini condotte con la transazione sopra non esauriscono le possibili attività svolte dall'utente sotto ogni punto di vista (eventuali attività svolge a livello di database non sono presenti ad esempio)
Quanto sopra è possibile tramite la nuova transazione SAIS_MONI. Provala se è già presente nel tuo sistema! Disponibile da queste release SAP_BASIS 7.50 SP 18, 7.51 SP 11, 7.52 SP 07, 7.53 SP 05, 7.54 SP 03