AGLEA SAP Security Blog

Come cancellare massivamente i ruoli SAP

Scritto da Massimo Manara | Dec 4, 2024 7:15:00 AM

In alcune situazioni, per esigenze di pulizia solitamente, può essere necessario svolgere questa operazione massiva.

Ma esiste una funzionalità per farlo? Quali metodi ci sono?

 

Come cancellare un ruolo SAP?

La cancellazione di un ruolo autorizzativo SAP può avvenire tramite l'utilizzo della transazione PFCG Profile Generator.

 

Tramite questa transazione, tuttavia, è possibile cancellare solo un ruolo alla volta. Solo nelle ultime release la SAP ha deciso di introdurre una nuova transazione PFCGMASSDELETE (presente nelle release successive alla SAP_BASIS 754) per svolgere questa operazione in modo massivo.

 

Inoltre è importante sapere che esiste una modalità chiamata "trasporto cancellazione" che permette di evitare la cancellazione (indipedentemente dalla modalità con la quala viene eseguita) nei vari ambienti SAP. Infatti questa modalità permette di generare un trasporto "Change Request" e trasportare la cancellazione tra gli ambienti. Dal sistema di sviluppo (dove devono essere gestiti i ruoli), passando per i sistemi di test/pre-produzione fino ad arrivare alla produzione.

 

In questa modalità la cancellazione viene svolta in un solo sistema e trasportata, seguendo l'iter dei trasporti classico SAP. Affinché questo sia possibile è chiaramente necessario che i ruoli siano allineati tra i sistemi (oppure sia svolta una operazione di allineamento, creazione/download-upload, prima di effettuare questa operazione).

 

Ma quali sono le modalità massive quindi e perché ne esistono diverse?

 

Come cancellare massivamente i ruoli SAP?

Esistono diversi modalità, anche a seconda della release SAP.

 

  1. Modalità manuale (uno dopo l'altro), attraverso la transazione PFCG

  2. Utilizzando dei strumenti standard di automatizzazione es. Batch Input (transazione SM35) o LSWM (Legacy System Migration Workbench) o SECATT  etcc

  3. Scrivendo un programma custom. Attenzione, ricordati che per finalità di audit e consistenza dei dati è importante utilizzare le funzionalità standard SAP (anche in programmi custom). Vedi anche "3514522 - Why to use only SAP standard code for users and roles administration for consistent change documents and audit."

  4. Richiamando tramite programmi esterni delle BAPI esposte per svolgere questa operazione

  5. Tramite il programma Z_DEL_AGR allegato nella nota seguente "Note 313587 - Mass deletion of activity groups"

  6. Tramite la transazione PFCGMASSDELETE, qui è possibile simulare la cancellazione e poi eseguire se tutto OK, con la cancellazione effettiva

Quale di queste è la modalità suggerita. L'ultima, se disponibile!