Per chi conosce già SAP, sa che l'avvio delle transazioni viene protetto da uno specifico oggetto autorizzativo chiamato S_TCODE.
Ma possono esservi ulteriori oggetti analoghi per altre funzionalità di SAP es. le FIORI App oppure Webdynpro ma anche altri...
SAP START authorization?
Quali sono i controlli che puoi attivare per avere un presidio maggiore di cosa viene eseguito in SAP? Ad esempio questi oggetti autorizzativi:
Oggetto autorizzativo | Descrizione |
S_TCODE | Transaction and authorization defaults for transactions |
S_RFC | Authorization defaults for RFC function modules (vedi oggetti critici) |
S_SERVICE | Authorization defaults for external services and for services with an object directory entry (TADIR services), questo serve per le APP Fiori |
S_START (as of SAP_BASIS 7.31) | Web Dynpro applications, Web Dynpro configurations, and authorization defaults for the object types registered in table USOBAUTHSTART |
Nel caso dell'S_START sono poi diversi gli oggetti controllabili:
- G4BA SAP Gateway OData V4 Backend Service Group & Assigments
- HTTP HTTP Service
IDOC IDoc Type - INA1 InA Service
- OSOD DataSource (Delivered Version)
- PDWS Workflow template
- SADT ABAP Development Tools REST Service Group
- SAJC Application Job Catalog Entry
- SAPC ABAP Push Channel Application
- SQL1 SQL Service Binding (SQL1)
- WDCA Web Dynpro Application Configuration
- WDYA Web Dynpro Application
Dove possono essere attivati?
Attraverso la tabella USOBAUTHINACTIVE via transazione SM30 puoi decidere se disattivare o meno questo controllo.
Oggetto autorizzativo S_START - Start Authorization Check for TADIR Objects
Cosa attivare in caso di Webdynpro?
Nel caso dell'attivazione del controllo su oggetto autorizzativo S_START serve attivare questi settaggi:
- WDYA Web Dynpro Application
- WDCA Web Dynpro Application Configuration
Nella tabella USOBAUTHINACTIVE o via SU25 come mostrato a seguito. Questo controllo è stato introdotto parecchio tempo fa, nel 2010.
Attraverso il programma standard RSAUTH_START_ROLES puoi verificare quali ruoli hanno delle webdynpro e capire come adeguare i ruoli. Dato che l'attivazione del controllo deve precedere una attività di adeguamento dei ruoli. Devi inserire il nuovo oggetto autorizzativo S_START nei ruoli, altrimenti gli utenti non potranno più svolgere le attività tramite webdynpro.
La SAP prevede inoltre un possibile periodo transitorio (tramite l'assegnamento del ruolo SAP_BC_WEBDYNPRO_ALL).
Puoi gestire questa attivazione anche attraverso la transazione SU25.
Dalla release S/4HANA 2021 è attivo by default (ma può essere disattivato anche se non suggerito, verifica che sia attivo!)
Ulteriori informazioni qui:
- 3064888 - Start authorization check for Web Dynpro applications and Web Dynpro application configurations in SAP S/4HANA
- 1413011 - New start authorization check for Web Dynpro ABAP
Come capire chi può avviare qualcosa in SAP?
In base a quanto detto sopra esiste un apposito report nella transazione SUIM che permette di valutare chi può eseguire cosa in SAP:
Dove è possibile definire diversi criteri di ricerca
PS se vuoi sapere che tipo di transazione stai usando e di quale componente si tratti, puoi utilizzare la transazione SDMO Navigation Aid for Applications che permette di mostrare la tipologia di transazione ed a quale application component SAP appartiene