Come controllare l'avvio delle attività in SAP?

Posted by Massimo Manara on Sep 11, 2024 8:30:00 AM

Per chi conosce già SAP, sa che l'avvio delle transazioni viene protetto da uno specifico oggetto autorizzativo chiamato S_TCODE.

 

start

 

Ma possono esservi ulteriori oggetti analoghi per altre funzionalità di SAP es. le FIORI App oppure Webdynpro ma anche altri...

SAP START authorization?

Quali sono i controlli che puoi attivare per avere un presidio maggiore di cosa viene eseguito in SAP? Ad esempio questi oggetti autorizzativi:

 

Oggetto autorizzativo Descrizione
S_TCODE Transaction and authorization defaults for transactions
S_RFC Authorization defaults for RFC function modules (vedi oggetti critici)
S_SERVICE Authorization defaults for external services and for services with an object directory entry (TADIR services), questo serve per le APP Fiori
S_START (as of SAP_BASIS 7.31) Web Dynpro applications, Web Dynpro configurations, and authorization defaults for the object types registered in table USOBAUTHSTART

 

Nel caso dell'S_START sono poi diversi gli oggetti controllabili:

 

  • G4BA SAP Gateway OData V4 Backend Service Group & Assigments
  • HTTP HTTP Service
    IDOC IDoc Type
  • INA1 InA Service
  • OSOD DataSource (Delivered Version)
  • PDWS Workflow template
  • SADT ABAP Development Tools REST Service Group
  • SAJC Application Job Catalog Entry
  • SAPC ABAP Push Channel Application
  • SQL1 SQL Service Binding (SQL1)
  • WDCA Web Dynpro Application Configuration
  • WDYA Web Dynpro Application

 

Dove possono essere attivati?

Attraverso la tabella USOBAUTHINACTIVE via transazione SM30 puoi decidere se disattivare o meno questo controllo.

 

USOBAUTHINACTIVE

 

Oggetto autorizzativo S_START - Start Authorization Check for TADIR Objects

 

S_START

 

Cosa attivare in caso di Webdynpro?

Nel caso dell'attivazione del controllo su oggetto autorizzativo S_START serve attivare questi settaggi:

  • WDYA    Web Dynpro Application
  • WDCA    Web Dynpro Application Configuration

 

Nella tabella USOBAUTHINACTIVE o via SU25 come mostrato a seguito. Questo controllo è stato introdotto parecchio tempo fa, nel 2010.

 

Attraverso il programma standard RSAUTH_START_ROLES puoi verificare quali ruoli hanno delle webdynpro e capire come adeguare i ruoli. Dato che l'attivazione del controllo deve precedere una attività di adeguamento dei ruoli. Devi inserire il nuovo oggetto autorizzativo S_START nei ruoli, altrimenti gli utenti non potranno più svolgere le attività tramite webdynpro.

 

La SAP prevede inoltre un possibile periodo transitorio (tramite l'assegnamento del ruolo SAP_BC_WEBDYNPRO_ALL).

 

Puoi gestire questa attivazione anche attraverso la transazione SU25.

SU25

 

Dalla release S/4HANA 2021 è attivo by default (ma può essere disattivato anche se non suggerito, verifica che sia attivo!)

 

Ulteriori informazioni qui:

  • 3064888 - Start authorization check for Web Dynpro applications and Web Dynpro application configurations in SAP S/4HANA
  • 1413011 - New start authorization check for Web Dynpro ABAP

 

Come capire chi può avviare qualcosa in SAP?

In base a quanto detto sopra esiste un apposito report nella transazione SUIM che permette di valutare chi può eseguire cosa in SAP:

SUIM

 

Dove è possibile definire diversi criteri di ricerca

 

SUIM_START

 

PS se vuoi sapere che tipo di transazione stai usando e di quale componente si tratti, puoi utilizzare la transazione SDMO    Navigation Aid for Applications che permette di mostrare la tipologia di transazione ed a quale application component SAP appartiene

SDMO

 

Topics: PFCG SAP transaction, oggetti autorizzativi critici

Iscriviti qui!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutti