Per chi è abituato a gestire le anagrafiche delle utenze nei vari sistemi (non solo SAP), conosce che ogni nuova utenza ha un costo (diretto o indiretto) da gestire.

Nei sistemi cloud questo può essere più esplicito rispetto ai sistemi onpremise.

Ma quali accorgimenti serve adottare per evitare prassi non corrette. Ed a quali costi?

Utenze condivise (Shared Account)

Può capitare ancora oggi. Soprattutto in situazioni di minore sensibilità sulle tematiche di sicurezza e con l'intenzione di ridurre i costi di gestione.

Infatti, se pensiamo all'accesso dei fornitori, un nuovo indirizzo di posta, un numero maggiore di utenti che utilizzano un client VPN, una nuova utenza SAP (da gestire e pagare, indipendentemente dal modello di licensing se Named User o FUE) è un costo immediato da gestire.

L'accesso condiviso può apparentemente far risparmiare tempo e soldi. Tuttavia, un conto molto più salato del previsto potrebbe poi abbattersi a seguito. 

Utenze condivise in SAP

Entriamo nel dettaglio di SAP per capire cosa può capitare in queste situazioni.

1. Non è possibile (o può essere più complicato) risalire a chi (usando l'utenza condivisa) ha realmente svolto delle attività a sistema
2. Nel caso in cui sia utilizzata la password come meccanismo di autenticazione, questa risulta essere condivisa da più persone
3. La sottrazione (anche impropria) o la fuga di dati di una delle persone a cui sono stati forniti gli accessi può esporre il sistema a maggiore rischio. Questo perché solitamente, proprio perché molte persone devono accedere (con ruoli diversi) l'utenza condivisa è profilata con accessi estesi 
4. Non ho il controllo di chi fa cosa. Proprio perché gli accessi sono solitamente estesi, posso vedere la totalità delle azioni eseguite ma non vedo chi le ha eseguite (vedi anche punto 1)
5. Non ho il controllo di chi accede. La condivisione a cascata non mi permette di controllare se le persone che accedono sono solo quelle formalmente autorizzate
6. Nel caso specifico di SAP anche un problema di compliance verso i contratti delle licenze (come avevamo già parlato in Multiple Logon)
   

Può non essere facile la scelta soprattutto se riguarda la gestione dei fornitori esterni. Il numero di utenze da definire per chi eroga un servizio ha un costo interno (per il cliente) che non sempre viene valutato. Creare una cinquantina o un centinaio di utenze in SAP per dei collaboratori esterni può avere un certo impatto economico (relativamente alle sole licenze).

Tuttavia, è una valutazione necessaria da svolgere. In relazione alle eventuali problematiche sopra. Quanto sopra, infatti, non vale solo lato cliente, ma anche lato fornitore. 

Lato fornitore la proposta di dover definire utenze potrebbe essere vista lato cliente come un eccesso di zelo o una generazione di costi eccessiva (per fortuna non è così in molti casi) o anche una diminuzione delle performance/livelli di servizio.

Quali i suggerimenti?

1. Sensibilizzare sulla creazione delle utenze (soprattutto nel sistema produttivo) alle sole realmente necessarie. Su un team di 50 persone non tutte devono necessariamente avere una utenza
2. Ricordati che per fare delle verifiche a sistema può essere usata anche la condivisione dello schermo. Non sempre serve avere un accesso
3. Alcune verifiche possono essere fatte direttamente con l'utenza che ha il problema o utenza IT (sempre tramite condivisione dello schermo)
4. Nel caso in cui l'azienda sia abituata ad alzare il telefono e ricevere la soluzione, serve attivarsi in modo da sensibilizzare per tempo che le tempistiche e le procedure di risoluzione delle problematiche non saranno necessariamente così veloci (almeno non in tutti i casi)
5. Per quanto possibile creare degli accessi per ambito o macro-ambito
6. Evitare l'utilizzo delle credenziali privilegiando sistemi di Single Sign On
7. Valutare l'attivazione di piattaforme PAM (Privilege Access Management) o firefighter