Gli aggiornamenti di SAP sono frequenti. SAP rilascia aggiornamenti di funzionalità ai suoi prodotti ma anche nuove funzionalità o patch security.
Con meno frequenza le installazioni SAP recepiscono questi aggiornamenti. Un’attività di aggiornamento SAP richiede comunque una certa mole di lavoro. Anche se recentemente SAP ha ridotto il volume degli aggiornamenti privilegiando appunto la frequenza. Proprio per limitare l’impatto sui clienti.
Nonostante gli aggiornamenti vengano fatti per introdurre nuove funzionalità o garantire il supporto da parte di SAP, quasi sempre gli aspetti security sono sottovalutati e trascurati.
Cosa fare quindi prima e dopo un upgrade dal punto di vista security?
1. Prepararsi all’aggiornamento del sistema
Durante i vari rilasci dei nuovi pacchetti SAP tiene traccia delle nuove funzionalità o modifiche apportate al sistema.
Tramite il sito help.sap.com è possibile infatti vedere per ogni pacchetto rilasciato quale siano le nuove funzionalità introdotte.
Leggere le nuove funzionalità introdotte per il componente di riferimento (es. area BASIS) dalla release di partenza a quella di arrivo ci permette di essere pronti a valutare nuove funzionalità Security SAP introdotte o capire eventuali modifiche a funzionalità esistenti.
2. Upgrade tecnico o funzionale?
Esistono due tipologie di SAP upgrade, tecnico o funzionale (a volte la terminologia può essere diversa):
- Tecnico quanto viene effettuato un upgrade senza introdurre eventuali nuove funzionalità. In altre parole, tutto quello che c’era prima deve funzionare anche nella nuova release
- Funzionale, effettuo l’upgrade del sistema per introdurre una nuova funzionalità es.: “New General Ledger”
Ovviamente il processo di upgrade in questi casi richiede sforzi e modi diversi per affrontare il progetto. Nel primo caso, soprattutto se la release di partenza e quella di arrivino sono molto vicine, gli sforzi sono molto minori, nel secondo caso è un vero e proprio progetto.
In ogni caso le autorizzazioni e quindi i ruoli devono essere aggiornati, per recepire le nuove funzionalità (anche se non usate). Ma cosa succede se non viene fatto?
- Ad ogni modifica dei ruoli autorizzativi comparirà un pop-up di avviso del mancato aggiornamento
- La distanza in termini autorizzativi tra le release potrebbe spostare l'effort di adeguamento più in là nel tempo. Il passaggio da un ECC6 ad S/4HANA, nell'opzione della conversione del sistema, potrebbe essere in realtà un salto da una release più vecchia della ECC 6 per quanto riguarda gli aspetti autorizzativi
3. L’importanza di non usare i ruoli standard SAP
Come citato nella documentazione ufficiale, uno dei motivi per non utilizzare i ruoli standard SAP è quello dovuto agli upgrade di sistema.
Durante gli aggiornamenti di release anche i ruoli standard SAP possono essere aggiornati.
L’utilizzo diretto di questi ruoli, comporterebbe quindi la sovrascrittura dei “nostri” ruoli con quelli più recenti.
Ecco perché è importante, se decidi di utilizzare come base di partenza i ruoli standard SAP, fare sempre una copia nello spazio nomi del cliente (quindi Z oppure Y).
4. È tu come hai fatto i ruoli? Sono pronti per un upgrade di release SAP?
Nei progetti di upgrade lo sforzo per aggiornare i ruoli può essere di qualche giornata o di diverse decine di giornate.
Questo dipende da come sono fatti tecnicamente i ruoli autorizzativi.
Se i ruoli autorizzativi (comunemente noti anche come profili SAP) rispettano le best practices SAP è possibile utilizzare il tool automatico di upgrade (chiamato transazione SU25) seguendo i passaggi che esso propone.
In questo caso sarà automaticamente SAP ad effettuare molto del lavoro. A te rimarrà solamente l’adeguamento dei ruoli (più ruoli ci sono e più transazioni contengono, più la probabilità di doverli aggiornare salirà).
5. SAP HANA, S/4HANA quali sono i punti di attenzione security SAP?
Conviene chiarire da subito quale è la differenza tra HANA ed S/4HANA.
- HANA, si tratta del database proprietario di SAP. Vedi anche ad esempio Oracle, DB2 Microsoft SQL
- S/4HANA (scritto tutto attaccato) è l’applicativo che viene installato sul database HANA. Corrisponde alla suite SAP ERP installata su database HANA o altri
Quali sono i punti di attenzione durante gli upgrade verso il database HANA o S/4HANA?
- Database HANA, dal punto di vista applicativo non ci sono molte azioni da svolgere. È sostanzialmente trasparente. Può essere tuttavia un momento per rivedere la security del database. Attivando ad esempio la crittografia delle comunicazioni, nativa nel database HANA, e l’hardening dei sistemi.
- Molto diverso l’approccio ad S/4HANA per quanto riguarda le autorizzazioni SAP. Qui infatti l’interfaccia di accesso utente può cambiare notevolmente. Sono infatti introdotti diversi nuovi componenti:
- SAP Gateway o FES Front End Server
- SAP Backend o BES Back End Server
- SAP Netweaver Business Client
L’accesso alle applicazioni S/4HANA avviene tramite l’interfaccia grafica di FIORI, la quale prevede le tile (mattonelle) che possono corrispondere alle transazioni in SAP ECC.
Qui è necessario definire un concetto autorizzativo tra il FES ed il BES abilitando i servizi Odata necessari al funzionamento dell’applicazione.