AGLEA SAP Security Blog

SAP HANA Security, HANA o S/4HANA migrazione o installazione

Scritto da Massimo Manara | Mar 5, 2019 11:00:00 PM

 

Dal 2025 (SAP ha spostato ad inizio 2020 la data del termine del supporto di SAP ECC al 2027 anziché 2025) terminerà il supporto da parte di SAP per il prodotto SAP ECC (ERP Central Component).

Diventa quindi importante prepararsi per tempo alla migrazione verso HANA ed S/4HANA.

 

 

Ma cosa sono HANA ed S/4HANA e che impatti ci sono con la security SAP?

Che differenza c'è tra HANA e SAP S/4HANA?

Spesso questi termini sono utilizzati come sinonimi, in realtà non lo sono.

 

SAP HANA, si tratta di un database sviluppato da SAP, per l'elaborazione dei dati in memoria. In altre parole sostituisce o è alternativo ad altre soluzioni presenti ad esempio Oracle, DB2.

 

SAP S/4HANA (SAP Business Suite 4 SAP HANA) è il prodotto SAP che sostituisce l'ERP nella versione ECC (ERP Central Component). Questo applicativo a differenza del precedente, SAP ECC, può essere installato solo su database SAP HANA.

 

Migrazione da database Oracle, DB2 o altri verso database HANA

In questo caso si tratta di un passaggio prettamente tecnologico. Non ci sono impatti quindi a livello applicativo. Potrebbero esserci nel caso in cui a fronte del passaggio al database HANA sia aggiornata di conseguenza anche la business suite ECC.

 

In questo ultimo caso, tuttavia, si tratterebbe di un normale upgrade SAP. Anche la parte autorizzativa e le logiche di segregazione rimarrebbero le medesime.

 

Migrazione da SAP ECC a SAP S/4HANA cosa cambia?

Qui, al contrario del precedente scenario, potrebbero esserci diverse situazioni.

Come nel passato, dove in caso di upgrade, si parlava di:

  • Upgrade tecnico
  • Upgrade funzionale

 

Anche nel contesto della migrazione a S/4HANA esistono due tipologie distinte di migrazione, che ricalcano quanto sopra:

  • Brownfield
  • Greenfield

 

Nel caso del brownfield avviene di fatto una migrazione tecnica, senza rivedere i processi attualmente in uso e quindi senza sfruttare eventuali nuove funzionalità.

 

Mentre nel caso del greenfield il processo di upgrade diventa una rivisitazione globale dei processi attualmente in essere. Come se fosse, per alcuni aspetti, un progetto di nuova implementazione.

 

 

Quali sono i punti di attenzione Security SAP?

Ecco quali sono a nostro avviso i principali punti di attenzione per la sicurezza SAP S/4HANA:

 

  • [UX] Cambio della User interface (UX) in questo caso tramite SAP FIORI
    • A seconda della tipologia dell'APP vi sono differenti modi di gestire le autorizzazioni
  • [ARCHITETTURA] Architettura scelta nell'implementazione dell'S/4HANA. Questo applicativo infatti sfrutta l'integrazione con i dispositivi mobile. Necessita quindi di un componente, chiamato Front End Server (FES), un gateway, che permetta l'accesso, anche dall'esterno ai dati dell'ERP (BES, Back End Server). Decidere dove debba risiedere il FES diventa importante, anche per gli aspetti autorizzativi. Gli scenari sono:
    • SAP FIORI FES Embedded, ovvero FES e BES sulla stessa macchina
    • SAP FIORI FES Hub, ovvero FES e BES su macchine distinte
    • SAP FIORI Cloud, il FES on cloud
  • [AUTORIZZAZIONI] Utilizzo del nuovo paradigma di sviluppo e controllo autorizzativo delle APP (Applicazioni HANA) direttamente sul database, ovvero le CDS Core Data Services
  • [CUSTOM] Portabilità di programmi custom verso S/4HANA, in questo ultimo caso, l'impatto sulla parte autorizzativa è minore ma comunque rilevante

 

Come quanto sopra ha impatto sulla Security SAP?

La scelta dell'architettura di FES e BES ha sicuramente un impatto importante.

 

Qui, infatti, nel caso in cui ci sia il SAP FIORI FES Hub diventa importante l'utilizzo dell'oggetto autorizzativo S_RFCACL per la gestione delle connessioni trusted.

 

È uno degli oggetti più critici che SAP mette a disposizione, infatti non è presente di default nemmeno nel profilo SAP_ALL.

 

Il disegno dei Catalog e dei Group Fiori like. L'accesso alle APP viene infatti gestito dal sistema di Front End. In questo sistema devono essere definite le APP e queste raggruppate in cataloghi.

 

Il catalogo di FIORI deve essere visto come una sorta di figura professionale, che sarà accoppiata, se possibile, alle/a relativa figura professionale nel sistema di backend (Back End Server), ovvero SAP S/4HANA.

 

Diventa quindi strategico avere già, se possibile, un concetto autorizzativo basato su figure professionali. Dove andare ad integrare le funzionalità necessarie al collegamento tra le APP ed i dati presenti in S/4.

 

Attenzione, non dimenticarti che alcuni processi di S/4 sostituiscono quelli di definiti in ECC. Significa che se devi gestire la Segregation of Duties in SAP S/4HANA devi tenere conto di questi cambiamenti.