Nel gergo comune degli addetti ai lavori possono essere usati come sinonimi, ma in realtà non lo sono.
Possono essere anche confusi e spesso non è chiaro se sia corretto parlare di profili o ruoli SAP. Proviamo in questo articolo a chiarire quali siano le differenze. Partendo dal passato!
Cosa sono i ruoli e profili SAP?
Per cogliere di cosa si tratti dobbiamo partire dal passato. Infatti nelle prime release dei sistemi SAP, non esistevano i ruoli ma solo i profili.
Sono più in generale degli oggetti che permetto di attribuire delle abilitazioni alle utenze che utilizzano il sistema SAP. Tramite questi oggetti è possibile quindi permettere agli utenti di utilizzare il sistema.
Il concetto di ruolo è stato introdotto più recentemente, rispetto al profilo o profilo di autorizzazione.
Ma proviamo a dare una definizione e poi approfondire:
- Profilo, è un contenitore di autorizzazioni
- Ruolo, è un contenitore formato da tre parti, menù, autorizzazioni ed assegnazione ad utenti
Forse non è ancora chiarissimo.
Dicevamo che in passato per poter attribuire delle abilitazioni alle utenze esistevano solamente i profili. Vero.
Per poter abilitare un utente ad eseguire, ad esempio, una richiesta di acquisto oppure un ordine bisognava identificare tutti gli oggetti autorizzativi necessari a far funzionare questi aspetti di processo.
Tutti questi oggetti dovevano essere appunto inseriti in un profilo e quest'ultimo assegnato poi all'utente o utenti.
Era un lavoro molto lungo e laborioso, anche perché chi conosce i più di 3000 oggetti autorizzativi definiti in un sistema SAP? Spesso si andava per tentativi e prove.
I ruoli, quindi, servono a semplificare la gestione delle abilitazioni SAP. Ovvero introdurre il paradigma RBAC (Role Based Access Control).
In che modo?
Se prima tramite i profili (vedi transazione SU02 sotto) dovevo io, come security manager, conoscere tutti gli oggetti da abilitare, oggi, tramite i ruoli posso dichiarare cosa dovrà svolgere in termini transazionali una persona ed il sistema farà, più o meno, il resto.
Ovvero il ruolo (attraverso la transazione PFCG - Profile generator) mi permetterà di recuperare tutte le informazioni necessarie (dal punto di vista delle abilitazioni) per poter permettere all'utente, una volta ricevuto il ruolo, di poter lavorare.
Attenzione profili e ruoli non vanno utilizzati assieme. I profili sono quindi un retaggio del passato (ancora attivo nel sistema) ma "nascosto" attraverso la gestione dei ruoli. Quindi non devono essere usati. Si utilizzano solo i ruoli!
I ruoli SAP semplificano la gestione delle abilitazioni?
Sì, è proprio così. Anche se dipende da come li si struttura. A volte utilizziamo la metafora dei mattoncini della lego.
Immagina di avere a disposizione centinaia di pezzi di svariate forme e colori. A parità di pezzi ognuno di noi può realizzare qualcosa di diverso. Chi realizza delle opere d'arte e chi ci prova (magari avvicinandosi, più o meno).
Approfondisci qui cosa significa SAP Security.
Nella parte autorizzativa, più in generale di SAP è proprio così. Chiunque può facilmente far funzionare le cose, provando a definire un authorization concept.
Ma un conto è farle funzionare, un altro è farle funzionare come dovrebbero e soprattutto gestirle nel corso del tempo in modo appropriato.
È comune, infatti, trovare situazioni di modelli autorizzativi definiti all'inizio del progetto e poi stratificati, modificati senza molta logica a più mani nel corso del tempo, fino ad arrivare al punto di dover rivedere tutto.
Non sei sicuro che il tuo modello sia gestito in maniera corretta?