Stai valutando la migrazione a SAP S/4HANA?
Sei già in fase di migrazione?
Hai già migrato?
Nuove funzionalità, anche nella parte security, e la revisione dell'utilizzo di alcune transazioni importanti, non sono da sottovalutare.
Database HANA o applicazione S/4HANA?
Quali sono le differenze tra HANA ed S/4HANA? click per scoprirlo, prima di andare avanti, se già non le conosci.
La gestione delle autorizzazioni SAP e della Security cambia?
La struttura delle autorizzazioni nei sistemi S/4HANA è basata, come nell'applicativo SAP ECC sullo stack ABAP Netweaver.
Questo significa che tecnicamente non ci sono modifiche alla gestione della profilazione
nella nuova versione del sistema ECC (ERP Central Component) ovvero la soluzione S/4HANA.
Gli strumenti di gestione, principalmente:
- Transazione PFCG Profile Generator per la gestione di utenti, ruoli, autorizzazioni e profili
- Transazione SU01, per la gestione delle utenze
Sono rimaste invariate. Questo può essere un aspetto positivo per chi ogni giorno deve gestire la profilazione dei sistemi oppure implementare controlli di sicurezza SAP. Nulla di nuovo da imparare.
Ma attenzione, dalla release 1909 di SAP S/4HANA SAP ha deciso di modificare le valorizzazioni di default di alcuni profili di istanza SAP. Ovvero alcune configurazioni security di sistema. Quali sono?
Eccole:
| PROFILO ISTANZA | NOTA OSS |
| auth/check/calltransaction | 515130 |
| auth/object_disabling_active | - |
| auth/rfc_authority_check | 2216306 |
| gw/reg_no_conn_info | 2776748 |
| gw/rem_start | 2776748 |
| icf/set_HTTPonly_flag_on_cookies | 1277022 |
| icm/HTTP/logging_0 | 2788140 |
| icm/HTTP/logging_client_0 | 2788140 |
| icm/security_log | 2788140 |
| login/disable_cpic | - |
| login/password_downwards_compatibility | 1023437 |
| login/password_hash_algorithm | 2140269 |
| ms/HTTP/logging_0 | 2794817 |
| ms/http_logging | 2794817 |
| rdisp/gui_auto_logout | - |
| rdisp/vbdelete | 2441606 |
| rfc/callback_security_method | 2678501 |
| rfc/ext_debugging | 668256 |
| rfc/reject_expired_passwd | 1591259 |
| wdisp/add_xforwardedfor_header | 2788140 |
| Security Audit Log configuration | 2838480 |
Ma quindi la S/4HANA non aggiunge nessuna novità?
In realtà ci sono dei cambiamenti. Parlando sempre degli aspetti di sicurezza S/4.
L'accesso ai sistemi tramite SAP FIORI, la parte mobile. Quindi tutta la gestione di quelli che vengono chiamati:
- Catalog Role, ovvero l'insieme delle APP (Tile) che può vedere l'utente
- Group Role, ovvero le APP che un utente può vedere nella pagina iniziale di FIORI
Questa architettura prevede inoltre la definizione di due ambienti specifici chiamati:
- FES - Front End Server
- BES - Back End Server
Il FES (Front End Server) è il sistema che di fatto espone le applicazioni agli utenti. Qui deve essere gestito l'accesso e le autorizzazioni alle applicazioni SAP FIORI.
Il BES (Back End Server) è il sistema ERP, quindi S/4HANA, nell'ipotesi di utilizzare un accesso FIORI ad S/4HANA.
In questo sistema vengono gestite le profilazioni come nella versione ECC. Tramite l'utilizzo dei ruoli, oggetti autorizzativi.
Il punto di attenzione diventa l'allineamento dei sistemi (dal punto di vista autorizzativo).
Se un utente esiste nel BES ed ha certe applicazioni APP, l'utente dovrà, dato che le APP ricevono i dati dal BES, avere le corrispettive autorizzazioni nel sistema backend.
A seconda dello scenario di implementazione che viene adottado potresti fare scelte diverse:
- Greenfield o Brownfield (leggi qui se non conosci queste sigle)
- BES e FES sulla stessa macchina o separati?
- Come organizzare le APP Fiori nei rispettivi cataloghi? Meglio fare cataloghi grandi o granulari?
Ed a livello applicativo quali sono i punti di attenzione?
Una parte del cambiamento più rilevante è data dalla sostituzione di alcune transazioni SAP che diventano obsolete.
Business Partner S/4HANA
Sicuramente le transazioni SAP più impattate sono quelle delle anagrafiche fornitori e clienti.
Le transazioni seguenti sono diventano infatti obsolete e re-indirizzano alla "nuova" transazione BP (Business Partner):
- FD01,FD02,FD03
- FK01,FK02,FK03
- MAP2,MAP3
- MK01, MK02, MK03
- V-03,V-04,V-05,V-06,V-07,V-08,V-09, V-11
- VAP1, VAP2, VAP3
- VD01, VD02,VD03
- XD01, XD02, XD03
- XK01, XK06, XK07, XK02, XK03
La transazione BP esisteva già in passato, ma con S/4HANA diventa di fondamentale utilizzo per le anagrafiche.
Le seguenti transazioni diventano obsolete senza effettuare un redirect.
- FD06, FK06
- MK06, MK12, MK18, MK19
- VD06, XD06, XD07
- V+21, V+22, V+23,
- MAP21
La possibilità di andare a filtrare i match code
Una nuova attività è stata introdotta chiamata F4 al fine di poter effettuare dei filtri nei campi di ricerca (Match Code), raggiungibile premendo in un campo F4. Questo nuovo valore è presente nel campo ACTVT (Attività).
Attenzione, per compatibilità verso il passato questa nuova attività viene controllata prima dell'attività di visualizza 03.
Se hai intenzione di implementarla devi rivedere le valorizzazioni presenti ad oggi nei ruoli autorizzativi.
Ecco gli oggetti impattati:
- Clienti: F_KNA1_GEN, F_KNA1_GRP, F_KNA1_BED, F_KNA1_BUK, V_KNA1_VKO
- Fornitori: F_LFA1_GEN, F_LFA1_GRP, F_LFA1_BEK, F_LFA1_BUK, M_LFM1_EKO