Stai valutando la migrazione a SAP S/4HANA?
Sei già in fase di migrazione?
Hai già migrato?
Nuove funzionalità, anche nella parte security, e la revisione dell'utilizzo di alcune transazioni importanti, non sono da sottovalutare.
Quali sono le differenze tra HANA ed S/4HANA? click per scoprirlo, prima di andare avanti, se già non le conosci.
La struttura delle autorizzazioni nei sistemi S/4HANA è basata, come nell'applicativo SAP ECC sullo stack ABAP Netweaver.
Questo significa che tecnicamente non ci sono modifiche alla gestione della profilazione
nella nuova versione del sistema ECC (ERP Central Component) ovvero la soluzione S/4HANA.
Gli strumenti di gestione, principalmente:
Sono rimaste invariate. Questo può essere un aspetto positivo per chi ogni giorno deve gestire la profilazione dei sistemi oppure implementare controlli di sicurezza SAP. Nulla di nuovo da imparare.
Ma attenzione, dalla release 1909 di SAP S/4HANA SAP ha deciso di modificare le valorizzazioni di default di alcuni profili di istanza SAP. Ovvero alcune configurazioni security di sistema. Quali sono?
Eccole:
| PROFILO ISTANZA | NOTA OSS |
| auth/check/calltransaction | 515130 |
| auth/object_disabling_active | - |
| auth/rfc_authority_check | 2216306 |
| gw/reg_no_conn_info | 2776748 |
| gw/rem_start | 2776748 |
| icf/set_HTTPonly_flag_on_cookies | 1277022 |
| icm/HTTP/logging_0 | 2788140 |
| icm/HTTP/logging_client_0 | 2788140 |
| icm/security_log | 2788140 |
| login/disable_cpic | - |
| login/password_downwards_compatibility | 1023437 |
| login/password_hash_algorithm | 2140269 |
| ms/HTTP/logging_0 | 2794817 |
| ms/http_logging | 2794817 |
| rdisp/gui_auto_logout | - |
| rdisp/vbdelete | 2441606 |
| rfc/callback_security_method | 2678501 |
| rfc/ext_debugging | 668256 |
| rfc/reject_expired_passwd | 1591259 |
| wdisp/add_xforwardedfor_header | 2788140 |
| Security Audit Log configuration | 2838480 |
In realtà ci sono dei cambiamenti. Parlando sempre degli aspetti di sicurezza S/4.
L'accesso ai sistemi tramite SAP FIORI, la parte mobile. Quindi tutta la gestione di quelli che vengono chiamati:
Questa architettura prevede inoltre la definizione di due ambienti specifici chiamati:
Il FES (Front End Server) è il sistema che di fatto espone le applicazioni agli utenti. Qui deve essere gestito l'accesso e le autorizzazioni alle applicazioni SAP FIORI.
Il BES (Back End Server) è il sistema ERP, quindi S/4HANA, nell'ipotesi di utilizzare un accesso FIORI ad S/4HANA.
In questo sistema vengono gestite le profilazioni come nella versione ECC. Tramite l'utilizzo dei ruoli, oggetti autorizzativi.
Il punto di attenzione diventa l'allineamento dei sistemi (dal punto di vista autorizzativo).
Se un utente esiste nel BES ed ha certe applicazioni APP, l'utente dovrà, dato che le APP ricevono i dati dal BES, avere le corrispettive autorizzazioni nel sistema backend.
A seconda dello scenario di implementazione che viene adottado potresti fare scelte diverse:
Una parte del cambiamento più rilevante è data dalla sostituzione di alcune transazioni SAP che diventano obsolete.
Sicuramente le transazioni SAP più impattate sono quelle delle anagrafiche fornitori e clienti.
Le transazioni seguenti sono diventano infatti obsolete e re-indirizzano alla "nuova" transazione BP (Business Partner):
La transazione BP esisteva già in passato, ma con S/4HANA diventa di fondamentale utilizzo per le anagrafiche.
Le seguenti transazioni diventano obsolete senza effettuare un redirect.
Una nuova attività è stata introdotta chiamata F4 al fine di poter effettuare dei filtri nei campi di ricerca (Match Code), raggiungibile premendo in un campo F4. Questo nuovo valore è presente nel campo ACTVT (Attività).
Attenzione, per compatibilità verso il passato questa nuova attività viene controllata prima dell'attività di visualizza 03.
Se hai intenzione di implementarla devi rivedere le valorizzazioni presenti ad oggi nei ruoli autorizzativi.
Ecco gli oggetti impattati: