AGLEA SAP Security Blog

SAP E-mail Sensitivity

Scritto da Massimo Manara | Apr 23, 2024 10:00:00 PM

Come proteggere il contenuto di una mail in SAP? Come puoi fare in modo che chi ha accesso a livello amministrativo alle mail non riesca a vederne il contenuto?

 

 

Esiste una funzionalità di questo tipo? Leggi l'articolo per approfondire.

SAP E-mail

Come saprai per diversi processi è possibile utilizzare SAP per inviare mail all'esterno di questo sistema. Questo, pur essendo lecito ed ammesso, può rappresentare un problema per la protezione e confidenzialità ("privacy") dei dati.

 

Ne abbiamo già parlato anche qui: SAP Mail, in SAP tutti leggono le mail di chiunque?

 

Come proteggere la lettura del contenuto delle mail?

Esiste un modo per far sì che il contenuto della mail (generata ed inviata da SAP) non sia visibile agli amministratori di sistema?

 

In parte sì.

 

In generale la transazione SOST, che permette appunto di vedere in maniera indiscriminata le mail in uscita da SAP, non dovrebbe essere rilasciata ad utenti finali. Ma gli amministratori potrebbero lecitamente averla. Un po’ come la transazione SP01 (per le stampe), non dovrebbe essere rilasciata agli utenti finali.

 

Non esistono particolari segregazioni autorizzative attuabili in questo caso. Escludendo il rilascio delle transazioni simili e più segregate come la SOSB o SOSG o analogamente per la SP01 ed SP02 (vedi anche qui). 

 

Può essere possibile tuttavia, sfruttando la classe di sviluppo chiamata "cl_bcs" utilizzare alcune funzionalità tecniche per la generazione di una mail (evidentemente in un programma custom) per poter inserire un attributo di confidenzialità.

 

Ipotizziamo questo scenario: un utente chiamato WF-BATCH manda una mail alla utenza MMANARA.

 

Dalla transazione SOST usando il parametro “sensivity”, la mail potrà essere letta (in altre parole visionare il contenuto) solo dal ricevente. “3143429 - SO830 "The system will not allow you to process the document because you do not have authorization for this."

 

Il risultato è il seguente:

 

Le tipologie di classificazione sono le seguenti (presenti anche quando mandi un messaggio “manualmente” in transazione SBWP):

  • P - Confidential
  • G - Business
  • E – Private

 

Attenzione, quanto sopra funziona, ma non troppo. Infatti è possibile attraverso il function module seguente SO_OBJECT_GET_CONTENT ed avendo accesso alla tabella SOOD riuscire a leggere il contenuto di una mail.