Quanti modi esistono per gestire gli accessi in emergenza a SAP? Ogni sistema SAP supporta questo tipo di accessi?
Nei sistemi SAP ABAP based tramite il modulo Emergency Access Management del sistema SAP GRC Access Control.
Ma esistono altre soluzioni sul mercato che possono coprire questa necessità? Sì, ne parliamo in questo articolo.
Quale la soluzione SAP?
SAP tramite lo strumento Emergency Access Management o Firefighter permette la gestione delle utenze di emergenza. Questo strumento, integrato suite del GRC Access Control, permette di assegnare ad un utente un'utenza di emergenza a seguito dell’approvazione da parte del responsabile dell’utente/amministratore.
Al termine dell’utilizzo, vengono consolidati automaticamente i dati ed inviati ad un responsabile delle super utenza per presa visione.
Dal punto di vista dell'auditing quali sono i punti di attenzione?
L’utilizzo delle utenze di emergenza dovrebbe essere sempre ben documentato tramite procedure.
I punti di attenzione che devono essere definiti per l’audit sono
- Verifica ed eventuali modifiche effettuate con l’utenza di emergenza
- Durata dell’utenza di emergenza
- Processo di richieste/approvazione
- Verifica tramite log di quanto viene svolto durante la sessione di firefighting (auditing)
- Comunicazione delle credenziali (dove previsto, ma sconsigliato, le super utenze non dovrebbero essere rilasciate tramite password based logon)
Parti da qui per sapere quali transazioni auditing ti possono essere utili.
Perché ci possono essere situazioni di emergenza?
Possono essere molteplici le cause:
- Problematiche durante dei rilasci, nonostante i test effettuati sulle autorizzazioni prima di un go-live, gli errori vengono in alcuni casi identificati solo in quest’ultima fase
- Problematiche durante dei rilasci ma di natura applicativa (quindi non mancanza di autorizzazioni) non rilevati in precedenza
- Problemi urgenti nell'ambiente produttivo
Queste situazioni rappresentano quindi un rischio elevato che può portare ad una situazione di emergenza. Dove una certa utenza (di business o, solitamente ICT) deve poter operare senza troppe restrizioni per risolvere un problema di business.
Diventa quindi importante definire un processo strutturato che non sempre è ben fluido. Nonostante sia definito, anche bene, sulle procedure. A seguito dell’approvazione, all’utente sarà assegnata un'utenza con l’autorizzazione o più in generale le abilitazioni SAP richieste.
L'ideale sarebbe evitare di comunicare delle credenziali. Ma fare in modo che l'utenza stessa o una utenza di emergenza, si attivi, senza definire una utenza ex-novo da rilasciare (comunicando credenziali) alle utenze
Al termine l’attività, l'utente che ha utilizzato dei "super-poteri" dovrà ritornare alla normalità. questo processo dovrebbe essere il più trasparente possibile, sia per l'utente sia per l'ICT (per evitare di incorrere in richieste frequenti ed attività manuali da dover tracciare).
Tutti i singoli passaggi dovrebbero essere inoltre registrati così da permettere in fase di audit di analizzare ogni singola azione eseguita su un'utenza.
È sempre necessario usare una utenza di emergenza?
Ci è capitato in parecchie situazioni di analizzare gli usi delle super-utenze, una volta definiti questo genere di processi. Possiamo affermare che spesso la si utilizza anche quando non vi è la necessità. Oppure nel dubbio durante i progetti, viene richiesta, anche se in realtà non serve effettivamente.
L’utenza di emergenza dovrebbe essere utilizzata nei seguenti casi:
- Per utenze esterne (consulenti o ICT) che devono effettuare delle azioni di modifica sul sistema di produzione
- Utenti finali (spesso ICT) che devono svolgere delle attività che fanno al di fuori delle loro competenze abituali
Come gestire le modifiche fatte in emergenza in termini di compliance ed audit?
Se non definisco una procedura di gestione delle super utenze è difficile capire cosa è stato fatto (dovrei andare a verificare tutti i log, non centralizzati in un unico punto e tenere traccia di tutte le richieste, a livello di processo ed approvazione). Molto difficile!
- Meglio avere una utenza ad hoc di emergenza usata da più utenti (in momenti diversi)?
- Utenze diverse tra utenza normale e super-utenza?
- Oppure una utenza 1:1 con gli utenti che dovranno usarla?
- Esiste una dashboard di controllo?
Sono alcune delle domande che è meglio porsi quando si sta per attivare o rivedere questo processo. Non sempre esiste una unica risposta, dipende spesso dal contesto. In alcuni casi le soluzioni ibride sono ammesse.
Ma quale potrebbe essere una modalità di gestione delle super utenze?
Come la suite XITING TIMES può essere un ottimo compromesso?
La suite XITING TIMES (della società Xiting) è un modulo della suite XAMS e permette di gestire un processo completo end to end di richiesta, gestione e logging delle super utenze.
Ma come funziona e come avviene tutto ciò?
Iniziamo con il dire che la soluzione è sviluppata completamente in ABAP, quindi, funziona perfettamente nel contesto ABAP based e supporta inoltre le attività di firefighting su database HANA. Questo aspetto è positivo in quanto è perfettamente integrata ed utilizzabile negli scenari dove sia presente un sistema di questo tipo quindi ad esempio SAP ERP ECC o S/4HANA (nel caso di scenario embedded).
Ma come viene gestito da questo software il processo di PAM (Privileged Access Management)?
- Nei casi di emergenza è possibile usare la propria utenza (quindi in realtà non una utenza diversa) per effettuare azioni «critiche»
- La «super utenza» può essere pre-assegnata o richiesta con approvazione (è possibili definire una durata in ore)
- Le attività svolte dalla propria utenza durante il firefighting sono registrate (log) e possono essere approvate
L'utenza di emergenza assegnata è di fatto una utenza di tipo RIFERIMENTO. Ovvero una particolare tipologia di utenza SAP (usata in alcuni scenari, ad esempio per il problema del numero massimo di profili SAP che esisteva in passato, ma non solo per quello!)
Quindi, operativamente, ecco come funziona dal punto di vista dell'utilizzatore:
- L'utente ICT, in questo esempio, non ha le abilitazioni per poter registrare un documento contabile a fronte di una richiesta di supporto (tramite ticket) di business (transazione FB01)
- L'utente ICT esegue una transazione specifica che permette di verificare se ha a disposizione una super-utenza da usare.
- Se presente, può in autonomia attivarla (qui potrebbe essere richiesto un processo approvativo, se necessario)
- L'utente ICT deve inserire una reason code (es. il ticket o la motivazione per la quale deve usare una super utenza) ed anche la durata, in ore in cui sarà attiva)
- Viene aperta una nuova sessione (ma questa volta l'utente, medesima userID potrà eseguire la transazione FB01, in precedenza non attiva)
Di seguito la rappresentazione grafica dei vari passaggi descritti sopra
Ogni owner (definito nelle tabelle di configurazione) potrà poi, tramite una transazione specifica, prendere visione di tutte le attività svolte in regime di "super-utenza"
La soluzione che propone XITING permette quindi di:
- Richiedere direttamente ed in modalità self-service, l’abilitazione all’autorizzazione necessaria
- Ricezione da parte del responsabile della richiesta dell’utente e possibilità di approvazione
- Assegnazione temporanea all’utente delle autorizzazioni richieste
- Rimozione dell’autorizzazione a seguito dell’attività
- Tracciamento delle attività eseguite tramite log
Sei interessato a scoprire altri moduli e vantaggi della suite XAMS? Contattami!