AGLEA SAP Security Blog

SAP GRC Access Control Tables

Scritto da Massimo Manara | Jan 21, 2020 11:00:00 PM

Quali sono le tabelle del prodotto SAP GRC Access Control utili da conoscere (delle oltre 2500)?

 

Perché possono servirti durante le attività quotidiane? Quando invece non devono o non conviene che siano utilizzate?

 

SAP GRC Access Control

Ti sei perso cosa è questo strumento e a cosa serve? Leggi qui.

 

Access Risk Analysis (ARA)

In questo modulo del SAP GRC Access control, la matrice delle regole (ruleset) è la parte più importante:

  • GRACFUNC - Function
  • GRACFUNCT - Function Description Translations
  • GRACFUNCACT - Function Action Relationship
  • GRACFUNCPRM - Function Action Permission relationship
    • Dove ACTIVE = X significa che è attiva la riga

 

 

  • GRACSODRISKFUNC - SOD Risk Function Relationship
  • GRACRULESET - Rule Set
  • GRACRULESETT - Rule Set Description
  • GRACORGRULE - Organization Rules
  • GRACACTRULE - SOD Action Rule Detail
  • GRACSODRISKT - SOD Risk Description
  • GRACSODRISK - SOD Risk
    • RISKTYPE = 1: SOD, 2: Critical Action, 3: Critical Permission

 

 

  • GRACSODRISKOWN - SOD Risk Owner
  • GRACMITROLE - Role mitigating control assignment
  • GRACMITUSER - User mitigating control assignment
  • GRACCRPROFILE - Critical Profile Rule
  • GRACCRROLE - Critical Role Rule
  • GRACBPROC - Business Process
  • GRACBPROT - Business Process Description
  • GRACMGRISKD - Risk Analysis Mgmt Sum data for Batch Risk Analysis.
  • HRP5320 - Controlli mitigativi definiti
  • HRT5320 - Controlli mitigativi definiti
  • GRACUSERPRMVL - User Permission Violation Table

 

 

Emergency Access Management (EAM)

In questo modulo del SAP GRC Access Control, la gestione delle super utenze o super ruoli è la parte più importante:

  • GRACFFLOG - Details related to Firefighter ID Log On Information
  • GRACFFREPMAPP - FFLOG and Repository Mapping for Firefighters
  • GRACACTUSAGE - Action Usage
  • GRACAUDITLOG - Security Audit Log table
  • GRACSYSTEMLOG - System Security Log table
  • GRACCHANGELOG - Data Change Log table
  • GRACREASONCOD - Master table for Reason Codes
  • GRACREASONSYS - Reason Code and System assignments
  • GRACFFCTRL - Maintain assignment of FF ID or Role to Controllers
  • GRACFFOBJECT - Maintain SPM Firefighter ID and Role details
  • GRACFFUSER - Maintain SPM Firefighter Assignment to FF ID/Roles

 

Business Role Management (BRM)

In questo modulo del SAP GRC Access Control, la gestione dei ruoli è la parte più rilevante:

  • GRACROLE - Role
  • GRACROLEAPPRVR - Role Approver
  • GRACROLESTATUS - Role Status Table
  • GRACROLETYPE - Role Type Table
  • GRACMTH - GRC Methodology
  • GRACMTHT - GRC ERM Methodology Text

 

Access Request Management (ARQ)

Si tratta del componente per gestire i workflow approvativi all'interno della suite dell'access control. Questa parte viene gestita tramite l'utilizzo dei Business Rule Framework BRF+ e del framework di lavoro chiamato MSMP Multi Stage Multi Path.

 

  • GRACREQ - Request Header
  • GRACREQPROVITEM - Line Items Associated with Request
  • GRACREQUSER - User Associated with Request
  • GRACEUPCONFIG - End User Personalization Fields
  • GRFNMWCNPATH - MSMP Path
  • GRFNMWCNROUTE - MSMP Route Mapping
  • GRFNMWCNSDEF - MSMP Stage Definition
  • SWWUSERWI - Task ID assegnati agli utenti
  • GRFNMWRTAPPR - Approvatore corrente di una richiesta (GRFNMWRTSTAPPR usata solo in runtime)
  • HRUS_D2 - Tabella delega

 

GRC Access Control Foundation

Alcune delle tabelle sono comuni ai vari moduli, ad esempio le seguenti:

  • GRACCONFIG - Configuration Parameter Table

 

 

  • GRACOWNER - Master table for Central Owner Administration
  • GRACTASKEXECSTMP - Executed background jobs Table, qui puoi trovare l'ultima data di esecuzione dei job di sincronizzazione
  • GRPCPHIO - GRC: Instances of Physical Information Objects, qui puoi trovare le informazioni sugli allegati alle richieste ad esempio

 

Quando è utile utilizzare e quando forse no?

A mio avviso è utile utilizzare e conoscere le tabelle per attività di troubleshooting e verifica dei dati caricati.

Ha senso crearsi delle reportistiche alternative a quelle standard? Dipende. Può essere utile come attività di controllo della configurazione del GRC o per anticipare eventuali problematiche ad esempio:

  • Utilizzo di ruoli senza approvatore/i nei workflow approvativi
  • Problematiche presenti nella matrice SoD (ruleset) leggi qui l'approfondimento sulla sod matrix
  • Verifiche sulla configurazione EAM per la gestione delle super utenze

 

Basare ulteriori processi su estrazioni di dati dalle tabelle direttamente nel sistema GRC, probabilmente, non è la soluzione ideale. Non è immediato garantire, in caso di aggiornamenti o modifiche del sistema, il risultato originale delle estrazioni.

 

Cosa intendo?

 

Se creo un processo approvativo al di fuori del sistema GRC ma che si basa sulle informazioni presenti a sistema, queste ultime in fase di upgrade o modifiche alle logiche del sistema GRC potrebbero cambiare. Di conseguenza il requisito iniziale del processo approvativo potrebbe venire meno.