SAP HR LOG

Posted by Massimo Manara on Sep 22, 2021 12:00:00 AM

La gestione del personale nei sistemi HR (Human Resource). Anche in questo caso è fondamentale la gestione degli accessi ai dati che potrebbero essere molto riservati.

Logs

Ma quali sono i sistemi disponibili nei sistemi SAP HR per la gestione dei logs? Vediamo in questo articolo i principali.

 

Perché SAP HR è diverso da SAP ERP?

Non mi riferisco agli aspetti architetturali, infatti HR può essere installato direttamente su un sistema ERP già esistente, ma agli aspetti di segregazione applicativa dei dati. Ipotizzando che la gestione dei processi legati alle risorse umane avvenga on premise e non in cloud attraverso sistemi come Success Factors ad esempio.

 

Da sempre l'attenzione al dato in questi sistemi è stata molto alta, così la SAP stessa ha definito un modello autorizzativo molto dettagliato e per alcuni aspetti unico, molto diverso (seppur condividendo la medesima struttura più o meno) da quello dell'ERP classico.

 

In aggiunta alla classica transazione PFCG (Profile Generator) è possibile utilizzare ulteriori strumenti, come ad esempio i profili strutturali ad esempio.

 

Inoltre, il modulo HR non viene sempre installato direttamente nei sistemi ERP esistenti.

  • Perché può essere necessario aggiornare il sistema HR più frequentemente rispetto ad un sistema ERP. Quindi in questo caso potrebbero essere necessari più fermi macchina (non sempre sostenibile o possibile in un sistema ERP
  • Perché si desidera avere un sistema fisicamente diverso a garanzia ulteriore di accesso ai dati

 

Perché in questo sistema sono importanti i log?

Come per gli altri sistemi sono diverse le motivazioni:

  • Per capire chi ha modificato cosa
  • Per fare indagini forensi in maniera detective
  • Per vedere chi ha visto cosa
  • Per usare questi dati al fine di correlare eventi e ricercare pattern critici

 

Quali quindi i log disponibili nei sistemi HR?

Partiamo dividendo nei due principali moduli HR:

  • PA - Personnel Administration
  • PD - Personnel Development

 

Nel primo caso il modulo PA si occupa della gestione dell'anagrafica del personale, quindi in italiano (per SAP), i CID o PERNR (Personnel Number) in inglese. Tecnicamente, semplificando, tutte le transazioni che iniziano con PA. Es. PA20, PA30 etcc Attraverso queste transazioni è infatti possibile vedere o gestire gli infotype. Gli infotype, semplificando, rappresentano un certo insieme di dati, ad esempio Comunicazione (ovvero tutte le informazioni di contatto del dipendente), Allocazione organizzativa etcc

 

Esistono chiaramente altri sotto moduli, ma PA e PD sono sicuramente quelli principali. Da ricordare inoltre che spesso SAP utilizza e sfrutta il modulo HR per altri processi (ad esempio esistono integrazioni tra il controlling e l'HR così come i processi delle vendite). Quindi è possibile avere un minimo di censimento anagrafico dei dipendenti anche se non si usa realmente il sistema HR (ad esempio per le paghe, ovvero il payroll).

 

Di default nel modulo PA sono già attivi dei log che permettono di risalire a chi ha fatto delle modifiche sull'anagrafica dei dipendenti.

 

  • Tramite la transazione S_AHR_61016380 che richiama il report RPUAUD00. È possibile vedere le modifiche apportate agli infotype. Le seguenti tabelle definisco quali log tracciare.
    • HR Documents: Infotypes with Documents (V_T585A)
    • HR Documents: Field Group Definition (V_T585B)
    • HR Documents: Field Group Characteristics (V_T585C)

 

V_T585A

 

Attraverso la transazione S_AHR_61016380 è possibile vedere le modifiche che sono state registrate.

 

S_AHR_61016380

 

 

Mentre nel secondo caso PD lo sviluppo e la crescita del personale. Tecnicamente, semplificando le transazioni PP*. Ad esempio PPOM o PP01 etcc i log non sono attivi by default e serve quindi, se necessario (sicuramente suggerito) attivarli.

 

Attraverso la personalizzazione della tabella T77CDOC_CUST è possibile decidere su quali relazioni attivare i log delle modifiche.

 

T77CDOC_CUST

 

Attivando i log della tabella sopra (la configurazione equivale a tracciare tutto) ad ogni modifica fatta in struttura verrebbe generato un log.

 

PPOM

Solitamente solo alcune relazioni vengono attivate, non tutte. Tramite il report RHCDOC_DISPLAY o RHRHAZ00 oppure tramite transazione RE_RHRHAZ00 è possibile vedere le modifiche.

RHCDOC_DISPLAYI dati provengono da un sistema SAP IDES (Internet Demonstration and Evaluation System)


Altri log utili, anche nei sistemi HR sono i seguenti:

 

  • V_T599R PM->PA->Tools->Revision->Log Per la tracciatura dei report eseguiti in ambito HR (Report RPUPROTD)
  • Il SAP Security Audit Log, Transaction SM20N o RSAU_READ_LOG
  • Table trace, quindi transazione SCU3 
  • Attivazione del logging sulle SAP Query

 

Tutti i log sopra riguardano le modifiche ai dati, non gli accessi in lettura. Questo ultimo tipo di log può essere attivato in due modi:

 

UI Logging

Ma può essere utile SAP GRC Access Control per i sistemi HR?

Sì, SAP GRC può essere utile almeno per due motivi:

  • Per la gestione della separazione dei compiti (SoD) in ambito HR (specialmente nel caso dei processi di payroll)
  • Per la verifica degli accessi in ambito HR, può essere infatti utile definire una matrice dei rischi di accesso, ma non per finalità SoD, ma per controllo degli accessi ai dati HR.

 

Topics: security audit log, audit, SAP HR, UI logging, SAP LOG

Iscriviti qui!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutti