SAP Matchcode e Search Help

Posted by Massimo Manara on Jan 18, 2023 12:00:00 AM

Cosa sono in SAP? A cosa servono?

 

matchcode

Ma dal punto di vista della sicurezza del dato che punti di attenzione serve considerare?

 

SAP Matchcode cosa sono?

In realtà il termine match code risale al passato. Oggi è più corretto utilizzare Search Help.

 

Si tratta di una funzionalità per vedere quali valori sono presenti in un certo campo. Leggendoli dal database. Un esempio è mostrato nell'immagine qui di seguito. Puoi anche premere F4 sulla tastiera, essendo sul campo di interesse per poter avviare la funzione di ricerca.

 

Search Help

Dove a seguito è possibile effettuare una selezione di tutti gli ordini di vendita presenti nel sistema in base ad alcuni criteri:

Search Help Screen

Questa funzionalità è presente in molte applicazioni e transazioni. 

 

A cosa servono?

Come mostrato sopra permettono di ricercare un certo dato, nel caso precedente un ordine di vendita, in base ad alcuni criteri, prima di poter aprire nella specifica APP o transazione.

 

Quali gli aspetti legati alla sicurezza?

 

In generale la SAP non ha mai effettuato dei controlli autorizzativi nei Search Help (F4). Con l'unica eccezione nell'ambito del modulo delle risorse umane (HR) dove "da sempre" è possibile filtrare anche questo aspetto. Questo è valido sia per SAP ECC sia per S/4HANA anche in FIORI. Chiaramente è possibile effettuare delle personalizzazioni in alcuni casi, per introdurre questo genere di controlli.

 

Ma nel resto dei moduli SAP dei sistemi ERP questa funzionalità non è mai stata gestita per quanto riguarda gli aspetti di segregazione. In effetti usando questo tipo di ricerca viene visualizzata la lista degli ordini (seguendo il caso di esempio sopra) di vendita del sistema come identificativo. 

 

Non è possibile quindi accedere al documento, viene effettuata una sola visualizzazione del numero univoco dell'ordine o più in generale dell'oggetto ricercato.

 

Per questo motivo, sostiene la SAP, non è mai stato necessario introdurre degli aspetti di controllo. Nel caso un utente tenti di visualizzare un ordine di una organizzazione commerciale non autorizzata, riuscirà a vedere il codice identificativo di quell'ordine nella ricerca ma al primo tentativo di ingresso nel dettaglio, sarà bloccato. In quanto in questo passaggio interverranno le autorizzazioni classiche. Vedi anche seguenti note OSS:

 

 

Ti segnalo che in alcuni campi è possibile vedere il completamento automatico in base ad una ricerca effettuata "in diretta".

 

Ovvero se ricerco un certo ordine che inizia con 854, non appena scrivo 854 il sistema inizierà a cercare l'ordine proponendomi tutti gli ordini che iniziano con qui primi numeri digitati. Es. nel caso della transazione SU01

 

type-ahead

 

Questo dipende da una specifica funzione chiamata type-ahead search. Qui puoi trovare i dettagli: "2294815 - How to enable / disable type-ahead search in F4 search help in the input fields" o "1994773 - Type-Ahead Search Functionality for Value Help" inoltre è possibile attivare o meno questa funziona anche da alcuni settings nella SAP GUI.

 

Type-ahead-GUI

Ma allora cosa serve l'attività F4?

Dalla release di SAP S/4HANA 1909 è possibile usufruire di una nuova specifica attività, oltre a quella classica 03 (Visualizzare), chiamata appunto F4. Questo valore è presente nel campo ACTVT degli oggetti autorizzativi che prevedono questo campo/valore.

 

In questo momento, per non creare ostruzioni, il valore F4 viene controllato a cascata del valore 03. Ovvero se si ha il valore 03 il comportamento sarà come quello descritto sopra. Mentre se si ha solo il valore F4, avverrà una segregazione, nel caso un utente sia abilitato alla sola organizzazione commerciale italiana, anche nel search help vedrà gli identificativi degli ordini esclusivamente di quella organizzazione commerciale, così come da autorizzazioni. 

 

In altre parole, è stata introdotta la possibilità di segregare anche la visibilità dei search help. 

 

Vedi anche nota OSS seguente: "2792518 - Introduction of activity value 'Value Help' in further authorization objects" o "2682142 - Introduction of activity value 'Value Help' in authorization objects"

 

Ma cosa conviene fare? Come negli altri casi dove la SAP è andata a rivedere la segregazione già attive in ottica Security by default e Security by Design, è importante recepire queste nuove configurazioni. Così come è già stato fatto per gli oggetti di protezione delle tabelle (S_TABU_DIS e S_TABU_NAM).

 

Non devono essere quindi disattivati questi valori, salvo esplicite valutazioni di merito, così come vengono proposti dallo standard. Se non sei pronto per recepirli immediatamente puoi attraverso il programma di generazione del SAP_NEW (REGENERATE_SAP_NEW) creare un ruolo ad hoc (opzione "Create Role SAP_NEW_F4), per poter poi adattare il tuo modello autorizzativo a seguito.

 

SAP_NEW Role

Anche se non suggerito è possibile limitare gli impatti di questo nuovo oggetto attraverso il programma SU24_REVERT_F4 (da eseguire prima dello step c in transazione SU25).

 

SU24_REVERT_F4

 

 

 

 

 

Topics: su25, upgrade, data loss prevention

Iscriviti qui!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutti

SAP Security Blog AGLEA RSS Feed

Aglea s.r.l. - Soggetta alla direzione e coordinamento di Horsa S.p.A. - P. IVA: IT 03868780960 - 2024 Privacy Policy - Cookie Policy