SAP System User Naming Convention

Uno degli aspetti importanti per il controllo e governo dei sistemi è la naming convention con la quale definiamo gli oggetti (ruoli, utenti etcc). Non solo quella delle persone, ovvero gli utenti che utilizzeranno i sistemi. Ma anche la naming convention delle utenze tecniche e di sistema. 

Quali sono gli aspetti da considerare? Cosa conviene fare? E se la naming non ti soddisfa cosa puoi fare? Conviene cambiarla oppure no?

Cosa sono le utenze tecniche in SAP?

Iniziamo con definire cosa si intende con utenza tecnica. Spesso si usano diverse terminologie: utenza tecnica, utenza di sistema, utenza di comunicazione, utenza di servizio e così via.

Seppur, spesso si faccia sempre riferimento alla stessa tipologia, per chi già conosce SAP, sa che esistono diversi tipi di utenze, ed ognuna di queste ha proprietà ben diverse tra loro. Nei vari sistemi SAP on-premise oppure anche cloud.

Le utenze tecniche in generale sono tutte quelle utenze che permetto ad altre applicazioni di potersi collegare ad un sistema, potremmo definirle come "macchina a macchina". Ad esempio, il software che gestisce il magazzino deve collegarsi al sistema gestionale SAP per recuperare le giacenze di magazzino oppure effettuare movimentazioni merci che a seguito devono essere replicate nel sistema gestionale. 

In azienda possono esistere moltissimi casi di questo tipo. Che utenze bisogna utilizzare? Che naming conviene adottare?

Un aspetto importante da tenere presente è che questo genere di utenze non devono essere utilizzate da persone reali, anche in possesso delle credenziali. Altrimenti potrei, come utente, sfruttare le abilitazioni assegnate a queste utenze per effettuare attività diverse dallo scopo per la quale sono state create.

Utenze tecniche in SAP quali sono?

Nei sistemi on-premise basati su ABAP esistono le seguenti utenze:

• Dialogo (codice tecnico: A) - Questa utenza è quella che deve essere utilizzata per le utenze reali. Gli utenti finali. È soggetta a scadenza password (nel caso sia utilizzata la password per accedere al sistema ed esista una regola di scadenza)
• Sistema (codice tecnico: B) - Questa utenza è quella che deve essere utilizzata per le connessioni tra sistemi. Può essere usata per pianificare anche dei job periodici e non è soggetta a scadenza password. Inoltre, non può essere usata da utenti reali (in modalità interattiva) pur conoscendo le credenziali
• Comunicazione (codice tecnico: C) - Questa utenza, simile alla precedente, è soggetta a scadenza password, non può essere usata per pianificare dei job
• Servizio (codice tecnico: S) - Questa utenza ha i pregi delle altre e nessun "difetto", ovvero può essere usata per pianificare job, può essere usata da utenti reali o macchine, non è soggetta a scadenza password. Questa utenza non dovrebbe essere mai assegnata se non in casi specifici per configurazioni documentate da SAP
• Riferimento (codice tecnico: L) - Questa è una utenza che viene utilizzata come template. Es. creo una utenza con determinati attributi che sarà di esempio per altre. In passato era utilizzata anche per bypassare il problema tecnico del limite profili ad utenti.

In pratica le utenze definite a sistema dovrebbero essere solamente (o quasi) quelle di Dialogo e Sistema. Ti interessa la naming convention degli utenti, leggi qui? 

Nei sistemi Cloud possono esistere diversi modi e "tipologie", vediamo ad esempio nello IAS (Identity Authentication Service) oppure nel portale launchpad SAP.

Nello IAS, è possibile definire nella sezione Administrators delle utenze tecniche. Dando una naming convention (nel caso sotto IAS) ma sapendo che l'utenza in realtà non avrà questo nome.

Entrando infatti nei dettagli sarà generata una utenza tecnica (vedi campo User ID) generata dal sistema. Da utilizzare negli altri sistemi.

Mentre ad esempio nel portale SAP Launchpad, la richiesta di definizione utenza tecnica anche qui "prenderà" un nome generato dal sistema.

Non in tutti i casi è quindi possibile definire una propria naming. Anche se è possibile dare delle linee guida per dove è possibile farlo e per quei casi dove è possibile definire una sorta di alias (vedi caso sopra dello IAS).

Ma quindi quale naming adottare?

Esistono diversi casi che nel corso del tempo ho visto, nessuno di questi una volta scelto ha dato poi problemi. Va ricordato inoltre che in SAP, nella parte ABAP, non è possibile cambiare la naming una volta definita (non esiste infatti il "rinomina"). In caso di cambiamenti bisogna cancellare e ricreare (con tutto quello che ne consegue).

Vediamo alcuni di questi casi:

SID delle macchine coinvolte

Essendo utenze usate per far colloquiare dei sistemi viene usato il System Identification Number SAP come parte del nome dell'utenza (Source e Target).

• Nel primo caso B_SID_xxxx
  • SID ovvero il SID della macchina dove viene creato. Questo nel caso in cui la medesima utenza sia presente in più sistemi. Nel caso di consolidare le utenze in unico sistema es. Identity Management
• Nel secondo caso R_SID_SID_xx
  • SID1 -> sistema origine (source)
  • SID2 -> sistema destinazione (target)
  • xx -> numero o codifica, per gestire

Nome soggettivo dell'applicazione inventato al momento

In questo caso di fatto non esiste una naming convention. Se è una utenza tecnica per il SAP GRC la chiamerà GRCADM oppure GRCSYS o simili. In questo caso quindi le utenze tecniche hanno un nome soggettivo diverso e non uniforme. 

Usando dei progressivi

In questo caso sono definite delle tipologie di utenze con un semplice progressivo numerico o alfanumerico. Ad esempio:

• O anche usando dei progressivi ad esempio RFCXXXX
• Oppure nel caso di utenze di sistema (es. job) SYSXXXX
• Anche altre varianti simili

Quale quindi la scelta corretta? E qualche suggerimento in più per queste utenze!

In realtà in questo caso non credo ci sia una scelta che premia più di un'altra. In quanto alcuni punti negativi di determinate scelte potrebbero essere mitigati nella gestione. Ad esempio?

• L'importante (e questo spesso non viene fatto) è documentare a cosa serve quella utenza. Quindi anche se la chiamo in un modo non parlante o fantasioso, l'importante è averlo documentato (per futuri upgrade, sapere a cosa serve, o in generale per governance del sistema)
• Definire una profilazione adeguata. Questo in realtà non direttamente correlato alla naming, tuttavia, va evitato di assegnare le autorizzazioni massime (qualsiasi esse siano) alle utenze tecniche.
  • Non capita infatti così di rado che queste utenze (proprio perché tecniche e quindi meno presidiate) siano utilizzate per bypassare eventuali limiti della propria utenza (finendo spesso per non essere tracciate e controllate). Utenze di sistema con SAP_ALL? No Grazie!
• L'utilizzo, inoltre, del gruppo utenti dove possibile permette di classificare meglio eventuali utenze che non hanno una naming ottimale
• Attenzione alle credenziali. Un aspetto importante è quello di tracciarle (sapere quali sono quindi) e non è così scontato. Soprattutto se ti sei fatto aiutare da partner e qualcosa è sfuggito.
• Ehi, controlli che le utenze tecniche siano usate solo dai sistemi che dovrebbero farlo? Ovvero, ci sono utenze tecniche che vengono in qualche modo usate da sistemi/utenti non previsti? Un SIEM qui ti potrebbe aiutare!
• Attenzione, inoltre, alla comunicazione di dati, anche questi canali devono essere crittografati.
• Sai cosa viene esportato e che tipologie di dati vengono lette da queste utenze?

Personalmente preferirei creare utenze di questo tipo usando dei progressivi. Ma tu cosa ne pensi? Scrivilo nei commenti!