Jak stworzyć system uprawnień w SAP?

Wyzwanie dla administratora SAP

W kwestii zabezpieczenia dostępu do danych w systemie SAP, znajdujemy szereg wyzwań związanych z codzienną pracą administratora.

Jak nadać użytkownikom uprawnienia, aby mogli wykonywać swoje obowiązki, jednocześnie blokując im dostęp do danych, których nie powinni widzieć? System SAP przychodzi tutaj z pomocą, dostarczając narzędzia do opracowywania ról.

Nadanie identyfikatora

W końcowym etapie wdrożenia SAP stajemy przed zadaniem nadania każdemu użytkownikowi identyfikatora, którym będzie posługiwał się podczas pracy z SAP.

Najczęściej stosowaną zasadą jest tworzenie identyfikatora poprzez połączenie nazwiska pracownika z pierwszą literą jego imienia (np. dla użytkownika Jan Kowalski identyfikator w SAP to KOWALSKI).

Wyróżnienie grup z tymi samymi uprawnieniami

Założenie użytkowników to dopiero początek. Każdy użytkownik będzie korzystał z małego wycinka dostępnych opcji i funkcjonalności, do których będzie miał dostęp na podstawie przydzielonych mu uprawnień.

Warto wyróżnić grupy pracowników, którzy będą posiadali te same uprawnienia. Tak będzie w przypadku osób pracujących w jednym zespole, które w przypadku nieobecności jednego z pracowników będą musiały go zastąpić. Możliwość wyróżnienia grup pracowników z tymi samymi uprawnieniami znacząco skraca przygotowywanie uprawnień.

Opracowanie uprawnień

Kolejny etap to opracowanie uprawnień. Standardowo uprawnienia są opracowywane w postaci roli, która jest zbiorem funkcji opisujących konkretne działania. Z roli automatycznie generowane są profile, które są zbiorem konkretnych uprawnień.

Należy pamiętać, że w systemie SAP są tylko uprawnienia pozytywne. Nie ma uprawnień negatywnych – nie można stworzyć uprawnień do wszystkiego za wyjątkiem wybranych obszarów. Żeby móc wykonać określoną czynność, trzeba mieć do tego uprawnienia.

Podczas instalacji systemu SAP dostarczane są standardowe role i profile, stworzone przez producenta systemu. Zazwyczaj jednak specyfika firmy wymaga rozwiązań niestandardowych. Wówczas stoimy przed zadaniem tworzenia nowych ról od początku lub poprzez modyfikację kopii ról standardowych.

Nie powinniśmy modyfikować oryginalnych ról dostarczonych przez SAP, aby nie stracić wzorca, oraz uniknąć ich nadpisania np.: podczas upgrade. Kiedy tworzymy lub modyfikujemy role, pomocne jest narzędzie do opracowywania ról, które dostarcza mechanizmy szybkiego i sprawnego tworzenia odpowiednich uprawnień.

Poprzez proste wskazanie pojedynczej opcji lub ich zestawu, z których użytkownik będzie mógł korzystać, tworzony jest profil z odpowiednimi uprawnieniami. Pozostaje jedynie zweryfikować ich poprawność i ewentualnie dodatkowo ograniczyć dostęp do określonych obiektów.

Należy pamiętać, że podczas tworzenia roli system SAP automatycznie wypełnia niektóre pola obiektów autoryzacyjnych. Musimy zwrócić uwagę, by pola obiektów autoryzacyjnych były właściwie wypełnione. Jeśli chcemy np. ograniczyć dostęp do określonego rodzaju dokumentu księgowego czy też danej jednostki gospodarczej, musimy odpowiednio stworzyć uprawnienia.

Czasami zdarza się, że oferowane przez SAP konfiguracje uprawnień nie są wystarczające dla naszych wymagań. Musimy wtedy tworzyć własne obiekty autoryzacyjne, na podstawie których będą tworzone odpowiednie uprawnienia.

Przypisanie uprawnień do użytkowników

Po zakończeniu opracowywania ról rozpoczynamy ich przypisywanie do użytkowników SAP. Będziemy mieli do czynienia zarówno z rolami, które będą przypisywane wszystkim użytkownikom (np. uprawnienia do drukowania na drukarkach czy zmiany parametrów użytkownika), jak i takimi, które zostały stworzone tylko z myślą o jednym konkretnym użytkowniku.

Możemy tutaj wybrać trzy metody

Pierwsza polega na bezpośrednim przypisaniu uprawnień z poziomu użytkownika (transakcja SU01). Druga to przypisywanie uprawnień z transakcji służącej do opracowywania ról (PFCG). Trzecia metoda wykorzystuje funkcjonalność mySAP HR (transakcje PPOM*).

Warto zwrócić uwagę, że od wersji SAP R/3 Enterprise, opartej na WAS (Web Application Server), nie ma potrzeby przelogowywania użytkownika w momencie zmiany definicji uprawnień – jak to miało miejsce w starszych wersjach SAP.

Od wersji bazujących na WAS bufor użytkownika jest odświeżany dynamicznie i natychmiast odzwierciedla zmiany w uprawnieniach.

Pomocne wykorzystanie mySAP HR

W firmach korzystających z SAP w zakresie zarządzania personelem pomocna będzie możliwość przypisywania uprawnień w oparciu o strukturę organizacyjną firmy.

W tym przypadku role przypisujemy do obiektów w strukturze organizacyjnej, zamodelowanej w mySAP HR. Tak jest na przykład w instalacji systemu SAP, użytkowanej dla potrzeb BCC (aktualnie All for One Poland). Dzięki temu, pracownik zmieniający stanowisko pracy niemalże natychmiast otrzymuje nowe uprawnienia, związane z nowym stanowiskiem.

Ponieważ nie jest to bezpośrednie przypisanie ról w definicji użytkownika, więc dodatkowo wymagane jest uruchomienie w systemie dodatkowego zadania, które zaktualizuje uprawnienia użytkowników poprzez odwołania w strukturze organizacyjnej. Dzięki mechanizmom SAP zadanie to jest uruchamiane automatycznie.

Przedsięwzięcia reorganizacji systemu uprawnień

W przypadku dużych instalacji SAP i/lub firm korzystających z SAP od dłuższego czasu, niewłaściwie skonstruowany czy rozwijany system uprawnień może generować dużo niepotrzebnych problemów administracyjnych.

Wówczas zachodzi potrzeba kompleksowego przeglądu (audytu) stanu systemu uprawnień, a następnie przeprowadzenia reorganizacji, polegającej na stworzeniu nowego, efektywnego systemu uprawnień, opartego na „zdrowych” zasadach.

Dobrze jest wtedy skorzystać z pomocy konsultantów zewnętrznych, którzy nie tylko tworzyli systemy uprawnień w ramach wielu wdrożeń SAP u klientów, ale także mają doświadczenie reorganizacji systemów uprawnień w funkcjonujących już instalacjach SAP.