Injustement sous-estimée : une gestion unifiée des utilisateurs SAP

La stratégie de SAP s'éloigne de l'utilisation des transactions dans SAP GUI et se tourne vers les interfaces Fiori (apps Fiori), qui sont accessibles via un navigateur web. En plus des applications Fiori (S/4 Hana 1809 : environ 1300 applications), SAP propose un grand nombre d'applications héritées dans le SAP Fiori App Store (S/4 Hana 1809 : environ 8600 applications) qui correspondent déjà au "look-and-feel" de Fiori et qui sont également autorisées avec la même systématique. La note SAP 2310438 décrit comment effectuer le "SAP Readiness Check for S/4 Hana".

De nombreuses apps peuvent être utilisées comme alternative aux transactions. Toutefois, certaines fonctions de S/4 Hana ne sont plus mises à disposition que par le biais d'apps. Les transactions ERP correspondantes sont alors obsolètes.

Les données bancaires de base en sont un exemple. Les "anciennes" transactions sont certes encore exécutables dans le cadre du mode de compatibilité, mais elles sont remplacées par l'application Fiori Manage Banks. Il existe également un grand nombre de transactions qui ne sont plus prises en charge par S/4 Hana.

Ces modifications sont spécifiées dans la "Simplification List for SAP S/4 Hana", qui est disponible pour chaque version. La matrice de compatibilité (note SAP 2269324) donne un aperçu des composants qui ne font plus partie du périmètre standard de S/4 Hana, mais qui peuvent encore être utilisés jusqu'au 31. 12. 2025.

Pour sécuriser les accès d'un navigateur web à un système S/4-Hana, il est possible d'utiliser le principe bien connu du serveur frontal et du serveur back-end. Le serveur dorsal est le système S/4-Hana.

Les utilisateurs ne se connectent pas directement à ce système. Le serveur frontal est un système SAP généralement séparé qui est connecté au back-end via Trusted RFC. Les utilisateurs se connectent au serveur frontal.

C'est également là qu'ils reçoivent les autorisations pour appeler les applications Fiori. Des groupes de tuiles (regroupement d'applications Fiori ; chaque application est représentée par une tuile individuelle) et des catalogues de tuiles (contenant entre autres les autorisations de démarrage nécessaires à l'exécution des applications) leur sont attribués via des rôles.

Si un utilisateur exécute une application et qu'il dispose des autorisations nécessaires dans le front-end, cette application est exécutée dans le back-end via la connexion Trusted. Un compte d'utilisateur au nom identique doit y exister.

Dans le back-end, l'utilisateur doit également avoir l'autorisation pour l'application ainsi que pour l'action qui est exécutée avec l'application (par exemple, enregistrer un document ou créer une commande).

L'utilisation d'apps modifie également le type d'autorisation. Les transactions sont autorisées sur la base de leur abréviation (p. ex. FK01, ME21N, SU01). Les services spécialisés connaissent leurs transactions, c'est pourquoi les demandes de rôles, par exemple, sont relativement simples à concevoir à cet égard.

Les apps ont également des abréviations techniques, par exemple FCLM_BAM_FS_BANK_SRV ou FAC_FINANCIALS_POSTING_SRV. Les apps sont installées en tant que service dans le système SAP. Elles reçoivent une valeur de hachage individuelle de 30 caractères (par exemple 00015405C7CFB2723B3F7C4340AA24).

Cette valeur de hachage est autorisée dans les rôles. Par conséquent, les valeurs d'autorisation dans les rôles ne permettent plus de savoir quelles fonctions sont ainsi autorisées.

Le nom de l'application ne sera plus affiché que dans le menu des rôles dans les catalogues de tuiles. Cela représente un grand changement, en particulier pour les services spécialisés, car les demandes de rôles doivent également être adaptées en conséquence.

La révision du concept d'autorisation représente donc une partie essentielle de la migration vers S/4 Hana. D'une part, la technique change, d'autre part, les concepts et les procédures de demande évoluent également.

En outre, les services spécialisés doivent être formés au nouveau système d'autorisation, car ils sont directement impliqués dans la procédure de demande et dans les processus de recertification des autorisations.