Droit d'accès SAP

[rabranque]

Je suis chargé de faire le ménage dans les droits d'accès SAP.

• 5 systèmes SAP pas tous dans la même version SAP ... rien de moins
• 4000 user répartis sur les 5 systèmes, dont mêmes personnes sur + systèmes avec user SAP différent

Que du bonheur

Ce qui veut dire (en résumé)

• audit de l'existant et préconisations,
• décision,
• lessive (suppression : users obsolètes, full droits "sap_all" "sap-new", ...),
• applications des règles (nommage, autorisation-métier, ...)

Je recherche des conseils sur du vécu pour :

• des préconisations en matière d'audit sur les droits d'accès SAP,
• l'utilisation des transactions SU01, SU10, USMM
• Y-a-t-il d'autres outils (SAP natif ou autres outils développés) permettant d'auditer les droits SAP.

Ma demande n'est pas vraiment simple, j'espère qu'elle intéressera certains d'entres vous pour partager sur ce sujet.

Rabranque

[Bill54]

Qu'entendu tu pas 'version différente?'
ERP 2005? ECC6? -> donc R/3
Ou
R/3, BI,CRM?

Pour savoir quel droit donner à tel ou tel user, peut être faut il savoir son profil?
(développeur?, paramétreur?), son service (compta?, finance?)

Commence par là afin de ne pas avoir des users qui te souhaiteront la mort parce qu'ils n'ont plus accès à leurs programmes

[rabranque]

Citation:

Envoyé par Bill54

Qu'entendu tu pas 'version différente?'
ERP 2005? ECC6? -> donc R/3
Ou R/3, BI,CRM?

Pour savoir quel droit donner à tel ou tel user, peut être faut il savoir son profil? (développeur?, paramétreur?), son service (compta?, finance?)

Commence par là afin de ne pas avoir des users qui te souhaiteront la mort parce qu'ils n'ont plus accès à leurs programmes

Il s'agit de la R3 dans différentes release, 4.6 et inférieure. Il y a aussi BW bien sûr.

Le but n'est certainement pas de supprimer des autorisations qui bloqueraient le métier, c'est bien évident

Pour faire court, les rôles-autorisations sont assez bien définis dans l'ensemble pour chaque SAP. Mais Il y a une amélioration de la gestion des droits à faire.

Il a été constaté trop d'autorisations inappropriées comme sap-all, sap-new ou des user génériques trop large en autorisations (pratique pour les affectations, mais ne correspondant pas à la réalité). De plus il y a des doubles entre les SAP, c.a.d une même personne avec un code USER spécifique à chaque SAP (BW confondu).

Un autre objectif évident, c'est l'adéquation entre les licences et la réalité du terrain.

Dans un premier temps, ce que je souhaite, c'est des idées pour faire un diagnostic aussi juste que possible.

Merci

[jehol2006]

Hello,
Une des transactions interessantes à mon avis c'est la SUIM - Elle te permettra de faire un premier etat des utilisateurs et autorisations - Tu connaitras deja ceux qui ont un SAP_ALL, et elle te permettra peut etre de faire des regroupement.
Ca va etre difficile de faire passer le projet de refonte des autorisations avec un systeme deja bien en place !
Nous nous avons defini avec chaque service un responsable chargé de recuperer les transactions utilisées par ces collegues - Le tout dans un superbe fichier excel - Et après la galere a commencer !
En revanche nous n'avons qu'un seul systeme productif SAP et un BW.
Il te faudrait ensuite maitriser la PFCG.
J'avais suivi le cours CA940 qui est interessant pour maitriser ces autorisations.
Si ces quelques infos peuvent t'aider,
Cédric.

[Dominiaux]

Hello,

Avec un paysage pareil, si ce n'est déjà fait, suivre les cours spécifiques, ça me parait un minimum.

Après, je ne sais pas dans ta boite, mais chez nous, avoir des gens qui cumuleraient plusieurs licences ou des gens pour qui on paierait alors qu'ils ne vont jamais dans le système, ça ne peut pas, ça ne doit pas exister. En tant que sysadmin, j'ai droit à une pression toute particulière venant de mon bien-aimé directeur à ce sujet Tous les 6 mois quand SAP se pointe pour le System measurment, je suis priée de faire le ménage dans les licences avant de faire tourner la USMM.

Pour ce qui est de tes users qui sont dans plusieurs sysèmes avec des ids différents, ils sont peut être classifiés multi mandants/systèmes. Auquel cas, avec les données signalétiques, tu peux peut-être écrire ou faire écrire un rapport qui t'aiderait.

Alors, c'est vrai que SUIM n'est pas mal mais il manque quelques petites choses selon moi. Entre autres, je ne sais pas si vous avez remarqué mais les rapports SAP, soit ils tournent sur les users, les groupes (moi j'utilise ça beaucoup), les rôles etc. Soit ils tournent sur la classification des licences (usmm), mais on n'a pas de rapports qui donnent les deux infos à la fois.
J'ai donc ressorti mes (vieilles)connaissances abap et écris deux trois rapports pour m'aider.

un premier, indispensable pour moi, c'est un rapport qui me sort tous les utilisateurs qui ne se sont pas connectés durant les 100 derniers jours.
J'envoie ça aux pilotes des différents départements et je leur demande si on ne peut pas "libérer" les licences. (Bon à savoir, on ne paie pour un user hors dates de validité)

Un second rapport me sort tous les utilisateurs créés depuis le dernier measurment. Ce rapport me donne aussi la classification ou son absence de classification le cas échéant. Il suit le même chemin que le précédent, les pilotes contrôlant la validité de mes données.

Quand j'ai toutes mes données maintenues, je tourne un rapport qui me simule le usmm, mais par groupe d'utilisateurs (un groupe = un département = un pilote sur le terrain). De nouveau chaque pilote vérifie et me donne son accord. Après on tourne usmm et .... miracle SAP et moi, on arrive aux mêmes résultats !! OUf!! Je sort les protocoles et les envoie pour accord à ma direction.

Et après seulement, SAP a droit aux données