SAP S/4HANA Public Cloud Edition to nowoczesny, w pełni zarządzany system ERP w chmurze, udostępniany w modelu oprogramowania jako usługi (SaaS). Pozwala organizacjom korzystać z najnowszych innowacji SAP bez potrzeby samodzielnego utrzymywania infrastruktury technicznej, zapewniając regularne aktualizacje i najlepsze praktyki branżowe. Dwa razy w roku każda organizacja pracująca w środowisku SAP S/4HANA Public Cloud mierzy się z obowiązkową aktualizacją systemu. Dla działów bezpieczeństwa i autoryzacji nie jest to tylko rutynowa formalność – to moment, w którym weryfikuje się, jak dobrze zbudowana i utrzymana jest cała struktura ról, katalogów, Spaces & Pages i restrykcji.

Zmiany w systemie mogą dotyczyć praktycznie wszystkich aspektów związanych z zarządzaniem rolami. Każda kolejna wersja SAP S/4HANA Public Cloud przynosi wiele zmian w zakresie autoryzacji. Niektóre z nich są drobne, inne mogą bezpośrednio wpłynąć na dostępność poszczególnych funkcji w systemie lub koszty licencyjne. Zmiany te można pogrupować w zależności od tego, których obiektów dotykają:

1. Aplikacje, cele nawigacyjne i kafelki – w trakcie aktualizacji producent oprogramowania zazwyczaj wprowadza nowe aplikacje, usuwa lub oznacza do wycofania aplikacje już istniejące. Dodatkowo zdarzają się również zmiany nazw istniejących aplikacji i kafelków, co wpływa na użytkowników końcowych i może wymagać dodatkowych zmian w zakresie dokumentacji i instrukcji.
2. Katalogi biznesowe – w ramach nowych wersji producent modyfikuje również katalogi biznesowe, co może znacznie wpłynąć na dostępność aplikacji dla użytkowników końcowych. Typowe zmiany to tworzenie nowych katalogów, usuniecie lub oznaczenie jako wycofane istniejących, modyfikacja katalogów zależnych lub zmiana kategorii cenowej. Ta ostatnia zmiana może wpłynąć na kategorię cenową ról, a w konsekwencji wyższe zużycie FUE przez użytkowników.
3. Szablony ról biznesowych – w nowych aktualizacjach producent może również zaktualizować szablony ról biznesowych poprzez utworzenie nowych szablonów ról, usunięcie lub oznaczenie jako wycofane istniejących już szablonów, a także zmodyfikować przypisane do tych ról katalogi biznesowe.
4. Typy restrykcji – zmiany w logice biznesowej aplikacji implikują również konieczność dostosowania restrykcji przypisanych do poszczególnych katalogów. Restrykcje te mogą być usunięte, zmodyfikowane lub dodane. W tym ostatnim przypadku powoduje to konieczność opracowania wartości dla tych restrykcji w używanych aktualnie rolach. W innym przypadku użytkownicy mogą utracić dostęp w wykorzystywanych przez siebie aplikacjach.

Kiedy rozpocząć przygotowania autoryzacji i ról do nowego release SAP S/4HANA Public Cloud?

Środowisko chmurowe SAP nie pozwala na wstrzymanie ani odsunięcie terminu aktualizacji – organizacja musi być gotowa na czas. Brak możliwości opóźnienia aktualizacji powoduje, że wszystkie zmiany w rolach powinny być wprowadzone i przetestowane w krótkim okresie czasu pomiędzy aktualizacjami systemów testowych i produkcyjnych.  Z tego względu, jeszcze przed aktualizacją systemu testowego zalecane jest wykonanie przeglądu aktualnych ról, ich dostosowanie oraz zakończenie prac związanych z wcześniejszymi modyfikacjami ról. W tym aspekcie bardzo ważne jest, aby:

1. Przeanalizować zmiany opisane w dokumencie SAP „What’s New?” dla wskazanego release’u. Dokument ten zawiera listę modyfikacji, które są ważne z perspektywy zmian w obszarach biznesowych oraz technicznych, również w zakresie autoryzacji. Przykładowy dokument dla wersji 2508 znajdziesz tutaj. Warto również zapoznać się z listą zmian dla obiektów autoryzacyjnych, do której link znajduje się w nocie SAP 2975653.
2. Zaakceptować zmiany zaproponowane przez SAP w standardowych szablonach ról biznesowych.
3. Zweryfikować ustawienia wszystkich restrykcji, szczególnie tych, które znajdują się w fazie „Phase-In”. Są to restrykcje, które zostały wprowadzone w poprzednim release, ale dotąd mógłby być opcjonalne i dopiero teraz stają się obowiązkowe. Brak konfiguracji lub nieodpowiednie ustawienie tych restrykcji może spowodować brak dostępu w aplikacjach, które przed aktualizacją działały poprawnie.
4. Sprawdzić role pod kątem obecności katalogów oznaczonych jako przestarzałe („Deprecated”). Są to katalogi planowane do usunięcia w kolejnych aktualizacjach systemu i powinny być zastąpione przez nowe katalogi biznesowe. Pominięcie tego kroku może skutkować odebraniem użytkownikom dostępu do wszystkich aplikacji znajdujących się w danym katalogu biznesowym.
5. Zakończyć wprowadzanie wszystkich zmian w rolach i przenieść je do systemu produkcyjnego przed planowaną datą wgrania nowego release. Dzięki takiemu podejściu zdecydowanie łatwiej jest rozróżnić błędy pochodzące z aktualizacji od tych, które powstały podczas wprowadzenia innych zmian. Dodatkowo zabezpiecza to przed przeniesieniem nieprzetestowanych zmian w rolach podczas aktualizacji systemu.

Pamiętajmy, że powyższe kroki wykonywane są jeszcze przed aktualizacją któregokolwiek ze środowisk. Z tymi cyklicznymi zmianami najlepiej radzą sobie te organizacje, które nie odkładają prac na ostatnią chwilę i w planach projektowych uwzględniają harmonogram release’ów – zarówno pod kątem zmian w systemie, jak i dostępności kluczowych osób. Samo przygotowanie warto zacząć nawet 2 miesiące przed faktyczną aktualizacją systemu, aby mieć wystarczająco ilość czasu na przygotowanie systemu oraz zachować bufor czasowy.

Co nowego w wersji 2508?

Wersja 2508 wprowadza szereg istotnych zmian, które bezpośrednio wpływają na obszar autoryzacji i wymagają odpowiedniej pracy zespołu odpowiedzialnego za obszar autoryzacji w S/4HANA public cloud. Poniżej krótkie podsumowanie ilości zmian dla poszczególnych obiektów w trakcie tylko tego release’u:

• Aplikacje – 2071 nowych aplikacji IAM zostało dodanych, 97 oznaczonych jako wycofane, 352 zostały usunięte, a 1096 ma zmienioną nazwę
• Katalogi – 114 nowych, 22 zostały oznaczone jako wycofane, 285 zostało usuniętych, 7 ma zmienioną nazwę, dodanych zostało 186 katalogów zależnych, usuniętych 85 katalogów zależnych, zmiana kategorii cenowej dla 30 katalogów.
• Szablony ról biznesowych – 9 nowych szablonów, 128 katalogów zostało dodanych do szablonów, a 88 zostało usuniętych
• Typy restrykcji – 2199 (!) restrykcji zostało dodanych do katalogów, a 691 usuniętych
• Kafelki – 589 dodanych, 203 oznaczone jako wycofane, 1166 usunięte, 122 zmiana nazwy

Jedną z najważniejszych zmian w wersji 2508 jest rozszerzenie działania restrykcji Company Code (BUKRS) dla Value Help, czyli okien wyszukiwania wartości w polach formularzy aplikacji Fiori. Dzięki tej restrykcji administratorzy mogą dokładnie zdefiniować, które jednostki organizacyjne użytkownik może widzieć i wykorzystywać. To minimalizuje ryzyko nieuprawnionego dostępu do danych innych spółek w grupie. Rozwiązanie działa na poziomie widoków CDS (I_CompanyCodeStdVH i I_CompanyCodeVH), które filtrują wyniki list wyboru. Brak odpowiedniego opracowania tej restrykcji w roli może rozszerzyć dostęp do wszystkich spółek w systemie lub całkowicie zablokować możliwość wyboru – Value Help Dialog zwróci pustą listę. Zgodnie z dokumentacją zmiana ta dotyczy aż 99 aplikacji, w których pola Company Code wykorzystują Value Help. Zaleca się, aby dla każdej roli zawierającej dostęp do którejś z tych aplikacji wykonać dodatkowy przegląd pod kątem ograniczeń wprowadzonych dla tej restrykcji. Pełna lista aplikacji, w których ta restrykcja ma zastosowanie jest opisana w nocie SAP nr 3613012 – warto do niej zajrzeć przy planowaniu zmian.

Przygotowanie autoryzacji do nowego release’u w SAP S/4HANA Public Cloud nie musi oznaczać nerwów i zaskoczeń. Kluczem jest planowanie z wyprzedzeniem, testowanie zmian oraz współpraca całego zespołu IAM z właścicielami procesów. Dobrze zorganizowany cykl daje pewność, że zmiany będą wsparciem, a nie problemem – nawet w środowisku chmurowym, gdzie harmonogramu nie da się zmienić.