SAP S/4HANA Public Cloud Edition est un système ERP de pointe entièrement géré dans le cloud, fourni sur un modèle de logiciel en tant que service (SaaS). Il permet aux organisations de bénéficier des dernières innovations SAP sans avoir à maintenir elles-mêmes l’infrastructure technique, en fournissant des mises à jour régulières et les meilleures pratiques du secteur. Deux fois par an, chaque organisation travaillant dans un environnement SAP S/4HANA Public Cloud est confrontée à une mise à jour obligatoire du système. Pour les services de sécurité et d’autorisation, il ne s’agit pas seulement d’une formalité de routine – c’est le moment de vérifier si l’ensemble de la structure des rôles, des répertoires, des espaces et pages et des restrictions est bien construite et maintenue.

Les modifications apportées au système peuvent affecter pratiquement tous les aspects de la gestion des rôles. Chaque version successive de SAP S/4HANA Public Cloud apporte un certain nombre de modifications aux autorisations. Certaines d’entre elles sont mineures, tandis que d’autres peuvent affecter directement la disponibilité de fonctionnalités particulières dans le système ou les coûts de licence. Ces changements peuvent être regroupés en fonction des objets qu’ils affectent :

1. Applications, cibles de navigation et tuiles – lors d’une mise à jour, le développeur du logiciel introduit généralement de nouvelles applications, supprime ou marque de retrait des applications existantes. En outre, les applications et les tuiles existantes sont également renommées, ce qui affecte les utilisateurs finaux et peut nécessiter des modifications supplémentaires de la documentation et des instructions.
2. Catalogues commerciaux – dans le cadre des nouvelles versions, le fabricant modifie également les catalogues commerciaux, ce qui peut affecter de manière significative la disponibilité de l’application pour les utilisateurs finaux. Les changements typiques comprennent la création de nouveaux catalogues, la suppression ou le retrait de catalogues existants, la modification de catalogues dépendants ou la modification de la catégorie de tarification. Ce dernier changement peut affecter la catégorie de prix des rôles, ce qui se traduit par une consommation plus élevée de FUE par les utilisateurs.
3. Modèles de rôle – dans les nouvelles mises à jour, le fabricant peut également mettre à jour les modèles de rôle en créant de nouveaux modèles de rôle, en supprimant ou en marquant comme retirés les modèles existants, et en modifiant les répertoires d’entreprise attribués à ces rôles.
4. Types de restrictions – les modifications apportées à la logique commerciale de l’application impliquent également la nécessité d’ajuster les restrictions attribuées aux répertoires individuels. Ces restrictions peuvent être supprimées, modifiées ou ajoutées. Dans ce dernier cas, il est nécessaire de développer des valeurs pour ces restrictions dans les rôles actuellement utilisés. Dans le cas contraire, les utilisateurs risquent de perdre l’accès aux applications qu’ils utilisent.

Quand commencer à préparer les autorisations et les rôles pour la nouvelle version de SAP S/4HANA Public Cloud ?

L’environnement en nuage de SAP ne permet pas de suspendre ou de repousser les mises à jour – l’organisation doit être prête à temps. L’impossibilité de retarder les mises à jour signifie que tous les changements de rôles doivent être mis en œuvre et testés dans le court laps de temps qui sépare les mises à jour du système de test et de production. Par conséquent, même avant la mise à jour du système de test, il est recommandé de revoir les rôles actuels, de les ajuster et d’achever le travail lié aux modifications précédentes des rôles. À cet égard, il est très important de :

1. Analyser les changements décrits dans le document SAP « What’s New ? » pour la version indiquée. Ce document contient une liste des modifications qui sont importantes du point de vue des changements dans les domaines commerciaux et techniques, y compris les autorisations. Vous trouverez un exemple de document pour la version 2508 ici. Il est également utile de lire la liste des modifications pour les objets d’autorisation, dont le lien se trouve dans la note SAP 2975653.
2. Accepter les modifications proposées par SAP pour les modèles de rôle standard.
3. Vérifiez les paramètres de toutes les restrictions, en particulier celles qui se trouvent dans la phase « Phase-In ». Il s’agit de restrictions qui ont été introduites dans la version précédente, mais qui étaient jusqu’à présent facultatives et ne sont devenues obligatoires que maintenant. La non-configuration ou la mauvaise configuration de ces restrictions peut entraîner un manque d’accès à des applications qui fonctionnaient correctement avant la mise à jour.
4. Vérifier les rôles pour la présence d’annuaires marqués comme obsolètes (« Deprecated »). Il s’agit d’annuaires dont la suppression est prévue dans les prochaines mises à jour du système et qui doivent être remplacés par de nouveaux annuaires professionnels. Si vous omettez cette étape, les utilisateurs risquent de se voir refuser l’accès à toutes les applications de ce répertoire professionnel.
5. Achever toutes les modifications apportées aux rôles et les transférer au système de production avant la date prévue pour le téléchargement de la nouvelle version. Grâce à cette approche, il est beaucoup plus facile de distinguer les bogues provenant de la mise à jour de ceux provenant d’autres changements. En outre, elle permet d’éviter que des modifications de rôle non testées soient transférées lors d’une mise à jour du système.

Il faut garder à l’esprit que les étapes ci-dessus sont exécutées avant même que les environnements ne soient mis à jour. Ces changements cycliques sont mieux gérés par les organisations qui ne reportent pas le travail à la dernière minute et qui incluent un calendrier de publication dans leurs plans de projet – tant en termes de changements de système que de disponibilité des personnes clés. Il est conseillé de commencer les préparatifs deux mois avant la mise à jour effective du système, afin de disposer d’assez de temps pour préparer le système et conserver une marge de manœuvre.

Quelles sont les nouveautés de la version 2508 ?

La version 2508 introduit un certain nombre de changements significatifs qui affectent directement le domaine des autorisations et nécessitent un travail approprié de la part de l’équipe responsable du domaine des autorisations dans S/4HANA public cloud. Vous trouverez ci-dessous un bref résumé du nombre de changements pour les objets individuels au cours de cette version uniquement :

• Applications – 2071 nouvelles applications IAM ont été ajoutées, 97 ont été retirées, 352 ont été supprimées et 1096 ont été renommées.
• Annuaires – 114 nouveaux, 22 ont été marqués comme retirés, 285 ont été supprimés, 7 ont changé de nom, 186 annuaires subsidiaires ont été ajoutés, 85 annuaires subsidiaires ont été supprimés, 30 annuaires ont changé de catégorie de prix.
• Modèles de rôles professionnels – 9 nouveaux modèles, 128 annuaires ont été ajoutés aux modèles et 88 ont été supprimés.
• Types de restrictions – 2199 ( !) restrictions ont été ajoutées aux répertoires et 691 ont été supprimées.
• Carreaux – 589 ajoutés, 203 retirés, 1166 supprimés, 122 renommés

L’un des changements les plus importants de la version 2508 est l’extension de la restriction Company Code (BUKRS) pour Value Help, les fenêtres de recherche de valeurs dans les champs des formulaires d’application Fiori. Grâce à cette restriction, les administrateurs peuvent définir exactement les unités d’entreprise qu’un utilisateur peut voir et utiliser. Cela minimise le risque d’accès non autorisé aux données d’autres entreprises du groupe. La solution fonctionne au niveau des vues CDS (I_CompanyCodeStdVH et I_CompanyCodeVH), qui filtrent les résultats des listes de sélection. Si cette restriction n’est pas correctement développée dans le rôle, l’accès peut être étendu à toutes les sociétés du système ou la sélection peut être complètement bloquée – la boîte de dialogue d’aide sur les valeurs renverra une liste vide. D’après la documentation, cette modification affecte jusqu’à 99 applications dans lesquelles les champs « société » utilisent l’aide à la saisie. Il est recommandé que pour chaque rôle ayant accès à l’une de ces applications, un examen supplémentaire soit effectué pour les restrictions mises en place pour cette restriction. La liste complète des applications où cette restriction s’applique est décrite dans la note SAP 3613012 – elle mérite d’être consultée lors de la planification des changements.

La préparation des autorisations pour une nouvelle version de SAP S/4HANA Public Cloud ne doit pas être synonyme de nervosité et de surprises. La clé est de planifier à l’avance, de tester les changements et de faire travailler l’ensemble de l’équipe IAM avec les responsables de processus. Un cycle bien organisé garantit que les changements seront un soutien et non un problème – même dans un environnement en nuage où le calendrier ne peut pas être modifié.