SU24: Co a proč je SU24 popis aplikace

Každá aplikace, každá transakce, program nebo služba v systému SAP, by měla chránit svá data a

zdroje. Například program umožňující tisknout faktury musí zajistit, že pouze uživatelé oprávněni k

práci s fakturami a oprávněni k tisku mohou funkce tohoto programu využívat. Úkolem administrátora oprávnění je zajistit, aby uživatel měl k dispozici právě ta oprávnění, která ke své

práci v našem příkladu potřebuje. A právě tady přichází ona výzva, se kterou nám transakce SU24

pomůže.

Oprávnění v systému SAP se technicky přidělují pomocí objektů („authorization objects“), kterých

jsou stovky. Každý objekt chrání konkrétní typ dat (například data faktur) nebo operaci či systémový

zdroj (například tisk, založení nebo stornování faktury). Každý takový objekt sdružuje dohromady

několik polí („authorization fields“), které popisují blíže jaké dílčí kombinace přístupu budou

oprávněny. Kolik hodnot (authorization values) mohou mít jednotlivá pole a kolik je jejich

teoretických kombinací, to už nikdo nespočítá. Tenhle nespočet kombinací možných přístupů je

třeba řešit pro tisíce a tisíce aplikací v každém systému SAP, a to pro stovky nebo tisíce uživatelů,

kteří jsou autorizováni k práci prostřednictvím stovek nebo tisíců rolí. A nyní se zeptejme: Kdo si to

má tohle všechno pamatovat?

Řekněme, že náš předchozí příklad – program pro tisk faktur – bude používat například 30 koncových uživatelů skrze 5 různých rolí. To by teoreticky mohlo znamenat, že v pěti oddělených případech musí administrátor oprávnění znovu zjišťovat jaká oprávnění jsou k práci s programem potřeba, identifikovat ty, které mají být skutečně budoucím uživatelům k dispozici, protože pravděpodobně nebudou všichni uživatelé pracovat s programem stejně (proč by jinak program byl v pěti různých rolích, že). Teprve poté může oprávnění pro role technicky vytvořit.

Jak by administrátor zjišťoval, jaká oprávnění má pro náš konkrétní program vůbec zvažovat? Jedině

by musel zapnout nástroj pro sledování kontrol oprávnění v systému („authorization trace“, transakce STAUTHTRACE) a postupně zkoušet program používat a sledovat jaké kontroly oprávnění

program provádí. Věřím, že nejpozději v tuhle chvíli vám došla trpělivost. Přeci není možné zjišťovat

znovu a znovu co který program dělá pokaždé, když ho potřebuji zpřístupnit uživateli? 

No, ve skutečnosti, pokud bychom neměli transakci SU24 k dispozici, museli bychom takto

postupovat a práce by to bylo skutečně bolestně neefektivní. Museli bychom si skutečně pamatovat

(nebo raději někam poznamenávat), jaká oprávnění jaký program nebo transakce potřebují, a nebo

to skutečně pokaždé znova pracně zjišťovat. Smutnou možnost, že bychom preventivně přidělovali

oprávnění měrou vrchovatou, abychom nemuseli neustále řešit drobné problémy uživatelů s

chybějícími oprávněními, tu raději vůbec neuvažujme.

Transakce SU24 nám umožňuje přesně to, co jsme právě identifikovali jako neformální řešení našeho problému. Umožňuje nám si strukturovaně poznamenávat, které aplikace potřebují která oprávnění. 

Zjednodušeně přínos SU24 znamená, že když zjistíme, že pan Novák potřebuje mít přístup do

transakce ZFAKTURA, což je velmi jednoduchá informace, kterou nám pan Novák zatelefonuje nebo

poskytne emailem, v transakci ihned SU24 uvidíme, jaká dílčí oprávnění bude pan Novák asi

potřebovat, aby mu funkce programu pracovaly. A tento popis bude dost možná dlouhý desítky nebo až stovky řádek. Při představě, že bych musel tyto informace pokaždé pracně zjišťovat, ale naštěstí je už mám, cítím já osobně velkou úlevu.

SAP pro nás udělal proces dokonce ještě snadnější, rychlejší a plynulejší. Popis aplikace v transakci

SU24 je ve stejném "formátu" jako popis oprávnění přidělovaných v rolích v transakci PFCG. Když řekneme v transakci PFCG, že v nové roli pro pana Nováka zpřístupníme transakci ZFAKTURA(vložíme transakci do menu role), budoucí oprávnění budoucí role se vytvoří automaticky jako kopie dat z SU24 popisu.

Ptáte se odkud data SU24 popisu pocházejí? Výborná zpráva je, že pro standardní aplikace, transakce a služby tato data dodává SAP. V transakci SU25 si administrátor může okopírovat data poskytovaná SAP (SAP data najdete v transakci SU22) a dále je rozvíjet a doplňovat dle svých preferencí. Pro zákaznický vývoj je zodpovědností administrátora SU24 popis pořídit a rozvíjet. Úplnost dat z SU22 a poté SU24 se bude pro jednotlivé aplikace lišit, ale obecně můžeme říci, že když existuje kvalitní popis aplikace v SU24, 50-80% práce a času potřebného k vytvoření nebo úpravě role je hotovo. 

To už zní podstatně lépe, než když jsme výše popsali černý scénář se spoustou opakované práce. Z

problému, který měl jen velmi neefektivní řešení v podobě nutných poznámek nebo opakovaného

zkoušení, jsme se dostali do situace, kdy nová role je (například) z 50-80% hotova jen tím, že zadáme název transakce, kterou bude role autorizovat.

V dalších příspěvcích o SU24 se budeme věnovat tomu, jak se SU24 data pořizují, na příkladech

ukážeme, co patří a nepatří do SU24 nebo jaké postupy můžeme využívat k dlouhodobě efektivní a

velice kvalitní administraci SU24 popisů.