Niższe koszty w SAP: jak usunąć nieaktywnych użytkowników - optymalizacja licencji SAP
Poniższy wpis zawiera konspekt prac zrealizowanych dla jednego z Klientów SAST, którego głównym trzonem była optymalizacja autoryzacji i dostępu użytkowników realizowany był również remodeling koncepcji autoryzacji. Jednym z elementów wdrożenia była ocena zasadności czy wszystkie dostępy są rzeczywiście potrzebne, projekt zakładał również optymalizację licencji SAP. Takie przedsiewzięcia jak projekt reorganizacji autoryzacji i wdrożenia nowej koncepcji opłacają się gdyż skutkują klasyfikacją użytkowników i redukcją dostępów, co pociąga za sobą zredukowanie kosztów licencji SAP.
Co roku SAP przeprowadza audyt systemów Klientów i na tej podstawie często wymaga dodatkowej opłaty licencyjnej za nadmiarowych użytkowników. Wiadomo, że wszyscy aktywni użytkownicy dialogowi SAP mają wpływ na wysokość opłat licencyjnych. W tym kontekście “aktywni” oznacza ograniczenie czasowe ważności konta użytkownika, a nie blokadę administratora.
Zatem zmniejszenie liczby aktywnych master rekordów użytkowników ma bezpośredni i zauważalny wpływ na oszczędność kosztów. Wiele firm w ramach wątpliwości postanawia zostawić część aktywnych użytkowników z obawy przed tym, że codzienna praca może zostać zakłócona. Obawa jest rownież taka, że konkretny użytkownik może być nadal wykorzystywany jako user techniczny do obsługi np. jobów w tle. Pojawia się zatem oczywiste pytanie:
W jaki sposób można uzyskać wgląd w aktywność użytkowników w systemach SAP i w jaki sposób można efektywnie analizować różne rodzaje dostępy użytkowników?
Czy użytkownik jest aktywny? Brak konkretów
Obserwujemy widoczną tendencję pozostawiania aktywnych użytkowników w obawie przed tym, że ich usunięcie może mieć wpływ na przerwanie procesu biznesowego. Wynika to przede wszystkim z braku konkretnej wiedzy na temat korzystania (zarówno pośredniego jak i bezpośredniego) z master rekordów użytkowników.
Jeśli spojrzymy na znacznik czasu logowania użytkownika - nie będzie to precyzyjna informacja, biorąc dodatkowo pod uwagę skomplikowane środowiska (wielosystemowe), czy np. narzędzia webowe. Poziom skomplikowania takiej analizy wzrasta jeśli bierzemy pod uwagę połączenia RFC lub SOAP i ODATA - tu często brakuje i wiedzy i rozwiązań potrzebnych do tego, by skutecznie ocenić dostępy.
Analiza - możliwości i trudności
Jedną z opcji analizy wykorzystania transakcji jest ST03N (STAD - analiza transakcji biznesowych). Transakcja ta pozwala na analizę wykorzystania różnych typów komunikacji:
Analiza wskazuje którzy użytkownicy generują obciążenie systemu za pomocą konkretnego typu komunikacji. Z tych danych wynika oczywiście którzy użytkownicy są aktywni, ale jest pewne ograniczenie - dane dotyczą tylko określonego dnia. Do głębszej analizy potrzebujemy większego zakresu czasu, zwłaszcza, gdy potrzebujemy wyciągać daleko idące wnioski. ST03N pozwala na analizę transakcji i wywołania programów. Wystarczy tylko dwuklik, aby wyświetlić użytkowników, którzy korzystali z określonej transakcji lub programu ABAP.
Niewątpliwym wyzwaniem jest połączenie obu źródeł danych. Bez tego nie uzyskamy pełnego obrazu sytuacji. Standardowe narzędzia SAP dostarczą nam tylko źródła danych. Niestety nie mamy możliwości elastycznej analizy (na przykład dla indywidualnych użytkowników). Zatem dla uzyskania odpowiedniej informacji wymagana jest ręczna analiza i agregowanie danych.
Best Pratice - analiza wykorzystania transakcji za pomocą SAST
Przykład jednego z Klientów - mieszanka dostępów, przy braku konkretnej wiedzy odnośnie tego w jaki sposób użytkownicy wykorzystują transakcje. Podczas analizy przyglądaliśmy się ogólnym informacjom o dostępach - dotyczyło to wszystkich poziomów użytkowania (dialog, batch, RFC, http, itd…).
Dla optymalizacji czasu analizy wykorzystaliśmy funkcję SAST Suite pozwalającą na szczegółową analizę wykorzystania transakcji. Analiza ta została przeprowadzona dla wszystkich aktywnych użytkowników w oparciu o CCMS. Kompleksowo zostały przeanalizowane wszystkie poziomy komunikacji z systemem w dłuższym okresie niż jeden dzień. Dostarczamy tym sposobem również informacje o częstotliwości dostępów (klasyfikacja od A do D na rysunku 7 oznacza częstotliwość, których wartość jest opisana na rysunku 6).
25% nieaktywnych użytkowników - wymiernie niższe koszty
W tym przypadku analiza zawierała takie elementy jak:
- informacje o wszystkich użytkownikach (również technicznych),
- okres analizy sześć miesięcy.
W efekcie powyższego otrzymaliśmy informację o tym jacy użytkownicy nie pozostawili żadnego śladu aktywności w tym okresie - ci użytkownicy stali się zatem kandydatami do usunięcia. Jest to zatem bezpośredni przykład jak można zająć się optymalizacją licencji SAP.
Rezultat:
- za pomocą SAST informacje o użytkownikach nieaktywnych,
- ich usunięcie odbyło się bez ubocznych skutków na operacjach biznesowych,
- prawie 25% użytkowników (z puli 1350) byli użytkownikami nieaktywnymi,
- konkretne nieużywane konta do usunięcia,
- natychmiastowy, znaczny zwrot z inwestycji.
Procedura optymalizacji:
Faza 1 - Przygotowanie
- Przygotowanie projektu
- Instalacja SAST
Faza 2 - Analiza
- Ocena aktywności user master rekordów
- Połączenie danych
- Dokumentacja aktywności
- Koordynacja z administratorem
Faza 3 - Wykonanie
- Poinformowanie biznesu (odpowiednich departamentów)
- Usunięcie nieaktywnych UMR
Sporo informacji o naszym podejściu do zarządzania autoryzacjami SAP znajdziesz tutaj.
Oryginalny wpis pierwotnie ukazał się tutaj.
CZYTAJ POWIĄZANE ARTYKUŁY:
- SAP kosz licencji
- Od czego zacząć bezpieczeństwo SAP?
- Co powinna zawierać koncepcja uprawnień SAP?
- SAP słownik pojęć
- System SAP
- Automatyzacja analizy systemu dzięki skryptom SAP GUI
- Noty SAP
- Audyt bezpieczeństwa SAP
- Bezpieczne hasło SAP
- Monitoring użytkowników SAP
- Bezpieczeństwo SAP
- Za duże uprawnienia użytkownika SAP
- SAST to najlepsze zabezpieczenie systemu SAP?
- Czy bezpieczeństwo systemu SAP jest ważne?
- Jak zadbać o bezpieczeństwo SAP?
