Lukardi

Webinar: Jak autoryzacje w ECC wpływają na koszty licencji w S/4 Rise with SAP  

Niższe koszty w SAP: jak usunąć nieaktywnych użytkowników – optymalizacja licencji SAP

Udostępnij

Poniższy wpis zawiera konspekt prac zrealizowanych dla jednego z Klientów SAST, którego głównym trzonem była optymalizacja autoryzacji i dostępu użytkowników realizowany był również remodeling koncepcji autoryzacji. Jednym z elementów wdrożenia była ocena zasadności czy wszystkie dostępy są rzeczywiście potrzebne, projekt zakładał również optymalizację licencji SAP. Takie przedsięwzięcia jak projekt reorganizacji autoryzacji i wdrożenia nowej koncepcji opłacają się, gdyż skutkują klasyfikacją użytkowników i redukcją dostępów, co pociąga za sobą zredukowanie kosztów licencji SAP.

Co roku SAP przeprowadza audyt systemów Klientów i na tej podstawie często wymaga dodatkowej opłaty licencyjnej za nadmiarowych użytkowników. Wiadomo, że wszyscy aktywni użytkownicy dialogowi SAP mają wpływ na wysokość opłat licencyjnych. W tym kontekście “aktywni” oznacza ograniczenie czasowe ważności konta użytkownika, a nie blokadę administratora.

Zatem zmniejszenie liczby aktywnych master rekordów użytkowników ma bezpośredni i zauważalny wpływ na oszczędność kosztów. Wiele firm w ramach wątpliwości postanawia zostawić część aktywnych użytkowników z obawy przed tym, że codzienna praca może zostać zakłócona. Obawa jest również taka, że konkretny użytkownik może być nadal wykorzystywany jako user techniczny do obsługi np. jobów w tle. Pojawia się zatem oczywiste pytanie:

W jaki sposób można uzyskać wgląd w aktywność użytkowników w systemach SAP i w jaki sposób można efektywnie analizować różne rodzaje dostępy użytkowników?

Czy użytkownik jest aktywny? Brak konkretów

Obserwujemy widoczną tendencję pozostawiania aktywnych użytkowników w obawie przed tym, że ich usunięcie może mieć wpływ na przerwanie procesu biznesowego. Wynika to przede wszystkim z braku konkretnej wiedzy na temat korzystania (zarówno pośredniego jak i bezpośredniego) z master rekordów użytkowników.

Jeśli spojrzymy na znacznik czasu logowania użytkownika – nie będzie to precyzyjna informacja, biorąc dodatkowo pod uwagę skomplikowane środowiska (wielosystemowe), czy np. narzędzia webowe. Poziom skomplikowania takiej analizy wzrasta jeśli bierzemy pod uwagę połączenia RFC lub SOAP i ODATA – tu często brakuje i wiedzy i rozwiązań potrzebnych do tego, by skutecznie ocenić dostępy.

Analiza – możliwości i trudności

Jedną z opcji analizy wykorzystania transakcji jest ST03N (STAD – analiza transakcji biznesowych). Transakcja ta pozwala na analizę wykorzystania różnych typów komunikacji:

Analiza wskazuje, którzy użytkownicy generują obciążenie systemu za pomocą konkretnego typu komunikacji. Z tych danych wynika oczywiście którzy użytkownicy są aktywni, ale jest pewne ograniczenie – dane dotyczą tylko określonego dnia. Do głębszej analizy potrzebujemy większego zakresu czasu, zwłaszcza, gdy potrzebujemy wyciągać daleko idące wnioski. ST03N pozwala na analizę transakcji i wywołania programów. Wystarczy tylko dwuklik, aby wyświetlić użytkowników, którzy korzystali z określonej transakcji lub programu ABAP.

Niewątpliwym wyzwaniem jest połączenie obu źródeł danych. Bez tego nie uzyskamy pełnego obrazu sytuacji. Standardowe narzędzia SAP dostarczą nam tylko źródła danych. Niestety nie mamy możliwości elastycznej analizy (na przykład dla indywidualnych użytkowników). Zatem dla uzyskania odpowiedniej informacji wymagana jest ręczna analiza i agregowanie danych.

Best Pratice – analiza wykorzystania transakcji za pomocą SAST

Przykład jednego z Klientów – mieszanka dostępów, przy braku konkretnej wiedzy odnośnie tego w jaki sposób użytkownicy wykorzystują transakcje. Podczas analizy przyglądaliśmy się ogólnym informacjom o dostępach – dotyczyło to wszystkich poziomów użytkowania (dialog, batch, RFC, http, itd…).

Dla optymalizacji czasu analizy wykorzystaliśmy funkcję SAST Suite pozwalającą na szczegółową analizę wykorzystania transakcji. Analiza ta została przeprowadzona dla wszystkich aktywnych użytkowników w oparciu o CCMS. Kompleksowo zostały przeanalizowane wszystkie poziomy komunikacji z systemem w dłuższym okresie niż jeden dzień. Dostarczamy tym sposobem również informacje o częstotliwości dostępów (Wykorzystanie transakcji lub analiza wykorzystania transakcji i ich częstotliwość).

25% nieaktywnych użytkowników – wymiernie niższe koszty

W tym przypadku analiza zawierała takie elementy jak:

  • informacje o wszystkich użytkownikach (również technicznych),
  • okres analizy sześć miesięcy.

W efekcie powyższego otrzymaliśmy informację o tym jacy użytkownicy nie pozostawili żadnego śladu aktywności w tym okresie – ci użytkownicy stali się zatem kandydatami do usunięcia. Jest to zatem bezpośredni przykład jak można zająć się optymalizacją licencji SAP.

Rezultat:

  • za pomocą SAST informacje o użytkownikach nieaktywnych,
  • ich usunięcie odbyło się bez ubocznych skutków na operacjach biznesowych,
  • prawie 25% użytkowników (z puli 1350) byli użytkownikami nieaktywnymi,
  • konkretne nieużywane konta do usunięcia,
  • natychmiastowy, znaczny zwrot z inwestycji.

Procedura optymalizacji:

Faza 1 – Przygotowanie

– Przygotowanie projektu
– Instalacja SAST

Faza 2 – Analiza

– Ocena aktywności user master rekordów
– Połączenie danych
– Dokumentacja aktywności
– Koordynacja z administratorem

Faza 3 – Wykonanie

– Poinformowanie biznesu (odpowiednich departamentów)
– Usunięcie nieaktywnych UMR

Tomasz Jurgielewicz

Head of Security Department w Lukardi. Od 10 lat prowadzi zespół specjalistów SAP Security, dostarczając kompleksowe usługi i narzędzia do zabezpieczenia systemów SAP oraz optymalizacji licencji. Doświadczenie w obszarze: - identyfikacji konfliktów uprawnień i reorganizacji autoryzacji, - identyfikacja podatności SAP, - integracja rozwiązań SIEM z SAP, - optymalizacja licencji SAP.