SAP Access Control 12.0 SP21 a changé la manière dont une session Firefighter est gérée. Plutôt que d'inférer l'état de session de façon lâche, la plateforme contrôle désormais la session Firefighter elle-même, son logon, son verrou, son logoff et sa journalisation, via un cycle de vie défini. Deux notes portent ce changement : 3318926 sur le système central GRCFND_A, et 3318927 sur le plugin GRCPINW.

Si vous exploitez le Firefighting décentralisé (/GRCPI/GRIA_EAM) sur un plugin GRCPINW V1100 contre un système GRC central, ce changement n'est pas l'affaire d'une seule note. La note 3318927 liste ses prérequis, mais selon l'état exact du plugin, du kernel et du support package de chaque système, une série de problèmes consécutifs apparaît quand même : des IDs qui restent verrouillés, un bouton de logon qui ne fait rien, des sessions qui ne se ferment pas, des entrées manquantes dans les logs, et des short dumps. Cet article associe chaque symptôme à la note qui le corrige, sur la base de notre expérience terrain de déploiement du cycle de vie de session SP21 sur des paysages V1100.

Ce que fait réellement le changement de session SP21

Avant SP21, le logon pad Firefighter gérait les sessions d'une manière qui ne possédait pas proprement l'ensemble du cycle de vie. SP21 refond cela pour que la session elle-même soit l'objet contrôlé : elle est créée au logon, suivie tant qu'elle est active, libérée au logoff, et son activité est capturée pour le log et la revue.

Les deux notes sont requises que vous exploitiez le Firefighting en mode centralisé ou décentralisé : 3318926 sur le composant central GRCFND_A et 3318927 sur le plugin GRCPINW, présent sur chaque système managé dans les deux modes. Les deux côtés doivent s'accorder : si le plugin est sur le cycle de vie SP21 mais que le système central ne l'est pas, ou l'inverse, l'état de session dérive et les symptômes ci-dessous commencent à apparaître.

Ce qui change réellement entre les deux modes, c'est un seul contrôle d'autorisation. La logique de session SP21 exécute un contrôle S_USER_GRP sur l'identité derrière la session : en décentralisé, il porte sur l'ID utilisateur Firefighter (l'utilisateur se connecte directement avec le FFID sur le système plugin), et en centralisé, il porte sur l'utilisateur système RFC que le système GRC central utilise pour atteindre le plugin. L'identité concernée doit être autorisée pour ce groupe d'utilisateurs, sinon le contrôle de session échoue.

Prérequis commun. Les corrections de cet article ne sont effectives que sur Access Control 12.0 SP21 ou supérieur, ou lorsque les notes 3318926 et 3318927 sont implémentées intentionnellement. Sur un support package inférieur sans aucune des deux notes, ces corrections ne doivent pas être appliquées. Dans les deux modes, appliquez les notes concernées à la fois sur le système GRC central et sur chaque système plugin, afin que l'état de session reste cohérent entre eux.

Pourquoi V1100 diffère de V1200

C'est le point qui prend les équipes au dépourvu.

  • Sur GRCPINW V1200, la fonctionnalité de gestion de session SP21 est livrée dans le support package. Vous l'obtenez en étant au bon niveau de SP, peu de travail de note distinct.
  • Sur GRCPINW V1100 (par exemple V1100_700 ou V1100_731), le même changement fonctionnel arrive sous forme de correction distincte, la note 3318927, que vous implémentez lors de l'upgrade de SP. Chaque correction doit ensuite s'aligner sur l'état exact du plugin, du kernel et du SP de ce système.

Conséquence pratique : les paysages V1100 portent davantage de travail manuel de notes et sont plus exposés aux problèmes consécutifs ci-dessous. La note 3318927 documente des prérequis, mais « prérequis satisfaits » ne veut pas dire « sans problème ». La liste de corrections qui suit est ce que nous finissons généralement par implémenter pour ramener une configuration Firefighter décentralisée V1100 à un état propre après SP21.

Régler d'abord le prérequis

Deux vérifications font gagner le plus de temps :

  1. Confirmer que la note 3318927 est entièrement implémentée sur le plugin. Une 3318927 partielle ou incomplètement activée est elle-même une cause du symptôme « le bouton de logon ne fait rien » ci-dessous. Vérifiez-la avant de chercher plus loin.
  2. Confirmer que les deux côtés sont alignés : 3318926 sur le central GRCFND_A, 3318927 sur chaque plugin GRCPINW. Le Firefighting ne se comporte correctement que lorsque les deux systèmes partagent le même cycle de vie de session, en mode centralisé comme décentralisé.

Une fois ces points confirmés, parcourez les groupes de symptômes ci-dessous.

Les problèmes consécutifs, et la note qui corrige chacun

Connecteur RFC non résolu au logon décentralisé, 3394118, 3397452

Symptôme. Le logon pad décentralisé prend le connecteur RFC depuis l'objet Firefighter au lieu de la connexion SM59 nommée dans le paramètre SPRO 1000. Quand les deux noms diffèrent, la session ne peut pas s'initialiser et ne s'ouvre pas ; le pad peut aussi lever une exception au logon car le connecteur de l'objet Firefighter est utilisé pour demander les informations de client et de trusted connection au lieu du paramètre 1000.

Correctif.

  • Note 3394118: fait en sorte que le paramètre SPRO 1000 détermine le connecteur RFC sur le logon pad décentralisé.
  • Note 3397452 (prérequis : 3394118), supprime l'exception lorsque l'ID Firefighter utilise un nom de connecteur différent du paramètre 1000.

Implémentez les deux, ou le support package équivalent.

ID Firefighter verrouillé (rouge) alors que personne ne l'utilise, 3408121

Symptôme. Des IDs Firefighter apparaissent verrouillés (rouge) même inutilisés, typiquement après modification des affectations FFID via les pages d'administration NWBC. Le verrou SP21 s'appuyait sur le champ Last Logon Timestamp, que la modification d'affectation met aussi à jour, laissant le verrou dans un état incohérent.

Correctif. Note 3408121, appliquée sur le système GRC central et tous les systèmes plugin. La correction cesse d'utiliser le timestamp pour le verrouillage, ajoute une table de verrouillage dédiée, et permet de voir quel utilisateur détient réellement un FFID, que la session ait été démarrée sur le pad central ou décentralisé.

Le bouton de logon ne bascule pas vers la fenêtre de session FF

Symptôme. Après soumission du formulaire de logon, aucune fenêtre de session d'ID Firefighter ne s'ouvre et le FFID peut passer au rouge.

À vérifier, trois choses :

  1. Le désaccord connecteur / paramètre SPRO 1000 de la section RFC ci-dessus (notes 3394118 et 3397452).
  2. Une note 3318927 incomplètement implémentée, qui est le prérequis de tout le cycle de vie de session SP21.
  3. L'autorisation S_USER_GRP sur l'identité contrôlée : l'ID Firefighter en décentralisé, l'utilisateur système RFC en centralisé. Si son groupe d'utilisateurs n'est pas autorisé, le contrôle de session SP21 refuse la session.

Confirmez ces points avant de chercher plus loin. Si les transactions des sessions consécutives sont aussi absentes du log, voir 3282253 ci-dessous, mais notez que 3282253 corrige le trou de journalisation, il n'ouvre pas une fenêtre de session qui n'apparaît pas.

Le logoff ne ferme pas la session ; le FFID reste verrouillé, 3408121, 3461621, 3459906

Symptôme. Après le Logoff, la session Firefighter n'est pas libérée et le FFID peut rester verrouillé (rouge).

Correctif.

  • Note 3408121: l'incohérence de verrouillage SP21 explique pourquoi un ID n'est pas libéré et reste verrouillé après la fin d'une session (même correction que la section verrouillage ci-dessus ; à appliquer sur le central et tous les plugins).
  • Note 3461621: couvre le comportement de rafraîchissement du logon pad et le bouton Terms and Conditions.
  • Note 3459906: la correction spécifique aux boutons Logoff, Additional Activity et Unlock devenant indisponibles après logon sur le pad décentralisé. (C'est une note distincte de 3461621 ; ne supposez pas que la note de rafraîchissement la couvre.)

Transactions de la 2ᵉ session ou des suivantes absentes des logs et de la Review, 3282253

Symptôme. Avec le Firefighter décentralisé basé ABAP, les transactions exécutées dans la deuxième session et les suivantes sont absentes des logs Firefighter et de la Review lorsque le logon pad est gardé ouvert entre les sessions. Après le changement de kernel de la note 2891577, le même ID de transaction est réutilisé pour chaque transaction, si bien que le filtre d'ID unique de GRC les écarte.

Correctif.

  • Note 3282253: pour le Firefighting décentralisé (plugin).
  • Note 3009752: la contrepartie centralisée, si vous êtes en Firefighter centralisé.

Ceci résout uniquement le trou de journalisation ; cela ne corrige pas une fenêtre de session qui n'apparaît pas.

Reason Code non stocké sur le logon pad décentralisé, 3373538

Symptôme. Vous sélectionnez un Reason Code, mais après la fermeture de l'écran Reason Code la valeur n'est pas stockée, la session se retrouve sans le Reason Code saisi. Cela se produit sur le logon pad décentralisé avec le plugin V1100_700 (et V1100_731) sur AC 12.0. La cause racine : l'attribut sensible à la casse n'est pas positionné sur la variable du champ Reason Code.

Correctif. Note 3373538: implémentez la correction instruction ou le support package équivalent. S'applique à V1100_700 / V1100_731. À distinguer du dump CONVT_NO_NUMBER ci-dessous : ici l'écran fonctionne mais la valeur est silencieusement perdue.

Short dumps en Firefighter décentralisé, 3364505, 3375439

CONVT_NO_NUMBER au second logon (écran Reason Code) : note 3364505. Sur un pad décentralisé compatible Logoff, se connecter une seconde fois et remplir l'écran Reason Code produit un short dump CONVT_NO_NUMBER : le champ clé Reason Code est utilisé comme index, mais au rechargement l'index est remplacé par le texte du Reason Code, si bien que la recherche par index dumpe. Implémentez la note 3364505. (Avec l'option SAP GUI « Show keys within dropdown lists » activée, la liste déroulante Reason Code affiche alors deux fois le texte au lieu d'index-plus-texte, c'est normal.)

TSV_TNEW_PAGE_ALLOC_FAILED sur Additional Activity : note 3375439. Sur un pad décentralisé compatible Logoff exécutant V1100_700 ou V1100_731, cliquer sur Additional Activity fige l'écran et finit par lever un short dump TSV_TNEW_PAGE_ALLOC_FAILED. La récupération de la description de l'Action et du Reason Code stockés calcule mal l'offset de chaîne, provoquant une boucle infinie de manipulation de texte qui ne s'arrête qu'à épuisement de la mémoire. Implémentez la note 3375439 (s'applique à V1100_700 et V1100_731 uniquement).

Tableau de correspondance symptôme → note

Ce que vous voyezNote(s) SAP
« RFC Destination not defined » au logon3394118, 3397452
Le bouton de logon ne bascule pas vers la fenêtre de session FFVérifier RFC (3394118 / 3397452) et 3318927 entièrement implémentée
ID Firefighter verrouillé (rouge) alors que personne ne l'utilise3408121
Le logoff ne ferme pas la session ; le FFID reste verrouillé3408121, 3461621
Boutons Logoff / Additional Activity / Unlock indisponibles après logon3459906
Transactions de la 2ᵉ session ou des suivantes absentes des logs et de la Review3282253 (central : 3009752)
Le logon pad se recharge au scroll ; Reason Code perd les saisies sur T&C ; le lien T&C ne s'ouvre pas3461621
Reason Code sélectionné mais non stocké après fermeture de l'écran Reason Code3373538
Short dump CONVT_NO_NUMBER au second logon (écran Reason Code)3364505
Short dump TSV_TNEW_PAGE_ALLOC_FAILED sur Additional Activity3375439

Enseignements de terrain

  • Traitez cela comme un lot de notes, pas une note unique. Sur V1100, planifiez le changement Firefighter SP21 comme 3318927 plus les corrections ci-dessus, séquencées avec leurs prérequis (par exemple 3394118 avant 3397452).
  • Appliquez à chaque système de la chaîne décentralisée. Les notes de verrouillage et de session (notamment 3408121) doivent être posées sur le système central GRCFND_A et chaque plugin GRCPINW. Une note appliquée d'un seul côté reproduit l'incohérence que vous cherchez à supprimer.
  • Validez tout le cycle de vie de session après chaque vague: le logon ouvre une fenêtre de session, Additional Activity fonctionne, le Logoff libère l'ID, et un test à deux sessions montre toutes les transactions dans le log et la Review.
  • Surveillez la version de plugin précise. Certaines corrections (3375439) sont limitées à V1100_700 / V1100_731 ; confirmez votre version exacte de GRCPINW avant de décider ce qui s'applique.
  • Gardez la note FAQ sous la main. La note 3495933 est la FAQ SAP pour Emergency Access Management Service Pack 21 et supérieur, une référence utile en complément des corrections ci-dessus.

Comment MTC aide

Nous accompagnons les organisations SAP suisses sur la partie ingrate mais critique du GRC : faire fonctionner Emergency Access Management après un upgrade de support package. Cela inclut l'alignement des notes plugin sur les paysages V1100, le dépannage du Firefighter décentralisé (/GRCPI/GRIA_EAM), et la validation du cycle de vie complet de session pour que la preuve d'audit, le log Firefighter et la revue, soit complète et fiable. Sur les grands programmes GRC, nous collaborons avec des cabinets internationaux de premier plan en audit, risque et technologie, tout en maintenant une équipe senior basée en Suisse responsable du résultat de sécurité.

À lire également

Références

  • 3318926: Functional change for Firefighter Session Management (GRCFND_A, central).
  • 3318927: Functional change for Firefighter Session Management (GRCPINW, plugin).
  • 3394118: Le logon pad décentralisé n'utilise pas le paramètre SPRO 1000 pour déterminer le connecteur RFC.
  • 3397452: Le logon pad Firefighter décentralisé lève une exception si le connecteur n'est pas maintenu comme connexion SM59 (prérequis : 3394118).
  • 3408121: Problème de verrouillage d'ID Firefighter (table de verrouillage dédiée).
  • 3282253: Transactions récurrentes manquées en Firefighter décentralisé (contrepartie centrale : 3009752).
  • 3009752: Changements liés à la gestion de session dans le logon pad Firefighter (contrepartie centralisée de 3282253).
  • 3461621: Problèmes de rafraîchissement d'écran dans le logon pad Firefighter centralisé et décentralisé.
  • 3459906: Boutons Logoff, Additional Activity et Unlock indisponibles après logon via le logon pad décentralisé.
  • 3364505: Short dump CONVT_NO_NUMBER pendant le logon Firefighter décentralisé.
  • 3373538: Le Reason Code n'est pas stocké sur le logon pad décentralisé avec le plugin V1100_700 / V1100_731 (attribut sensible à la casse non positionné sur la variable du champ Reason Code).
  • 3375439: Additional Activity lève un short dump TSV_TNEW_PAGE_ALLOC_FAILED avec le plugin V1100_700 / V1100_731.
  • 2891577: Changement de kernel réutilisant l'ID de transaction (cause racine derrière 3282253).
  • 3495933: FAQ : Emergency Access Management Service Pack 21 et supérieur.

Questions fréquentes

Que fait la note SAP 3318927 ?

La note SAP 3318927 apporte le changement fonctionnel de Firefighter Session Management sur le plugin GRCPINW, aligné sur le cycle de vie de session d'Access Control 12.0 SP21. Sa contrepartie centrale est la note 3318926 (GRCFND_A). Les deux notes sont requises pour le Firefighting centralisé et décentralisé, afin que l'état de session Firefighter (logon, verrouillage, logoff et journalisation) reste cohérent entre le système GRC central et chaque système plugin. Les deux modes ne diffèrent que par un contrôle d'autorisation : S_USER_GRP est vérifié sur l'ID utilisateur Firefighter en décentralisé, et sur l'utilisateur système RFC en centralisé.

Faut-il la note 3318927 sur GRCPINW V1200 ?

Sur le plugin GRCPINW V1200, la fonctionnalité de gestion de session SP21 est livrée dans le support package lui-même : on ne l'implémente généralement pas manuellement. Sur les plugins V1100 (par exemple V1100_700 ou V1100_731), le même changement fonctionnel arrive sous forme de correction distincte que l'on implémente lors de l'upgrade de SP, ce qui explique pourquoi les paysages V1100 rencontrent davantage les problèmes consécutifs décrits dans cet article.

Pourquoi un ID Firefighter est-il verrouillé (rouge) après SP21 ?

Après SP21, le verrou de l'ID Firefighter s'appuyait sur le champ Last Logon Timestamp. Modifier les affectations FFID via les pages d'administration NWBC met aussi à jour ce timestamp, ce qui laisse le verrou dans un état incohérent et affiche l'ID comme verrouillé (rouge) même quand personne ne l'utilise. La note SAP 3408121 remplace le verrou basé sur le timestamp par une table de verrouillage dédiée, et doit être appliquée sur le système GRC central et tous les systèmes plugin.

Quelles notes SAP corrigent les problèmes de logon pad Firefighter décentralisé ?

Les corrections courantes du logon pad décentralisé après SP21 sont : 3394118 et 3397452 (connecteur RFC / paramètre SPRO 1000), 3408121 (verrouillage d'ID), 3461621 (rafraîchissement d'écran et Terms and Conditions), 3459906 (boutons Logoff, Additional Activity et Unlock indisponibles après logon), 3364505 (short dump CONVT_NO_NUMBER), 3373538 (Reason Code non stocké) et 3375439 (TSV_TNEW_PAGE_ALLOC_FAILED sur Additional Activity). La note 3282253 corrige les transactions manquantes dans les sessions consécutives.