FireFighter est un outil qui permet de créer des comptes avec des droits d’accès larges afin d’exécuter en production des opérations urgentes dans un environnement de production.

Pour vérifier que ces droits larges n’ont pas été utilisés frauduleusement, les transactions lancées via les comptes FireFighter sont tracées.

Les contrôleurs doivent vérifier dans les journaux que les transactions exécutés correspondent bien aux tâches à effectuer.

Les journaux doivent être conservés par l’administrateur FireFighter pour une durée donnée et mis à disposition des auditeurs.

1. Comptes FireFighter

Dans SAP, et à l’aide de la transaction SU01 :

Créer les comptes FireFighter pour chaque processus métier exemple FF_PROCURE (éviter d’assigner SAP_ALL)
Assigner les rôles FireFighter :
Administrateur -> /VIRSA/Z_VFAT_ADMINISTRATOR
FireFighter -> /VIRSA/Z_VFAT_FIREFIGHTER
Propriétaire -> /VIRSA/Z_VFAT_ID_OWNER

Dans FireFighter, et à l’aide de la transaction /VIRSA/VFAT :

Effectuer la correspondance entre les comptes FireFighter et les comptes : « Owner », « FireFighter » et « Controller »
Etablir un mot de passe d’utilisation pour chaque compte FireFighter

Normalement, il est impossible de se connecter au système via un compte FireFighter grâce à « User Exit »

2. Historisation de l’utilisation des comptes FireFighter

Pour chaque environnement, il faut télécharger le journal de la période concernée :
Administration -> Archive -> Download Log

3. Paramétrage de FireFighter

Le paramétrage de FireFighter est réalisé via le bouton « Configuration »

Voir les paramètres ci-dessous :

- Retrieve Change Log -> NO
- Firefighter Owner Additional Authorization -> YES
- Send Firefighter Login Modification -> YES
- Remote Function Call -> Nom de la connexion RFC
mercredi 20 mai 2009