✒️SAP El modelo de seguridad
SAP El modelo de seguridad
1. Modelo de seguridad en R/3
En cualquier sistema de gestión integrado se guardan datos de diferentes áreas a los que sólo pueden acceder algunas personas. Estas restricciones pueden darse por varios motivos:
- Proteger datos que afecten a la estrategia de la empresa para no ofrecer ventajas a las competencia
- Evitar fraudes en la contabilidad o en los cobros y pagos
- Obligación legal de proteger información ajena a la propia empresa como los datos personales de sus empleados, las condiciones económicas de los proveedores.
El modelo de seguridad implementado por SAP tiene el siguiente esquema que está basado en los siguientes componentes:
- Maestro de Usuario >> Grupos de Actividad >> Perfiles >> Autorizaciones
- >> Obj. de Autorización >> Campos
Los objetos de autorización se componen de campos. Estos objetos representan lo que queremos proteger. Ejem. de obj. de autorización:
- S_TCODE: protege el código de transacción y contiene un sólo campo que es la transacción. Es el más importante de todos los objetos porque todas las operaciones que se hacen en SAP empiezan por el acceso a una transacción.
- S_TABU_DIS: protección del contenido de tablas de customizing. Contiene dos campos que son el grupo de autorizaciones de la tabla (DICBERCLS) a la que se quiere acceder y la actividad (ACTVT) que se quiere ejecutar (crear, modificar, borrar... ).
- F_BKPF_BUK: protección de la contabilización de documentos por sociedad financiera. Se compone de dos campos; la sociedad (BUKRS) a cuyos documentos contables queremos acceder y la actividad (ACTVT) que se quiere hacer.
NOTA: En el lado izquierdo del gráfico anterior vemos la estructura modular que va desde la autorización simple sobre un único objeto de autorización hasta el maestro de usuarios que son los que acceden al sistema.
Veamos lo que representa cada uno de los niveles:
- Autorizaciones: una autorización consiste en una asignación de valores a los campos de un objeto de autorización. Por ejemplo, crearemos una autorización para el objeto S_TCODE que tenga el valor FB01 (Transacción correspondiente a la contabilización de documentos) para el campo TCODE.
- Perfiles: un perfil es simplemente la agrupación de varias autorizaciones que hayamos creado anteriormente. El perfil es la unidad mínima de seguridad que le podemos asignar a un usuario, es decir, la única forma de asignar las dos autorizaciones del ejemplo anterior es incluirlas en un perfil que llamaremos CONTABLE e incluir este perfil en los usuarios.
- Grupos de Actividad: son las agrupaciones de transacciones y actividades que se crean con el generador de perfiles. Estos grupos de actividad contienen internamente perfiles (que a su vez contienen autorizaciones) y se asignan directamente a los usuarios.
- Usuarios: para que un empleado tenga acceso a los datos de gestión de la empresa debe disponer de un código de usuario en SAP. Este usuario tendrá asignados unos grupos de actividad o unos perfiles de autorización (o ambos) para poder realizar las tareas que exige su función o puesto de trabajo.
NOTA: En SAP existen 5 tipos de usuarios:
- 1. Usuario de diálogo: Usuarios finales que interactúan con el sistema a través del SAP GUI
- 2. Usuarios del sistema: No se loguean por SAP GUI. Comunmente son usados como usuarios de procesamiento por Lote, Workflow, procesos ALE, etc. Su contraseña es cambiada por el administrador del sistema. Se le permite logueo múltiple.
- 3. Usuario de Comunicación: Usados para comunicación RFC entre sistemas. No tiene acceso o logueo por SAP GUI
- 4. Usuario de servicio: Usado por usuarios que requieren acceso anónimo. no respetan las normas de expiracion del sistema. La contraseña solo es cambiada por el Adm. del sistema. Las autorizaciones deben ser mínimas y restringidas. No es recomendable su uso porque pueden loguearse desde SAP GUI.
- 5. Usuario de Referencia: Poco usado, no admite Logón de diálogo y puede ser usado para traspasar sus autorizaciones al usuario que lo tiene como referente.
2. Mantenimiento de usuarios:
- Para la creación y mantenimiento de usuarios se dispone de la transacción SU01 (es decir, par la administración de los usuarios del sistemas)
- Las 6 pestañas mas importantes del registro maestro de usuarios:
- Dirección: se graban en este apartado datos personales como el nombre, apellidos, departamento, teléfono. En el campo edición veremos el nombre y como aparecerá en los listados o en otras transacciones
- Datos logon: es obligatorio indicar una clave inicial con la que accederá el usuario, aunque en su primera conexión se le pedirá que la cambie. También podemos limitar la validez temporal de manera que podemos tener empleados que accedan a nuestro sistema hasta determinada fecha como puede ser el fin de su contrato o cesión a nuestro departamento.
- Valores fijos: en esta pestaña definimos el menú inicial de entrada al sistema, la impresora SAP, algunos parámetros de impresión por defecto, el formato en que debe ver el usuario las fechas y los importes en todas las transacciones SAP.
- Parámetros: existe la posibilidad de asignar parámetros por defecto para multitud de campos de todos los módulos de SAP. Si un empleado solo realiza entradas de mercancías en el centro 1000, es muy útil asignarle ese valor en el parámetro correspondiente consiguiendo que en todas las pantallas de R/3 en la que aparezca el campo centro, éste se encuentre relleno automáticamente con el valor 1000.
- Perfiles: las operaciones a las que esta autorizado un usuario vienen determinadas por los valores que le ponemos en estas dos pestañas. Al asignarles un papel le estamos añadiendo perfiles también, pero existe la posibilidad de incluir perfiles manualmente.
- Grupos: a la hora de descentralizar el mantenimiento de un número enorme de usuarios debemos agruparlos asignándoles la pertenencia a uno o varios grupos. De esta manera podemos autorizar a diversos administradores a gestionar los usuarios que pertenezcan a determinados grupos.
3. Generador de perfiles:
- Desde la versión 3.1G de R/3 existen el generador de perfiles.
- Transaccion PFCG: Transacción estándar del sistema que se utiliza para la administración de Roles (Papeles o Grupos de Autorización).
 
 
 
Sobre el autor
Publicación académica de Aracelli Fajardo Cabrera, en su ámbito de estudios para el Carrera Consultor Basis NetWeaver.
Aracelli Fajardo Cabrera
Profesión: Ingeniera de Sistemas - Peru - Legajo: FW23R
✒️Autor de: 44 Publicaciones Académicas
🎓Egresado del módulo:
Disponibilidad Laboral: FullTime
Certificación Académica de Aracelli Fajardo