✒️SAP El modelo de seguridad
SAP El modelo de seguridad
UNIDAD 2 - TEMA 9 -
GESTIÓN DE USUARIOS Y AUTORIZACIONES
MODELO DE SEGURIDAD EN R/3
En cualquier sistema de gestión integrado se guardan datos de diferentes áreas a los que solo pueden acceder algunas personas. Estas restricciones pueden darse por varios motivos:
- Proteger datos que afecten a la estrategia de la empresa para no ofrecer ventajas a la competencia.
- Evitar fraudes en la contabilidad o en los cobros y pagos.
- Obligación legal de proteger información ajena a la propia empresa como los datos personales de sus empleados, las condiciones económicas de sus proveedores.
SAP contempla toda esta problemática implementando un sistema de seguridad que permite proteger los datos y las operaciones que se hacen sobre ellos.
Ejemplos de objetos de autorización:
- S_TCODE: Protege el código de transacción y contiene un sólo campo que es la transacción. Es el más importante de todos los objetos porque todas las operaciones que se hacen en SAP empiezan por el acceso a una transacción.
- S_TABU_DIS: Protección del contenido de tablas de customizing. Contiene dos campos que son, el grupo de autorizaciones de la tabla (DICBERCLS) a la que se quiere acceder y la actividad (ACTVT) que se quiere ejecutar (crear, modificar, borrar).
- F_BKPF_BUK: Protección de la contabilización de documentos por sociedad financiera. Se compone de dos campos: la sociedad (BUKRS) a cuyos documentos contables queremos acceder y la actividad (ACTVT) que se quiere hacer.
AUTORIZACIONES: Una autorización consiste en una asignación de valores a los campos de un objeto de autorización. Por ejemplo, crearemos una autorización para el objeto S_TCODE que tenga el valor FB01 (Transacción correspondiente a la contabilización de documentos) para el campo TCODE.
PERFILES: Un perfil es la agrupación de varias autorizaciones que hayamos creado anteriormente. El perfil es la unidad mínima de seguridad que le podemos asignar a un usuario; es decir, la única forma de asignar las dos autorizaciones del ejemplo anterior es incluirlas en un perfil que llamaremos CONTABLE o incluir este perfil en los usuarios.
GRUPOS DE ACTIVIDAD: Son las agrupaciones de transacciones y actividades que se crean con el generador de perfiles.
USUARIOS: Para que un empleado tenga acceso a los datos de gestión de la empresa debe disponer de un código de usuario en SAP. Este usuario tendrá asignados unos grupos de actividad o unos perfiles de autorización o ambos para poder realizar las tareas que exige su función o puesto de trabajo. En SAP existen cinco tipos diferentes de usuarios que se pueden definir:
Usuarios de diálogo. Es el tipo de usuario con el que acceden habitualmente los usuarios finales que necesitan interactuar con el sistema a través del SAP GUI. Todos los parámetros de logueo definidos son verificados al iniciar la sesión así como las restricciones de los GUI múltiples. Normalmente la mayoría de los usuarios de nuestra empresa deberían estar encuadrados dentro de este tipo de usuarios.
Usuarios de sistema. Son usuarios no interactivos, lo que significa que no pueden loguearse al sistema a través del SAPGUI. Comunmente son utilizados como usuarios de procesamiento por lotos, workflow, procesos ALE, etc. Su contraseña solo puede ser cambiada por el administrador del sistema y se permiten logueos múltiples.
Usuario de comunicación. Utilizados para comunicación RFC entre sistemas. Son los comunmente utilizados para las interfaces con otros sistemas SAP. No es posible establecer logueos por parte de los usuarios finales a través del SAPGUI.
Usuario de servicio. Utilizado por parte de los usuarios que requieren acceso anónimo. No respetan las normas de expiración de contraseña y la misma solo puede ser cambiada por el administrador del sistema. Las autorizaciones que se otorgan a este tipo de usuario deben ser mínimas y restrigidas a la necesidad por la que se creó este tipo de usuario. Podemos decir que el uso de un usuario de servicio no es recomendable ya que pueden loguearse a través del SAPGUI.
Usuario de referencia. Es muy poco utilizado. No admite logon de diálogo y son utilizados para traspasar sus autorizaciones al usuario que lo tiene como referente.
MANTENIMIENTO DE USUARIOS
Para la creación y mantenimiento de usuarios, SAP dispone de la transacción SU01.
Escribiendo el código de usuario y pulsando uno de los botones de la barra de aplicación o escogiendo una de las opciones del menú de usuario podemos realizar diversas acciones como crear, modificar, cambiar clave de acceso, bloquear, etc.
Las seis pestañas más importantes que componen el registro maestro de usuario son:
- Dirección
- Datos logon: Es obligado indicar una clave.
- Valores fijos: En esta pestaña definimos el menú inicial de entrada al sistema, la impresora SAP, algunos parámetros de impresión por defecto, el formato en el que debe ver el usuario las fechas y los importes en todas las transacciones SAP. Esta última opción y la del uso horario es vital para empresas que tienen empleados en diversos países.
- Parámetros: existe la posibilidad de asignar parámetros por defecto para multitud de campos de todos los módulos de SAP.
- Perfiles: Las operaciones a las que está autorizado un usuario vienen determinadas por los valores que le ponemos en estas dos pestañas (Perfiles y Roles).
- Grupos: A la hora de descentralizar el mantenimiento de un número enorme de usuarios debemos agruparlos asignándoles la pertenencia a uno o varios grupos.
GENERADOR DE PERFILES
Debido a la gran complejidad que supone la creación manual de perfiles y autorizaciones, desde la versión 3.1G de R/3 existe el generador de perfiles.
El generador de perfiles incluye una base de datos que relaciona cada una de las transacciones de R/3 con los objetos que comprueba.
La transacción estándar PFCG del sistema se utiliza para la administración de roles, que son papeles o grupos de autorización.
La transacción FB01 nos permite la contabilización de documentos y creación de asientos contables.
A través de la pestaña Autorizaciones se llega a la pantalla de asignación de valores a los objetos de autorización. Esta transacción chequea cuatro objetos de la gestión financiera. Habrá que dar los valores correspondientes para el grupo de actividad.
Sobre el autor
Publicación académica de David Bautista Salazar, en su ámbito de estudios para el Carrera Consultor Basis NetWeaver.
SAP Expert
David Bautista Salazar
Profesión: It Soporte - Mexico - Legajo: SD18J
✒️Autor de: 171 Publicaciones Académicas
🎓Egresado de los módulos:
- Carrera Consultor en SAP MM Nivel Avanzado
- Carrera Consultor en SAP MM Nivel Inicial
- Curso Introducción a SAP
Disponibilidad Laboral: FullTime
Presentación:
Administrador del buen funcionamiento de la red(30pc) y de erp(proscai), administrador de programas contafiscal, nomina2000 y admincfdi soporte al usuario software y/o hardware, creacion de respaldos.
Certificación Académica de David Bautista
