✒️SAP BASIS La administración avanzada de usuarios

Muchos aspectos de control en nuestro sistema Sap están determinados por los parámetros de la instancia, que configuran como se comporta el sistema en aspectos tan variopintos como el mandante e idioma por defecto (que se nos propone cuando nos conectamos al sistema), el número de modos que podemos tener abiertos, si podemos tener o no multilogon (entrar varias veces al sistema con el mismo usuario), la caducidad de las contraseñas, la estructura y valores permitidos para estas, tiempo máximo de proceso en dialogo, tiempo de espiración de las sesiones inactivas, etc.

La configuración de estos valores es una labor de los consultores Basis o BC y se realiza sobre los ficheros de configuración de Sap con la transacción RZ10 (en el fichero de parámetros de la instancia). La modificación de estos valores implica en la mayoría de los casos el reinicio de la instancia Sap para que sean efectivos. Es importante que esta labor solo la realice el administrador del sistema, y por tanto os recomiendo conocer los parámetros y sus posibilidades de cara a los requerimientos de los clientes, pero siempre dejar su mantenimiento en manos de un experto, ya que la modificación inapropiada de valores en la configuración puede ocasionar problemas en el arranque de Sap.

Vamos a ver algunos de los parámetros más interesantes:

• Idioma por defecto al conectarnos al sistema: determina el lenguaje utilizado por defecto al conectarnos al sistema. Se establece con el parámetro zcsa/system_language. Por ejemplo, para el idioma español, pondremos un valor ‘S’. Es condición para poder utilizarlo que el idioma este instalado (transacción SMLT) y habilitado el idioma en la instancia con el parámetro zcsa/installed_languages. Por defecto al instalar Sap, están disponibles los idiomas Ingles y Alemán.
• Mandante por defecto: con el parámetro login/system_client indicamos el mandante por defecto que se nos va a proponer al hacer logon.
• Máximo número de modos permitidos: podemos configurar el número de modos abiertos que puede tener abiertos un usuario con el parámetro rdisp/max_alt_modes. Por defecto, tiene un valor de 6, aunque podemos modificarlo para reducirlo o incrementarlo (hasta 16). Tener en cuenta siempre a la hora de modificar este parámetro, que los procesos de impresión requieren un modo, y por tanto, no es recomendable nunca indicar un valor 1.
• Deshabilitar el multilogon en el sistema: con el parámetro login/disable_multi_gui_login podemos establecer que el multilogon no este permitido (no se podrá conectar un usuario dos veces al mismo mandante con el mismo identificador de usuario). Por defecto, tiene el valor 0 (esta habilitado el multilogon), aunque con el valor 1 se deshabilitará.

• Multilogon permitido en determinados usuarios: tanto si el multilogon esta habilitado o no a nivel general, con el parámetro login/multi_login_users podemos forzar a que algunos usuarios si lo tengan permitido. En el caso de varios usuarios, introduciremos todos los valores separados por coma. A los usuarios que estén en la lista no se les presentará el tedioso diálogo que aparece al entrar una segunda vez al sistema.
• Máximo tiempo de ejecución en procesos de diálogo: con el parámetro rdisp/max_wprun_time podemos limitar el tiempo de ejecución de un proceso de usuario en dialogo. Puede ser interesante para prevenir problemas de rendimiento por ejecuciones de procesos demasiado pesados por los usuarios (sería conveniente realizarlos en procesos d fondo para que no afecten al performance del sistema). Por defecto, se indican los valores en segundos, aunque tambien se pueden indicar en minutos (p.e. 30 M sería media hora o 3H seria 3 horas).
• Tiempo de expiración de sesiones inactivas: podemos configurar con el parámetro rdisp/gui_auto_logout el tiempo de inactividad permitido en las sesiones del Sapgui. Una vez superado este tiempo, el sistema desconecta la sesión. Es un mecanismo de seguridad para cerrar sesiones olvidadas, sin duda.
• Uso permitido del usuario SAP* para tareas de configuración: en todas las instalaciones Sap existe un usuario SAP* (mientras no este creado como tal a propósito), que tiene la contraseña por defecto PASS y todas las autorizaciones disponibles (SAP_ALL). Esto es un agujero de seguridad grave que Sap soluciono con el parámetro login/no_automatic_user_sapstar. Por defecto, el parámetro vale 1 e impide utilizar este usuario. Para poder activarlo, habrá que poner el valor 0. Lo lógico es activarlo para tareas de configuración, y una vez terminado el proceso, volver a desactivarlo. Este usuario es HARDCODED.
• Parametros de control de contraseñas: ademas de poder introducir en la tabla USR40 la lista de contraseñas que no vamos a permitir, disponemos de igualmente de multitud de parámetros para establecer unas políticas de seguridad en cuanto a las contraseñas y los accesos (podeís obtener información adicional en las notas 2467 y 862989 del OSS):
  • Longitud mínima de la contraseña: se establece con el parámetro login/min_password_lng. El valor por defecto es 3. Se recomiendan valores más largos.
  • Número mínimo de caracteres diferentes entre la contraseña anterior y la actual: parámetro login/min_password_diff .

• Número mínimo de dígitos en la contraseña: parámetro login/min_password_digits.
• Número mínimo de letras en la contraseña: parámetro login/min_password_letters.
• Número mínimo de minúsculas en la contraseña: parámetro login/min_password_lowercase.
• Número mínimo de mayúsculas en la contraseña: parámetro login/min_password_uppercase.
• Número mínimo de caracteres especiales en la contraseña: parámetro login/min_password_specials.
• Número de intentos fallidos para cerrar la sesión: con el parámetro login/fails_to_session_end indicamos el número de intentos de conexión erróneos permitidos antes de cerrar la sesión. No significa que se bloquee el usuario.
• Número de intentos fallidos para bloquear el usuario: con el parámetro login/fails_to_user_lock determinamos el número de accesos incorrectos permitidos hasta que se bloquea un usuario en el sistema.
• Desbloqueo automático diario de usuarios: con el parámetro login/failed_user_auto_unlock podemos forzar a que en la medianoche de cada día se desbloqueen de forma automáticas los usuarios que se bloquearon por intentos de acceso incorrectos.
• Número de días a partir del cual se puede cambiar la contraseña: con el parámetro login/password_change_waittime.
• Número de días a partir del cual se debe de cambiar la contraseña (el sistema nos obliga): con el parámetro login/password_expiration_time.
• Número de contraseñas almacenadas (que no se podrán repetir): con el parámetro login/password_history_size. Si indicamos, por ejemplo, el valor 5, no se podrán repetir en el usuario las últimas 5 contraseñas. Solo se almacenan las contraseñas introducidas por el usuario, no por el administrador.

• Número de días maximos de inactividad de una contraseña indicada por el administrador: parámetro login/password_max_idle_initial. Superado el número de días indicado, sino se ha utilizado la contraseña (el usuario no ha entrado el sistema), esta se bloquea.
• Número de días máximos de inactividad de una contraseña indicada por el usuario: parámetro login/password_max_idle_productive. Superado el número de días indicado, sino se ha utilizado la contraseña (el usuario no ha entrado el sistema), esta se bloquea.

• Uso permitido de fieldexit: las fieldexit son una tecnología un tanto obsoleta de Sap que permite introducir verificaciones adicionales en el sistema a nivel de campos en las dynpro estandar. Hablaremos en otra entrada de la forma de configurarlas, pero para poder utilizarlas es necesario que el parámetro abap/fieldexit tenga el valor yes (por defecto tiene el valor no, y están deshabilitadas).
• Deshabilitar la verificación de autorizaciones en transacciones de analisis SU53 y SU56: con las transacciones SU53 y SU56 podemos revisar problemas en las autorizaciones asignadas a los usuarios. Con el parámetro auth/tcodes_not_checked podemos indicar que estas transacciones estén disponibles siempre a los usuarios, independientemente si las tienen o no en sus perfiles de autorización (el valor se indicará de la forma “SU53”, “SU56”, “SU53 SU56” ).

Ejemplo de uso de la transacción SU56

Añadir para terminar que mediante esta transacción se configuran otros muchos parámetros de control, como son los tamaños de buffers, áreas de memoria, número de procesos de trabajo de cada tipo (dialogo, fondo, actualización), configuración de estadísticas, directorios, spool, pasarela de correo, servidor http. En definitiva, es el corazón del sistema Sap, se pueden ajustar muchos valores para mejorar el rendimiento o cambiar el comportamiento del sistema y es, por tanto, una tarea muy delicada de realizar, como ya os he indicado.