✒️SAP BASIS El concepto de autorización

p.p1 {margin: 0.0px 0.0px 0.0px 0.0px; font: 11.0px 'Helvetica Neue'; color: #000000; -webkit-text-stroke: #000000} p.p2 {margin: 0.0px 0.0px 0.0px 0.0px; font: 11.0px 'Helvetica Neue'; color: #000000; -webkit-text-stroke: #000000; min-height: 12.0px} li.li1 {margin: 0.0px 0.0px 0.0px 0.0px; font: 11.0px 'Helvetica Neue'; color: #000000; -webkit-text-stroke: #000000} span.s1 {font-kerning: none} span.s2 {text-decoration: underline ; font-kerning: none} span.s3 {font: 14.0px 'Helvetica Neue'} span.s4 {font: 14.0px 'Helvetica Neue'; font-kerning: none} span.s5 {font: 13.0px 'Helvetica Neue'} span.s6 {font: 13.0px 'Helvetica Neue'; font-kerning: none} ol.ol1 {list-style-type: decimal} ul.ul1 {list-style-type: disc}

CONCEPTO DE AUTORIZACIÓN (2 DE 6)

1.- OBJETOS DE AUTORIZACIÓN Y CHEQUEO DE AUTORIZACIÓN

• Las Autorizaciones se crean y gestionan a través de ROLES y PERFILES

• los OBJETOS DE AUTORIZACION permiten verificaciones complejas de acuerdo a múltiples condiciones para permitir al usuario realizar una acción, estas CONDICIONES se especifican en los CAMPOS DE AUTORIZACION para el objeto de autorización y se evalúan mediante la condición lógica AND para la verificación (Debe cumplir todas las condiciones)

• un OBJETO DE AUTORIZACIÓN puede tener hasta 10 campos de autorización

• UNA autorización siempre se asocia a UN solo Objeto de Autorización, formada por el valor para los campos del objeto de autorización

• una AUTORIZACIÓN es un permiso para realizar una acción definida sobre la base de los valores para cada uno de los campos de un objeto de autorización

• Se dividen en diferentes clases

• en el proceso de login las autorizaciones son cargadas en el contexto de usuario, que se sitúa en el buffer (memoria principal del servidor de aplicación) y las verificaciones también son realizadas en el contexto de usuario, por ello si se asignan nuevas autorizaciones podría ser necesario volver a lograrse en sistema para acualizarlas.

• SU56 - permite monitorear el número de objetos que están en el buffer referente a ROLES DE AUTORIZACION y PERFILES DE USUARIO

• Verificaciones de autorización (AUTHORITY-CHECK), son realizadas durante la ejecución en el WP (programadas por los desarrolladores en ABAP), para proteger los datos.
• si el CODIGO DE RETORNO = 0 (el contexto de usuario contiene las autorizaciones requeridas para la verificación), la transacción será exitosa

“TODAS LA AUTORIZACIONES SON PERMISOS, NO EXISTEN AUTORIZACIONES PARA PROHIBIR"

"TODO AQUELLO QUE NO ESTA EXPLICITAMENTE PERMITIDO, ESTA PROHIBIDO” (Concepto de autorización positivo)

2.- MANTENIMIENTO DE ROLES (PFCG): MENU Y AUTORIZACIONES

• PFCG - Profile Generator o Actividades de Grupo, simplifica la creación y asignación de autorizaciones. Es la más usada en cuanto a seguridad de sistema ya que se utiliza para crear los roles con las autorizaciones asociadas que se asignara a cada usuario
• Las transacciones que pertenecen al mismo grupo se seleccionan y se asignan autorizaciones grupales
• UN rol es a UNO o VARIOS usuarios
• UN usuario es a UNO o VARIOS roles

* Ejemplo de rol: rol a actividad (impresión)

• el MENU DE USUARIO se compone del menú de rol y contiene entradas (transacciones, URL`s, reportes, etc) que se asignan al usuario a través de roles

• Tools/Administration/User Maintenance/Role Administration/Roles (Ingresar nombre del rol y presionar Create o Change. Seleccionar solapa Menú)

* Selecciona y modifica las funciones para los roles individuales, se pueden insertar o borrar transacciones en el árbol de transacciones

* botón Report, permite integrar reportes (ABAP), la PFCG se encarga de crear los códigos de transacción para ser accedido posteriormente

• botón Other, permite agregar direcciones de internet o vínculos a archivos, modificación de menús: crear, mover, borrar y renombrada directorios y sub-directorios (Drag&Drop permitido)

• el mantenimiento de roles crea automáticamente las autorizaciones para las transacciones especificadas en el árbol del menú (VERIFICAR y AJUSTAR, de ser necesario, tarea del administrador y del área cliente)
• solapa Authorizations, botón Change Authorization Data o Display Authorization Data, nos permite ver y modificar el contenido de las autorizaciones según los siguientes indicadores:

1. Luz verde: el objeto de autorización tiene un valor propuesto para cada uno de los campos
2. Luz amarilla: el objeto de autorización necesita mantenimiento manual al menos para uno de los campos
3. Luz roja: los niveles organizacionales no están definidos

• La falta de un valor propuesto por PFCG para alguno de los campos del objeto de autorización puede ser ejemplo en los casos de accesos a archivos externos donde no se puede determinar el tipo de acceso

• NIVELES ORGANIZACIONALES (Organizational levels) son campos que aparecen en muchas autorizaciones, si editamos una de estas entradas los cambios afectarán a todos los objetos de autorización que los contengan. Se refieren a la estructura del negocio

* Al finalizar el mantenimiento de las autorizaciones, debe generarse el perfil de autorización mediante el botón Genérate, y combinarla en un perfil, luego el perfil debe ingresarse en los Registros Maestros de Usuarios, lo que se denomina Comparación de Registros Maestros de Usuarios (User Master Record Comparission)

3.- USUARIOS Y ROLES

• La asignación de roles a usuarios no otorga automáticamente las correspondientes autorizaciones. se debe realizar una comparación de registros mediante la cual los perfiles de los roles son insertados en el registro maestro de usuario, donde se determina si perfiles de autorización deben ser agregados o eliminados basándose en la asignación de roles.
• Si la asignación de roles vence (fecha) para un rol los perfiles correspondientes son eliminados del registro maestro de usuario

• Comparación individual por rol:

1. Función de mantenimiento de roles
2. seleccionar rol
3. seleccionar solapa User
4. User comparison
5. en la ventana emergente seleccionar Complete comparison

• Comparación masiva de roles (PFCG)

1. seleccionar Utilities/Mass comparison, o
2. llamar a transacción PFUD, y seleccionar roles a actualizar o todas las asignaciones (*)

*durante una comparación los perfiles obsoletos son eliminados

• Comparación planificada de roles

1. seleccionar Utilities/Mass comparison
2. seleccionar opción Schedule o Check job for full reconciliation
3. ventana emergente de búsqueda para el job de backgound PFCG_TIME_DEPENDENCY
4. si no se encuentra el job existe la opción de crearlo (el valor por defecto es que todos los registros maestros de usuarios serán comparados una vez por día)

* Buenas Prácticas

• Crear los roles en el ambiente de desarrollo, cargarlos en testing y entregarlos a usuarios con conocimientos de los procesos del negocio para ponerlos a prueba y obtener feedback para actualizar las autorizaciones antes de salir en productivo