✒️SAP BASIS El trabajo con información de usuarios

Trabajar con la información de usuarios.

SUIM.

Nos permite obtener un variado numero de reportes relacionados a usuarios,roles y perfiles.

SU53 , Nos permite visualizar los permisos que nos faltan o por los cual el sistema nos ha rechazado en una sesion activa,

1) Podemos obtener un reporte de usuarios filtrando por su información de dirección. (info básica)

Ruta: User Information System - User - Cross-System Infrmation (Central User Administration) - Users by Adress Data.

2) Reporte muy útil para los administradores de usuarios. Tiene muchos parámetros a seleccionar. Podemos ver los usuarios, a que grupo pertenecen, que tipo de usuarios son, fecha de creación, último intento de logon al sistema, tiempo de última sesión, estado de contraseña, fecha de último cambio de contraseña, usuarios bloqueados, razón de bloqueo (nro de intentos fallidos o por el admon del sistema), intentos de logon fallidos (el cual se resetea luego de un logon exitoso).

Ruta: misma anterior (solo cambia el último) - By Logon Date and Password Change.

3) Reporte sobre las autorizaciones críticas que puede tener algún usuario. Se puede solicitar para un usuario específico y marcando opción For Critical Authorizarions (en base a variante utilizada obtendremos un reporte que nos indicará para un usuario cuales autorizaciones críticas posee y realizar las acciones correspondientes si es que no debería tenerlas).

Ruta: misma anterior (solo cambia el último) - With Critical Authorizations.

4) Reportes relacionados a los roles.

Ruta: User Information System - Roles - By User Assignment

Este reporte nos dará la info sobre los roles asignados a un usuario o usuarios determinados. Si colocamos * en el campo de selección, obtendremos todos los roles asignados al menos a un usuario.

Si seleccionamos los roles y luego la función transaction Assignments, mostrará el listado de transacciones que contiene el rol. También podemos ver los usuarios que tienen asignado el rol seleccionado (botón con el muñequito).

5) Reportes basados en transacciones.

Ruta: User Information System - Transactions - Executable for User.

Este dará un listado de todas las transacciones a las que puede acceder un usuario en particular.

6) Reportes de comparaciones.

Ruta: User Information System - Transactions - Comparisons

Ej: From roles.

En la pantalla de selección se ingresan los roles que deseamos comparar.

En la 1ra columna indica (semáforo) si se pudo realizar la comparación para el objeto de autorización.

En las columnas tituladas con los nombres de los roles, indicará con rojo si ese rol no contiene el objeto de autorización y con verde para aquellos objetos que si están dentro del rol.

En aquellos objetos que se encuentren en ambos roles (verde-verde), se podrá realizar una comparación de autorizaciones. El semáforo ppal estará en amarillo o verde. Aquí podremos ver el detalle en carpetas (que transacciones son para cada rol y en otra carpeta, los perfiles de autorización que contiene cada uno de los roles)

____

SU53 da la información sobre la última verificación que se hizo para el usuario.

Aquí vemos en el 1er lote, los valores para el chequeo de autorización fallida. Debajo de esto, los valores que si tiene en su lista de autorizaciones. Perfil y rol en el cual se encuentra el objeto.

Para que el administrador pueda chequear la falla, el usuario o espera a que el error sea visto o cuando le indiquen, deberá reproducir de nuevo la falla.

El administrador, para poder ayudar, puede ejecutar la transacción SU53. Con esto obtendrá la última verificación de autorización que tuvo su mismo usuario (BCUSER). Desde allí puede ver la última verificación de autorización para otro usuario (botón a la izquierda de Text View). Entonces puede colocar el user que solicitó la ayuda. Se ingresa y se obtendrá la misma pantalla que obtuvo el usuario cuando llamó a la SU53. Para que el admon vea esa misma vista, el usuario no debe llamar a otras transacciones hasta que el admon pueda analizar el error o deberá reproducir de nuevo el error.

--Las transacciones SUIM y SU53 son maravillosas cuando estamos conociendo un sistema y queremos investigar un poco como está la configuración, los usuarios que existen, que roles tienen, los roles Z creados, roles con alguna transacción especial.

Nos pasará que estando nuevos en una empresa, nos soliciten asignar roles a usuarios que no conocemos. Desde la SUIM podemos analizar cuales son los roles Z que contienen la transacción solicitada. Luego analizar cada uno de los roles con la transacción PFCG para determinar cual es la más indicada para asignar.

La ejecución de los reports se realiza seleccionando el icono ejecutar.

Algunos de los informes más interesantes son:

• Usuario –> Según fecha de alta y modificación clave de acceso: resumen de los usuarios del sistema, ultima entrada al sistema, estado de la clave de acceso, bloqueo, etc.
• Usuario –> Con autorizaciones críticas: para detectar usuarios con autorizaciones criticas (por ejemplo, usuarios que pueden modificar el maestro de usuario, jobs, etc). Podremos crear nuestras combinaciones críticas de autorizaciones para ejecutar el informe con esa variante y el informe nos devuelva los usuarios que tienen en sus autorizaciones esa combinación de autorizaciones (en forma de semáforos con colores según la criticidad que otorgamos a cada tipo de autorización).
• Roles –> Roles por criterios de selección complejos: es la transacción “principal” para obtener información de los roles. Podemos buscar los roles por nombre, por usuario a los que están asignados, por transacciones incluidas en el menú del Rol, por valores en los campos de los objetos de autorización, por perfiles de autorización asignados al rol, etc. Nos va a permitir localizar por casi cualquier criterio un rol.

Se suele utilizar para localizar roles que incluyen una determinada autorización. Por ejemplo, si queremos localizar en que roles esta el objeto de autorización F_KNA1_AEN, lo indicaremos en la parte sección “Selección según valores de autorización”.

Además, al indicar el objeto de autorización, a continuación nos aparecen los campos de autorización que lleva asociados (podremos indicar también valores a buscar en el contenido de estos campos o con “*” la autorización global a todos los posibles valores). Al ejecutar el informe, se nos devolverá la lista de roles que incluyen el objeto (con los valores en los campos que coincidan si los hubiéramos incluido).

• Transacciones –> Transacciones ejecutables: nos permite analizar las transacciones que puede ejecutar un usuario con sus autorizaciones actuales, las transacciones que se pueden ejecutar con un rol determinado, etc. Es un mecanismo rápido para ver que puede ejecutar un usuario o un role si entrar al mantenimiento de roles.
• Comparaciones –> De usuarios: nos permite comparar los objetos de autorización asignados a dos usuarios. Muy útil para cuando tenemos un usuario al que le faltan autorizaciones y queremos, en comparación con otro que si tiene los accesos, saber donde radican las diferencias.

Entrando al detalle podemos ver incluso los valores de los campos de autorización y desde que perfil de autorización se están heredando al usuario (como vemos en la imagen a continuación). Tener en cuenta que en el detalle se muestra los perfiles de autorización asociados al Rol (lo que se indica como autorización).

• Comparaciones –> De roles: similar al anterior, en este caso nos permite comparar las autorizaciones de dos roles, objeto por objeto. Es una forma sencilla de comparar que objetos están en un rol y no en el otro. Igualmente, entrando al detalle podemos ver los valores de los campos de autorización.
• Referencia de utilización –> Roles –> En usuarios: nos permite visualizar los usuarios que están asignados a los roles.

Pulsando el botón “ROLES” podemos ver de forma detallada toda la asignación de roles al usuario, con información detallada si el rol es simple o compuesto, si la asignación es directa (al usuario) o indirecta a través del módulo de organización de Sap, fechas de validez, etc.

Pulsando el botón “PERFILES” podemos ver cada uno de los perfiles asociados a los usuarios que cumplen los criterios de selección del report.

En la proxima entrada del Blog, y para concluir el tema de autorizaciones, veremos la forma de crear nuestras propias variantes para analisis de autorizaciones críticas. Nos puede ser útil, en instalaciones muy grandes y con muchos usuarios, para evitar que nunca se den determinadas combinaciones de autorizaciones y para facilitar la labor en Auditorias de Seguridad (por mi experiencia muchas auditorias contables ya incluyen incluso auditorias de usuarios en Sap).