✒️SAP El modelo de seguridad
SAP El modelo de seguridad
El modelo de seguridad
En cualquier sistema de gestión de información integrado se guardan datos de diferentes áreas a las que solo algunas personas puede acceder, para:
- Proteger datos que afecten a la estrategia de la empresa
- Evitar fraudes en la contabilidad o cobros y pagos
- Obligación legal de proteger información ajena a la propia empresa como datos personales de empleados, condición economica de empleados, etc
SAP contempla esta problemática implementando un modelo de seguridad que permite proteger de manera flexible los datos y operaciones. El esquema se basa en una estructura modular que va desde el usuario que accede al sistema hasta el campo particular que se quiere proteger:
usuario 
roles perfiles autorizaciones objetos de autorización campos
- Usuarios: para que un empleado acceda a los datos de gestión debe disponer de un código de usuario. Este tendrá asignado roles y perfiles necesarios para poder realizar las tareas que exige su función. Tipos de usuarios:
- Usuarios de dialogo: que son con los que generalmente acceden los usuarios finales que necesitan interactuar con el sistema a través del SAP GUI. Todos los parámetros de logeo son verificados al inciar la sesión como asi las restricciones de log in multiples. Normalmente la mayoría de los usurios de la empresa deberian tener este tipo de usuarios
- Usuarios del sistema: son usuarios no interactivos por lo que no pueden logearse a traves del SAP GUI. Comúnmente son utilizados como usuarios de procesamiento por lote, workflow, procesos ale, etc. SU contraseña solo puede ser cambiada por el administrador del sistema y se permiten logeos multiples.
- Usuarios de comunicación: son utilizados para comunicación RFC entre sistemas. Son los comunmente utilizados para las interfaces con otro sistema SAP. No es posible establecer logeo por parte de los usuarios finales a tarvés del SAP GUI.
- Usuario de SS: utilizado por los usuarios que requieren acceso anonimo. No respetan las normas de expiración de contraseña y la misma solo puede ser cambiada por el administrador del sistema. Las autorizaciones que se le otorgan deben ser minimas restringidas solamnete para la necesidad por la cuál se creo. No es recomendable ya que pueden logarse por SAP GUI.
- Usuario de referencia: este tipo de usuario es muy poco utilizado en general. No admite logon de dialogo y puede ser utilizado para traspasar sus autorizaciones al usuario que lo tiene como referente.
- Roles: Es un conjunto de perfiles que le son asignados al usuario para el ejercicio del sus funciones. Puede ser asignado a varios usuarios. Los usuarios pueden tener más de un rol. Util para actividades como impresión que sera permitida a la mayoría de usuarios. Los cambios de rol tiene efecto en todos los usuarios. La transacción es PFCG. Solo se utiliza por los encargados de mantener la seguridad que pueden ser administradores de SAP o grupo separado de estos. Con la transacción SU01 visualizamos los datos de nuestro usuario y vemos los roles asignados en la pestaña roles. Z_SAP_ALL_SIN_TRX_BASES-DU3 es el rol asignado a todos los usuarios del sistema de desarrollo y brinda acceso a todas las funcionalidades del sistema con excepción de aquellas transacciones propias de la administración del sistema y seguridad. Tipos de roles:
- Simples
- Compuestos: compuesto por un conjunto de roles simples. De forma que unimos varios roles simples para mejorar la organización de los roles con un objetivo concreto por ejemplo un rol compuesto para el administrador de la nómina que va atener el rol simple de administrador de personal y el rol simple de administración de nomina
- Derivados: suele hablarse de padres e hijos. Son roles que heredan de otros roles,
- Perfiles: es la descripción de las posibles acciones que puede realizar un usuario en el sistema. Por cada rol puede existir uno o más perfiles creados automáticamente que van a ser los que autorizan. Estos también pueden crearse manualmente y asignarse a un usuario o pueden utilizar los existentes. Existen perfiles q vienen instalados que pueden ser asignados a usuarios finales y que muchas veces contiene autorizaciones muy amplias como el caso de perfil SAP_ALL que tiene todas las autorizaciones del sistema. Asignarle un usuario a este perfil es un riesgo muy alto a la seguridad. Para mantener los perfiles, los encargados de seguridad utilizan la transacción RZ10. Si accedemos a SU01 y visualizamos los datos de nuestro usuario tenemos una pestaña perfiles. Los perfiles de T-D39300731, T-D3900731 y T-D393007311 forman parte del rol Z_SAP_ALL_SIN_TRX_BASES-DU3.
- Autorizaciones: consiste en una asignación de valores a los campos de un objeto de autorización. Cada autorización incorpora permisos para un elemento del sistema. Ejemplo: creamos autorizaciones para el objeto S_TCODE que tenga el valor FB01 para el campo TCODE. Para el rol Z_SAP_ALL_SIN_TRX_BASES-DU3 existen miles de autorizaciones.
- Objetos de autorización: son objetos que se utilizan para validar la autorización de un usuario del sistema a acceder a una determinada transacción, dato, tarea o funcionalidad. Existen en el estándar de SAP y también se pueden crear objetos de autorización Z a través de SU21. Los objetos de actualización representan lo que queremos proteger y se componen de campos. Estos objetos es el elementos mínimos que nos permite proporcionar permiso para ejecutar una tarea determina: acceso a transacción, grupo de transacciones, áreas de ventas, almacén, etc. Cada tarea a la que tiene acceso un usuario se encuentra definida de un campo de autorización. Este campo se encuentra en un objeto de autorización y este en un rol. Todas las tareas como transacciones o elementos de la estructura organizativa a las que tiene acceso el usuario es porque tiene el permiso para acceder este esta definido en los objetos de autorización que forman los roles que tiene asignado este usuario. Algunos ejemplos de objetos de autorización son:
- S_TCODE: Protege el código de transacción y contiene un sólo campo que es la transacción. Es el mas importante porque todas las operaciones empiezan por el acceso a una transacción.
- S_TABU_DIS: Protege el contenido de tablas de customizing. Contiene dos campos: el grupo de autorizaciones de la tabla (DICBERCLS) a la que se quiere acceder y la actividad (ACTVT) que se requiere ejecutar como borrar, modificar o crear.
- F_BKPF_BUK: Protege la contabilización de documentos por sociedad financiera. Se compone de dos campos: la sociedad (BUKRS) a cuyos documentos contables queremos acceder y la actividad (ACTVT) que se quiere hacer.
Los objetos de autorización son utilizados en los programas ABAP para validael acceso a las funcionalidades
- Campos:
Sobre el autor
Publicación académica de Luciana Pascazzi, en su ámbito de estudios para el Carrera Consultor Basis NetWeaver.
SAP SemiSenior
Luciana Pascazzi
Profesión: Administración de Empresas - Argentina - Legajo: PN48A
✒️Autor de: 31 Publicaciones Académicas
🎓Egresado del módulo:
Disponibilidad Laboral: PartTime
