✒️SAP El modelo de seguridad
SAP El modelo de seguridad
EL MODELO DE SEGURIDAD EN SAP
En cualquier sistema de gestión de información integrado se guardan datos de diferentes áreas a los que sólo pueden acceder algunas personas. Estas restricciones pueden darse por varios motivos:
- Para proteger datos que afecten a la estrategia de la empresa, para no ofrecer ventajas a la competencia.
- Para evitar fraudes en la contabilidad o en los cobros y pagos.
- Por la obligación legal de proteger información ajena a la propia empresa como los datos personales de sus empleados, las condiciones económicas de los proveedores, etc.
SAP contempla toda esta problemática implementando un modelo de seguridad que permite proteger de una manera flexible los datos y las operaciones que se hacen sobre ellos.
El esquema está basado en los siguientes componentes:
- Usuario
- Roles
- Perfiles
- Autorizaciones
- Objetos de autorización
- Campos
Veamos lo que representa cada uno de los niveles:
- Usuario: para que un empleado de la empresa tenga acceso a los datos de gestión debe disponer de un código de usuario en SAP. Este usuario tendrá asignados los roles y perfiles necesarios para poder realizar las tareas que exige su función o puesto de trabajo.
- Roles: un rol es el nombre que se le confiere al conjunto de perfiles que le son asignados al usuario para el ejercicio de sus funciones. Un rol puede ser asignado a más de un usuario y los usuarios pueden tener más de un rol (esto es útil para algunas actividades, como la impresión, que serán permitidas para la mayoría de los usuarios). Los cambios a un rol, por lo tanto tienen efecto sobre todos los usuarios.
La transacción para el mantenimiento de los roles es la PFCG y es utilizada únicamente por los encargados de mantener la seguridad en el sistema SAP, que pueden ser los administradores del sistema SAP o un grupo separado de estos que se encarga exclusivamente de la seguridad del sistema.
Accediendo a la transacción SU01 podemos visualizar, en los datos de nuestro usuario de SAP, los roles asignados. Existe un rol (Z_SAP_ALL_SIN_TRX_BASIS-DU3) que es asignado a todos los usuarios del sistema de desarrollo y brinda acceso a todas las funcionalidades del sistema, con excepción de las transacciones propias de la administración del sistema y de la seguridad.
- Perfiles: es la descripción detallada de las posibles acciones que puede realizar un usuario en el sistema. Por cada rol puede existir uno o más perfiles creados automáticamente por el sistema SAP que van a ser los que efectivamente activan las autorizaciones. Los perfiles también pueden crearse manualmente y asignarse a un usuario o se pueden utilizar los perfiles preexistentes.
Existen perfiles que vienen en la instalación del sistema SAP que pueden ser asignados a los usuarios finales y que muchas veces contienen autorizaciones sumamente amplias, como es el caso del perfil SAP_ALL que contiene todas las autorizaciones del sistema. Asignar un usuario a este perfil constituye un riesgo muy grande a la seguridad de sistema SAP ya que si un usuario posee este perfil tiene el control total del sistema, situación que el cliente en muchas ocasiones tiende a minimizar.
Para mantener los perfiles, los encargados de seguridad de SAP utilizan la transacción estándar RZ10.
Desde la transacción SU01, en los datos de nuestro usuario de SAP vamos a ver los perfiles asignados en la pestaña perfiles.
- Autorizaciones: una autorización consiste en una asignación de valores a los campos de un objeto de autorización. Cada autorización incorpora permisos para un elemento del sistema, por ejemplo crearemos un autorización para el objeto S_TCODE que tenga el valor FB01 (transacción correspondiente a la contabilización de documentos) para el campo TCODE.
- Objetos de autorización: son objetos que se utilizan para validar la autorización de un usuario del sistema a acceder a una determinada transacción, dato, tarea o funcionalidad. Existen objetos de autorización estándar del sistema SAP y también se pueden crear objetos de autorización Z a través de la transacción SU21.
Los objetos de autorización representan lo que queremos proteger y se componen de campos.
Cada uno de estos objetos es el elemento mínimo que nos permite proporcionar permiso para ejecutar una tarea determinada, que puede ser el acceso a una transacción, a un grupo de transacciones, a un área de ventas, a un grupo de compras, a una planta, a un almacén, entre muchas otras alternativas.
Cada tarea a la cual tiene acceso un usuario se encuentra definida de un campo de autorización, este campo se encuentra en un objeto de autorización y éste a su vez en un rol.
Todas las tareas a las que tiene acceso un usuario es porque el permiso para tener acceso a esta parte del sistema está definido en los objetos de autorización que forman uno o más roles de los que tiene asignado este usuario.
Los objetos de autorización son utilizados en los programas ABAP, entre otros objetos, para validar el acceso a las funcionalidades.
 
 
 
Sobre el autor
Publicación académica de Romina Hergesheimer Elias, en su ámbito de estudios para el Carrera Consultor Basis NetWeaver.
Romina Hergesheimer Elias
Profesión: Ingeniera Química - Argentina - Legajo: KO26R
✒️Autor de: 48 Publicaciones Académicas
🎓Egresado del módulo:
Disponibilidad Laboral: FullTime
Certificación Académica de Romina Hergesheimer