✒️SAP El modelo de seguridad
SAP El modelo de seguridad
EL MODELO DE SEGURIDAD EN SAP
SAP implementa un modelo de seguridad que permite proteger de una manera flexible los datos y las operaciones que se hacen sobre ellos frente a restricciones que se hacen necesarias en la gestión de la información para que a ciertos datos accedan sólo algunas personas por alguno de los siguientes motivos:
- Proteger los datos que afecten a la estrategia de la empresa para no ofrecer ventaja a la competencia.
- Para evitar fraudes en la contabilidad o en los cobros y pagos.
- Por la obligación legal de proteger información ajena a la propia empresa como los datos personales de sus empleados, las condiciones económicas de los proveedores, etc.
Es un esquema modular que va desde el usuario SAP hasta el campo que se quiere proteger distribuido en los siguientes niveles:
- Usuarios: para que un empleado de la empresa tenga acceso a los datos de gestión debe disponer de un código de usuario en SAP. Tendrá asignado los roles y perfiles necesarios para poder realizar las tareas que exige su función o puesto de trabajo.
- Usuarios de diálogo: es el tipo de usuario con el que acceden normalmente los usuarios finales que necesiten interactuar con el sistema a través del SAP GUI . Todos los parámetros definidos son verificados antes de iniciar la sesión, así como todas las opciones de login múltiple.
- Usuarios de sistemas: no interactivos. No pueden loguearse al SAP GUI a través del sistema.
- Usuarios de comunicación: utilizados para comunicación RFC entre sistemas.
- Usuarios de servicios: Utilizados por los usuarios que requieren acceso anónimo.
- Usuarios de referencia: Pueden ser utilizados para traspasar sus autorizaciones al usuario que lo tiene de referente.
- Roles: Son los nombres que se les confiere al conjunto de perfiles que le son asignados al usuario para el ejercicio des sus funciones. Un rol puede ser asignado a varios usuarios y cada usuario puede tener más de un rol. Los cambios de rol tienen efecto para todos los usuarios. Existen los roles simples, los compuestos y los derivados.
La transacción para el mantenimiento de roles es la PFCG, que es utilizada únicamente por los encargados de mantener la seguridad en el sistema SAP (administradores del sistema SAP o grupo separado de estos que se encarga de la seguridad del sistema).
Si accedemos a la pestaña SU01 y visualizamos los datos de nuestro usuario de SAP vamos a ver los roles asignados en la pestaña de roles.
El rol Z_SAP_ALL_SIN_TRX_BASIS-DU3 es asignado a todos los usuarios del sistema de desarrollo y brinda acceso a todas las funcionalidades del sistema, con excepción de las transacciones propias de la administración del sistema y de la seguridad.
- Perfiles: es la descripción detallada de las posibles acciones que puede realizar un usuario en el sistema.
Para cada rol puede existir uno o más perfiles creados automáticamente por el sistema SAP que van a ser los que efectivamente activan las autorizaciones.
Los perfiles pueden crearse manualmente y asignarse a un usuario o pueden utilizarse los perfiles preexistentes.
Existen perfiles que vienen en la instalación del sistema SAP y son asignados a los usuarios finales y que muchas veces contienen autorizaciones sumamente amplias, como es el caso del perfil SAP_ALL que contiene todas las autorizaciones del sistema, por lo que constituye un riesgo muy grande asignarlo.
Para mantener los perfiles, los encargados de seguridad de SAP utilizan la transacción estándar RZ10.
Si accedemos a la transacción SU01 y visualizamos los datos de de nuestro usuario de SAP vamos a ver los perfiles asignados en la pestaña perfiles.
- Autorizaciones: Una autorización consiste en una asignación de valores a los campos de un objeto de autorización. Cada autorización incorpora permisos para un elemento del sistema.
- Objetos de autorización: son objetos que se utilizan para validar la autorización de un usuario del sistema a acceder a una determinada transacción, dato, tarea o funcionalidad. Pueden ser estándar del sistema SAP o se pueden crear a través de la transacción SU01.
Representan lo que queremos proteger (el elemento mínimo que nos permite proporcionar permiso para ejecutar una tarea determinada) y se componen de campos.
Cada tarea a ejecutar para la que se otorga el permiso correspondiente al usuario se encuentra definida dentro de un campo de autorización y éste a su vez en un rol.
Los objetos de autorización son utilizados en los programas ABAP para validar el acceso a las funcionalidades.
Algunos ejemplos son:
- S_TCODE: protege el código de la transacción y contiene sólo un campo que es la transacción. Es el más importante de todos los objetos porque todas las operaciones que se hacen en SAP empiezan por el acceso a una transacción.
- S_TABU_DIS: protege el contenido de tablas de customizing. Contiene dos campos que son el grupo de autorizaciones de la tabla (DICBERCLS) a la que se quiere acceder y la actividad (ACTVT) que se quiere ejecutar (crear, modificar o borrar).
- F_BKPF_BUK: protege la contabilización de documentos por sociedad financiera. Se compone de dos campos, la sociedad (BUKRS) a cuyos documentos contables queremos acceder y la actividad (ACTVT) que se quiere hacer.
Sobre el autor
Publicación académica de Andrea Laura Monteagudo, en su ámbito de estudios para el Carrera Consultor Basis NetWeaver.
SAP Senior
Andrea Laura Monteagudo
Profesión: Lic. en Relaciones del Trabajo - Argentina - Legajo: EE17G
✒️Autor de: 48 Publicaciones Académicas
🎓Egresado del módulo:
Disponibilidad Laboral: FullTime
Presentación:
Mi nombre es andrea laura monteagudo. soy licenciada en relaciones del trabajo. tengo mucha curiosidad y ganas de aprender nuevas herramientas para posicionarme y potenciarme en el mercado laboral.
Certificación Académica de Andrea Monteagudo
