✒️SAP El modelo de seguridad
SAP El modelo de seguridad
El modelo de seguridad en SAP
En cualquier sistema de gestion de informacion integrado se guardan datos de diferentes areas a los que solo pueden acceder algunas personas. Estas restricciones pueden darse por varios motivos:
- Para proteger datos que afecten a la estrategia de la empresa para no ofrecer ventajas a la competencia
- Para evitar fraudes en la contabilidad o en los cobros y pagos
- Por la obligacion legal de proteger informacion ajena a la propia empresa como los datos personales de sus empleados, las condiciones economicas de los proveedores, etc
SAP contempla toda esta problematica implementando un modelo de seguridad que permite proteger de una manera flexible los datos y las operaciones que se hacen sobre ellos.
El esquema esta basado en los siguientes componentes:
- Usuarios: para que un empleado de la empresa tenga acceso a los datos de gestion debe disponer de un codigo de usuario en SAP. Este usuario tendra asignados los roles y perfiles necesarios para poder realizar las tareas que exige su funcion o puesto de trabajo.
- Roles: un rol es el nombre que se le confiere al conjunto de perfiles que le son asignados al usuario para el ejercicio de sus funciones. Un rol puede ser asignado a varios usuarios. Los usuarios pueden tener mas de un rol, esto es util para algunas actividades como la impresion que seran permitidas para la mayoria de los usuarios. Kos cambios a un rol, por lo tanto tienen efecto sobre todos los usuarios. La transaccion para mantenimiento de los roles es la PFCG. Esta es utilizada unicamente por los encargados de mantener la seguridad en el sistema SAP, que pueden ser los administradores del sistema SAP o un grupo separado de estos que se encarga exclusivamente de la seguridad del sistema. Si accedemos a la transaccion SU01 y visualizamos los datos de nuestro usuario de SAP vamos a ver los roles asignados en la pestaña de roles.
- Perfiles: es la descripcion detallada de las posibles acciones que puede realizar un usuario en el sistema. Por cada rol puede existir uno o mas perfiles creados automaticamente por el sistema SAP que van a ser los que efectivamente activan las autorizaciones. Los perfiles tambien pueden crearse manualmente y asignarse a un usuario o se pueden utilizar los perfiles preexistentes. Existen perfiles que vienen en la instalacion del sistema SAP que pueden ser asignados a los usuarios finales y que muchas veces contienen autorizaciones sumamente amplias, como es el caso del perfil SAP_ALL que contiene todas las autorizaciones del sistema. Asignar a un usuario el perfil SAP_ALL constituye un riesgo muy grande en la seguridad del sistema, tienen el control total del sistema, situacion que el cliente en muchas ocasiones tiende a minimizar. Para mantener los perfiles los encargados de seguridad de SAP utilizan la transaccion estandar RZ10. Si accedemos a la transaccion SU01 y visualizamos los datos de nuestro usuario de SAP vamos a ver los perfiles asignados en la pestaña de perfiles.
- Autorizaciones: una autorizacion consiste en una asignacion de valores a los campos de un objeto de autorizacion. Cada autorizacion incorpora permisos para un elemento del sistema. Por ejemplo crearemos una autorizacion para el objeto S_TCODE que tenga el valor FB01 (transaccion correspondiente a la contabilizacion de documentos) para el campo TCODE.
- Objetos de autorizacion: son objetos que se utilizan para validar la autorizacion de un usuario del sistema a acceder a una determinada transaccion, dato, tarea o funcionalidad. Existen objetos de autorizacion estandar del sistema SAP y tambien se pueden crear objetos de autorizcion Z a traves de la transaccion SU21. Los objetos de autorizacion representan lo que queremos proteger y se componen de campos. Cada uno de estos elementos de autorizacion es el elemento minimo que nos permite proporcionar permiso para ejecutar una tarea determinada. Esta tarea puede ser el acceso a una transaccion, a un grupo de transacciones, a un area de ventas, a un grupo de compras, a una planta, a un almacen, entre muchas otras alternativas. Cada area a la cual tiene acceso un usuario se encuentra definida de un campo de autorizacion. Este campo se encuentra en un objeto de autorizacion y ese a su vez en un rol. Todas las tareas (transacciones o elementos de la estructura organizativa) a las que tiene acceso un usuario es porque el permiso para tener acceso a esta parte del sistema esta definido en los objetos de autorizacion que forman uno o mas roles de los que tiene asignado el usuario. Los objetos de autorizacion tambien son utilizados en los programas ABAP, entre otros objetos, para validar el acceso a las funcionalidades.
Sobre el autor
Publicación académica de Mathias Peña, en su ámbito de estudios para el Carrera Consultor Basis NetWeaver.
SAP Senior
Mathias Peña
Profesión: Information Processing Specialist - Uruguay - Legajo: MG82V
✒️Autor de: 43 Publicaciones Académicas
🎓Cursando Actualmente: Consultor Funcional Módulo FI Nivel Avanzado
🎓Egresado de los módulos:
Disponibilidad Laboral: FullTime
