✒️SAP El modelo de seguridad

Gestión de usuarios y autorizaciones
Modelo de seguridad en R/3
Permite proteger de una manera flexible los datos y las operaciones que se hacen sobre ellos.
El acceso a datos de diferentes áreas en cualquier sistema de gestión de información integrado, sólo será de algunas personas. La restricción se puede dar por:
• Proteger datos que afecten a la estrategia de la empresa para no ofrecer ventajas a la competencia.
• Evitar fraudes en la contabilidad o en los cobros y pagos.
• Obligación legal de proteger información ajena a la propia empresa como los datos personales de sus empleados, las condiciones económicas de los proveedores.
SAP implementa un modelo de seguridad que protege de una manera flexible los datos y las operaciones que se hacen sobre ellos. El esquema está basado en los siguientes componentes:
Objetos de autorización>Campos(representan lo que queremos proteger). Ejemplos:
• S_TCODE: protege el código de transacción (único campo). Es el más importante, ya que todas las operaciones empiezan por el acceso a una transacción.
• S_TABU_DIS: protección del contenido de tablas de customizing. Dos campos (son el grupo de autorizaciones), de la tabla a la que se quiere acceder (DICBERCLS), y la actividad que se quiere ejecutar <crear, modificar, borrar> (ACTVT)
• F_BKPF_BUK: protege la contabilización de documentos por sociedad financiera. Dos campos, la sociedad a cuyos documentos contables queremos acceder (BUCKRS) y la actividad que se quiere hacer (ACTVT).
Maestros de usuarios>Grupos de actividad>Perfiles>Autorizaciones (estructura modular que va desde la autorización simple sobre un único objeto de autorización hasta el maestro de usuarios que son los que acceden al sistema).
• AUTORIZACIONES: consiste en una asignación de valores a los campos de un objeto de autorización.
• PERFILES: Unidad mínima de seguridad que se le puede asignar un usuario. Agrupación de varias autorizaciones que se hayan creado anteriormente.
• USUARIOS: para tener acceso a los datos de gestión de la empresa se debe disponer un código de usuario en SAP. Tendrá asignados unos grupos de actividad o unos perfiles de autorización (o ambos) para poder realizar las tareas que exige su función o puesto de trabajo. Tipos de usuarios:
1. de Diálogo (Dialog users): acceso normal de los usuarios finales que necesitan interactuar con el sistema a través del SAPGUI, los parámetros de logueo definidos son verificados al iniciar sesión, así como las restricciones de loguins múltiples.
2. del Sistema (System Users): usuario no interactivo, no pueden loguearse a través del SAPGUI al sistema. Son utilizados como usuarios de procesmiento por lotes, workflow, procesos ALE. Su contrasena sólo puede ser cambiada por el administrador de sistema y permite logueos múltiples. Uso interno dentro del mismo sistema.
3. de Comunicación (Communication Users): para comunicación RFC entre sistemas, para interfaces con otros sistemas SAP, no permite logueos de usuarios finales a través del SAPGUI.
4. de Servicio (Service User): utilizado por parte de los usuarios que requieren acceso anónimo, no respetan las normas de expiración de contrasena y sólo puede ser cambiada por el administrador del sistema. Las autorizaciones que se otorgan son mínimas y restringidas especificamente a la necesidad por la que se creo el usuario.. No es recomendable., salvo necesidad específica, ya que son logoneables mediante SAPGUI.
5. de Referencia (Reference User): es poco usado. No admiten logons de diálogo y pueden ser utilizados para traspasar sus autorizaciones al usuario que lo tiene como referente.

Mantenimiento de usuarios
SAP dispone de la Transacción SU01 para la creación y mantenimiento de los usuarios.
Transacción SU01: utilizada para la administración de los usuarios del sistema SAP.
Para hacer diversas acciones (crear, modificar, cambiar clave acceso, bloquear, etc.) se escribe el código del usuario y pulsando uno de los botones de la barra de aplicación o escogiendo una de las opciones del menú de usuario. Con el ícono de los anteojos podemos ver las propiedades de nuestro usuario en el sistema. El registro maestro de un usuario esta compuesto por seis pestanas importantes, que son:
• Dirección: para grabar datos personales (nombre, apellidos, departamento, teléfono). En el campo edición se verá el nombre y como aparecerá en los listados o en otras transacciones.
• Datos logon: indicar una clave inicial con la que accederá el usuario es obligatorio, aunque en su primera conexión se le pedirá que la cambie. Se puede limitar la validez temporal, teniendo a usuarios que sólo accedan hasta determinada fecha.
• Valores fijos: se define el menú inicial de entrada al sistema, la impresora SAP, algunos parámetros de impresión por defecto, el formato en que debe ver el usuario las fechas y los importes en todas las transacciones SAP. (Ésta opción y la del uso horario, es vital para empresas multinacionales que tienen empleados en diversos países.
• Parámetros: se pueden asignar parámetros por defecto para multitud de campos de todos los módulos de SAP.
• Perfiles: las operaciones a las que está autorizado un usuario vienen determinadas por los valores que le ponemos en estas dos pestanas. Le anadimos perfiles al asignarles un papel, pero podemos incluir perfiles manualmente. (Esta posibilidad se conserva por compatibilidad con versiones anteriores, pero no es el modo de trabajo desde la versión 4.6A).
• Grupos: en el momento de descentralizar el mantenimiento de un número enorme de usuarios debemos agruparlos asignándoles la pertenencia a uno o varios grupos. Así, podemos autorizar a diversos administradores a gestionar los usuarios que pertenezcan a determinados grupos.

Generador de perfiles
Éste existe desde la versión 3.1G de R/3 debido a la complejidad que supone la creación manual de perfiles y autorizaciones.
La ventaja más destacable para el administrador es que ya no necesita conocer o investigar la funcionalidad de las transacciones que incluyen en los perfiles de usuario.
Incluye una base de datos que relaciona cada una de las transacciones de R/3 con los objetos que comprueba.
Transacción PFCG: se utiliza para la administración de Roles (Papeles o Grupos de Autorización).
Para crear un papel se pulsa el botón crear, en la pantalla veremos las diferentes partes de la creación de un grupo de actividad repartidas en cuatro pestanas.
Descripción: en esta rellenamos únicamente una descripción corta del papel y en el campo de descripción inferior se puede indicar instrucciones sobre a quien se debe asignar este perfil o cual es su función específica.
Menú: hay botones para incluir transacciones, informes o direcciones web en el grupo de actividad
Transacción FB01: se utiliza para la creación de asientos contables.
Autorizaciones: se obtiene la pantalla de asignación de valores a los objetos de autorización (sin determinar las sociedades, cuentas o deudores).
La transacción FB01 chequea cuatro objetos de la gestión financiera y habrá que dar los valores correspondientes para el grupo de actividad.
Después de completar la grabación del grupo, se puede asignar a uno o varios usuarios. Al tener en las pestanas menú y autorizaciones los semáforos en verde, significa que se han procesado correctamente. Y es cuando en la tabla de usuarios podemos poner los códigos (el nombre nos lo rellena el propio programa) a los que queremos incluir el papel y la fecha de validez de la asignación.

Agradecimiento:

Ha agradecido este aporte: Marcela Salazar Angel