✒️SAP El modelo de seguridad

Modelo de seguridad en R/3

Es un modelo de seguridad que permite proteger de una manera flexible los datos y las operaciones que se hacen sobre ellos.

En cualquier sistema de gestión de información integrado se guardan datos de diferentes áreas a los que sólo pueden acceder algunos personas. Estas restricciones pueden darse por varios motivos:

• Proteger datos que afecten a la estrategia de la empresa para no ofrecer ventajas a la competencia.
• Evita fraudes en la contabilidad o en los cobros y pagos
• Obligación legal de proteger la información a la propia empresa como los datos personales de sus empleados y las condiciones económicas de los proveedores.

Objetos de autorización:

Estos objetos representan lo que queremos proteger algunos ejemplos son:

• S_TCODE: Protege el código de transacción y contiene un solo campo que es la transacción, este objeto es el mas importante de todos porque todas las operaciones que se hacen en SAP empiezan por el acceso a una transacción.
• S_TABU_DIS: Protección del contenido de tablas de customizing, contiene dos campos que son el grupo de autorizaciones de la tabla (DICBERCLS) a la que se quiere acceder y la ctividad (ACTVT) que se quiere ejecutar (crear, modificar, borrar etc.)
• F_BKPF_BUK: Protección de la contabilización de documentos por sociedad financiera, se compone de dos campos: La sociedad (BUKRS) a cuyos documentos contables queremos acceder y la actividad (ACTVT) que se quiere hacer.

Representación de los siguientes niveles

• Autorizaciones: Es una asignación de valores a los campos de un objeto de autorización.

Ejemplo: crearemos una autorización para el objeto s_tcode que tenga el valor FB01 (transacción correspondiente a la contabilización de documentos) para el campo TCODE

• Perfiles: Es la agrupación de varias autorizaciones que hayamos creado anteriormente, es la unidad mínima de seguridad que le podamos asignar a un usuario.

La única forma de asignar las dos autorizaciones del ejemplo anterior en incluirlas en el perfil que llamaremos CONTABLE e incluir este perfil en los usuarios.

• Grupos de actividad: Son las agrupaciones de transacciones y actividades que se crean con el generador de perfiles, estos grupos contienen internamente perfiles (que a su vez contienen autorizaciones) y se asignan directamente a los usuarios.
• Usuarios: Son códigos los cuales tienen asignados unos grupos de actividad o unos perfiles de autorización (o ambos) para poder realizar las tareas que exige su función o puesto de trabajo.

Existen 5 tipos de usuarios que se pueden definir los cuales son:

1.-Usuarios de diálogo: Son los usuarios finales que necesitan interactuar con el sistema a través del SAP GUI, todos los parámetros de logueo definidos son verificados al iniciar la sesión, así como también las restricciones de login múltiples.

2.-Usuarios de sistema: Son los usuarios no interactivos, estos no pueden loguearse por medio del SAP GUI, comúnmente son usuarios de procesamiento por lote workflow procesos ALE etc, su contraseña solo puede ser cambiada por el administrador de sistemas y se permiten logueos múltiples.

3.-Usuario de comunicación: Son utilizados para comunicación RFC entre sistemas son los comúnmente utilizados para las interfaces con otro sistema SAP, no es posible establecer logueos por parte de los usuarios finales a través del SAP GUI.

4.-Usuario de servicios: Es utilizado por los usuarios que requieren acceso anónimo, no respetan las normas de expiracion de contraseñas y esta solo puede ser cambiada por el administrador del sistema. Las autorizaciones que se le otorguen a este tipo de usuarios deben ser mínimas y restringidas específicamente a la necesidad por la cual se creo este tipo de usuario. El uso de un usuario de servicio no es recomendable ya que pueden loguearse mediante el SAP GUI.

5.-Usuario de referencia: Es muy poco utilizado en general, no admite logon de dialogo y pueden ser utilizados para traspasar sus autorizaciones al usuario que lo tiene como referente.

Mantenimiento de usuarios

Para la creación y mantenimiento de usuarios se utiliza la transacción SU01, pulsando uno de los botones de la barra de la barra de aplicación o escogiendo una de las opciones del menú podemos realizar diversas acciones. Pulsando el botón de anteojos vemos las propiedades de nuestro usuario.

6 pestañas del registro maestro de un usuario

1.-Dirección: Aquí se graban los datos personales, en el campo edición veremos el nombre y como aparecerá en los listados o en otras transacciones.

2.-Datos logon: Es obligatorio indicar una clave inicial con la que accederá el usuario, aunque en su primera conexión se le pedirá que la cambie, también podemos limitar la validez temporal de la contraseña.

3.-Valores fijos: Se define el menú inicial de entrada al sistema, la impresora SAP, algunos parámetros de impresión por defecto el formato en que debe ver el usuario las fechas y los importes en todas las transacciones SAP. La fecha y los importes es vital para empresas multinacionales que tienen empleados en diversos países.

4.-parámetros: Existe la posibilidad de asignar parámetros por defecto para la multitud de campos de todos los módulos de SAP. Si un empleado sólo realiza entradas de mercancía en el centro 1000, es muy útil asignarle ese valor en el parámetro correspondiente consiguiendo que en todas las pantallas de R/3 en el que aparezca el campo centro se encuentre relleno automáticamente con el valor 1000.

5.-Perfiles:

6.-Grupos: A la hora de descentralizar el mantenimiento de un número enorme de usuarios debemos agruparlos asignándoles la pertenencia a uno o varios grupos. De esta manera podemos autorizar a diversos administradores a gestionar los usuarios que pertenezcan a determinados grupos.

Generador de perfiles

Incluye una base de datos que relaciona cada una de las transacciones de R/3 con los objetos que comprueba. Para crear un papel (administración de roles) usamos la transacción PFCG (papeles o grupos de autorización).

Una vez ingresada la transacción pulsamos el botón crear, mostrara cuatro pestañas siguientes:

• Descripción: Aquí sólo colocamos una descripción corta del papel y también podemos completar el campo de descripción inferior en el que podemos indicar instrucciones sobre a quien se debe asignar este perfil o cual es su función específica.
• Menú: El botón menú muestra los botones de transacción, informe y dirección web, esto quiere decir que al usuario al que se le asigne este perfil podrá ejecutar la transacción FB01 (creación de asientos contables) pero aún no se ha determinado para que sociedades financieras cuentas o deudores podrá hacerlo.
• Autorizaciones: Son cuatro los objetos de la gestión financiera los que chequea esta transacción y habrá que dar los valores correspondientes para el grupo de actividad.
• Usuario: Después de completar la grabación del grupo, tenemos la posibilidad asignárselo a uno o varios usuarios, cuando tenemos en pantalla los semáforos de menú y autorizaciones en verde quiere decir que los pasos anteriores se han procesado correctamente.