✒️SAP El modelo de seguridad
SAP El modelo de seguridad
Lección 9: Gestión de usuarios y autorizaciones
1. Modelo de seguridad en R/3
En cualquier ERP se guardan datos de diferentes áreas a los que sólo pueden acceder algunas personas. Estas restricciones responden, entre otros motivos, a:
- Proteger datos sobre la estrategia de la empresa para no ofrecer ventajas a sus competidores.
- Evitar fraudes contables, de cobros o pagos.
- Obligación legal de proteger información confidencial sobre los empleados, condiciones económicas de proveedores, entre otros.
El modelo de seguridad implementado por SAP para dar respuesta a esta problemática, consiste en un esquema basado tanto en objetos de autorización como las autorizaciones y perfiles de usuario.
Los objetos de autorización se componen por campos. Entre ellos se encuentran:
- S_TCODE: protege el código de transacción y contiene un único campo, el de la transacción.
- S_TABU_DIS: protección del contenido de las tablas de customizing. Contiene dos campos, el grupo de autorizaciones de la tabla (DICBERCLS) a la que se quiere acceder y la actividad (ACTVT) que se quiere ejecutar (crear, modificar, borrar..)
- F_BKPF_BUK: protección de la contabilización de documentos por sociedad financiera. Se compone de dos campos; la sociedad (BUKRS) a cuyos documentos contables se quiere acceder y la actividad (ACTVT) que se quiere hacer.
Por su parte, en el caso de los usuarios existen los siguientes niveles:
- Autorizaciones: consiste en una asignación de valores a los campos de un objeto de autorización. Por ejemplo, podría crearse una autorización para el objeto S_TCODE con valor FB01 (Transacción correspondiente a la contabilización de documentos) para el campo TCODE.
- Perfiles: es la agrupación de varias autorizaciones creadas anteriormente. Es la unidad mínima de seguridad asignable a un usuario. Para asignar dos autorizaciones a un usuario, debe crearse un perfil e incluir el mismo en los usuarios.
- Grupo de actividad: agrupaciones de transacciones y actividades que se crean con el generador de perfiles. Los grupos de actividad contienen internamente perfiles (que a su vez contienen autorizaciones) y se asignan directamente a los usuarios.
- Usuarios: Para que un empleado tenga acceso a los datos de gestión de la empresa debe disponer de un código de usuario en SAP. El usuario tendrá asignados unos grupos de actividad o unos perfiles de autorización (o ambos) para poder realizar las tareas que exige su función o puesto de trabajo.
En SAP existen 5 tipos de usuarios que se pueden definir:
- Usuarios de diálogo: Usurios finales que interactúan con el sistema a través de SAP GUI.
- Usuarios del sistema: Usuarios no interactivos (No acceden a través de SAP GUI al sistema). Comúnmente son utilizados como usuarios de procesamientos por lote, workflow, procesos ALE, etc. Su contraseña sólo puede ser cambiada por el administrador del sistema y se permiten accesos múltiples.
- Usuario de comunicación: Utilizados para comunicación RFC entre sistemas. No acceden a través de SAP GUI.
- Usuario de servicio: Acceso anónimo. Autorizaciones restringidas para funciones específicas.
- Usuarios de referencia: Sin acceso desde SAP GUI. Traspasan autorizaciones a usuario que lo tiene como referente.
2. Mantenimiento de usuarios
Para la creación y mantenimiento de usuarios se utiliza la transacción SU01.
Desde esta transacción pueden realizarse diversas acciones como crear, modificar, cambiar clave de acceso, bloquear, etc.
Al hacer clic en el botón de anteojos, se muestran las propiedades del usuario en el sistema. Las pestañas más importantes que componen el registro maestro de un usuario son:
- Dirección: Datos personales.
- Datos logon: se indica la clave de acceso al usuario.
- Valores fijos: se define el menú inicial de entrada al sistema, la impresora SAP, parámetros de impresión por defecto, formato de fechas e importes en todas las transacciones SAP.
- Parámetros: permite configurar por defecto una multitud de campos en todos los módulos de SAP. Por ejemplo, para un usuario que siempre realiza entradas de mercancía en el centro 1000, se asigna ese valor en el parámetro correspondiente, con lo que todas las pantallas de R/3 tendrán relleno automáicamente ese campo cuando el mismo aparezca.
- Perfiles: determina las operaciones a las que está autorizado un usuario.
- Grupos: permiten asignar una determinada cantidad de usuarios para que sean gestionados por diversos administradores.
3. Generador de perfiles
Gracias al generador de perfiles (existente desde la versión 3.1G de R/3), el administrador del sistema ya no necesita conocer o investigar la funcionalidad de las transacciones que incluyen en los perfiles de usuario.
Dicho generador incluye una base de datos que relaciona cada una de las transacciones R/3 con los objetos que comprueba
Sobre el autor
Publicación académica de Eladio Fernando Zambrano Santafe, en su ámbito de estudios para el Carrera Consultor Basis NetWeaver.
SAP Senior
Eladio Fernando Zambrano Santafe
Profesión: Licenciado en Contaduría Pública - Portugal - Legajo: JZ67J
✒️Autor de: 36 Publicaciones Académicas
🎓Egresado del módulo:
Certificación Académica de Eladio Zambrano
Disponibilidad Laboral: FullTime 
