✒️SAP El modelo de seguridad

Curso: Introducción a SAP.

Unidad 2. SAP GUI y los servicios del sistema SAP.

Lección 9. Gestión de usuario y autorizaciones.

1. Modelo de seguridad de SAP R/3

En cualquier sistema de gestión de información integrado, se guardan diferentes datos de diferentes áreas, a las que pueden acceder, ciertos usuarios. Tales restricciones responden a distintos motivos, a saber:

• Proteger datos estratégicos de la empresa, para no ofrecer ventajas a la competencia.
• Evitar fraudes en la contabilidad o en los pagos y cobros.
• Obligación legal de proteger información, ajena a la empresa, de terceros.(Empleados, Proveedores, Etc.)

SAP ofrece un sistema de seguridad R/3, flexible en el manejo de datos y operaciones que se realizan sobre ellos.

El esquema de tal sistema de seguridad, se basa en los siguientes componentes:

Ver imagen 1.1. Modelo de seguridad de SAP R3

Lo que se desea proteger:

OBJETOS DE AUTORIZACIÓN ===> CAMPOS

Los RRHH que deben proteger intereses de la empresa:

MAESTRO DE USUARIOS ===> GRUPOS DE ACTIVIDAD ===> PERFILES ===> AUTORIZACIONES

Del lado de los intereses a defender, se encuentran los objetos de autorización que se componen de campos. Entre tales objetos de autorización:

--> S_TCODE. Protege el CÓDIGO de TRANSACCIÓN, conteniendo un uno CAMPO, el de la TRANSACCIÓN. Muy importante porque todo acceso al sistema SAP, se hace a través de una transacción.

--> S_TABU_DIS. Este obj de autorización, protege el contenido de tablas de configuración o customizing. Posee dos campos:

a) Grupo de autorizaciones de la tabla: DICBERCLS, a la que que se quiere acceder.

b) La actividad, ACTVT, que se quiere realizar(crear, modificar, borrar)

--> F_BKPF_BUK. Obj. de autorización, que protege la contabilización de documentos, por sociedad financiera. Posee dos campos:

a) BURK S. Es la SOCIEDAD, a cuyos documentos contables, deseamos acceder.

b) ACTVT. La actividad que deseamos realizar.

Del lado de los RRHH que se responsabilizan en esa protección(Tal estructura va desde una simple autorización sobre un único objeto a proteger, hasta el maestro usuarios, que son los que acceden al sistema:

--> AUTORIZACIONES. Una autorización consiste en una asignación de valores, a los campos de un objeto de autorización.

Ej.: Se crea una autorización para el objeto de autorización, S_TCODE(que posee un solo campo, el código de la transacción), en cuyo campo TCODE, colocamos FB01, que es el código de la transacción Contabilización de documentos.

--> PERFILES. Perfil es un agrupamiento de autorizaciones, creadas anteriormente y se constituye en la unidad mínima de seguridad que se le asigna a un usuario.

Así el ejemplo, de las dos autorizaciones, es incluirlas en un perfil, que llamaremos CONTABLE, e incluir este perfil en los usuario que correspondan.

--> GRUPOS DE ACTIVIDAD. Son las agrupaciones de transacciones y actividades que se crean con el GENERADOR de PERFILES. Los grupos de actividades, contienen, internamente, PERFILES(que a su vez contienen AUTORIZACIONES), se asignan directamente a los usuarios.

--> USUARIOS. Los RRHH de la empresa, deben tener un código de usuario de SAP, para acceder a información de la empresa.

Así pues, cada usuario deberá disponer unos grupos de ACTIVIDAD o PERFILES de AUTORIZACIÓN o ambos, para poder desarrollar su responsabilidad dentro de la empresa.

Hay 5 tipos de USUARIOS, a saber:

1. Usuarios de diálogo. Es el más generalizado, porque son aquellos que requieren interactuar con el sistema, al usa SAP GUI. Todos los parámetros de logueo, cuando inician sesión SAP GUI, son verificados, como también las restricciones de login múltiple.
2. Usuarios de sistemas. Son usuarios no interactivos, entonces no pueden loguearse, através de SAP GUI, al sistema. Su misión:procesamiento de datos por lotes o workflow. Su contraseña, solo es cambiada por el administrador y se permiten logueos múltiples.
3. Usuarios de comunicación. Para comunicación RCP entre sistema SAP. No se les permite el logueo, a través de SAP GUI, al sistema.
4. Usuario de servicios. Son aquellos que tienen acceso anónimo y su contraseña, solo la modifica el administrador de sistema y tienen autorizaciones mínimas, respondiendo a la razón por la que son anónimos. Pueden loguearse a través de SAP GUI, al sistema.
5. Usuario de referencia. Poco usual, no admite logon de diálogo y pueden traspasar sin autorizaciones, información al usuario que tienen como referencia.

2. Mantenimiento de usuarios

La transacción SU01 estándar, permite la creación y mantenimiento de usuarios, en el sistema SAP y entre sus tareas:

> Administrar usuarios, grupos de usuarios y roles

> Asignar roles a usuarios o grupos de usuarios

> Bloquear o desbloquear usuarios

> Altas, bajas o modificación de claves de acceso al sistema.

Ver imagen 2.1. Ingresando SU01, aparece esta pantalla, en la que usando los botones o ingresando al menú usuario, se puede: crear, modificar, cambiar clave de acceso, bloquear, etc.

Si pulsamos el botón de los anteojitos, podemos acceder a las propiedades de nuestros usuario en el sistema.

Las 6 pestañas más importantes, del registro maestro de usuario, son:

==> Dirección. Acá se dispone la información general del usuario.

==> Datos Logon. Es obligatorio indicar una clave inicial, aunque luego de acceder por primera vez, se le solicite cambiarla. También, se puede temporalizar la validez de la clave de algún usuario, como por ejemplo, final de un contrato. Ver imagen 2.3.

==> SNC

==> Valores fijos. En esta pantalla SAP, definimos el menú inicial de entrada al sistema, la impresora, algunos parámetros de impresión por defecto, el formato de las fechas, que verá el usuario y los importes de todas las transacciones SAP. Las opciones Importes y huso horario, son fundamentales para las empresas multinacionales que tienen empleados en varios países. Ver imagen 2.4.

==> Parámetros. Existe la posibilidad de asignar parámetros fijos o por defectos, para una multitud de campos de todos los módulos SAP.

Si por ejemplo, un empleando normalmente ingresa al centro 1000, es útil asignarle ese valor al campo correspondiente, de modo que toda vez que esté en la pantalla del centro, el campo del mismo tenga el valor 1000.

==> Perfiles y Roles. Las actividades a las que un usuario está autorizado, están determinadas por los valores que se dispongan en estas dos pestañas. Al asignarles un rol, un papel, también asignamos perfiles, aunque existe la posibilidad de incluir perfiles, manualmente.

Esta posibilidad se conserva, para compatibilizar versiones anteriores de R/3, pero desde la versión 4.6., ya no se trabaja así.

==> Grupos. Al descentralizar el mantenimiento de una cantidad grande de usuarios, se los asigna a uno o varios grupos, de pertenencia, con el fin de que los administradores puedan realizar ese trabajo. Ver imagen 2.7.

3. Generador de perfiles.

Dada la complejidad que implica generar manualmente usuarios y autorizaciones, la versión 3.1G de R/3, cuenta con un Generador de perfiles.

Las ventajas para los administradores son múltiples,l pues no necesita conocer o investigar la funcionalidad de las transacciones que incluyen los perfiles de usuarios. El Generador de Perfiles, cuenta con una BD que relaciona c/u de las transacciones de R/3 con los objetos que verifica.

Con la transacción PFCG, podemos crear papeles(roles), cuya pantalla cuyo título es "Actualización de papeles" muestra una campo de selección, para el grupo de actividades, en el ejemplo: Contable. Otra ventana, para incorporar una breve descripción. Luego 4 comando para decidir: visualizar, Modificar, Crear y País.

En cuanto a que visualizar:

Simple mantenimiento (workplace menu maintenance)

Actualización Básica (menú, perfiles, otros objetos)

Vista global (gestión de organización y workflow)

PFCG es la transacción para administrar roles (papeles y grupos de autorización)

Pulsando el botón crear, la ventana de creación de grupo de actividad, posee 4 pestañas, a saber:

Descripción. Aparece una casilla de selección, ROL, en que se asienta el grupo de actividad, en observación.; en descripción se hace la hace breve. En el plano de trabajo(parte inferior de la ventana) se puede informar sobre a quién asignar este perfil o cual es su función específica.

Menú. En esta pantalla, observamos que con los botones presentes se pueden incluir transacciones, informes o direcciones web, en el grupo de actividad.(Contable). En el ejemplo, se ha incluido la transacción "Contabilizar documentos" del módulo FI.

Así pues, el usuario autorizado podrá usar la transacción FB01(para la creación de asientos contables), pero, aún, falta determinar las sociedades financieras, cuentas o deudores, a los que podrá acceder.

Autorizaciones. Este comando nos presenta una pantalla para la asignación de valores a los objetos de autorización. Imagen 3.4.

La transacción FB01, chequea 4 objetos de gestión financiera y habrá que dar los valores correspondientes para el grupo de actividad.

Finalmente, luego de la grabación(guardado), existe la posibilidad de asignarselo a uno o varios usuarios.

En la pantalla las pestañas que estén verdes, nos indicará que los pasos anteriores se han cumplimentado correctamente.

Es en ese momento que podemos colocar los códigos de usuario, en la tabla usuario, en la que el nombre lo rellena el propio programa y debemos incluir el papel y fecha de validez de la asignación.

EJERCICIO

Ejercicio de Práctica: Indicar V (Verdadero) o F (Falso) debajo de cada afirmación según corresponda:

1-Para realizar en SAP la creación y el mantenimiento de usuarios utilizamos la transacción SB01.

FALSO

2-Los parámetros por defecto evitan que tengamos que cargar en forma manual en las diferentes pantallas de SAP los valores de un campo particular.

VERDADERO

3-Los administradores del sistema SAP pueden asignar perfiles a un usuario de modo de especificar las operaciones a las que está autorizado.

VERDADERO