✒️SAP BASIS El concepto de autorización

Las autorizaciones de los usuarios se crean usando roles y perfiles, un administrador crea los roles y el sistema proveerá el soporte para la creación de las autorizaciones asociadas.

1.- Los objetos de autorización y los chequeos de autorización

Para entender el concepto de autorizaciones en SAP se necesita el conocimiento de rol y perfil de autorización en el maestro de usuario.

Las acciones y accesos se protegen mediante objetos de autorización que se encuentran en el sistema. Estos objetos se encuentran divididos en diferentes clases para facilitar su organización

Los objetos de autorización permiten verificaciones complejas con varias condiciones para permitir al usuario realizar una acción. Estas condiciones se especifican en los campos de autorización para el objeto de autorización y los mismos se evalúan mediante la condición lógica AND (debe cumplir todas las condiciones para que sea exitosa la verificación).

Los objetos de autorización contienen nombres técnicos y descriptivos.

Ejemplo, el objeto de autorización User Master Maintenance: User Groups (nombre técnico: S_USER_GRP) contiene dos campos de autorización: Actividad (nombre técnico: ACTVT) y User Group in User Master Record (nombre técnico: CLASS).

El objeto S_USER_GRP protege el registro maestro de usuario.

Un objeto de autorización puede incluir hasta diez campos de autorización.

Una autorización siempre se asocia con solo un objeto de autorización y se forma por los valores de varios campos del objeto. El objeto es un básicamente un permiso para realizar acciones en el sistema SAP.

Una acción es definida sobre los valores de cada campo del objeto de autorización.

Pueden existir varios campos de autorizaciones para un objeto de autorización, algunas ya están incluidas en el sistema. Pero la mayoría son creadas específicamente.

Cuando un usuario se loguea al sistema, los objetos de autorización del usuario son cargados en el contexto de usuario (que se encuentra en el buffer o memoria principal) y el cual se puede consultar desde la transacción SU56.

Transacción SU56: Permite el monitoreo de numero de objetos que están en el buffer referentemente a los roles de autorización y perfiles de usuario.

Cuando se llama la transacción, el sistema verifica que el usuario tenga la autorización en el contexto de usuario y así poder acceder a la transacción. Las verificaciones de autorización utilizan las autorizaciones que existen en el contexto de usuario. Si se asigna una nueva autorización se requerirá que el usuario vuelva a loguearse al sistema.

Si la verificación es exitosa, el sistema mostrará la pantalla inicial de la transacción, y dependiendo de la transacción el usuario podrá crear datos o seleccionar acciones.

Si el usuario realiza una acción, estos datos se enviarán al dispatcher que los pasara a un work process para ejecutarlo.

El AUTORITY-CHECK es la verificación que se realizara durante la ejecución en el work process dentro del código por los desarrolladores ABAP para proteger los datos y acciones.

Si el contexto de usuario tiene todas las autorizaciones, la verificación enviará un código de retorno = 0, pero si falta una autorización requerida el procesamiento no se realiza y el usuario recibirá un mensaje de error por las autorizaciones.

Todas las autorizaciones son permisos, no existen autorizaciones para prohibir.

Todo aquello que no está explícitamente permitido está prohibido. “ - A esto se le conoce como concepto de autorización positivo.

2.- El mantenimiento de roles: menú y autorizaciones

El mantenimiento de los roles transacción PFCG (Profile Generator o Actividades de Grupo) simplifica la creación de autorizaciones y sus respectivas asignaciones a los usuarios

Transacción PFCG: Se utiliza más en cuanto a seguridad del sistema ya que en ella se crean los roles con las autorizaciones que luego serán asignadas a los usuarios.

En el mantenimiento de roles crea las autorizaciones con los valores de campos requeridos para los objetos que serán verificados en la transacción elegida.

Un Rol puede ser asignado a varios usuarios y estos al cambiarse tendrán efecto sobre todos los usuarios a quienes se les pueden asignar más de un Rol.

El menú de usuario se compone del menú de rol y contiene las entradas (transacciones, URLs, reportes, etc.) que se asignan a los usuarios a través de roles.

Puedes acceder al mantenimiento de estos desde la transacción PFCG o desde la pantalla inicial Tool -> Administration -> User Maintenance -> Role Administration -> Roles.

1. Selecciona y modifica las funciones: En el árbol del menú se pueden realizar ajustes para los roles individuales. Se pueden insertar o borrar transacciones en el árbol de transacciones. Si se selecciona el botón Report puedes integrar reportes (programas ABAP). La transacción PFCG se encarga de crear los códigos de transacción en el cual los reportes luego pueden ser accedidos. Si seleccionamos el botón Other es posible agregar direcciones de internet o vínculos a archivos.
2. Modificación de Menús: Podemos crear, mover, borrar y renombrar directorios y sub-directorios si es necesario.

La función Drag&Drop se puede utilizar también.

El mantenimiento de los roles automáticamente crea las autorizaciones que están asociadas con las transacciones especificadas en el árbol del menú. Todos los valores de autorización deben de ser verificadas manualmente y ajustados si fuese necesario para que concuerden con los requerimientos y permisos que se deben otorgar con el rol.

Selecciona la solapa Autorrizations -> Change Autorization Data o Display Autorization Data esto dependerá del modo que trabajemos en la transacción PFCG.

En la pantalla se podrá ver y modificar el contenido de las autorizaciones, o los valores propuestos para los campos del objeto.

El significado de los indicadores es:

• Luz verde: El objeto de autorización tiene un valor propuesto para cada uno de los campos.
• Luz amarilla: El objeto de autorización necesita mantenimiento manual al menos para uno de los campos.
• Luz roja: Los niveles organizacionales no están definidos.}

La falta de un valor propuesto por PFCG para algún campo del objeto de autorización puede ser por ejemplo en los accesos a archivos externos donde no se puede determinar si el acceso será de lectura o de lectura/escritura.

Unos campos aparecen en muchas autorizaciones por lo que esots campos se denominan Niveles Organizacionales y estas se editan utilizando el botón Organizational levels, y los cambios afectarán a todos los objetos de autorización que los contienen.

Los Niveles Organizacionales son campos determinados por SAP en el Concepto de Autorización que se refieren a la estructura de la compañía. Estos campos aparecen en la mayoría de las autorizaciones. Por lo tanto, dentro de un rol estos campos pueden aparecer muchas veces. El botón Organizational levels… en la transacción PFCG facilita su mantenimiento.

Una vez que las autorizaciones han sido mantenidas como se requiere, el perfil de autorización puede ser generado mediante el botón Generate. Las autorizaciones se combinarán en un perfil y estos deben ingresarse en los registros maestros de usuarios (Comparación de Registros Maestros de Usuarios o User Master Record Comparassion).

3.- Los usuarios y roles

La asignación de usuarios a roles se realiza mediante la transacción PFCG (mantenimiento de roles) o en la transacción SU01. Seleccionamos la solapa User y los ID de usuarios a los que se les asignará el rol.

Los usuarios pueden recibir más de un rol, y es útil para algunas actividades (como impresión) que serán permitidas para la mayoría de los usuarios.

La asignación de roles a los usuarios no quiere decir que tengan automáticamente las correspondientes autorizaciones a los usuarios. Es necesario realizar una comparación de registros de usuarios mediante la cual los perfiles de los roles son insertados en el registro maestro de usuario.

La comparación de registros maestros de usuario determinara si los perfiles deben ser agregados o eliminados del usuario basándose en la asignación de roles.

Durante la comparación se agregarán perfiles al maestro de usuarios si nuevos roles son agregados.

Si esta asignación de rol es removida manualmente o porque se cumple la fecha de vencimiento del rol para el usuario, los perfiles correspondientes se eliminan del registro maestro de usuario.

La comparación se puede realizar por cada rol individualmente, seleccionado el rol den la función de mantenimiento de roles en la solapa User y luego seleccionando User comparison. En la siguiente venta se seleccionará Complete comparison.

Para más información seleccionamos el botón de información en la transacción PFCG y el mismo botón en la comparación de maestros de usuarios.

Durante una comparación completa, los perfiles obsoletos se eliminarán.

Si múltiples asignaciones de roles van a ser actualizada, puedes realizar la comparación en la transacción PFCG seleccionando Útiles -> Mass comparsion o llamando a la transacción PFUD.

Se puede seleccionar los roles que deseemos o actualizar todas las asignaciones si ingresas el carácter asterisco (*).

También se puede activar una comparación de registros maestros de usuarios periódicamente si seleccionas Utilities -> Mass comparison. Seleccionamos la opción Schedule o Check job for full reconciliation. El sistema mostrara una ventana de búsqueda para el job PFCG_TIME_DEPENDECY.

Si no encuentra el job, se puede crear uno.

Es importante preparar con tiempo los permisos para la asignación de roles. No se pueden crear los roles al instante de que un sistema se libere a productivo ya que puede haber inconsistencias en las autorizaciones de los usuarios.

Lo mejor sería crear los roles en desarrollo, transportarlos y que los usuarios testeen cada uno de los roles para verificar las autorizaciones y los bloqueos.

Esta es buena práctica para que se mantenga mejor la autorización a los usuarios.