✒️SAP BASIS El concepto de autorización
SAP BASIS El concepto de autorización
Concepto de Autorización
Las autorizaciones son creadas usando roles y perfiles.
Objetos de Autorización y los chequeos
Las acciones y accesos están protegidos a través de los objetos de autorización que están divididos en diferentes clases.
Los objetos de autorización permiten verificaciones complejas que involucran múltiples condiciones para permitir realizar una acción. Las condiciones se especifican en los campos de autorización y son evaluados mediante la condición lógica AND. Se deben cumplir todas las condiciones para que sea exitosa.
Los objetos de autorización y los campos contienen nombres técnicos y descriptivos.
Un objeto de autorización puede incluir hasta diez campos de autorización.
Una autorización sólo se asocia aun objeto de autorización. Una autorización es un permiso para realizar cierta acción en el sistema SAP. La acción se define sobre la base de los valores para cada uno de los campos de un objeto de autorización.
Pueden existir múltiples autorizaciones para un objeto, algunas ya están incluidas en SAP, la mayor parte son creadas por requerimientos.
Cuando se inicia sesión, las autorizaciones son cargadas en el contexto de usuario que se encuentra en el buffer (memoria principal, consultable desde SU56).
SU56: Monitorear número de objetos en el buffer referentes a roles de autorización y perfiles usuarios.
Al llamar una transacción, se verifica la autorización en el contexto. Si se asignan nuevas autorizaciones al usuario, podría ser necesario volver a iniciar según para utilizar las nuevas autorizaciones.
Dependiendo de la transacción, se pueden crear datos o seleccionar acciones. Los datos son enviados al dispatcher, que los envía al WP para que ejecute el procesamiento.
Verificaciones AUTHORITY-CHECK que se ejecutan en el WP son programadas por desarrolladores ABAP para proteger datos y acciones.
Si el contexto contiene todas las autorizaciones (código retorno 0), los datos y acciones se procesan y la pantalla es devuelta al usuario. En caso de faltar alguna autorización, el procesamiento no se realiza y se reciba un mensaje. (retorno diferente a 0)
TODAS LAS AUTORIZACIONES SON PERMISOS. No hay autorizaciones para prohibir.
Todo aquella que no está explícitamente permitido está prohibido. Esto se conoce como concepto de autorización positivo.
Mantenimiento de roles: Menú y Autorizaciones
PFCG: (Profile Generator o Actividades de Grupo) Crear roles con autorizaciones para asignar a usuarios.
Las transacciones que pertenecen a un mismo grupo se seleccionan en el mantenimiento de roles, donde se crean autorizaciones con valores requeridos para los objetos que son verificados en la transacción elegida.
Un rol puede asignarse a varios usuarios. Un cambio en un rol tiene efecto sobre todos los usuarios asignados y se les puede asignar más de un rol.
El menú de usuario se compone del menú de rol y contiene las entradas (transacciones, urls, reportes, etc) asignadas a través de roles.
En PFCG puedes ajustar los roles individuales, insertar o barrar transacciones en el árbol.
Report, integrar reportes, en este caso se encarga de crear códigos de transacción con los que los reportes pueden ser accedidos.
Other, permite agregar direcciones de internet o vínculos a archivos.
Se pueden modificar los menús, incluso utilizar la función Drag&Drop.
En el mantenimiento de roles se crean automáticamente las autorizaciones asociadas con las transacciones especificadas. Todos los valores pueden ser verificados manualmente y ajustados se ser necesario, para que concuerden con los requerimientos y permisos.
En la solapa Authorizations, con el botón Change Authorization Data o Display Authorization Data, se puede ver y modificar el contenido de autorizaciones.
· Luz verde: Valor propuesto para cada uno de los campos
· Luz amarilla: Mantenimiento manual al menos para uno de los campos.
· Luz rojo: Niveles organizacionales no definidos
Podrían faltar campos en el objeto en casos de accesos a archivos externos, donde no se podría determinar el acceso de lectura o lectura/escritura.
Los campos que aparecen en muchas autorizaciones se denominan Niveles Organizacionales, si son editados afectarán todos los objetos contenidos.
Los Niveles Organizacionales son campos determinados por SAP que aparecen en la mayoría de las autorizaciones. Por lo que, dentro de un rol, pueden aparecen muchas veces.
Una vez todas las autorizaciones han sido mantenidas, se puede generar el perfil. Las autorizaciones se combinan y los perfiles se deben ingresar en el registro maestro de usuarios, lo que se denomina Comparación de Registros Maestros de Usuarios (User Master Record Comparission)
Usuarios y Roles
La asignación de roles es con PFCG o en la transacción SU01 para mantenimiento de usuarios.
Los usuarios pueden recibir más de un rol, lo que es útil para actividades como impresión y similares.
Asignar un rol no otorga automáticamente las correspondientes autorizaciones correspondientes. Es necesario realizar una comparación de registros mediante los perfiles son insertados en el registro maestro de usuario.
La comparación determina si los perfiles deben ser agregados o eliminados, basándose en la asignación de roles. Se agregan perfiles si nuevos roles son agregados.
Si la asignación es removida manualmente o se cumpla la fecha de vencimiento, los perfiles son eliminados.
La comparación se realiza por cada rol. Durante una comparación completa, los perfiles obsoletos son elimanados.
Si se van a actualizar múltiples actualizaciones, se puede realizar la comparación en la transacción PFCG o con la transacción PFUD. Donde se pueden seleccionar con * todas las asignaciones o de manera específica.
Se puede activar una comparación periódicamente en Utilities -> Mass Comparison. Con la opción Schedule o Check Jon. El sistema muestra una ventana de búsqueda para el job PFCG_TIME_DEPENDENCY, en caso de no encontrarlo se puede crear. Por defecto los registros serán comparados una vez al día.
Sobre el autor
Publicación académica de Abel Franco Garrido Letelier, en su ámbito de estudios para la Carrera Consultor Basis NetWeaver.
SAP Senior
Abel Franco Garrido Letelier
Profesión: Ingeniero en Infraestructuras - Chile - Legajo: OG36X
✒️Autor de: 40 Publicaciones Académicas
🎓Egresado de los módulos:
Certificación Académica de Abel Garrido
