✒️SAP BASIS El concepto de autorización
SAP BASIS El concepto de autorización
EL CONCEPTO DE AUTORIZACION
Las autoriazciones de los usuarios son creadas usando roles y perfiles. Los administradores crean los roles y el sistema provee el soporte para la creacion de las autorizaciones asociadas.
1) Los objetos de autorizacion y los chequeo de autorizacion.
Para facilitar un poco la organizacion los objetos de autorizacion estan divididos en diferentes clases.
Perminte verificaciones complejas que involucran multiples condiciones que permiten a un usuario realizar una accion. Deben cumplir todas las condiciones para que la verificacion de autorizacion sea exitosa.
Los objetos de autorizacion y los campos que contiene tienen nombres tecnicos y descriptivos.
El objeto de autorizacion protege el registro maestro de usuario justamente. Un objeto de autorizacion puede incluir hasta diez campos de autorizacion.
Es posible que existan multiples autorizaciones para un objeto de autorizacion. Algunas autorizacion ya estan incluidas en el sistema por SAP, pero la mayor parte son creadas especificamente por requerimientos de los clientes.
Cuando un usuario se logea a un cliente de un sistema SAP, sus autorizaciones son cargadas en el contexto de usuario. El contexto de usuario se encuentra en el buffer (en la memoria principal, se puede consultar mediante la transaccion SU56) del servidor de aplicacion.
Si el usuario llama a la transaccion, verifica la autorizacion, si no esta autorizado y lo pide al administrador, y finalmente se le autoriza para ingresar a esa transaccion, tiene que loguearse nuevamente al sistema SAP. Si el contexto de usuario contiene todas las autorizaciones requeridas para la verificacion (codigo de retorno =0), los datos y acciones son procesadas, y la proxima pantalla es devuelta al usuario. Si falta alguna autorizacion, nos enviara un mensaje que las autorizaciones no son suficientes.
TODO AQUELLO QUE NO ESTA EXPLICITAMENTE PERMITIDO ESTA PROHIBIDO. Esto es lo que se conoce como concepto de autorizacion positvo.
2)El mantenimiento de roles: menu y autorizaciones.
El mantenimiento de Roles (transaccion: PFCG, es una de las mas utilizadas en cuanto seguridad del sistema dado que mediante la misma se crean los roles con las autorizaciones que luego seran asignada a los usuarios.) simplifica la creacion de autorizacion y sus respectivas asignaciones a los usuarios.
Un rol puede ser asignado a varios usuarios. Por lo tanto si hay un cambio de un rol afecta a todos estos usuarios. Y pueden ser asignados a mas de un rol.
Se puede acceder el mantenimiento de roles con la transaccion PFCG o mediante el menu de la pantalla inicial del sistema en Tools->Administration->User Maintenance->Role Administration->Roles. Ingresa el nombre del rol y presiona el boton Create o Change. Selecciona la solapa Menu.
Modificacion de funciones: En el arbol de menu se pueden realiza ajustes de roles individuales. Se pueden insertar o borrar transacciones en el arbol de transacciones.
Si se selecciona el boton Report, puedes ingresar un reporte (programa ABAP). En este caso la transaccion PFCG se encarga de crear los codigos de transaccion con el cual los reportes pueden ser accedidos.
Si se selecciona el boton Other, es posible agregar direcciones de internet o vinculos a archivos.
Modificaciones de Menus: Podemos crear, mover, borrar y renombrar directorios y sub-directorios si es necesario.
El mantenimiento de roles automaticamente crea autorizaciones dependiendo de la transaccion especificas en el arbol del menu. De todas formas se tiene que verificar manualmente y ser ajustado si es necesario para que concuerde con los requerimientos y permisos que se deben otorgar con el rol.
Seleccionar la solapa Authorizations y luego el boton Change Authorization Data o Display Authorization Data, dependiendo en cual modo estemos trabajando en la transaccion PFCG.
En esta pantalla podemos ver y modificar las autorizaciones.
El significados de los indicadores:
- Luz verde: El objero de autorizacion tiene un valor propuesto para cada uno de los campos.
- Luz amarilla: El objeto de autorizacion necesita mantenimiento manual al menos para uno de los campos.
- Luz roja: Los niveles organizacionales no estan definidos.
¿Que son los niveles organizacionales?
Son campos determinados por SAP en el Concepto de Autorizacion que se refiere a la estructura de la compañia. Estos campos aparecen en la mayoria de las autorizaciones.
Por lo tanto dentro de un rol estos campos pueden aparecer muchas veces. El boton Organizational levels... en la transaccion PFCG facilita su mantenimiento.
Una vez que todas las autorizaciones has sido mantenidas, el perfil de autorizacion puede ser generada mediante el boton Generate.
3) Los usuarios y roles.
La asignacion de usuario a roles se realiza mediante la transaccion PFCG (mantenimiento de roles) o en la transaccion SU01 (Mantenimiento de usuarios).
Para asignar las autorizaciones, es necesario realizar una comparacion de registro de usuarios mediante la cual los perfiles de los roles son insertados en el registro maestro de usuario. En este registro se hace una comparacion y nos determina si los perfiles de autorizacion deben ser agregados o eliminados del usuario.
Durante la comparacion se agregaran perfiles al maestro de usuarios, si son nuevos roles son agregados.
Los perfiles son eliminados del registro maestro de usuario, cuando se vence la fecha o son removidos de forma manual.
 
 
 
Sobre el autor
Publicación académica de Alexander Diaz, en su ámbito de estudios para la Carrera Consultor Basis NetWeaver.
Alexander Diaz
Profesión: . - Argentina - Legajo: UH14H
✒️Autor de: 38 Publicaciones Académicas
🎓Egresado del módulo:
Certificación Académica de Alexander Diaz