✒️SAP BASIS El concepto de autorización
SAP BASIS El concepto de autorización
Las autorizaciones de los usuarios son creadas usando roles y perfiles. Los administradores crean los roles y el sistema provee el soporte para la creación de las autorizaciones asociadas.
Las acciones y los accesos a los datos están protegidos a través de los objetos de autorización en el sistema sap. Los objetos de autorización se encuentran en el sistema sap.
Los objetos de autorización permite verificaciones complejas que involucran múltiples condiciones que permiten a un usuario realizar una acción , las condiciones son especificadas en el campo de autorización para el objeto de autorización y son evaluados estos campos mediante la condición AND para la verificación osea , se debe cumplir todas las condiciones para que la verificación de autorización sea exitosa.
Los objetos de autorización y los campos contienen nombres técnicos y descriptivos
El objeto de autorización S_USER_GRP protege el registro maestro de usuario justamente, Un objeto de autorización puede incluir hasta diez campos de autorización.
Una autorización siempre se asocia con un solo objeto de autorización y está formada por el valor para los campos del objeto de autorización. una autorización es un permiso para realizar cierta acción en el sistema sap. La acción es definida sobre la base de los valores para cada uno de los campos del objeto de autorización.
Es posible que existan múltiples autorizaciones para un objeto de autorización . Algunas autorizaciones ya esta incluidas en el sistema sap , pero la mayor parte son creadas específicamente por requerimientos del cliente.
Cuando un usuario se loguea a un cliente de un sistema sap, sus autorizaciones son cargadas en el contexto de usuario. El contexto de usuario se encuentra en el buffer(En la memoria principal, puedes consultar mediante la su56) del servidor de aplicaciones.
La SU56 es utilizada para monitorear el numero de obejtos que están en buffer referentes a los roles de autorización y perfil del usuario.
Cuando el usuario llama a la trx , el sistema verifica si el usuario tiene la autorización necesaria en el contexto de usuario para acceder a la trx. Las verificaciones de autorización utilizan autorizaciones que existan en el contexto de usuario. si se asignan nuevas autorizaciones al usuario podría ser necesario para este usuario volverse a loguear al sistema para utilizar las nuevas autorizaciones.
Si la verificación de autorización es exitosa el usuario puede crear datos o seleccionar acciones , cuando el usuario realiza esta acción , los datos son enviados al dispatcher , el cual lo pasa a un wp para que ejecute el procesamiento.
Verificaciones de (AUTORITY-CHEK)son realizadas durante la ejecución del wp son programadas dentro del código por los Desarrolladores ABAP para proteger los datos y las acciones que van a realizarse.
Si el contexto de usuario contiene todas las autorizaciones requeridas para la verificación (CÓDIGO DE RETORNO=0) , los datos y las acciones son procesadas y la próxima pantalla es devuelta al usuario.si falta alguna autorización el procesamiento no se realiza y recibe un mensaje de error indicando que no tiene permisos para la trx.
esto se controla mediante la evaluación de código de retorno . en este caso, no seria igual a 0.
Todas las autorizaciones son permisos. No hay autorizaciones por prohibir.
Todo aquello que no esta permitido esta prohibido, esto se conoce como concepto de autorización en positivo.
Mantenimiento de roles:
Un rol puede ser asignado a varios usuario. Los cambios a un rol por lo tanto tiene efecto sobre todos estos usuarios. Los usuarios pueden ser asignados a mas de un rol.
Mantenimiento de roles se puede ingresar por la PFCG, la pestaña de other se puede agregar vínculos a archivos direcciones de internet, Si se selecciona el botón report puede ingresar reportes (PROGRAMAS ABAP). en este caso PFCG se encargara de crear los codigos de TRX(si es que no existe para el reporte)con el cual los reportes luego pueden ser accedidos.
Indicadores de en PFCG
Verde: el objeto tiene un valor propuesto para cada uno de los campos
Amarillo : Necesita mantenimiento manual al menos para uno de los campos.
Roja: Los niveles org no esta definidos.
Algunos campos aparen un muchas autorizaciones por lo que estos campos se llaman nivel org, Si editamos una entrada en el nivel org utilizando el botón Nivel Org entonces los cambios afectarán a todos los objetos de autorización que lo contienen.
Que son los nivel ORg: son campos que se refieren a la estructura de la Compañía estos aparecen en la mayoría de las autorizaciones.
Por lo tanto dentro de un rol estos campos pueden aparecer muchas veces.
Las autorizaciones se combinan en un perfil. Los perfiles debe ingresarse en los registros de usuarios, esto se denomina comparación de registro de maestro de usuarios.
Para asignar las autorizaciones , es necesario realizar una comparación de registros de usuarios mediante la cual los perfiles de los roles son insertados en el registro maestro de usuario.
Sobre el autor
Publicación académica de Josue Humberto Mendoza Sanchez, en su ámbito de estudios para la Carrera Consultor Basis NetWeaver.
SAP Senior
Josue Humberto Mendoza Sanchez
Profesión: Administrador Sap Basis Jr., Analista de Sistemas con Especialidad en Punto de Venta - Colombia - Legajo: KB23Q
✒️Autor de: 40 Publicaciones Académicas
🎓Cursando Actualmente: Consultor BASIS Nivel Avanzado
🎓Egresado del módulo:
Certificación Académica de Josue Mendoza
