✒️SAP BASIS El concepto de autorización

Concepto de autorizacion:
Las autorizaciones son creadas usando roles y perfiles. Los administradores creamos roles y el sistema provee el soporte para la creacion de las autorizaciones.
1) Objetos de Autorizacion y chequeo de autorizacion:
Las acciones y los accesos a los datos estan protegidos por objetos de autorizacion en el sistema SAP dichos objetos de autorizacion estan tambien en el sistema SAP.
Los objetos de autorizacion estan divididos en diferentes clases. Estos permiten verificaciones complejas de muchas condiciones que permiten a un usuario realizar una accion. LAS CONDICIONES ESPECIFICADAS EN LOS CAMPOS DE AUTORIZACION PARA EL OBJETO DE AUTORIZACION SON EVALUADAS EN DICHOS CAMPOS MEDIANTE LA CONDICION LOGICA AND. Por lo que debe cumplir todas las condiciones para que la verificacion de autorizacion sea exitosa.
Los objetos de autorizacion y los campos que contienen poseen nombres tecnicos y descriptivos.
El objeto de autorizacion (Ej: User Master Maintenance: User Groups cuyo nombre tecnico es S_USER_GRP) contiene dos campos de autorizacion (Ej: Actividad cuyo nombre tecnico seria ACTVT y User group in User master record cuyo nombre tecnico seria: CLASS).
El objeto de autorizacion S_USER_GROUP protege el registro maestro de usuario. Un objeto de autorizacion puede incluir HASTA DIEZ campos de autorizacion.
Una autorizacion SIEMPRE se asocia con un solo un objeto de autorizacion y esta formada por el valor para los campos del objeto de autorizacion.
Autorizacion: Es un permiso para realizar una cierta accion en el sistema dicha accion es definida sobre la base de valores para cada uno de los campos de un objeto de autorizacion.
Puede que existan multiples autorizaciones para un objeto de autorizacion . Algunas autorizaciones ya estan creadas por SAP pero la mayoria son creadas por requerimientos de los clientes.
Cuando un usuario accede al sistema sus autorizaciones son cargadas en el contexto de usuario, este se encuentra en el buffer (memoria principal que puede ser consultada mediante SU56) del servidor de aplicacion.
SU56: Permite monitorear el numero de objetos que estan en buffer referentes a los roles de autorizacion y perfiles de usuario.
Cuando un usuario llama a la transaccion el sistema verifica si el usuario posee la autorizacion necesaria en el contexto de usuario para poder acceder a la transaccion. Estas verificaciones utilizan las autorizaciones que existen en el contexto de usuario. Cuando se asignan nuevas autorizaciones al usuario puede ser necesario que este se vuelva a loguear para aplicar los cambios.
El usuario llama a la transaccion, si la autorizacion es exitosa el sistema muestra la pantalla inicial de la transaccion. El usuario puede crear datos o seleccionar acciones dependiendo de la transaccion. Cuando el usuario realiza dicha accion los datos son enviados al dispatcher para que su solicitud sea asignada a un work process para ejecutar el procesamiento.
Las verificaciones de autorizacion AUTHORITY-CHECK son realizadas durante la ejecucion en el work process son programadas por los desarrolladores ABAP para proteger los datos.
Si el contexto de usuario contiene todas las autorizaciones requeridas para la verificacion (Valor de retorno = 0)en este caso los datos y las acciones se procesan y se devuelve la proxima pantalla al usuario, en caso de que alguna de las autorizaciones requeridas falte el procesamiento no se realiza y se envia el mensaje correspondiente al usuario.
Esto es controlado con el valor de retorno, si es igual a 0 se autoriza sino se devuelve.
NO HAY AUTORIZACIONES PARA PROHIBIR, TODAS SON PERMISOS.
Concepto de autorizacion positivo: Todo aquello que no esta explicitamente permitido está prohibido.
2) Mantenimiento de Roles: Menu y autorizaciones:
Transaccion PFCG: Simplifica la creacion de autorizaciones y sus respectivas asignaciones a los usuarios. Esta permite crear roles con las autorizaciones que luego se asignaran a los usuarios.
En el mantenimiento de roles todas aquellas transacciones que son consideradas de un mismo grupo por la compañia se seleccionan. El mantenimiento de roles crea las autorizaciones con los valores de campos requeridos para los objetos de autorizacion que se verifican en la transaccion elegida.
Un rol puede ser asignado a varios usuarios por lo que si cambiamos algo en un rol afectara a todos estos usuarios. Los usuarios pueden ser asignados a mas de un rol.
El menu de usuario esta compuesto de: Menu de rol y contiene las entradas (transacciones, URLs, reportes etc) que son asignadas al usuario a traves de los roles.
Se puede acceder al menu de mantenimiento de roles con la transaccion PFCG o mediante el menu de la pantalla inicial Tools --> Administration --> User Maintenance --> Role Administration --> Roles. Podemos ingresar el nombre del rol y presionar el boton create o change.
En el arbol de menu podemos ajustar los roles individuales. Se pueden insertar o borrar transacciones en el arbol de transacciones.
Con el boton Report podemos generar reportes en programas ABAP, la transaccion PFCG asigna codigos de transaccion en caso de que no existan en el reporte con el cual se puede acceder luego a los reportes.
Podemos agregar vinculos a archivos o direcciones de internet con el boton Other. Podemos mover, crear, borrar y renombrar directorios y sub directorios si es necesario con la modificacion de menus. Tambien podemos usar la funcion Drag and Drop.
El mantenimiento de roles crea automaticamente las autorizaciones asociadas con las transacciones especificadas en el arbol del menu. Sin embargo todos estos valores se deben verificar manualmente y ajustarse en caso de ser necesario para que cumplan los requerimientos que se deben otorgar con el rol.
Se usa Authorizations --> Change authorization data o Display Authorization Data, depende de cual modo estemos trabajando en PFCG. --> Cuando ingresamos podremos observar y modificar el contenido de las autorizaciones o valores presupuestos para los campos de los objetos de autorizacion.
Indicadores:
- Verde: El objeto de autorizacion tiene un valor propuesto en todos sus campos.
- Amarillo: El objeto de autorizacion necesita mantenimiento manual para al menos uno de sus campos.
- Rojo: Los niveles organizacionales no se han definido.
Un escenario en el que falta un valor propuesto por PFCG para alguno de los campos se puede dar por ejemplo en casos de accesos a archivos externos donde no se puede determinar si el acceso sera de lectura o lectura/escritura.
Nivel organizacional: Son aquellos campos que aparecen en muchas o la mayoria de autorizaciones. Determinados por SAP en el Concepto de autorizacion, referentes a la estructura de la compañia. Dentro de un rol estos campos pueden aparecer muchas veces.
Al editar una entrada en el nivel organizacional mediante el boton Organizational levels los cambios afectaran a todos los objetos de autorizacion que lo contengan.
Cuando se ha culminado con el mantenimiento de autorizaciones podemos generar el perfil de autorizacion con el boton generate. Las autorizaciones se combinan en un perfil y estos perfiles deben ingresarse en los registros maestros de usuarios, esto es llamado COMPARACION DE REGISTROS MAESTROS DE USUARIOS USER MASTER RECORD COMPARISON.
3) Usuarios y Roles:
La asignacion de usuarios se puede realizar mediante PFCG o SU01.
Los usuarios pueden recibir mas de un rol.
Al realizar la asignacion de roles a los usuarios NO se estan otorgando la correspondientes autorizaciones a ellos, para ello se debe realizar una comparacion de registros de usuarios a traves de la cual los perfiles de los roles son insertados en el registro maestro de usuario.
La comparacion de registros maestros de usuarios determina si los perfiles de autorizacion deben ser agregados o eliminados del usuario basandose en la asignacion de roles para este.
Durante una comparacion se agregan perfiles al maestro de usuario si nuevos roles son agregados.
Si la asignacion de roles se remueve manualmente o debido a que se cumple la fecha de vencimiento los perfiles correspondientes son eliminados del registro maestro de usuario.
Podemos realizar la comparacion individualmente para cada rol. Seleccionamos el rol en la funcion de mantenimiento de roles en la solapa User y luego User comparison, luego complete comparison.
Durante una comparacion completa los perfiles obsoletos son eliminados.
Para realizar actualizaciones de multiples asignaciones de roles se puede realizar una comparacion en PFCG seleccionando Utilities --> Mass comparison o llamando a PFUD
Podemos seleccionar los roles que quiero o actualizar todas las asignaciones si ingresamos el caracter asterisco *.
Tambien es posible activar una comparacion de registros maestros de usuarios periodicamente si seleccionamos Utilities --> Mass comparison mediante la opcion Schedule o check job for full reconciliation. El sistema mostrara una ventana para buscar el job de background PFCG_TIME_DEPENDENCY. En caso de no encontrarlo lo tenemos que crear, su valor por defecto es comparar todos los registros maestros de usuarios una vez por dia.