✒️SAP SD Los roles y perfiles
SAP SD Los roles y perfiles
Roles y perfiles:
Los roles y perfiles son generalmente configurados por consultores que se especializan en Seguridad, pero necesitan de la ayuda de los consultores funcionales para definir las transacciones y objetos correspondientes.
SAP provee de roles y perfiles para la mayoría de las actividades que deben realizarse en los procesos de negocios y puestos de trabajo.
Es recomendable analizar la copia de estos roles y perfiles y generar las adaptaciones correspondientes a las unidades organizativas y objetos.
Por qué y para que requerimos autorizaciones:
Requerimos autorizaciones para poder cumplir con expectativas de la seguridad, estas nos permiten:
Proteger la información sensitiva del negocio: leyes, acuerdos, regulaciones, cuestiones pertinentes a la legislación del país (pueden incluir por ejemplo: protección para ley de datos personales, datos sobre acuerdos con proveedores y clientes) esta información puede ser interna o externa de la organización.
También nos permiten ver la relación costo – beneficio: Hay una gran cantidad de amenazas de la cuales una organización debe protegerse. Una perfecta seguridad es conseguida con una relación de asignación inter dimensional de autorizaciones, sin embargo, los beneficios de conseguirlo se encuentra en relación a los costos incurridos, en alguna ocasiones es más barato reemplazar una pérdida que proteger una información a alto costo. Por eso una compañía debe darse cuenta lo que realmente es un aporte de beneficios en materia de Seguridad de la información.
Además las autorizaciones nos permiten la no obstrucción del proceso del negocio: Es desventajoso si todo el proceso de negocio está controlado con autorizaciones de tal manera que todas conducen a continuos mensajes de error. Una situación en este sentido no permite un favorable funcionamiento o proceso de la compañía.
La asignación de autorizaciones debería ser confeccionada de forma estructurada de forma tal que el administrador pueda usar un número pequeño de roles.
Control de acceso al sistema y control de acceso “basados en roles”
SAP posee dos controles principales, el primer control es el control de acceso al sistema: para que SAP funcione requiere que el usuario tenga un único ID de usuario con el que él mismo pueda identificarse dentro del sistema.
Este miso usuario debe constar con una contraseña que puede tener diversas características determinada por la configuración del control de acceso al sistema.
El segundo control se basa en Control de accesos “basados en roles: estos permiten proteger la información del negocio y funciones ante accesos no autorizados, para esto el sistema SAP utiliza chequeos de autorización para transacciones y reportes. Por lo tanto cada ejecución de un programa realiza la comprobación sobre los efectos y transacciones para los cuales el usuario ha sido autorizado.
La autorización se asigna utilizando perfiles en forma de roles los cuales son ingresados en el dato maestro del usuario.
Los usuarios o empleados ejecutan transacciones que pertenecen a escenarios de negocios determinados para esto se asignan las funciones de roles. Un rol es un grupo de actividades y transacciones ejecutadas dentro de los escenarios de negocios.
El rol además de poseer las transacciones, posee los objetos de autorización o información de negocio a la que puede acceder el usuario.
Un escenario de negocio puede necesitar una amplia necesidad de roles por ese motivo son asignados los roles a diferentes perfiles.
En resumen:
Las transacciones son asignadas a Roles
Los roles son asignados a Perfiles
Los perfiles son asignados a Usuarios
Modificación de las propiedades de un Usuario:
La administración de contraseñas, bloqueo/desbloqueo y asignación de permisos de un usuario, se hace en su data maestra desde la transacción SU01.
Es importante tener en cuenta que dentro de las autorizaciones, un usuario puede tener acceso a una transacción pero no acceso a todos los objetos de autorización dentro de ella, por ejemplo en la transacción VA01 puede tener acceso a una Organización de ventas pero no a todas las Organizaciones de ventas configuradas en el sistema.
Para verificar las asignaciones de los roles y perfiles asignados a transacciones y objetos el administrador utiliza la transacción SUIM.
 
 
 
Agradecimiento:
Ha agradecido este aporte: Rafael Del Sol
Sobre el autor
Publicación académica de Sebastian Zunino, en su ámbito de estudios para la Carrera Consultor en SAP SD.
Sebastian Zunino
Profesión: Consultor Sap Seguridad - Argentina - Legajo: VQ83V
✒️Autor de: 125 Publicaciones Académicas
🎓Egresado de los módulos:
Disponibilidad Laboral: FullTime
Certificación Académica de Sebastian Zunino