✒️SAP SD Los roles y perfiles

Leccion 5 Video - Roles y Perfiles

Roles y Perfiles

Tanto los roles y perfiles son aspectos significativos en un proyecto de implementacion y mantenimiento de SAPComo verificar la seguridad de los usuarios de SAP.

Como consultor es fundamental reconocer los aspectos caracteristicos spbre los objetos de autorizacion, la funcionalidad de los roles, la configuracion de perfiles y la asignacion de los elementos.

Por que y para que requerimos autorización:

Requerimos las autorizaciones para poder cumplir con expectativas a la seguridad estas nos permiten:

• Proteger la información sensitiva del negocio, leyes, acuerdos, regulaciones cuestiones pertinentes a la legislación del país, ya pueden incluir por ejemplo: la protección para ley de datos personales, datos sobres acuerdos de proveedores y clientes, toda esta información a proteger puede ser externa o interna a la organización. También nos permiten ver la relación del costo a beneficio hay una gran cantidad de amenaza cual una organización debe protegerse, una perfecta seguridad conseguida con una relación, de asignación intermencional de autorizaciones.
• Sin embargo los beneficios al conseguirlos se encuentran en relación los costos incurridos, en algunas ocasiones es mas barato reemplazar una perdida que proteger una información alto costo. Por eso una compañía debe darse cuenta lo que realmente es una aporte de beneficio, en materia de seguridad de la información.
• Además las autorizaciones nos permiten la no obstrucción del proceso de negocio, eje ventajoso y todo el proceso de negocio esta controlado con autorizaciones de tal manera que todas conducen a continuos mensaje de error, una situación en este sentido no permite un favorable funcionamiento o proceso de la compañía. La asignación de autorizaciones debería ser confeccionada en forma estructurada de forma que tal el administrador puede usar un numero pequeño de roles.

SAP posee dos controles principales:

1. Control de acceso al sistema: para que SAP funcione requiere que el usuario tenga un único ID de usuario, con el que el mismo pueda identificarse dentro del sistema. Este mismo usuario debe constar con una contraseña que puede tener diversas características determinadas por la configuración del control de acceso al sistema.
2. Control de accesso: estos permiten proteger la información de negocio y funciones antes acceso no autorizados, para estos el sistema SAP utiliza chequeos de autorización para transacciones y reportes, por lo tanto cada ejecuccion de un programa realiza comprobación solo efectos y transacción para los cuales el usuario a sido autorizado.

La autorización se asigna utilizando perfiles en forma de roles, los cuales son ingresados en datos maestro del usuario.

Los usuarios o empleados ejecutan transacciones que pertenecen a escenario de negocios determinado para esto se asignan las funciones de roles.

Un rol: es un grupo de actividades o transacciones ejecutadas dentro de los escenarios de negocios, el rol además de poseer las transacciones posee los objetos de autorización o información de negocio a la que puede acceder el usuario. Un escenario de negocio puede necesitar una gran amplia necesidad de roles por ese motivo, son asignado los roles a diferentes perfiles.

A modo de ejemplo veremos el primer control que posee el sistema SAP del acceso al sistema, para estos modificaremos las propiedades del maestro de un usuario, gracias a un ID de usuario que posee autorización del administrador de sistema y que le permite realizar este tipo de modificación. Esta modificaciones quedan a cargo del grupo besis de una organización.

La transacción que utilizaremos será la SU01 introduciremos el ID del usuario a modificar, seleccionaremos la opción de modificar, iremos a la solapa de datos de logon, en esta podremos ver la sección clave de acceso en donde se encuentran las característica de configuración sobre el acceso al sistema, procederemos hacer un blanqueo de clave ingresando una clave inicial, que luego proveeremos al usuario. Este procedimiento es como realizar un blanqueo de contraseña y se utiliza generalmente cuando el usuario se a olvidado de la misma. Gravaremos la modificaciones efectuadas.

Ahora ingresaremos al logon de SAP con el usuario al que realizamos las modificaciones, colocamos los datos de identificación, usuario y contraseña inicial al haber blanqueado la contraseña el sistema nos solicitara una contraseña nueva que será con la que nos identificara el usuario, esta nueva contraseña puede tener característica de configuración como sale distintas a las cinco anteriores, ingresamos una contraseña nueva la misma se encuentra ahora asociada al maestro de usuario.

Además de la modificaciones de contraseñas otros control de acceso al sistema ese bloqueo o desbloque del maestro del usuario, si deseamos bloquear un ID de usuario, utilizamos la opción de bloquear y desbloquear al hacerlo nos menciona el estatus actual del maestro del usuario, en este caso el mismo se encuentra no bloqueado, ciclar el botón de bloquear y el ID se encontrara bloqueado por el administrador de sistema, al hacer esto el usuario no podrá ingresar con su ID.

Para desbloquearlo es el mismo procedimiento pero en este caso podemos apreciar que el estatus de bloqueo a cambiado a bloqueado por responsable del sistema, haremos clic en desbloquear y el usuario a quedado desbloqueado para el acceso. Un evento de bloqueo de ID usuarios es también por reiterado fachido de confinación usuario y contraseña, en este caso haremos el mismo procedimiento de desbloqueo, salgo que el estatus de bloqueo es el de bloqueado por entradas incorrectas al sistemas. Una vez desbloqueado el usuario puede ingresar correctamente.

Realizaremos ahora la comprobación del segundo control que posee SAP y que mencionamos al inicio de esta lección, el Control de Acceso el mismo comprende la autorización para transacciones y objetos.

Ingresamos con un ID de usuario tipiamos la transacción VA01 y notamos que nuestra ID de usuario no se encuentra autorizado para esta transacción que refiere a la creación de pedido, por lo tanto el administrador de sistema ingresa al maestro del usuario y lo modifica, para hacerlo selecciona la solapa de Roles luego ingresa al rol que posee las transacciones y objetos de autorización deseados, el administrador de Grupo de Besis tiene el conocimiento sobre los elementos que posee dicho rol, una vez asignado el rol podemos ver en la solapa de perfiles que un perfil se asigna automáticamente puesto que el mismo se encuentra vinculado el rol.

Para analizar las características del rol volveremos a la solapa de roles, seleccionaremos el rol correspondientes y luego haremos clic en visualizar rol, nos posicionaremos en la solapa de autorizaciones en esta solapa podremos identificar en el apartado información sobre perfil de autorización el perfil que se asignara automáticamente para este rol, el texto del perfil y el estatus del mismo. Para analizar los objetos que comprenden este perfil, podemos ciclar en la opción visualizar datos de autorización podemos ver por Ejemplo: las autorizaciones que comprenden este perfil en lo que respecta a modificaciones de documento de ventas el mismo esta permitido solamente para la organización de ventas 7500.

Luego de haber analizado los datos del rol y perfil asignado al maestro de usuario podemos grabar para que las asignaciones autorización que hemos realizados tomen efectos, Ingresamos con nuestro usuario y al tipiar la transacción VA01 podemos corroborar que se nos ha sido otorgado el acceso correspondiente.

Hemos verificado la correcta asignación de la autorización para las transacciones para verificarla correcta asignación de los objetos, ingresaremos a la transacción VA02, intentaremos modificar un pedido perteneciente a la organización de venta 2300, se puede corroborar de esta manera el perfecto funcionamiento del perfil y error que solo permiten a este usuario el objeto de autorización de la organización de venta 7500, como se mostro anteriormente en el rol.

Para verificar la asignaciones de los roles y perfiles a transacciones y objetos el administrador puede utilizar la transacción SUIM, haremos una corroboración del rol que agregamos recientemente a nuestro maestro de usuario y si se tiene autorización para la transacción VA01. Cliclar en roles luego por asignación de transacción, ingresaremos la transacción que esta asignada al rol por Ejemplo: VA01, seleccionaremos el rol de interés y cliclar en asignaciones de transacciones donde corroboramos que se encuentra todas las transacciones que tienen asignadas este rol, regresamos y del mismo rol podemos ver que perfiles tienen asignados presionando la opción de hacinación de perfiles. También al regresar y seleccionar asignación de usuario, podemos ver los maestros de usuarios que en su rol tienen asignados al dicho rol.

Los Roles y Perfiles son generalmente configurados con consultores que se especialista en seguridad, pero debemos ayudarlos como consultores funcionales para definir las transacciones y objetos correspondientes.

SAP provee de roles y perfiles para la mayorias de ;las actividades que deben realizarse en los procesos de negocios y puestos de trabajos, es recomendable analizar la copia de estos roles y perfiles y generarlas adaptaciones correspondientes a las unidades organizativas y objetos.