✒️SAP El modelo de seguridad

LECCIÓN 9 DE 11: GESTIÓN DE USUARIOS Y AUTORIZACIONES

1 I MODELO DE SEGURIDAD EN R/3

En cualquier sistema de gestión de información integrado se guardan datos de diferentes áreas a los que sólo pueden acceder algunas personas. Estas restricciones pueden darse por varios motivos:

• Proteger datos que afecten a la estrategia de la empresa para no ofrecer ventajas a la competencia.
• Evitar fraudes en la contabilidad o en los cobros y pagos.
• Obligación legal de proteger información ajena a la propia empresa como los datos personales de sus empleados, las condiciones económicas de los proveedores.

SAP contempla toda esta problemática implementando un modelo de seguridad que permite proteger de una manera flexible los datos y las operaciones que se hacen sobre ellos. El esquemas está basado en los siguientes componentes: (sería algo así - Maestro de usuarios -> Grupos de actividad -> Perfiles -> Autorizaciones -> Objetos de Autorización -> Campos)

(IMAGEN 1.1 - Modelo de Seguridad de SAP)

En el lado derecho tenemos los Objetos de Autorización que se componen de campos. Estos objetos representan lo que queremos proteger. Ejemplos de objetos de autorización son:

• S_TCODE: Protege el código de transacción (es un código único que existe en el sistema SAP y que es ejecutado por un usuario del sistema para acceder a una funcionalidad particular del sistema SAP) y contiene un sólo campo que es la transacción. Es el más importante de todos los objetos porque todas las operaciones que se hacen en SAP empiezan por el acceso a una transacción.
• S_TABU_DIS: Protección del contenido de tablas de customizing. Contiene 2 campos que son el grupo de autorizaciones de la tabla (DICBERCLS) a la que se quiere acceder y la actividad (ACTVT) que se quiere ejecutar (crear, modificar, borrar...).
• F_BKPF_BUK: Protección de la contabilización de documentos por sociedad financiera. Se compone de 2 campos; la sociedad (BUKRS) a cuyos documentos contables queremos acceder y la actividad (ACTVT) que se quiere hacer.

(INFO TIPS)

En el lado izquierdo del gráfico anterior vemos la estructura modular que va desde la autorización simple sobre un único objeto de autorización hasta el maestro de usuarios que son los que acceden al sistema.

Veamos lo que representa cada uno de los niveles:

• AUTORIZACIONES: Una autorización consiste en una asignación de valores a los campos de un objeto de autorización. Por ejemplo, crearemos una autorización para el objeto S_TCODE que tenga el valor FB01 (Transacción correspondiente a la contabilización de documentos) para el campo TCODE.
• PERFILES: Un perfil es simplemente la agrupación de varias autorizaciones que hayamos creado anteriormente. El perfil es la unidad mínima de seguridad que le podemos asignar a un usuario, es decir, la única forma de asignar las 2 autorizaciones del ejemplo anterior es incluirlas en un perfil que llamaremos CONTABLE e incluir este perfil en los usuarios.
• GRUPOS DE ACTIVIDAD: Son las agrupaciones de transacciones y actividades que se crean con el generador de perfiles. Estos grupos de actividad contienen internamente perfiles (que a su vez contienen autorizaciones) y se asignan directamente a los usuarios.
• USUARIOS: Para que un empleado tenga acceso a los datos de gestión de la empresa debe disponer de un código de usuario en SAP. Este usuario tendrá asignados unos grupos de actividad o unos perfiles de autorización (o ambos) para poder realizar las tareas que exige su función o puesto de trabajo.

(AUDIO TIPS)

En SAP existen 5 tipos diferentes de usuarios que se pueden definir en: Los usuarios de Diálogo, de Sistema (no interactivos, no se pueden loguear a través del SAP GUI al sistema), de Servicio (utilizado por usuarios que quieren acceso pero anónimo), , y por último de Referencia (muy poco utilizado).

2 I MANTENIMIENTO DE USUARIOS

Para la creación y mantenimiento de usuarios, SAP dispone de la transacción SU01 (transacción estándar para el mantenimiento de usuarios en sistema SAP).

(IMAGEN 2.1 - La Transacción Estándar SU01)

(TRANSACCIONES) Transacción SU01

La transacción estándar SU01 es utilizada para la administración de los usuarios del sistema SAP.

Escribiendo el código del usuario y pulsando uno de los botones de la barra de aplicación o escogiendo una de las opciones del menú de usuario podemos realizar diversas acciones como crear, modificar, cambiar clave de acceso, bloquear, etc.

Pulsando sobre el botón con el icono de los anteojos (imagen de anteojos) vemos las propiedades de nuestro usuario en el sistema. Veamos a continuación las 6 pestañas más importantes que componen el registro maestro de un usuario. Estas son:

1. Dirección: Se graban en este apartado datos personales como el nombre, apellidos, departamento, teléfono. En el campo edición veremos el nombre y cómo aparecerá en los listados o en otras transacciones. (IMAGEN 2.2 - Los datos de Dirección)
2. Datos Logon: Es obligatorio indicar una clave inicial con la que accederá el usuario, aunque en su primera conexión se le pedirá que la cambie. También podemos limitar la validez temporal de manera que podemos tener empleados que accedan a nuestro sistema hasta determinada fecha como puede ser el fin de su contrato o cesión a nuestro departamento. (IMAGEN 2.3 - Los datos de logon)
3. Valores Fijos: En esta pestaña definimos el menú inicial de entrada al sistema, la impresora SAP, algunos parámetros de impresión por defecto, el formato en que debe ver el usuario las fechas y los importes en todas las transacciones SAP. (¿SABÍAS QUE...?) Esta última opción, junto con la del uso horario, es vital para empresas multinacionales que tienen empleados en diversos países. (IMAGEN 2.4 - Los valores fijos)
4. Parámetros: Existe la posibilidad de asignar parámetros por defecto para multitud de campos de todos los módulos de SAP. Si un empleado sólo realiza entradas de mercancías en el centro 1000, es muy útil asignarle ese valor en el parámetro correspondiente consiguiendo que en todas las pantallas de R/3 en la que aparezca el campo centro, este se encuentre relleno automáticamente con el valor 1000. (IMAGEN 2.5 - Los parámetros por defecto)
5. Perfiles: Las operaciones a las que está autorizado un usuario vienen determinadas por los valores que le ponemos en estas 2 pestañas (Perfiles y Roles). Al asignarles un papel le estamos añadiendo perfiles también, pero existe la posibilidad de incluir perfiles manualmente. (Info Tips) Esta posibilidad se conserva por compatibilidad con versiones anteriores pero no es el modo de trabajo desde la versión 4.6A. (IMAGEN 2.6 - Los perfiles de usuario)
6. Grupos: A la hora de descentralizar el mantenimiento de un número enorme de usuarios debemos agruparlos asignándoles la pertenencia a uno o varios grupos. De esta manera podemos autorizar a diversos administradores a gestionar los usuarios que pertenezcan a determinados grupos. (IMAGEN 2.7 - Los grupos de usuarios)

3 I GENERADOR DE PERFILES

Debido a la gran complejidad que supone la creación manual de perfiles y autorizaciones, desde la versión 3.1G de R/3, existe el generador de perfiles.

Las ventajas que aporta para el administrador la utilización de esta herramienta son múltiples aunque la más destacable es que ya no necesita conocer o investigar la funcionalidad de las transacciones que incluyen en los perfiles de usuario.

(¿SABÍAS QUE...?)

El generador de perfiles incluye una base de datos que relaciona cada una de las transacciones de R/3 con los objetos que comprueba.

Para crear un papel disponemos de la transacción PFCG (herramienta utilizada como Generador de Perfiles en SAP) que nos muestra una pantalla como la siguiente:

(IMAGEN 3.1 - La transacción estándar PFCG)

(TRANSACCIONES) Transacción PFCG

Transacción estándar del sistema que se utiliza para la administración de Roles (Papeles o Grupos de Autorización).

Al pulsar el botón de crear pasaremos a la pantalla en la que vemos las diferentes partes de la creación de un grupo de actividad repartidas en *4 pestañas.

(IMAGEN 3.2 - VISUALIZAMOS LA PESTAÑA *DESCRIPCIÓN)

En la primera de ellas rellenamos únicamente una descripción corta del papel y también podemos completar el campo de descripción inferior en el que podemos indicar instrucciones sobre a quién se debe asignar este perfil o cual es su función específica.

Al pasar a la pestaña menú vemos unos botones que nos permiten incluir transacciones, informes o direcciones web en el grupo de actividad. Observamos en el siguiente gráfico como se ha incluido ya la transacción de contabilizar documento perteneciente al módulo FI -Finanzas de SAP- (diseñado para atender todos los procesos financieros y contables de una organización).

(IMAGEN 3.3 - VISUALIZAMOS LA PESTAÑA *MENÚ)

Esto implica que el usuario al que se le asigne este perfil podrá ejecutar la transacción FB01 (utilizada para la contabilización de documentos, o sea, la realización de asientos contables), pero no hemos determinado aún qué sociedades financieras, cuentas o deudores podrá hacerlo.

(TRANSACCIONES) Transacción FB01

Transacción estándar del sistema que se utiliza para la creación de asientos contables.

En el gráfico tenemos la pantalla de asignación de valores a los objetos de autorización a la que se llega a través de la pestaña Autorizaciones.

(IMAGEN 3.4 - VISUALIZAMOS LA PESTAÑA *AUTORIZACIONES)

Son 4 los objetos de la gestión financiera los que chequea esta transacción y habrá que dar los valores correspondientes para el grupo de la actividad.

Por último, después de completar la grabación del grupo, tenemos la posibilidad de asignárselo a uno o varios usuarios. En el siguiente gráfico conviene fijarse en qué tenemos los semáforos de las pestañas menú y autorizaciones en verde, indicándonos que los pasos anteriores se han procesado correctamente.

(IMAGEN 3.5 - VISUALIZAMOS LA PESTAÑA *USUARIO)

Es entonces, cuando podemos poner en la tabla de usuarios los códigos (el nombre nos lo rellena el propio programa) a los que queremos incluir el papel y la fecha de validez de la asignación.

Agradecimiento:

Ha agradecido este aporte: Jessica Villegas Sanchez

Favorito:

Está publicación ha sido agregada a sus favoritos por: Sergio Segura Cordero