✒️SAP El modelo de seguridad
SAP El modelo de seguridad
LECCION GESTION DE USUARIOS Y AUTORIZACIONES
-MODELO DE SEGURIDAD EN R/3
En cualquier sistema de gestion de información integrado se guardan datos de diferentes areas a los que solo pueden acceder algunas personas. Estas restricciones pueden darse por varios motivos:
-proteger dtos que afecten a la estrategia de la empresa para no ofrecer ventajas a la competencia.
-evitar fraudes en la contabilidad o en los cobros y pagos.
-obligacion legal de proteger información ajena a la propia empresa como los datos personales de sus empleados, las condiciones economicas de los proveedores.
SAP contempla toda esta problemática implementando un modelo de seguridad que permite proteger de una manera flexible los datos y las operaciones que se hacen sobre ellos. El esquema esta basado en los siguientes componentes:
En el lado derecho tenemos los objetos de autorizcion que se componen de campos. Estos objetos representan lo que queremos proteger. Ej. de objetos de autorización son:
-S_TCODE: protege el codigo de transaccion y contiene un solo campo que es la transaccion. Es el mas importante de todos los objetos porque todas las operaciones que se hacen en SAP empiezan por el acceso a una transaccion.
-S_TABU_DIS: proteccion del contenido de tablas de customizing. Contiene dos campos que son el grupo de autorizaciones de la tabla(DICBERCLS) a la que se quiere acceder y la actividad (ACTVT)que se quiere ejecutar (crear, modificar, borrar..).
-F_BKPF_BUK:proteccion de la contabilizacion de documentos por sociedad financiera.Se compone de dos campos; la sociedad BUKRS a cuyos documentos contables queremos acceder y la actividad ACTVT que se quiere hacer.
En el lado izquierdo del grafico vemos la estructura modular que va desde la autorizacion simple sobre un unico objeto de autorizacion hasta el maestro de usuarios que son los que acceden al sistema.
AUTORIZACIONES: una autorizacion consiste en una asignacion de valores a los campos de un objeto de autorizacion. Por ej. crearemos una autorizacion para el objeto S_TCODE que tenga el valor FB01 (Transaccion correspondente a la contabilizacion de documentos) para el campo TCODE.
PERFILES: un perfil es simplemente la agrupacion de varias autorizaciones que hayamos creado anteriormente. El perfil es la unidad minima de seguridad que le podemos asignar a un usuario, es decir la unica forma de asignar las dos autorizaciones del ej anterior es incluirlas en un perfil que llamaremos CONTABLE e incluir este perfil en los usuarios.
GRUPOS DE ACTIVIDAD:son las agrupaciones de transacciones y actividades que se crean con el generador de perfiles.
USUARIOS: para que un empleado tenga acceso a los datos de gestion de la empresa debe disponer de un codigo de usuario en SAP. Este usuario tendra asignados unos grupos de actividad o unos perfiles de autorizacion o ambos , para poder realizar sus tareas.
2- MANTENIMIENTO DE USUARIOS
Para la creación y mantenimiento de usuarios, SAP dispone de la transaccion SU01
TRANSACCION SU01 : ES UTILIZADA PARA LA ADMNINISTRACION DE LOS USUARIOS DEL SISTEMA SAP
Veamos a continuacion las seis pestañas mas importantes que componen el registro maestro de un usuario. Estas son:
-Direccion: se graban en este apartados datos personales como el nombre, apellidos, departamento, telefono. En el campo edicion veremos el nombre y como aparecera en los listados o en otras transacciones.
-Datos logon: es obligatorio indicar una clave inicial con la que accedera el usuario, aunque en su primera conexion se le pedira que la cambie.
-Valores fijos: en esta pestaña definimos el menu inicial de entrada al sistema, la impresora SAP, algunos parametros de impresion por defecto, el formato en que debe ver el usuario las fechas y los importes entodas las transacciones SAP.
ESTA ULTIMA OPCION JUNTO CON LA DEL USO HORARIO, ES VITAL PARA EMPRESAS MULTINACIONALES QUE TIENEN EMPLEADOS EN DIVERSOS PAISES.
-Parametros: existe la posibilidad de asignar parametros por defecto para multitud de campos de todos los modulos de SAP.
Ej. si un empleado solo realiza entradas de mercancias en el centro 1000, es muy util asignarle ese valor en el parametro correspondiente consiguiendo que en todas las pantallas de r/3 en la que aparezca el campo centro, este se encuentre relleno automaticamente con el valor 1000.
Perfiles: las operciones a las que esta autorizado un usuario vienen determinadas por los valores que le ponemos en estas dos pestañas.
ESTA POSIBILIDAD SE CONSERVA POR COMPATIBILIDAD CON VERSIONES ANTERIORES PERO NO ES EL MODO DE TRABAJO DESDE LA VERSION 4.6A
-Grupos: a la hora de descentralizar el mantenimiento de un número enorme de usuarios debemos agruparlos asignandoles la pertenencia a uno o varios grupos. De esta manera podemos autorizar a diversos administradores a gestionar los usuarios que pertenezcan a determinados grupos.
3- GENERADOR DE PERFILES
Las ventajas que aporta para el administrador la utilización de esta herramienta son múltiples aunque la mas destacable es que ya no necesita conocer o investigar la funcionalidad de las trasacciones que incluyen en los perfiles de usuario.
EL GENERADOR DE PERFILES INCLUYE UNA BASE DE DATOS QUE RELACIONA CADA UNA DE LAS TRANSACCIONES DE R/3 CON LOS OBJETOS QUE COMPRUEBA.
Para crear un papel disponemos de la trasaccion PFCG(mantenimiento de roles) se utiliza para la administracion de roles (Papeles o Grupos de autorizacoin)
Al pulsar el boton de crear pasaremos otra pantalla en la que veremos las diferentes partes de la creacon de un grupo de actividad repartidas en cuatro pestañas.
En la primera de ellas rellenamos unicamente una descripcion corta del papel y tambien podemos completar el campo de descripcion inferior con cual es su funcion especifica.
Al pasar a la pestaña menu, vemos unos botones que nos permiten incluir transacciones, informes o direcciones web en el grupo de actividad. Observamos en el siguiente grafico como se ha incluido ya la transaccion de contabilizar documento perteneciente al modulo FI.
Esto implica que el usuario al que se le asigne este perfil podra ejecutar la trasaccion FB01, pero no hemos determinado aun pa que sociedades, cuentas o deudores podra hacerlo.
TRANSACCION FB01 se utiliza para la creacion de asientos contables.
La pestaña autorizaciones, son cuatros los objetos de la gestion financiera los que chequea esta transaccion y hablar que dar los valores correspondientes para el grupo de actividad.
por ultimo depues de completar la grabacion del grupo, tenemos la posibilidad de asignarselo a uno o varios usuarios. Hay que fijarse en que tenemos los semaforos de las pestañas menu y autorizciones en verde, indicandonos que los pasos anteriores se han procesado correctamente.
Es entonces, cuando podemos poner en la tabla de usuarios los códigos ( el nombre nos lo rellena el propio programa) a los que queremos incluir el papel y la fecha de validez de la asignacion.
 
 
 
Sobre el autor
Publicación académica de Roberto Angel Carbajal, en su ámbito de estudios para el Carrera Consultor Basis NetWeaver.
Roberto Angel Carbajal
Profesión: Licenciado en Administración de Empresas - Argentina - Legajo: ZK60X
✒️Autor de: 171 Publicaciones Académicas
🎓Egresado de los módulos:
- Carrera Consultor en SAP FI Nivel Avanzado
- Carrera Consultor en SAP FI Nivel Inicial
- Curso Introducción a SAP