✒️SAP El modelo de seguridad
SAP El modelo de seguridad
Gestión de usuarios y autorizaciones
SAP tiene implementado un modelo de seguridad que permite proteger los datos y las operaciones que se hacen sobre ellos basado en los siguientes componentes:
Por un lado tenemos los objetos de autorización que se componen de campos. Estos objetos representan lo que queremos proteger y son:
- S_TCODE: protege el código de transacción y contiene un solo campo que es la transacción. Es el más importante de todos los objetos porque todas las operaciones que se hacen en SAP empiezan por el acceso a una transacción.
- S_TABU_DIS: protección del contenido de tablas de customizing. Contiene dos campos que son el grupo de autorizaciones de la tabla (DICBERCLS) a la que se quiere acceder y la actividad (ACTVT) que se quiere ejecutar (crear, modificar, borrar...).
- F_BKPF_BUK: portección de la contabilización de documentos por sociedad financiera. Se compone d dos campos, la sociedad (BIKRS) a cuyos contenidos contables queremos acceder y la actividad (ACTVT) que se quiere hacer.
Por otro lado tenemos una estructura modular que va desde la autorización simple sobre un único objeto de autorización hasta el maestro de usuarios que son los que acceden al sistema. Esta estructura esta compuesta por los siguientes niveles:
- Autorizaciones: una autorización consiste en una asignación de valores a los campos de un objeto de autorización. Por ej.: crearemos una autorización para el objeto STCODE que tenga el valor FB01 (transacción correspondiente a la contabilización de documentos) para el campo TCODE.
- Perfiles: un perfil es simplemente la agrupación de varias autorizaciones que hayamos creado anteriormente. El perfil es la unidad mínima de seguridad que le podemos asignar a un usuario. La única forma de asignar la autorización anterior es incluirla en un perfil que llamaremos CONTABLE e incluir este perfil en los usuarios.
- Grupos de actividad: son las agrupaciones de transacciones y actividades que se crean con el generador de perfiles. Estos grupos de actividad contienen internamente perfiles (que a su vez contienen autorizaciones) y se asignan directamente a los usuarios.
- Usuarios: para que un empleado tenga acceso a los datos de gestión de la empresa debe disponer de un código de usuario en SAP. Este usuario tendrá asignados unos grupos de actividad o unos perfiles de autorización (o ambos) para poder realizar las tareas que exige su función o puesto de trabajo.
En SAP exiten 5 tipos de Usuarios:
- Los usuarios de diálogo, es generalmente el usuario final, que interactúa con el sistema a través del SAP GUI, todos los parámetros de logueo definidos son verificados al iniciar la seción como así también las restricciónes de loguin múltiple, la mayoría de usuarios de la empresa deberían estar encuadrados dentro de este tipo de usuarios.
- Los usuarios del sistema, que son usuarios no interactivos, es decir que no pueden loguearse a través del SAP GUI al sistema, usualmente son usuarios de procesos por lote, ALE, etc. su contraseña solo puede ser cambiada por el admin. del sistema y se permiten logueos múltiples.
- Los usuarios de comunicación, que permiten la comunicación RFC entre sistemas, son los comunmente utilizados para las interfases con otros sistemas SAP, no es posible establecer logueo a través del SAP GUI.
- Los usuarios de servicio, que son los usuarios que requieren acceso anónimo, no respetan las normas de expiración de contraseña y la misma solo puede ser cambiada por el admin. del sistema, el uso de este tipo de usuario debe ser mínimo ya que no es recomendable porque pueden loguearse por el SAP GUI.
- Los usuarios de referencia, por lo general es muy poco utilizado, no admite logon de diálogo y pueden ser utilizados para traspasar sus autorizaciones al usuario que lo tiene como referente.
SAP dispone de la transacción SU01 para la administración (creación y mantenimiento) de los usuarios en el sistema.
Escribiendo el código de usuario y pulsando uno de los botones de la barra de aplicación o elgiendo alguna de las opciones del menú podemos realizar diversas acciones como crear, modificar, cambiar clave de acceso, bloquear, etc.
Pulsando el botón con el ícono de los anteojos vemos las propiedades del usuario. Las solapas más importantes que componen el registro maestro del usuario son:
- Dirección (donde se graban los datos personales.
- Datos Logon: es obligatorio indicar una clave inicial con la que accederá el usuario, aunque en su primera conexión se le pedirá que la cambie. También se puede limitar la validez para tener empleados que accedan hasta determinada fecha.
- Valores fijos: en esta solapa se define el menú inicial de entrada al sistema, la impresora y los parámetros de impresión por defecto, el formato de fechas e importes que junto con el uso horario son vitales para empresas multinacionales que tienen empleados en diversos países.
- Parámetros: existe la posibilidad de asignar parámetros por defecto para multitud de campos de todos los módulos de SAP.
- Perfiles y Roles: los valores que se coloquen en estas dos solapas determinan las operaciones a las que está autorizado un usuario.
- Grupos: para descentralizar el mantenimiento de un grupo enorme de usuarios debemos agruparlos asingnándoles la pertenencia a uno o varios grupos. De esta manera podemos autorizar a diversos administradores a gestionar los usuarios que pertenezcan a determinados grupos.
El generador de perfiles incluye una base de datos que relaciona cada una de las transacciones de R/3 con los objetos que comprueba y es una herramienta que le permite al administrador no tener que conocer o investigar la funcionalidad de las transacciones que incluya en los perfiles de usuario.
La transacción PFCG se utiliza para la administración de Roles (Papeles o Grupos de Autorización). Si ingresamos esta transacción y en la pantalla de actualización de papeles que se visualiza presionamos el botón crear pasaremos a la pantalla en la que vemos las diferentes solapas o partes para la creación de un grupo de actividad: Descripción (breve de a quién se debe asignar este perfil o cuál es su función específica), Menú (donde se pueden incluir transacciones, informes o direcciones web en el grupo de actividad), Autorizaciones (donde se asignan los valores a los objetos de autorización) y Usuario (permite asignar el grupo a uno o varios usuarios).
Sobre el autor
Publicación académica de Cristina Angélica Buich Montagna, en su ámbito de estudios para el Carrera Consultor Basis NetWeaver.
SAP Senior
Cristina Angélica Buich Montagna
Profesión: Analista de Sistemas, Prof.matemati - Argentina - Legajo: JO53A
✒️Autor de: 34 Publicaciones Académicas
🎓Egresado del módulo:
Disponibilidad Laboral: FullTime
Presentación:
Por mi formación y experiencia como docente, analista de sistemas y administrativa-contable me gustaría dedicarme a la capacitación, implementación y consultoría funcional de erp en santa fe o uruguay
Certificación Académica de Cristina Buich
