✒️SAP BASIS La administración avanzada de usuarios
SAP BASIS La administración avanzada de usuarios
ADMINISTRACION AVANZADA DE USUARIOS
ADMINISTRACION CENTRAL DE USUARIOS:
Cuando tenemos ue operar multiples sistemas SAP con una determinada cantidad de clientes y tenemos que crear usuarios identicos varias veces en diferentes clientes, podemos reducir significativamente el esfuerzo de administración usando Administración Central de Usuarios, que por la siglas en ingles se conoce como CUA (Central User Administration).
Podremos realizar la administración de forma central desde un cliente si utilizamos CUA. Este cliente se denomina Sistema Central (Central System). Los cientes para los cuales se realiza la administracion desde el sistema central se denominan Sistema Hijos (Child Systems).
Puedes especificar para cada usuario en que clientes podrá ingresar. Utilizando CUA no significa que todos los usuarios pueden ser usados en todos los clientes del landscape.
Puedes tambien especificar que informacion del registro maestro del usuario podrá ser mantenida de forma central y que información se podra mantener de forma local tambien. Algunas veces es util permitir que cierta informacion de usuarios sea mantenida de forma local por los usuarios o por un administrador en los sistemas hijos.
La informacion del usuario se intercambia mediante ALE. (Application Link Enabling y es una tecnologia para configurar y operar aplicaciones SAP distribuidas.
ALE permite un proceso de intercambio controlado de mensajes de negocio entre sistemas SAP que no tienen una conexión permanente. El procesamiento asincrónico de la comunicacion asegura que la operación sea libre de errores.
La siguiente información puede ser distribuida utilizando CUA:
- Registro Maestro de Usuarios: Dirección, Datos Logon, Valores Fijos, Parámetros (Addresses, logon data,, user defaults y user parameters).
Los usuarios son asignados a los roles simples o compuestos y los perfiles para todos los sistemas hijos. Utilizar CUA tiene la ventaja que como administradores no necesitamos ingresar a cada cliente para gestionar estas asignaciones localmente. - Contraseña inicial: Cuando los usuarios son creados una contraseña inicial es transferida a los sistemas hijos donde el usuario existirá. Esta luego será modificada de la forma tradicional.
- Bloqueo: adicionalmente a las formas normales de bloqueo (intentos fallidos de logon o bloqueos por el administrador) hay un nuevo bloqueo general. Este tiene efecto en todos los sistemas hijos en os que un usuario existe y puede quitarse el bloqueo de forma local en ca da cliente o de forma central desde el sistema central.
Es posible asignar un rol simple o compuesto y perfiles de autorizacion desde el sistema central. De todas formas, los perfiles de autorizacion se mantienen localmente mas bien que de forma central ya que diferentes configuraciones de sistema y versiones pueden requerir una administracion local de los perfiles de autorizacion.
SERVICIOS DE DIRECTORIO
Los servicios de directorio permiten a varias aplicaciones en un landscape IT acceder a informacion compartida en un lugar central. La informacion se almacena en un servidor de directorio central que varios sistemas del landscape IT pueden acceder. deesta manera, el servidor de directorio actua como una libreta de direcciones IT para informacion que comunmente es usada por los diferentes sistemas, tal como datos personales, datos de usuario e informacion sobre recursos y servicios de sistemas.
Podemos utilizar los servicios de directorio para mantener la informacion en los sistemas SAP para las aplicaciones compatibles con directorios, tal como la administracion de usuarios (SU01).
El estandar LDAP (Lightweight Directory Access Protocol) se utiliza normalmente como protocolo de acceso. Los servicios de directorio proveen un punto central de informacion y administracion y por lo tanto una forma simple de compartirla entre varias aplicaciones.
Los sistemas SAP pueden intecambiar datos con los servicios de directorio usando el protocolo LDAP. Se especifica la direccion de sincronizacion para cada campo, lo que significa, si el sistema SAP sobreescribe la informacion en el directorio o el directorio sobreescribe la informacion en el sistema SAP.
El sistema SAP puede intercambiar informacion con el servicio directorio de diferenetes marcas. SAP provee extensiones de esquemas para los servicios de directorio que soporta, con esto logra que los directorio puedan entender atributos que son propios de los sistemas sap.
Importante: Nunca sabemos si un empleado puede estar intentando ingresar con otro usuario que no sea el de ser por querer hacer daño o por curiosidad, una de las practicas mas comunes es al iniciar un proyecto enviar los usuarios y colocar siempre el mismo password inicial esto lleva a que un usuario pueda ponerse a probar otro usuario con el mismo password inicial que le han enviado puede darse el caso que pruebe con uno que aun no se ha logueado al sistema y tendremos una fuga de seguridad, en el mejor de los casos sera un usuario restringido que no podra hacer mucho daño en el peor de los casos no podemos determinarlo. SAP nos brinda todas las opciones para hacerlo tan seguro como queramos inclusive como un banco, debemos evaluar cual es la mejor opcion para trabajar sin este tipo de riesgos.
 
 
 
Sobre el autor
Publicación académica de Cruz Javier Gonzalez, en su ámbito de estudios para la Carrera Consultor Basis NetWeaver.
Cruz Javier Gonzalez
Profesión: Informática - Venezuela - Legajo: PP34H
✒️Autor de: 93 Publicaciones Académicas
🎓Egresado de los módulos:
Certificación Académica de Cruz Gonzalez