✒️SAP BASIS El concepto de autorización
SAP BASIS El concepto de autorización
U5-L2. Concepto de Autorización.
Debate sobre seguridad SAP - Metodogía en creación de Roles (mejor práctica por experiencia).
https://www.linkedin.com/pulse/la-mejor-manera-de-generar-roles-y-perfiles-en-sap-carlos-urbin
1) Objetos de autorización (OA) y chequeo de autorización.
Las acciones y los accesos están protegidos a través de los objetos de autorización. Los OA están en el sist. SAP.
Están divididos en clases para facilitar la organización y tienen nombres técnicos.
Puede incluir hasta 10 campos de autorización.
Una autorización (AU) siempre se asocia con 1 OA.
Ejemplo:
(OA) User Master Maintenance (User Groups) -> S_USER_GRP
tiene 2 campos de autorización (CA):
(CA) Actividad -> ACTVT
(CA) User Group in User Master Record -> CLASS
Y 2 clases de autorizaciones: A y B.
(AU) A:
(CA) ACTVT -> Crear, cambiar, ver
(CA) CLASS -> Super
(AU) B:
(CA) ACTVT -> Pantalla
(CA) CLASS -> A-Super*, SuperA-Z*
La (AU) B permite mostrar todos los reg de user que NO están asignados al grupo SUPER.
La (AU) A permite mostrar los pertenecientes a ese grupo.
Cuando el user se loguea sus AU son cargadas en el contexto de user (buffer). Consultar con la SU56. De asignarse nuevas AU deberá loguearse de nuevo.
No hay AU para prohibir. TODO LO QUE NO ESTÁ EXPLÍCITAMENTE PERMITIDO, ESTÁ PROHIBIDO.
2) Mant. de Roles: menú y autorizaciones.
PFCG para crear roles con las transacciones que luego serán asignadas a los user.
Ruta: Tools - Administration - User Maintenance - Role Administration - Roles
1 rol -> muchos user
1 user -> muchos roles
PFCG - Ingresa nombre dl Rol - botón Create - SOlapa Menu
Se puede crear el árbol de menú del rol copiando desde el menú sap, reportes, transacciones sueltas, link o vínculos a archivos. Si se añade un reporte que no tiene transacción asociada, PFCG la creará.
En la solapa Authorizations + botón Change Authorization Data se verán indicadores.
Verde: OA tiene valor propuesto para c/u de los campos.
Amarillo: OA necesita mant. manual al menos para 1 campo.
Rojo: niveles organizacionales (NO) no definidos. Los (NO) son campos que aparecen en muchas autorizaciones, son determinados por SAP y se refieren a la estructura de la compañía. (Botón Organizational Levels)
Nota: la falta de un valor propuesto por PFCG para alguno de los campos del OA puede ser por ej: casos de accesos de archivos externos donde no se determina si será de lectura o también de escritura.
Después de haber completado la tarea de las autorizaciones, el perfil de autorización puede ser generado con el botón rojo y blanco.
Los perfiles deben ingresarse en los registros maestros de usuarios. La asignación de roles a user no otorga las autorizaciones, es necesario hacer la comparación. Botón: User Master Record Comparission.
Con ésta acción:
Se determina si los perfiles de autorización deben ser agregados o eliminados del user según sus roles.
Se agregarán perfiles al maestro de user si nuevos roles son agregados.
Puede hacerse por cada rol. Si van a ser múltiples se debe ir a PFCG + solapa Utilities + Mass comparison o con la PFUD (puedes seleccionar lista de roles o todos con *).
Los perfiles obsoletos son eliminados.
De querer activar la comparación periódicamente, Utilities + Mass comparison + Schedule o Check job for full reconciliation. El job se llama PFCG_TIME_DEPENDENCY.
---------
3) Usuarios y Roles.
La asignación de user a roles se realiza con la PFCG o la SU01.
NOTA: crear roles en desarrollo, pasarlo a testing y que unos users funcionales conocedores del negocio y prueben c/u de los roles tanto autorizaciones como bloqueos.
Debemos llevar planilla con roles y autorizaciones para facilitar el mantenimiento.
 
 
 
Sobre el autor
Publicación académica de Tania Palma Sarcos, en su ámbito de estudios para la Carrera Consultor Basis NetWeaver.
Tania Palma Sarcos
Profesión: T.s.u en Informática - Peru - Legajo: GD37U
✒️Autor de: 35 Publicaciones Académicas
🎓Egresado del módulo:
Disponibilidad Laboral: FullTime
Presentación:
Egresar con óptimos conocimientos para brindar servicio de calidad además de contar con base sólida para continuar mi preparación en sap.
Certificación Académica de Tania Palma