✒️SAP BASIS El concepto de autorización

OBJETOS DE AUTORIZACION Y CHEQUEO DE AUTORIZACION
Las autorizaciones de los usuarios son creadas usando:
-roles
-perfiles
El admin crea los roles
El sistema provee el soporte para la creacion de las autorizaciones asociadas.

En SAP las acciones y autorizaciones a los datos estan protegidos por los objetos de autorizacion en el sistema SAP.
Los objetos de autorizacion se encuentran en el sistema SAP. Se dividen en clases. Permite verificaciones complejas con diferentes condiciones que permiten a un usuario completar una accion. Las condiciones deben cumplir todas las clausulas para que la verificacion sea exitosa. Los campos de autorizacion son evaluados mediante la condicion logica AND.

Los objetos de autorizacion y los campos que contienen -> tienen nombres tecnicos y descriptivos.

Una autorizacion: Se asocia con solo un objeto de autorizacion y esta formada por el valor para los campos del objeto de autorizacion.
Es un permiso para realiziar cierta accion en el sistema SAP.
La accion se define en los valores de cada uno de los campos de un objeto de autorizacion

Pueden existir varias autorizaciones para un objeto de autorizacion.
Algunas autorizaciones estan incluidas por el sistema SAP pero la mayor parte seon creadas por requerimiento del cliente.

Cuando un usuario se loguea en un cliente de SAP, sus autorizaciones se cargan en el contexto de usuario, que se encuentra en el buffer del servidor de aplicacion y se puede consultar con la tx SU56.

La tx SU56 se usa para monitorizar el numero de objetos que estan en el buffer referentes a los roles de autorizacion y perfil de usuario.

Cuando un usuario llama a una tx, el sistema verifica si el usuario tiene la autorizacion necesaria en el contexto de usuario.
Las verificaciones de autorizacion usan las autorizaciones que existen en el contexto del usuario. Por lo que si se asignan nuevas autorizaciones al usuario puede ser necesario loguear al usuario de nuevo al sistemas SAP para poder usar esa nuevas autorizaciones.

Dependiendo de la tx , el usuario puede:
-crear datos
-seleccionar acciones
Cuando el usuario realiza la accion los datos se envian al dispathcer, que los envia a un WP para que ejecute el procesamiento.

Las AUTHORITY CHECK son verificaciones de autorizacion realizadas durante la ejecucion en el WP y se programan dentro del codigo en ABAP para proteger los datos y acciones que se van a realizar.

Si el contexto de usuario contiene todas las autorizaciones requeridas para la verificacion -> codigo de retorno 0, se procesan los datos y las acciones y la proxima pantalla se le devuelve al usuario.
Si falta alguna autorizacion el procesamiento no se hace y el usuario obtiene un mensaje de que le faltan autorizaciones -> codigo de retorno != 0.

No hay autorizaciones para prohibir solo hay de permisos. Por lo que lo que no esta permitido esta prohibido -> concepto de autorizacion positivo.

MANTENIMIENTO DE ROLES
Se hace a traves de la tx PFCG (profile generator)
Simplica la creacion de autorizaciones y sus asignaciones a usuarios.
Sirve para crear roles con autorizaciones que se asignan a usuarios

Un rol puede ser asignado a varios usuarios.-> si se cambia un rol tendra efecto sobre todos estos usuarios.
Los usuarios pueden ser asignados a mas de un rol.

El menu de usuario se compone del menu rol y contiene las entrdas (tx, url, reports..) que se asignan a los usuarios a traves de roles.

Se acccede al mantenimiento de roles:
-tx PFCG-tools-> administration-> user maintenance->role administration->roles
Se pone el nombre del rol y create o change. Desde la pestaña menu

Desde el menu se puede hacer ajustes para roles individuales.Se puede insertar o borrar tx en el arbol de las tx.

Desde el boton report se puede integrar reports (programas ABAP). ->la tx PFCG se encarga de crear los codigos de tx.
Con el boton other se agregan direcciones de internet o vinculos a archivos

Modificaciones de menus permite:
crear
mover
borrar
renombrear direcorios y subdirecorios
Podemos usar drag and drop

El mantenimiento de roles de forma automatica crea las autorixaciones asociadas a las tx que hay en el arbol del menu.
Todos los valores de autorizacion se erifican manualmetne y se ajustan pra que concuerden con los requerimientos y permisos que se deben otorgar con el rol.

El admin del sistema es el responsable de esta tare junto con el area apropiada apara quuien se crea/moodifica el rol

Desde la solapa authorizations y luego change authorization data o display authorization data desde la tx PFCG.

Aqui podemos ver y modificar el contenido de los valores propuestos para los campos de los objetos de autorizacion (autorizaciones).

Significado:
-luz verde:el objeto de autorizacion tiene un valor propuesto para cada uno de los campos

-luz amarilla:el objeto de autorizacion necesita mantenimiento manual al menos en un campo

-luz roja: los niveles organizacionales no estan definidos

NIVELES ORGANIZACIONALES
Si editamos una entrada a nivel oraganizacional suando el boton ORGANIZATIONAL LEVELS lso cambios afectaran a todos los objetos de autorizacion que lo contienen.

Son campos determinados por SAP en el concpto de autozacion que se refiere a la esturctura de la compañia. Son campos que aparecen en muchas autorizaciones.
Dentro de un rol estos campos aparecen muchas veces.
El boton RGANIZATIONAL LEVELS de la tx PFCG facitlita su mantenimiento.

Una vez todas las autorizaciones han sido mantenidas el perfil de autorizacion puede ser generado con el boton generate.
Las autorizaciones se combinan en un perfil.
Los perfiles se meten en los registroas maestros de los usuarios-> user master record comparission

USUARIOS Y ROLES
Con la tx PFCG se asignan usuarios a roles o bien desde la tx su01.
Seleccionamos la pestaña user y los id de los usuarios a los que se les asignara el rol.
Los usuarios pueden tener mas de un rol-> util en las actividades permitidas para la mayoria de usuarios.

La asignacion de roles a los usuarios no otorga de forma automatica las correspondientes autorizaciones a los usuarios.
PAra asignar las autorizaciones es necesario realizar la comparaicion de regisros de usuarios deonde los perfiles de los roles son insertados en el regitro maestro de usuario.

U
na comparacion de registros maestro de usuario determina si los perfiles de autorizacion debe ser agregado o eliminado del usaurios baseandose en la asignacion de roles para est.

Druante una comparacion se agragan perfiles al maestro de usuario si nuevos roles se sagregan.

si la asigancion de roles es removida de forma manual o pk se cuple la fechad evencimietnod el rol los perfiles correspondientes se eliman del registro maestro del usuario.

La aignacion puede jacerse por ada rol de forma indicidual.Selecionando el rol en la funcion de mantenimiento de roles de la solapa user y leugo seliccionando user comaprison.
En la ventana que aparece seleccionamos complete compariso.

Durante una comparacion complete los perfiles obsoletos son elimiandos.

Si una asignaciones miltiples de roles ava a ser acutalziad se puede realziar una compraicon en la tx PFCG:
sleccionamos utilities ->mass comparison o desde la tx PFUD con el * mpara selaccionas toas las asignaciones.

Se puede activar una comparacions de registros maestros de uusairo de forma peridocia desde utilities->mass comparison. Opcion schedule o check job for full reconciliation. Aparece una ventanade busqueda para el job PFCG_TIME_DEPENDENCY. Si no hay job podemos crear uno. El valor por defecto es que todos los registros masestros de usuario s secomparar uanvez al dia.