✒️SAP CO Los roles y perfiles

Lección 1.3: ROLES Y PERFILES

Audio Tips: Los roles y perfiles son generalmente configurados con consultores especializados en seguridad pero debemos ayudarlos como consultores funcionales para definir las transacciones y objetos correspondientes. SAP provee de roles y perfiles para la mayoría de las actividades que deben desarrollarse en los procesos de negocios y puestos de trabajo. Se recomienda analizar la copia de estos roles y perfiles y generar las adaptaciones correspondientes a las unidades organizativas y objetos.

Como consultor es fundamental reconocer los objetos de autorización, la funcionalidad de estos roles, la configuración de perfiles y la asignación de elementos.

VIDEO1:

Las autorizaciones se requieren para cumplir expectativas de la seguridad que permiten:

• Proteger Información (externa o interna) sensitiva de negocio (leyes, acuerdos, regulaciones del país). Ej.: Protección para ley de datos personales, datos sobre acuerdos entre proveedores y clientes, etc.
• Ver la Relación costo- beneficio. La organización debe analizar los costos incurridos versus los benefecios de autorizaciones interdimensionales para enfrentar amenazas. Ej.: Puede ser mas barato reemplazar perdida que proteger información a alto costo.
• No obstrucción del proceso de negocio. Es desventajoso si todo el proceso de negocio esta controlado con autorizaciones. La asignacion de autorizaciones debe hacerse en forma estructurada para que administrador use un numero pequeño de roles.

Mediante la transacción SU01, se pueden modificar las autorizaciones del usuario seleccionando la solapa de roles.

Dos principales controles de acceso al sistema de SAP:

*Control de acceso al sistema: se requiere un único ID de usuario para identificarse en el sistema y reglas para contraseñas.

*Control de acceso: son permisos de acceso para funciones, transacciones e información autorizada. Para esto SAP chequea autorizaciones para transacciones y reportes. Por lo tanto cada ejecución de un programa realiza la comprobación sobre las transacciones para los cuales el usuario ha sido autorizado. La autorización se asigna utilizando perfiles en forma de roles los cuales son ingresados en el dato maestro del usuario.

Las transacciones son asignadas a roles --> los roles son asignados a perfiles --> los perfiles son asignados a usuarios.

*Usuarios ejecutan transacciones que pertenecen a escenarios de negocio determinados. Para esto se asignan las funciones de roles.

*Rol: Grupo de actividades o transacciones ejecutadas dentro de los escenarios de negocio. El rol ademas de las transacciones posee los objetos de autorización o información del negocio a la que puede acceder el usuario. Un escenario de negocio puede necesitar varios roles, por dicho motivo son asignados los roles a diferentes perfiles.

Ejemplo1: Control de acceso al sistema. Modificaremos propiedades del maestro de un usuario gracias a un ID de usuario de administrador. Estas modificaciones quedan a cargo del grupo de BASIS de una organización.

Pasos:

- Transacción Actualización de usuario (SU01). Selecciono ID de usuario, opcion de modificar.

- Solapa "Datos de logon" para ver seccion "clave de acceso" donde se encuentran caract. de config. de acceso al sistema. Procederemos a blanqueo de clave ingresando una clave inicial que luego le daremos al usuario (blanqueode contraseñas).Grabamos e ingresamos a SAP como usuario donde vemos que sistema solicita nueva contraseña (puede tener caracteristicas de config. como ser diferente a 5 ant.). La nueva contraseña se encuentra ahora asociada al maestro de usuario.

- Otro control de acceso es el BLOQUEO/ DESBLOQUEO del maestro del usuario: Si queremos bloquear un ID de usuario utilizamos la opcion "bloquear/ desbloquear". Al hacer esto el usuario no podra ingresar con su ID. Otra forma es cuando el usuario a entrado muchas veces la contraseña incorrecta este puede desbloquearle su ID (el bloqueo es igual pero el status es por "entradas incorrectas al sistema").

VIDEO2:

Ejemplo2 Control de accesos. (comprende la autorización para transacciones y objetos).

1. Autorizacion para transacciones

-Ingresamos con id de usuario

-Transacción Creación de pedidos (VA01)

-Aparece un anuncio denegando el acceso de esta transaccion al usuario*

Entonces el admin de sistema al maestro del usuario y lo modifica

*entra e introduce SU01 (A través de la transacción SU01 se pueden asignar autorizaciones (roles) a los usuarios.)

-escribe el nombre de usuario, luego "modif." y selecciona solapa de roles. Ingresa el rol que posee las transacciones y objetos deseados. El perfil se asigna automaticamente ya que se encuentra vinculado al rol. Para analizar caracteristicas del rol volvemos a solapa "roles", selecc. rol y Visualizar Rol. Nos posicionamos en solapa autorizaciones donde veremos en apartado info. sobre perfil de autorizacion el perfil asignado al rol, texto y status).

-Para visualizar objetos que componen peril vamos a "visualizar datos autoriz." donde podemos ver que las autorizciones que comprenden el perfil.

-Luego grabamos roles y perfiles asignados al maestro de usuario para que tomen efecto.

2. Autorizacion para objetos

-Transacción Modificación de pedidos (VA02). Solo permite la modificacion para areade ventas en 7500

Para verificar las asignaciones de roles y perfiles a transacciones y objetos el admin usa la transacción SUIM (sistema de informacion de usuario).

- Click en roles y luego por asignacion de transacción e ingresamos transaccion asignada al rol,

- Seleccionamos rol de nuestro interes y clickeamos en asign. de transacc. donde corroboramos las transacciones vinculadas al rol.

- Si clikeamos la opcion de asig. de perfiles podemos ver los perfiles asignados

- Si clickeamos asig. de usuario podemos ver los maestros de usuario que en su rol tiene asign. a dicho rol.