✒️SAP SD Los roles y perfiles

ROLES Y PERFILES

Los roles y perfiles son generalmente configurados por consultores que se especializan en seguridad, pero debemos ayudarlos como consultores funcionales para definir las transacciones y objetos correspondientes.

SAP provee de roles y perfiles para la mayoría de actividades que deben realizarse en los procesos de negocios y puestos de trabajo.

Es recomendable analizar la copia de estos roles y perfiles y generar las adaptaciones correspondientes a las unidades organizativas y objetos.

¿Por qué y para qué requerimos autorizaciones? para poder cumplir expectativas de la seguridad:

Proteger información sensitiva del negocio: Cuestiones pertinentes a la legislación del país (leyes, acuerdos, regulaciones). Ejemplo: protección para la ley de datos personales, datos sobre acuerdo con proveedores y clientes. Toda esta información puede ser interna o externa a la organización.

Permitir ver la relación de Costo-Beneficio: Porque hay una gran cantidad de amenazas de las cuales una organización debe protegerse. Una perfecta seguridad es conseguida con una relación de asignación interdimensional de autorizaciones. Sin embargo, los beneficios de conseguirlos se encuentran en relación a los costos incurridos. En algunas ocasiones es más barato reemplazar una pérdida que proteger una información a alto costo. Por eso una compañía debe darse cuenta lo que realmente es un aporte de beneficio en materia de seguridad de la información.

Las autorizaciones nos permiten la No obstrucción de los procesos de negocio. Es desventajoso si todo el proceso de negocio está controlado con autorizaciones, de tal manera que todas conducen a continuos mensajes de error. Una situación en este sentido no permite un favorable funcionamiento o proceso de la compañía. La asignación de autorizaciones debería ser confeccionada en forma estructurada, de modo tal que el administrador pueda usar un número pequeño de errores.

Controles de acceso de SAP

SAP posee 2 controles de acceso:

1. Control de acceso al sistema

· Este usuario debe tener una contraseña que puede contar con diversas características determinadas por la Configuración de control de acceso al sistema (tales como reglas para contraseñas).

2. Control de acceso basado en roles

Permiten proteger la información del negocio y funciones ante accesos no autorizados.

· La autorización se asigna usando perfiles en forma de roles los cuales son ingresados en el dato maestro del usuario.

Usuarios, perfiles, roles y transacciones

Los usuarios logueados ejecutan transacciones que pertenecen a escenarios de negocios determinados.

Para esto se asignan las funciones de roles.

Un rol es un grupo de actividades o transacciones ejecutadas dentro de los escenarios de negocio.

El rol, además de poseer las transacciones, posee los objetos de autorización o información de negocio a la que puede acceder el usuario.

Un escenario de negocio puede implicar una amplia necesidad de roles, por ese motivo, los roles son asignados a diferentes perfiles.

Ejemplo de los controles de acceso en el Sistema SAP

1. Ejemplo de Control de acceso al sistema

Las modificaciones de usuario lo ejecuta el grupo de Basis en una organización. El usuario que modifica el control de acceso debe tener un perfil de administrador.

Tx: SU01

Ingresar el usuario y seleccionar Modificar.

Ir a la solapa de Datos de Logon.

En la sección Clave de acceso, se encuentra la característica de configuración sobre el acceso al sistema.

Para realizar un blanqueo de clave, ingresar una clave inicial y luego proporcionarla al usuario. Se utiliza generalmente cuando el usuario se ha olvidado su clave.

Cuando el usuario configurado ingrese se conecte al SAP Logon, el sistema le solicitará que ingrese una nueva contraseña. Esta contraseña puede tener características de configuración como ser distinta a las 5 contraseñas anteriores. Ingresar la contraseña y aceptar y la misma se grabará ahora al maestro de usuarios.

Además de las modificaciones de contraseña, otro control de acceso al sistema es el bloqueo y desbloqueo al maestro de usuario. Un evento de bloqueo de usuario es también por reiterados intentos fallidos de combinación Usuario y Contraseña. Al desbloquear el estatus del bloqueo indicará por intentos fallidos al sistema.

Tx: SU01

Ingresar el usuario y seleccionar la opción Bloquear/Desbloquear (candado).

2. Ejemplo Control de acceso basado en roles

Comprende la autorización para transacciones y objetos.

VA01: Ingresamos a esta transacción y notamos que no contamos con autorización a la misma.

El administrador del sistema debe ingresar al maestro de usuario y modificar.

Tx: SU01

Ingresar el usuario.

Luego ir a la solapa de Roles. Luego ingresa el rol que posee las transacciones y objetos de autorización deseados, esto en la grilla de roles. El administrador del grupo de Basis tiene el conocimiento sobre los elementos que posee dicho rol. Luego en la solapa de Perfiles se puede ver que un perfil se ha asignado automáticamente puesto que el mismo se encuentra vinculado al rol.

Para analizar las características del rol, volveremos a la solapa de roles. Seleccionar el rol correspondiente y click en la opción Visualizar rol. Posicionar en la solapa de autorizaciones. En el apartado Información sobre perfil de autorización se observa el perfil que se asignará automáticamente para ese rol, el texto y el estatus del mismo. Para analizar los objetos que comprenden este perfil, clickear en la opción Visualizar datos de autorización. Se observa un árbol de autorizaciones para los diferentes módulos del sistema. Desplegar hasta la rama que corresponde a Comercial --> Documento de venta --> Modificado. Allí se observa que sólo está permitido para la organización de venta 7500.

Luego de haber analizado el rol y perfil asignado al maestro de usuario, se puede dar grabar para que las modificaciones sobre las asignaciones de autorización que hemos realizado, tomen efecto.

Tx: SUIM

El administrador puede utilizar esta transacción para verificar las asignaciones de los roles y perfiles a transacciones y objetos.

El árbol Estructura, navegar en la rama Roles, click en Por asignación de transacción, ingresar la transacción que está asignada al rol por ejemplo VA01, seleccionar el rol de nuestro interés y clickeamos en Asignación de transacciones, donde corroboramos todas las transacciones que tiene asignado este rol. Regresamos y desde el mismo rol podemos ver qué asignaciones de perfiles tiene asignado presionando la opción de Asignación de perfiles. También al regresar y seleccionar Asignación de usuarios podemos ver los maestros de usuarios que tienen asignado dicho rol.