✒️SAP BASIS El concepto de administración de usuarios ABAP
SAP BASIS El concepto de administración de usuarios ABAP
Los usuarios SAP requieren autorizaciones apropiadas para ingresar al sistema.
El administrador crea y configura un ID de Usuario en el sistema para cada usuario.
1.- Las bases de administración de usuarios
Debemos tener en claro el concepto de datos maestros de usuarios y el concepto de autorización.
El termino usuario en SAP será para hacer referencia al ID de usuario, donde un usuario podrá loguearse a un sistema operativo, base de datos o a un sistema SAP utilizando un usuario y contraseñas válidos ya que cada uno tiene diferentes conceptos de autorización. Si se crea un usuario y contraseña en un sistema SAP para una persona, no significa que pueda loguearse a el sistema operativo con el mismos usuario y contraseña.
De todas formas, es posible una combinación idéntica de usuario y contraseña para loguearse al sistema operativo y al sistema SAP.
Las solicitudes de los usuarios son procesadas por los work process de SAP. Estos work process utilizan un mismo usuario para acceder a la base de datos.
Los datos de usuario y autorizaciones son dependientes del cliente, ya que el acceso al sistema operativo de un servidor de aplicación SAP y el servidor de la base de datos deben ser protegidos o puede ponerse en riesgo las operaciones.
2.- Las autorizaciones
La protección de autorizaciones se realiza en dos niveles:
- ¿Puede una transacción ser accedida?
- Autorizaciones para realizar acciones y tratamiento de datos durante el uso propio de la transacción.
Una persona se puede loguear a un sistema SAP si conoce las credenciales de acceso, si el mismo usuario intenta ejecutar una transacción sin acceso, el sistema rechazara al usuario con un mensaje de error.
Si el usuario tiene autorización para la transacción, este le dejara ingresar. Dependiendo de la transacción que se ejecute, el usuario ingresara datos y realizara acciones en la pantalla. Verificaciones adicionales de autorización se llevan a cabo para los datos y acciones que se realizan para proteger los mismos.
Estas autorizaciones se asignan mediante roles. Las autorizaciones son combinaciones de roles y estos roles se ingresan en el registro maestro de usuario.
3.- Tipos de usuarios
- Diálogo: Se utiliza para todas las formas posibles de logón por una persona, en el logón de usuario el sistema verifica si la contraseña es inicial o ya expiro y el usuario tendrá la oportunidad de cambiar su contraseña.
También el sistema verifica si múltiples sesiones son creadas con el mismo usuario y permite que el usuario decida qué hacer en los cases que sea posible utilizar múltiples sesiones.
- Sistema: Se utiliza en comunicaciones dentro de un sistema para procesamiento de fondo. No puede ser utilizado para acceder mediante el programa SAP GUI o ningún otro método que pueda utilizar una persona ya que no es interactivo. También se pueden usar para aplicaciones que requieren de comunicaciones RFC, ALE, Workflow, Transport Management System, Central User Administration.
Los usuarios de este tipo están exentos del parámetro de sistema del periodo de validez de contraseña y solo administradores pueden cambiar la contraseña.
- Comunicaciones: Se utiliza para el logon de usuarios no-interactivos entre sistemas, no se pueden usar de diálogo y su configuración del periodo de validez de contraseña también aplica.
- Servicio: Es un usuario de diálogo que esta disponible para un gran número de usuarios anónimos, este tipo de usuarios están muy restringidos en cuanto a autorizaciones. Los usuarios son usados para accesos anónimos al sistema utilizando ITS o servicios ICF. El sistema no verifica por la validez de la contraseña durante el logon por lo que están exentos.
Solamente el administrados de usuarios puede cambiar la contraseña y múltiples sesiones son permitidos.
- Referencia: Este tipo de usuario no esta vinculado a una persona, no es posible utilizar este usuario para loguearse al sistema.
Se utiliza solamente para asignar autorizaciones adicionales en la solapa de Roles del registro de usuario.
4.- La transacción de administración de usuarios SU01
Para iniciar el mantenimiento de usuarios transacción SU01 o por Tools -> Administration -> User Maintenance -> Users.
Es posible crear un nuevo registro maestro de usuario copiando un registro de usuario existente o creándolo como nuevo.
Este registro contiene toda la información y configuraciones que se requieren para poder loguearse a un cliente del sistema SAP.
- Address: Información personal y de contacto.
- Logon data: Período de validez de la constraseña y del usuario. Tipo de usuario.
- Defaults: Valores por defecto para una impresora, lenguaje de logón, étc.
- Parameters: Valores específicos de usuartio para campos estándar en el sistema SAP.
- Roles and Profiles: Roles y perfiles que son asignados al usuario.
- Groups: Asignación de grupos para el usuario, utilizado para el mantenimiento masivo de usuarios.
El requisito mínimo para la creación de un usuario es ingresar al menos el apellido (Last Name) en la solapa Address, y la contraseña inicial en la solapa Logon Data.
Los administradores del sistema deben tener un usuario con permisos totales, en SAP existe un perfil llamado SAP_ALL el cual se puede asignar a los usuarios Basis.
El problema es en la auditoria ya que para ellos nadie en el sistema debe tener SAP_ALL y por eso se debe hacer entender que cuando los problemas suceden no hay tiempo para que ellos asignen permisos, por lo tanto, como auditores podrán encender algún trace del usuario administrador para controlar que no ingresen a lugares indebidos.
Los Basis deben tener SAP_ALL para solucionar errores de forma inmediata.
 
 
 
Agradecimiento:
Ha agradecido este aporte: Juan Poderoso Blasco
Sobre el autor
Publicación académica de Sayil Emanuel L?pez Valencia, en su ámbito de estudios para la Carrera Consultor Basis NetWeaver.
Sayil Emanuel L?pez Valencia
Profesión: Sistemas Computacionales - Mexico - Legajo: WA24Q
✒️Autor de: 45 Publicaciones Académicas
🎓Egresado de los módulos:
- Carrera Consultor en SAP Fiori
- Carrera Consultor Basis NetWeaver Nivel Avanzado
- Carrera Consultor Basis NetWeaver Nivel Inicial