Concepto de Administración de usuarios ABAP.
El administrador tiene la responsabilidad de crear y configurar un ID de usuario en el sistema para cada usuario creando para cada ID autorizaciones apropiadas para su ingreso al sistema SAP
Bases de Administración de Usuarios.
El Usuario (ID Usuario) es una identificación que se asigna a cada usuario y que junto a una clave de acceso asociada al usuario, es lo que permite al mismo loguearse en el sistema SAP. Es decir, se deben tener un usuario y una clave válidos para acceder al sistema.
Las solicitudes de usuarios son procesadas por los work process de SAP. Los cuales utilizan un mismo usuario para acceder a la base de datos.
Los datos de usuarios y autorizaciones son dependientes del cliente
El acceso a nivel del Sistema Operativo de un servidor de aplicación SAP y del servidor de la base de datos deben ser protegidos o la operación y los datos del sistema SAP pueden ponerse en riesgo.
Autorizaciones
La protección de las autorizaciones se realiza en dos niveles:
1- ¿Puede una transacción ser accedida?
2- Autorizaciones para realizar acciones tratamiento de datos durante el uso propio de la transacción.
Una persona puede loguearse al sistema SAP con su usuario y contraseña válidos, pero existen restricciones en el uso de las transacciones. El usuario solo podrá utilizar aquellas transacciones para las que tiene permiso, si llama a una transacción para la que no está autorizado, el sistema lo rechaza con un mensaje de error apropiado. En caso de que cuente con los permisos para lanzar una transacción, también se llevan hacen verificaciones adicionales de autorización para los datos y las acciones en las transacciones, para así proteger los datos.
A los usuarios se les asignan autorizaciones mediante Roles.
La autorizaciones son combinadas en roles. Los roles luego se ingresan en el registro maestro de usuario.
Tipos de usuarios
El tipo de usuario es una propiedad importante de un usuario. Existen diferentes tipos de usuario:
- Dialogo.
Un usuario normal de dialogo se utiliza para todas las formas posibles de logon por una persona. Durante el logon de dialogo, el sistema verifica si la contraseña es inicial o expiró, entonces el usuario puede cambiar su contraseña. También el sistema verifica si múltiples sesiones son creadas con el mismo usuario y si permite que el usuario decida qué hacer si el usuario puede utilizar multi-sesión.
- Sistema.
El tipo de usuario Sistema se utiliza en comunicaciones dentro de un sistema o para procesamiento de fondo. Este usuario no puede utilizarse para acceder mediante SAP GUI, ni ningún otro método ya que no es interactivo. Este tipo de usuarios se puede utilizar para aplicaciones que requieren comunicaciones RFC como ALE, Workflow,Transport Management System, Central UserAdministration. Este tipo de usuarios no tienen periodo de valides de la contraseña, solo los administradores pueden cambiar la contraseña.
- Comunicaciones.
El tipo de usuario comunicación se utiliza para el logon de usuarios no-interactivos entre sistemas. No es posible utilizar estos usuarios para un logon de dialogo. El periodo de validez de la contraseña también se aplica a estos usuarios.
- Servicio.
El tipo de usuario servicio es un usuario de dialogo que está disponible para un gran número de usuarios anónimos y están muy restringidos en cuanto a permisos y autorizaciones. Estos usuarios son usados, por ejemplo, para accesos anónimos al sistema utilizando ITS o servicios ICF. El sistema no verifica la validez de la contraseña durante el logon de este tipo de usuarios, por lo que están exentos. Solamente el administrador puede cambiar la contraseña y les está permitido múltiples sesiones a estos usuarios.
- Referencia.
El tipo de usuario referencia no está vinculado a una persona. No es posible usar este tipo de usuario para logearse en el sistema. Este usuario es utilizado solamente para asignar autorizaciones adicionales en la solapa de Roles del registro de usuario.
Transacción de Administración de usuarios SU01.
La Transacción SU01 se utiliza para iniciar el mantenimiento de usuarios. Seleccionar menu Tools -> Administration -> User Maintenance -> Users
Es posible crear un nuevo registro maestro de usuario copiando de un registro de usuario existente o bien creando uno nuevo.
El registro maestro de usuario contiene toda la información y configuraciones que se requieren para poder logearse a un cliente del sistema SAP. Estos datos están divididos en solapas de la transacción SU01:
- Address: Información personal y de contacto.
- Logon Data: Periodo de validez de contraseña y usuario. Tipo de usuario.
- Defaults: Valores por defecto para una impresora, lenguaje de logon, etc.
- Parameters: Valores específicos de usuarios para campos estándar en el sistema SAP.
- Roles and Profiles: Roles y Perfiles que son asignados al usuario.
- Groups: Asignación de grupo para el usuario utilizado para el mantenimiento masivo de usuarios.
El requisito mínimo para crear un usuario es ingresar al menos el apellido (last name) en la solapa Adress y la contraseña inicial en la solapa Logon Data.
TIP. Nosotros como administradores debemos tener un usuario con permisos totales, como el perfil SAPOL que es asignados al usuario Basis. Sin embargo cuando los usuarios son administrados por Auditoria, muchas veces no nos dan este perfil y es necesario explicar por qué debemos tener este usuario, para resolver problemas de forma inmediata, y también obedecer si nos es indicado que no debemos entrar a ciertas transacciones.