✒️SAP BASIS El concepto de autorización
SAP BASIS El concepto de autorización
El concepto de autorización
Las autorizaciones de los usuarios son creadas usando roles y perfiles
Los objetos de autorización y los chequeo de autorización
Las acciones y los accesos a los datos están protegidos a través de los objetos de autorización en el sistema SAP
Se deben cumplir todas las condiciones para que la verificación de autorización sea exitosa
Un objeto de autorización puede incluir hasta 10 campos de autorización
Una autorización siempre se asocia con un único objeto de autorización
Es posible que existan varias autorizaciones para un único objeto de autorización
Algunas autorizaciones ya están incuidas en el sistema por SAP, pero la mayoria se crean por requerimientos del cliente
La transacción SU56 se utiliza para monitorizar el nº de objetos que están en el buffer referentes a los roles de autorización y perfiles de usuario
Al llamar a la transacción el sistema verifica si tiene autorización para ejecutarla
Si a un usuario se le asignan nuvas autorizaciones puede ser necesario volver a logearse al sistema para tomarlas
Las verificaciones de autorización AUTHORITY CHECK realizadas durante la ejecución en el work process son programadas dentro del código por los desarrolladores ABAP
Si falta alguna autorización requerida el usuario recibe un mensaje indicando que las autorizaciones son insuficientes
Todo aquello que no está explicitamente permitido... está prohibido
El mantenimiento de roles:menú y autorizaciones
El mantenimiento de roles TRX PFCG simplifica la creación de autorizaciones y sus respectivas asignaciones a los usuarios
El mantenimiento de roles crea las autorizaciones con los valores de los campos requeridos para los objetos de autorización que son verificados en la transacción elegida
Un rol puede ser asignado a varios usuarios
El menú de usuario se compone del menú de rol y contiene las entradas (transacciones, reports, urls, ...) que son asignadas al usuario a través de los roles
Mantenimiento de roles:
PFCG
Tools - Administration - User Maintenance - Role Administration - Roles
Si seleccionamos Report puede integrar reportes ABAP. PFCG se encarga de crear los códigos de transacción
Si seleccionamos Other es posible agregar direcciones de internet o vínculos a archivos
El mantenimiento de roles automáticamente crea las autorizaciones que están asociadas con las transacciones, pero todo debe ser verificado manualmente y ajustado si fuese necesario
el administrador del sistema es responsable de esta tarea de verificación
Solapa Authorizations - Change authorizations/Display
Ahora podremos ver y modificar el contenido de las autorizaciones
Significado de los indicadores
Luz verde - el objeto de autorización tiene el valor propuesto
Luz amarilla - necesita mantenimiento manual al menos para uno de los campos
Luz roja - niveles organizacionales no están definidos
Como algunos campos están en muchas autorizaciones, los denominamos niveles organizacionales y si editamos una entrada en un nivel, los cambios afectan a todos los objetos de autorización que lo contienen
Los usuarios y roles
La asignación de usuarios a roles se realiza mediante la transacción PFCG (mantenimiento de roles) o en la transacción de usaurio SU01
Los usuarios pueden recibir más de un rol
La asignación de roles a los usuarios no otorga automáticamente las autorizaciones a los usuarios. Para asignar las autorizaciones, es necesario realizar una comparación de registros de usuarios mediante la cual los perfiles de los roles son insertados en el registro maestro de usuario
Una comparación de registros maestros de usuarios determina si los perfiles de autorización deben ser agregados o eliminados del usuario basándose en la asignación de perfiles para este.
Si la asignación de roles es removida manualmente o porque han caducado, los perfiles correspondientes son eliminados del registro maestro de usuario
La comparación puede realizarse por cada rol: selec rol en la función de mantenimiento de roles en la solapa user y luego user comparison, lugo complete comparison
Durante una comparación completa los perfiles obsoletos se eliminan
Si se van a actualizar multiples asignaciones de roles se puede realizar una comparación en la TRX PFCG - Utilities - Mass comparison, o llamando a la TRX PFUD
Comparación de registros maestros: Utilities - Mass Comparison - Schedule o Check Job... muestra ventana para el job PFCG_TIME_DEPENDENCY
Por defecto los registros maestros de usuario serán comparados una vez al día
 
 
 
Sobre el autor
Publicación académica de Agustin Casta?eda Valencia, en su ámbito de estudios para la Carrera Consultor Basis NetWeaver.
Agustin Casta?eda Valencia
Profesión: It Specialist Mainframe - Espa?a - Legajo: KD18W
✒️Autor de: 73 Publicaciones Académicas
🎓Egresado de los módulos:
Certificación Académica de Agustin Casta?eda