Concepto de Autorización
Las autorizaciones de los usuario son creados usando roles y perfiles, los administradores crean los roles y el sistema provee el soporte para la creación de las autorizaciones asociadas.
1) Objetos de Autorización y Chequeo de Autorización.
Las acciones y los accesos a los datos estan protegidos a travez de los objetos de autorización.
Para facilitar la organización los objetos de autorización estan divididos en diferentes clases.
Los objetos de autorización permiten verificaciones complejas que involucran multiples condiciones, son evaluadas mediante la condición AND, o sea, se deben cumplir todas las condiciones para que la verificación de autorización sea exitosa.
Un objeto de autorización puede incluir hasta 10 campos de autorización.
Una autorización es un permiso para realizar cierta acción en el sistema SAP.
Una autorización siempre se asocia con solo un objeto de autorización y esta formada por el valor para los camos del objeto.
Es posible que existan multiples autorizaciones para un objeto de autorización.
Cuando un usuario se logea a un cliente de un sistema SAP, sus autorizaciones son cargadas en el contexto de usuario, el cual se almacena en el buffer (Memoria principal)
Transacción Su56: Es utilizada para monitorear el número de objetos que estan en buffer referente a los roles de autorización y perfiles del usuario.
Codigo retorno es igual a 0 cuando el contexto de usuario contiene todas las autorizaciones requeridas para la verificación.
Concepto de autorización positivo: Todo lo que no esta explicitamente permitido esta prohibido.
2) Mantenimiento de roles: Menú y Autorizaciones.
Transacción PFCG: Es una de las mas utilizadas en cuanto a seguridad dado que mediante esta se crean los roles con las autorizaciones que luego serán asignadas a los usuarios.
El menú de usuario se compone del menú de rol y contiene las entradas que son asignadas al usuario a través de los roles.
El mantenimiento de roles automaticamente crea las autorizaciones que estan asociadas con las transacciones especificadas en el arbol del menú, de todas maneras, todos los valores de autorización deben ser verificados manualmente y ajustados si fuese necesario para que concuerden con los requerimientos y permisos que se deben otorgar con el rol.
El significado de los indicadores en los objetos de autorización son:
- Luz Verde: El objeto de autorización tiene un valor propuesto para cada uno de los campos.
- Luz Amarilla: El objeto de autorización necesita mantenimiento manual al menos para uno de los campos.
- Luz Roja: Los niveles organizacionales no estan definidos.
Algunos campos aparecen en muchas autorizaciones por lo que estos campos se denominan niveles organizacionales, si editamos una entrada en el nivel organizacional entonces los cambios afectarán a todos los objetos de autorización que lo contienen.
3) Usuarios y Roles.
La asignación de usuarios a roles se realiza mediante la transacción PFCG o mediante la transacción SU01.
La asignación de los roles a los usuarios no otorga automaticamente las autorizaciones, para asignarlas es necesario realizar una comparación de registros de usuarios mediante la cual los perfiles de los roles son insertados en el registro maestro de usuario.
Una comparación de registro maestros de usuario determina si los perfiles de autorización deben ser agregado o eliminado del usuario.
Durante una comparación completa, los perfiles obsoletos son eliminados.