✒️SAP BASIS El concepto de autorización
SAP BASIS El concepto de autorización
Comprender el concepto de autorización de SAP requiere del conocimiento del rol y el perfil de autorización en el registro maestro de un usuario.
Las acciones y los acceso a los datos están protegidos a tráves de los objetos de autorización en el sistema SAP. Los objetos de autorización se encuentran ene le sistema SAP.
Para facilitar un poco la organización, los objetos de autorización estan divididos en diferentes clases.
Los objetos de autorización permiten verificaciones complejas que involucran múltiples condiciones que permiten a un usuario realizar una acción. Las condiciones son especificadas en los campos de autorización para el objeto de autorización y son evaluados estos campos mediante la condición logica AND para la verificación Osea, se deben cumplir todas las condiciones para la verificación de la autorización exitosa.
Los objetos de autorización y los campos que contienen tienen nombre tecnicos descriptivos.
El objeto de autorización User Master maintenance: User Groups (nombre tecnico: S_USER_GRP) contiene dos campos de autorización: Actividad (nombre tecnico: ACTVT) y user group in User Master Record (nombre tecnico: CLASS).
El objeto de autorización S_USER_GRP protege el registro maestro de usuario justamente. Un objeto de autorización puede incluir hasta diez campos de autorización.
Una autorización siempre se asocia con un solo objeto de autorización y esta formada por el valor para los campos del objeto de autorización. Una autorización es un permiso para realizar cierta acción en el sistema SAP. La acción es definida sobre la base de los valores para cada uno de los campos de autorización.
Por ejemplo, la autorización B en la figura para el objeto de autorización S_USER_GRP permite mostrar todos los registros de usuarios que NO están asignados al grupo SUPER. La utorización A, en cambio permite mostrar registros de usuarios pertenecientes a ese grupo.
Es posible que existan múltiples autorizaciones para un objeto de autorización. Algunas autorizaciones ya están incluidas en el el sistema pro SAP, pero la mayor parte son creadas especificamente por requerimientos de los clientes.
Cuando un usuario se loguea a un cliente de un sistema SAP, sus autorizaciones son cargadas en el contexto de usuario. El contexto de usuario se encuentra en el buffer(en la memoria principal, puedes consultarla mediante la transacción SU56) del servidor de aplicación.
Cuando el usuario llama la transacción, el sistema verifica si el usuario tiene la autorización necesaria en el contexto de usuario para acceder a la transacción. Las verificaciones de autorización utiilizan las autorizaciones que existan ene l contexto de usuario. Si se asignan nuevas autorizaciones al usuario, podria ser necesario para este usuario volverse a loguear al sistema SAP para poder utilizar estas nuevas autorizaciones.
Si la verificación de autorización para llamar a la transacción es exitosa, el sistema luego muestra la pantalla inicial de la transacción. Dependiendo de la transacción es usuario puede crear datos o seleccionar acciones. Cuando el usuario realiza la acción, los datos son enviados al dispatcher, el cual los pasa a un work process para que ejecute el procesamiento.
Verificaciones de autorización (AUTORITHY_CHECK) que son realizadas durante la ejecución en el work process son programadas dentro del codigo por los desarroladores ABAP para proteger los datos y las acciones que van a realizarse.
Si el contexto de usuario contiene todas las autorizaciones requeridas para la verificación ( codigo de retorno =0), los datos y las acciones son procesadas y la proxima pantalla es devuelta al usuario. Si falta alguna de las autorizaciones requeridas, el procesamiento no se realiza y el usuario recibe un mensaje que indica que las autorizaciones son insufcicientes.
Esto se controla mediante la evaluación del codigo de retorno. Este caso, no seria igual a 0.
Todas las autorizaciones son permisos. No hay autorizaciones para prohibir.
Todo aquello que no esta explicitamente permitido esta prohibido. Esto es lo que se conoce como concepto de autorización positivo.
En el mantenimiento de roles, las transacciones, que desde el punto de vista de la compañía, pertenecen a un mismo gripo se seleccionan, El mantenimiento de roles crea las autorizaciones con los valores de campos requeridos para los objetos de autorización que son verificados en la transacción elegida.
Un rol puede ser asignado a varios usuarios. Los cambios a un rol por lo tanto tienen efecto sobre todos los usuarios. Los usuarios pueden ser asignados a mas de un rol.
El menu de usuario se compone de rol y contiene las entradas ( transacciones, URLS, reportes, etc) que son asignadas al usuario a traves de los roles.
 
 
 
Sobre el autor
Publicación académica de Fabian Leonardo Beltran Veloza, en su ámbito de estudios para la Carrera Consultor Basis NetWeaver.
Fabian Leonardo Beltran Veloza
Profesión: Ingeniero Electronico - Colombia - Legajo: VJ29B
✒️Autor de: 40 Publicaciones Académicas
🎓Egresado de los módulos:
Certificación Académica de Fabian Beltran