✒️SAP BASIS La administración avanzada de usuarios
SAP BASIS La administración avanzada de usuarios
1.- La administración central de usuarios.
Se puede utilizar la Administración Central de Usuarios o en ingles CUA (Central User Administration) para reducir significativamente la cantidad de registros de usuarios idénticos en múltiples sistemas SAP.
Se puede realizar la administración central desde un cliente si utilizamos CUA el cual se denomina Sistema Central (Central System). Los clientes a los cuales se realiza la administración desde el sistema central se denominan Sistemas Hijos (Child Systems).
Se puede especificar cada usuario en que cliente se podrá utilizar, al utilizar CUA no significa que todos los usuarios se puedan utilizar en todos los clientes.
Podemos especificar la información del registro maestro podrá ser mantenida de forma central y cuál de forma local. En ocasiones es bueno permitir que la información de usuarios sea mantenida de forma local por los usuarios o por un administrador en los sistemas hijos.
La información de usuario se intercambia mediante ALE (Application Link Enabling) el cual es una tecnología SAP para configurar y operar aplicaciones SAP distribuidas.
ALE permite un proceso de intercambio controlado de mensajes de negocio entre sistemas SAP que no tienen una conexión permanente. El procesamiento asincrónico de la comunicación asegura que la operación sea libre de errores.
La siguiente información puede ser distribuida utilizando CUA:
- Registro Maestro de Usuarios: Dirección, Datos Logon, Valores Fijos, Parámetros (addresses, logon data, user defaults y user parameters). Los usuarios se asignan a los roles simples o compuestos y los perfiles para todos los sistemas hijos. Utilizar CUA tiene la ventaja que como administradores no necesitamos ingresar a cada cliente para gestionar estas asignaciones localmente.
- Contraseña inicial: Cuando los usuarios son creados, una contraseña inicial es transferida a los sistemas hijos donde el usuario existirá, luego será modificada de la forma tradicional.
- Bloqueo: Adicionalmente a las formas normales de bloqueo (intentos fallidos de logon o bloqueos por el administrador) hay un nuevo bloqueo general. Este tiene el efecto en todos los sistemas hijos en los que un usuario existe y puede quitarse el bloqueo de forma local en cada cliente o de forma central desde el sistema central.
Es posible asignar un rol simple o compuesto y perfiles de autorización desde el sistema central.
Los perfiles de autorización se mantienen localmente más bien que de forma central ya que diferentes configuraciones de sistema y versiones pueden requerir una administración local de los perfiles de autorización.
En seguridad debemos estar atentos en monitorear que un empleado no esté utilizando un usuario que no sea el que se le ha asignado, una práctica es que al iniciar un proyecto enviar los usuarios y colocar siempre la misma password inicial, esto ayuda a que un usuario pueda probar con otros usuarios con la misma password, por tal motivo se recomienda crear usuarios restringidos para que no provoque mucho daño.
2.- Los servicios de directorio
Los servicios de directorio permiten a varias aplicaciones en un landscape IT acceder a la información compartida en un lugar central. Esta información se almacena en un servidor de directorio central que varios sistemas puedan acceder. El servidor de directorio actuara como una libreta de direcciones IT para información que comúnmente es usada por los diferentes sistemas, tal como datos personales, datos de usuario, e información sobre recursos y servicios de sistemas.
Podemos utilizar los servicios de directorio para mantener la información en los sistemas SAP para las aplicaciones compatibles con directorios, tal como la administración de usuarios (SU01).
El estándar LDAP (Lightweight Directory Access Protocol) se utiliza como protocolo de acceso, los servicios de directorio proveen un punto central de información y administración y por lo tanto una forma simple de compartirla entre varias aplicaciones.
SAP puede intercambias datos con los servicios de directorio usando el protocolo LDAP. Se especifica la dirección de sincronización para cada campo, lo que significa, si el sistema SAP sobrescribe la información en el directorio o el directorio sobrescribe la información en el sistema SAP.
SAP también puede intercambiar información con el servicio directorio de diferentes marcas, SAP provee extensiones de esquemas para los servicios de directorio que soporta, con esto logra que los directorios puedan entender atributos que son propios de los sistemas SAP.
Una conexión a un servicio de directorio puede extender el concepto de CUA. Esto no significa que estos dos conceptos deben ser implementados conjuntamente, pero funcionan muy bien juntos.
 
 
 
Agradecimiento:
Ha agradecido este aporte: Juan Poderoso Blasco
Sobre el autor
Publicación académica de Sayil Emanuel L?pez Valencia, en su ámbito de estudios para la Carrera Consultor Basis NetWeaver.
Sayil Emanuel L?pez Valencia
Profesión: Sistemas Computacionales - Mexico - Legajo: WA24Q
✒️Autor de: 45 Publicaciones Académicas
🎓Egresado de los módulos:
- Carrera Consultor en SAP Fiori
- Carrera Consultor Basis NetWeaver Nivel Avanzado
- Carrera Consultor Basis NetWeaver Nivel Inicial