✒️SAP BASIS La administración avanzada de usuarios

La administración avanzada de usuarios

Cada usuario solo tiene que ser administrado una vez de forma centralizada, lo que le da a la administración una visión general mucho más clara de todos los usuarios y autorizaciones. El administrador debe tener acceso a SAP y tcodes SU01, BD54, BD64, SCC4, SCUA, SCUM, SM59. Mantenimiento de usuarios en un sistema central. Un grupo de sistemas incluye varios sistemas SAP con varios clientes. Con frecuencia se crean los mismos usuarios y se asignan los mismos roles en cada cliente. La Administración central de usuarios está diseñada para realizar estas tareas en un sistema central y distribuir los datos a los sistemas en el grupo de sistemas.

Sistema de Administración Central de Usuarios (CUA). Usted administra usuarios para todos los sistemas de la Administración central de usuarios y sus autorizaciones en el sistema central. Con la Administración centralizada de usuarios activa, solo puede crear y eliminar usuarios en el sistema central y no en los sistemas secundarios conectados. También puede bloquear y desbloquear usuarios, asignar roles a los usuarios y, por lo tanto, desde el sistema central, de acuerdo con la configuración que haya elegido en la transacción SCUM para la distribución de los datos.

CUA es un sistema SAP al que todos los sistemas SAP en paisaje están conectados a través de conexiones RFC.

Administración Avanzada de Usuarios.

CUA (Central User Administration).

Servicio que reduce el trabajo de admon de usuarios para múltiples sistemas SAP. Admin centralizada desde un cliente (Sistema Central-Central System). Desde aquí se trabaja con los (Sistemas Hijos-Child Systems). Se puede indicar a nivel de usuario, para que clientes tendrá acceso. Se puede indicar que info del maestro de usuario podrá ser mantenida de manera central y local.

ALE (Application Link Enabling). Se usa para intercambiar info, configurar y operar aplicaciones SAP distribuidas. Info que puedes distribuir usando CUA:

- Registro Maestro de Usuarios: algunos datos maestros, asignar roles y perfiles.

- Contraseña inicial.

- Bloqueo: existe bloqueo general pero se puede desbloquear localmente.

los perfiles de autorización se mantienen localmente sobre todo por ser tema de SEGURIDAD

Servicios de Directorio.

Funciona como una libreta de direcciones con información que comúnmente es usada en diferentes sistemas de un landscape. (datos personales, datos de usuario e info sobre recursos y serv. de sistemas. Podemos mantener desde aquí la info de aplicaciones compatibles con directorios (Ej: usuarios (SU01)). El protocolo de acceso es LDAP. Se especifica la dirección de sincronización para cada campo. SAP sobrescribe en el directorio o viceversa.

Este concepto puede extender el de CUA, funcionan bien juntos

ADMINISTRACION CENTRAL DE USUARIOS:

Cuando tenemos ue operar multiples sistemas SAP con una determinada cantidad de clientes y tenemos que crear usuarios identicos varias veces en diferentes clientes, podemos reducir significativamente el esfuerzo de administración usando Administración Central de Usuarios, que por la siglas en ingles se conoce como CUA (Central User Administration). Podremos realizar la administración de forma central desde un cliente si utilizamos CUA. Este cliente se denomina Sistema Central (Central System). Los cientes para los cuales se realiza la administracion desde el sistema central se denominan Sistema Hijos (Child Systems). Puedes especificar para cada usuario en que clientes podrá ingresar. Utilizando CUA no significa que todos los usuarios pueden ser usados en todos los clientes del landscape. Puedes tambien especificar que informacion del registro maestro del usuario podrá ser mantenida de forma central y que información se podra mantener de forma local tambien. Algunas veces es util permitir que cierta informacion de usuarios sea mantenida de forma local por los usuarios o por un administrador en los sistemas hijos.

La informacion del usuario se intercambia mediante ALE. (Application Link Enabling y es una tecnologia para configurar y operar aplicaciones SAP distribuidas. ALE permite un proceso de intercambio controlado de mensajes de negocio entre sistemas SAP que no tienen una conexión permanente. El procesamiento asincrónico de la comunicacion asegura que la operación sea libre de errores.

La siguiente información puede ser distribuida utilizando CUA:

• Registro Maestro de Usuarios: Dirección, Datos Logon, Valores Fijos, Parámetros (Addresses, logon data,, user defaults y user parameters).
  
  Los usuarios son asignados a los roles simples o compuestos y los perfiles para todos los sistemas hijos. Utilizar CUA tiene la ventaja que como administradores no necesitamos ingresar a cada cliente para gestionar estas asignaciones localmente.
• Contraseña inicial: Cuando los usuarios son creados una contraseña inicial es transferida a los sistemas hijos donde el usuario existirá. Esta luego será modificada de la forma tradicional.
• Bloqueo: adicionalmente a las formas normales de bloqueo (intentos fallidos de logon o bloqueos por el administrador) hay un nuevo bloqueo general. Este tiene efecto en todos los sistemas hijos en os que un usuario existe y puede quitarse el bloqueo de forma local en ca da cliente o de forma central desde el sistema central.

Es posible asignar un rol simple o compuesto y perfiles de autorizacion desde el sistema central. De todas formas, los perfiles de autorizacion se mantienen localmente mas bien que de forma central ya que diferentes configuraciones de sistema y versiones pueden requerir una administracion local de los perfiles de autorizacion.

SERVICIOS DE DIRECTORIO

Los servicios de directorio permiten a varias aplicaciones en un landscape IT acceder a informacion compartida en un lugar central. La informacion se almacena en un servidor de directorio central que varios sistemas del landscape IT pueden acceder. deesta manera, el servidor de directorio actua como una libreta de direcciones IT para informacion que comunmente es usada por los diferentes sistemas, tal como datos personales, datos de usuario e informacion sobre recursos y servicios de sistemas. Podemos utilizar los servicios de directorio para mantener la informacion en los sistemas SAP para las aplicaciones compatibles con directorios, tal como la administracion de usuarios (SU01). El estandar LDAP (Lightweight Directory Access Protocol) se utiliza normalmente como protocolo de acceso. Los servicios de directorio proveen un punto central de informacion y administracion y por lo tanto una forma simple de compartirla entre varias aplicaciones.

Los sistemas SAP pueden intecambiar datos con los servicios de directorio usando el protocolo LDAP. Se especifica la direccion de sincronizacion para cada campo, lo que significa, si el sistema SAP sobreescribe la informacion en el directorio o el directorio sobreescribe la informacion en el sistema SAP. El sistema SAP puede intercambiar informacion con el servicio directorio de diferenetes marcas. SAP provee extensiones de esquemas para los servicios de directorio que soporta, con esto logra que los directorio puedan entender atributos que son propios de los sistemas sap.