✒️SAP BASIS La administración avanzada de usuarios
SAP BASIS La administración avanzada de usuarios
Unidad 5. Lección 5. Administración Avanzada de Usuarios.
Se vera una introducción de la Administración Central de Usuarios y la conexion a los servicios de directorio.
1. Administración Central de Usuarios. (CUA)
Nos ayuda a que podamos crear usuarios identicos en diferenes clientes, reduciendo significamente el esfuerzo. Desde CUA podemos realizar la administración de forma central desde un cliente. Este cliente se denomina Sistema Central (Central System). Los clientes para los cuales se realiza la administracion desde el sistema central, se denominan sistemas Hijos (Child Systems).
Se puede especificar para cada usuario en que clientes podra ingresar. Utilizando CUA no significa que todos los usuarios pueden ser usados en todos los clientes del landscape. Tambien se puede especificar que informacion del registro maestro de usuario podrá ser mantenida de forma central y que información se podra mantener de forma local. Ya que algunas veces es util permitir que cierta informacion de usuarios sea mantenida de forma local por los usuarios o por un administrador en los sistemas hijos.
La información del usuario se intercambia mediante ALE (Application Link Enable. Tecnologia SAP que describe el intercambio de información entre diferentes aplicaciones o procesos de negocio dentro de la compañia)
ALE permite el proceso de intercambio controlado de mensajes de negocio entre sistemas SAP que no tienen una conexion permanente. El procesamiento asincronico de la comunicacion asegura que la operacion sea libre de errores.
La siguiente informacion puede ser distribuida utilizando CUA:
- Registro Maestro de Usuarios: Direccion, Datos Logon, Valores Fijos, Parametros (adresses, logon data, user defaults y user parameters). Los usuarios son asignados a los roles simples o compuestos y los perfiles para todos los sistemas hijos. Utilizar CUA tiene la ventaja que como administradores no necesitamos ingresar a cada cliente para gestionar estas asignaciones localmente.
- Contraseña inicial: Cuando los usuarios son creados, una contraseña inicial es transferida a los sistemas hijos donde el usuario existirá. Esta luego será modificada de la forma tradicional.
- Bloqueo: Adicionalmente a las formas normales de bloqueo (intentos fallidos de logon o bloqueos por el administrador) hay un nuevo bloqueo general. Este tiene efecto en todos los sistemas hijos en los que un usuario existe y puede quitarse el bloqueo de forma local en cada cliente o de forma central desde el sistema central.
Se puede asignar un rol simple o compuesto y perfiles de autorizacion desde el sistema central. De todas formas, los perfiles de autorizacion se mantienen localmente, mas bien, que de forma central, ya que diferentes configuraciones de sistema y versiones puedes requerir una administracion local de los perfiles de autorizacion.
TIP. Aqui se toca nuevamente la seguridad, ya que puede darse que un usuario pueda estar intentando ingresar con un usuario que no sea el de él, por curiosidad, por jugar, etc. Lo que comunmente se hace es que al iniciar un proyecto, se enviar los usuarios y colocar siempre el mismo pwd inicial, lo que provoca que un usuario pruebe entrar con el nombre de otro usuario y logre entrar, ademas del suyo; lo que provoca una fuga de seguridad, que en el menor de los casos sera un ususario restringido que no podra hacer mucho daño o en el peor de los casos, no sabemos que puede llegar a realizar. SAP permite que se realice de la forma mas segura como nosotros querramos, y debemos evaluar cual es la mejor opcion para trabajar sin este tipo de riesgos.
2. Servicios de Directorio. Los servicios de directorio permiten a varias aplicaciones en un ladscape IT, acceder a informacion compartida en un lugar central.
La informacion se almacena en un servidor de directorio central, donde varios sistemas del landscape IT pueden acceder. Por lo que el servidor de directorio actual como libreta de direcciones IT para la informacion que es comunmente usada por los diferentes sistemas, tal como datos personales, datos de usuario e informacion sobre recursos y servicios de sistemas.
Los servicios de directorio se pueden utilizar para mantener informacion en los sistemas SAP para las aplicaciones compatibles con directorios, tal como la administración de usuarios SU01
El standar LDAP ( Lightweight Directory Access Protocol) se utiliza como protocolo de acceso. Los servicios de directorio proveen un punto central de informacion y administración, por lo tanto una forma simple de compartirla entre varias aplicaciones
Los sistemas SAP intercambian datos con los servicios de directorio usando el protocolo LDAP. Se especifica la dirección de sincronizacion para cada campo, lo que significa que, si el sistema SAP sobrescribe la informacion en el directorio o el directorio sobrescribe la informacion en el sistema SAP.
SAP puede intercambiar información con el servicio directorio de diferentes marcas. SAP provee extensiones de esquemas para los servicios que soporta, con esto logra que los directorios puedan entender atributos que son propios de los sistemas SAP.
NOTA: Una conexion a un servicio de directorio puede extender el concepto de CUA. Esto no significa que estos dos conceptos deben ser implementados conjuntamente, pero funcionan muy bien juntos.
 
 
 
Sobre el autor
Publicación académica de Marybell Adriana Hernandez Robles, en su ámbito de estudios para la Carrera Consultor Basis NetWeaver.
Marybell Adriana Hernandez Robles
Profesión: Ing. en Sistemas Computacionales / Mti - Mexico - Legajo: SC27M
✒️Autor de: 50 Publicaciones Académicas
🎓Egresado del módulo:
Certificación Académica de Marybell Hernandez