✒️SAP SD Los roles y perfiles

LECCION 3

LOS ROLES Y LOS PERFILES.

En esta leccion veremos las tareas relacionadas con los roles y perfiles, sus características y asignaciones correspondientes.

¿Por qué y para que requerimos autorizaciones?

Requerimos autorizaciones para poder cumplir con expectativas de la seguridad, esta nos permite proteger la información sensitiva del negocio, leyes regulaciones, cuestiones pertinentes a la legislación del país, ellas pueden incluir por ejemplo la protección para ley de Datos personales, datos sobre acuerdos compradores y clientes, todo esta información a proteger puede ser externa o interna en la organización.

También nos permite ver la relación del costo-beneficio hay una gran cantidad de amenazas de la cual una organización debe protegerse, una perfecta seguridad es conseguida con una relación de asignación inter-dimensional de autorizaciones, sin embargo, los beneficios de conseguirlo se encuentra en relación a los costos incurridos, en algunas ocasiones es más baratos reemplazar una perdida que proteger una información a alto costo, por eso una compañía debe darse cuenta lo que realmente es un aporte de beneficio en materia de seguridad de la información.

Además las autorizaciones nos permiten la no obstrucción del proceso de negocios, es desventajosos si todo el proceso de negocio está controlado con autorizaciones, de tal manera que todas conducen a continuos mensajes de error, una situación en este sentido no permite un favorable funcionamiento o proceso de la compañía la asignación de autorizaciones, debería ser confeccionada en forma estructurada de forma que tal el administrador pueda usar un número pequeño de roles.

SAP posee dos controles principales.

El primer control principal, es el control de acceso al sistema para que SAP funciones requiere que el usuario tenga un único ID de usuario, con el que el mismo pueda identificarse dentro del sistema, este mismo usuario debe constar con una contraseña que puede tener diversas características determinadas por la configuración de acceso al sistema.

El segundo control se basa en control de acceso, estos permiten proteger la información del negocio y funciones ante accesos no autorizados, para esto el sistema SAP utiliza chequeos de autorización para transacciones y reportes, por lo tanto cada ejecución de un programa realiza la comprobación sobre los efectos y transacciones para los cuales el usuario ha sido autorizado.

La autorización se asigna utilizando perfiles en forma de roles los cuales son ingresados en el datos maestro del usuario.

Los usuarios o empleados ejecutan transacciones que pertenecen a escenarios de negocios determinados para esto se asignan las funciones de roles.

Un rol es un grupo de actividades o transacciones ejecutados dentro de los escenarios de negocios, el rol, además de poseer las transacciones posee los objetos de autorización o información de negocios a la que puede acceder el usuario.

Un escenario de negocio puede necesitar una gran amplia necesidad de roles, por ese motivo son asignado los roles a diferentes perfiles.

A modo de ejemplo veremos el primer control que posee el sistema SAP del acceso al sistema para esto modificaremos las propiedades del maestro de un usuario, gracias a un nuevo ID de usuario que posee autorización de administrador de sistema y que le permite realizar ese tipo de modificación, estas modificaciones quedan a cargo del grupo de basis de una organización.

La transacción que utilizaremos será SU01 utilizaremos el ID de usuario modificado, seleccionaremos la opción de modificar, iremos a la solapa de datos de logon, en esta podemos ver la sección clave de acceso, en donde se encuentra las características de configuración sobre el acceso al sistema. Procederemos a hacer un blanqueo de clave ingresando una clave inicial que luego proveeremos al usuario, este procedimiento es como realizar un blanqueo de contraseña y se utiliza generalmente cuando el usuario se ha olvidado de la misma, grabaremos las modificaciones efectuadas.

Ahora ingresaremos al logon de SAP con el usuario al que realizamos las modificaciones, colocamos los datos de identificación usuario y contraseña inicial, al haber blanqueado la contraseña el sistema nos solicitara una contraseña nueva que será con la que se identificara el usuario, esta nueva contraseña puede tener características de configuración como ser distintas a las 5 anteriores. Ingresamos una contraseña nueva y la misma se encuentra ahora asociada al maestro de usuario.

Además de las modificaciones de contraseña, otro control de acceso al sistema es el bloqueo/desbloqueo del maestro de usuario, si deseamos bloquear un ID de usuario utilizamos la opción de bloquear / desbloquear, al hacerlo nos menciona el estatus actual del maestro del usuario el mismo se encuentra no bloqueado, clickearemos el botón de bloquear y el ID se encontrara bloqueado por el administrador del sistema al hacer esto el usuario no podrá ingresar con su ID, para desbloquearlo es el mismo procedimiento pero en este caso podemos apreciar que el status de bloqueo a cambiado a Bloqueado por responsable del sistema, haremos click en desbloquear y el usuario ha quedado desbloqueado para el acceso.

Un evento del bloqueo del ID de usuario es también voy reiterados fallidos de confinación usuario y contraseña, en este caso haremos el mismo procedimiento de bloqueo, salvo que el status de bloqueo es de bloqueado por entradas incorrectas al sistema, una vez desbloqueado el usuario puede ingresar correctamente.

Realizaremos ahora la comprobación del segundo control que posee SAP y que mencionamos al inicio de esta leccion: El control de acceso el mismo comprende la autorización para transacciones y objetos. Ingresamos con un ID de usuario tipiamos la transacción VA01 y notamos que nuestro ID de usuario no se encuentra autorizado para esta transacción que refiere a la creación de pedidos, por lo tanto el administrador de sistema ingresa al maestro del usuario y lo modifica.

Para hacerlo selecciona la solapa de roles luego ingresa el rol que posee las transacciones y objetos de autorización deseado, el administrador de grupos de basis tiene el conocimiento de los elementos que posee dicho rol, una vez asignado el rol podemos ver en la solapa de perfiles que un perfil sea asignado automáticamente puesto que el mismo se encuentra vinculado al rol.

Para analizar las características del rol volveremos a la solapa de roles seleccionaremos el rol correspondiente y luego haremos click en visualizar rol, nos posicionaremos en la solapa de autorizaciones, en esta solapa podremos identificar en el apartado información sobre el perfil de autorización, el perfil que se asignara automáticamente para este rol, el texto del perfil y el status del mismo.

Para analizar los objetos que comprenden este perfil podemos clickear en la opción visualizar datos de autorización, podemos ver por ejemplo que las autorizaciones que comprenden este perfil en lo que respecta a modificaciones de documentos de ventas el mismo esta permitido solamente para la organización de ventas 7500, luego de haber analizado los datos del rol y perfil asignados al maestro de usuario podemos grabar para que las asignaciones de autorización que hemos realizado tomen efecto.

Ingresamos con nuestro usuario y al tipiar la transacción VA01 podemos corroborar que se nos ha sido otorgado el acceso correspondiente.

Hemos verificado la correcta asignación de la autorización para las transacciones para verificar la correcta asignación de los objetos ingresaremos a la transacción VA02 intentaremos modificar un pedido perteneciente a la organización de ventas 2300 se puede corroborar de esta manera el perfecto funcionamiento del perfil y error que solo permiten a este usuario el objeto de autorización de la organización de ventas 7500 como se mostró anteriormente en el rol, para verificar las asignaciones de los roles y perfiles a transacciones y objetos, el administrador puede utilizar la transacción SUIM, haremos una corroboración del rol que agregamos recientemente a nuestro maestro de usuario y si se tiene autorización para la transaccion VA01 clickeamos en roles, luego en por asignación de transaccion ingresaremos la transaccion que esta asignada al rol por ejemplo VA01 seleccionaremos el rol de nuestro interés y clickeamos en asignaciones de transacciones donde corroboramos que se encuentran todas las transacciones que tiene asignado este rol, regresamos y del mismo rol podemos ver que perfiles tiene asignado presionando la opción de asignación de perfiles también al regresar y seleccionar asignación de usuarios podemos ver los maestros de usuario que en su rol tienen asignados al dicho rol.