Seguridad en transacciones de SAP

“She was more like a beauty queen from a movie scene”

Tengo que aceptar que esta canción me recuerda a Campus Party, las pocas veces que la escucho lo hago pero en la versión acústica que tiene Chris Cornell.  Por lo mismo os la recomiendo.

Antes que nada debo disculparme enormemente con las personas que nos leen puesto que llevo mucho tiempo sin escribir en RinconInformatico.NET y sin querer he terminado por acostumbrado a no hacerlo, y eso es un grave error de mi parte.

Hoy quiero hablar un poco de mi trabajo.

SAP como todo (¿Gran?) sistema de administración de empresas (ERP) maneja autorizaciones para los usuarios y esta es una buena parte de la seguridad como tal.  Como bien definida por la etimología de la palabra:

Autorización es la capacidad que se le otorga a un individuo para realizar una actividad.

Las autorizaciones en SAP se manejan por medio de ROLES y dentro de los roles encontramos los PERFILES, en estos perfiles de usuario se almacenan las AUTORIZACIONES y son estas las que configuramos por medio de OBJETOS de AUTORIZACION.

¿Claro?

Espero que sí.  Sin embargo y comenzando por lo pequeño… un objeto de autorización simplemente es un mecanismo usado para INSPECCIONAR los privilegios de un usuario para acceder a determinados datos o ejecutar determinados programas.

Es en los objetos de autorización donde se configuran las ACTIVIDADES permitidas a un usuario, para que modifique determinado campo o cambio una descripción:

Ejemplo 1:

El usuario A, desea cambiar la descripción de un material pues resulta que tiene un error gramatical, el objeto de autorización X controla las modificaciones sobre las descripciones en los textos de los materiales.  Por lo tanto el Usuario A debe tener a X en su ROL configurado de la manera adecuada para que le permita ejecutar el cambio.

¿Qué es un Rol?

El rol de un usuario es un contenedor de perfiles, y los perfiles a su vez (como antes lo indicábamos) son los que contienen a las autorizaciones, y estas son simplemente las configuraciones de los Objetos de autorización.  El Rol es lo que en las últimas versiones SAP a implementado con el fin de que la seguridad de accesos al sistema R/3 de SAP pueda ser administrada por una persona sin grandes conocimientos ni experiencia en este tipo de Sistemas de información.

¿Un usuario puede tener varios Roles?

Completamente, de hecho es lo recomendado para las cosas más genéricas, por ejemplo el permiso para imprimir.

¿Un Rol puede tener varios Perfiles?

No, solo hay un rol por perfil.

Entonces ¿Puede haber varias autorizaciones en un perfil?

Afirmativo.  Cada vez que ingresamos un objeto de autorización en un rol o perfil este crea una nueva autorización, con la configuración que se le de al objeto de autorización.

¿Puede darse ese caso?

Todo el tiempo:

Ejemplo 2:

El mismo usuario A quien tiene permiso de modificar descripciones de textos en los materiales de la empresa, NO debe tener acceso de modificación al rango de materiales 100-200 porque estos son materiales para pruebas de calidad y no es necesario, pero si debe tener acceso a la visualización de estos materiales.  Este tipo de permisos son administrados por el objeto Y el cual tiene la posibilidad de configurar la creación, modificación y la visualización sobre los materiales.  Lo que hace un administrador de accesos es agregar DOS objetos, uno que permita la modificación de los rangos que si tiene acceso y otro donde permita la visualización de todos los materiales.

En este caso tendríamos un Rol, un perfil, pero dos autorizaciones y por lo tanto dos objetos de autorización, iguales; pero de diferente configuración.

¿Puede llegar a ser complicado?

Mi experiencia me dice que sí.  Pues las recomendaciones de “los que saben” siempre es que los roles deben configurarse de manera GENERICA, por si alguien más requiere de estos permisos.  Sin embargo YO personalmente NO comparto esta teoría, puesto que la mayoría de las veces que se requiere restringir un acceso implica tener que modificar estos roles genéricos (Y lo que conlleva con ello, bien sea quitando acceso a TODOS lo que tengan dicho ROL u otorgando mas de los necesario a las mismos que tengan dicho rol) y terminar creando roles particulares.  Resultando en lo mismo que crear Roles particulares desde el principio.

Finalmente, los programas estándar de SAP tienen definida las peticiones de información a los roles de los usuarios, a nivel programacional, es decir, en ABAP la sentencia que verifica las autorizaciones es:

Donde “Z_TCODE” es el nombre del objeto de autorización, ID es el campo que controla y FIELD es la actividad que permitida el usuario.

Esta es una explicación a groso modo y para que la entiendan las personas que no manejan SAP todos los días.  En un futuro si lo creo necesario podemos hablar de cómo se realizan las autorizaciones, es decir, un manual donde veamos paso por paso como asignar permisos en los usuarios de un sistema R/3.  Por ahora no lo creo necesario, pero puede llegar el caso.

Así funciona la seguridad en los accesos de SAP, no es ni más ni menos.

Como hoy para mi persona es un día especial, quería compartir estos pensamientos de un personaje de película, en español es llamada como “Nada es para Siempre”, es la parte final de dicha Historia y dice así:

Claro, ya estoy muy viejo para pescar bien.

Casi siempre voy a pescar solo.  Aunque me dicen que no lo haga.

Pero a solas, en la media luz de la cañada…toda la existencia parece esfumarse y quedan mis recuerdos…y los rumores del río y el ritmo en compás de 4…y la esperanza de que muerdan.

A la larga todos los paisajes se funden…atravesados por un río.

El río se formó del gran diluvio…y corre sobre las piedras del tiempo.

Sobre algunas piedras, hay gotas eternas.

Bajo las piedras, están las palabras.

Y algunas de las palabras son suyas.

El río me consuela.

Artículo enteramente dedicado al Mejor de Todos Los Tiempos a mi Papá, a Don Germán.

4 Comments