Seguridad de SAP: concepto de autorización del sistema
El concepto de autorización del sistema SAP se ocupa de proteger el sistema SAP de la ejecución de transacciones y programas del acceso no autorizado. No debe permitir que los usuarios ejecuten transacciones y programas en el sistema SAP hasta que hayan definido la autorización para esta actividad.
Para hacer que su sistema sea más seguro e implementar una autorización sólida, debe revisar su plan de autorización para asegurarse de que cumpla con los requisitos de seguridad de la empresa y que no haya violaciones de seguridad.
Tipos de usuario
En versiones anteriores del sistema SAP, los tipos de usuarios solo se dividían en dos categorías: usuarios de diálogo y usuarios que no eran de diálogo, y solo se recomendaba a los usuarios que no eran de diálogo para la comunicación entre dos sistemas. Con SAP 4.6C, los tipos de usuarios se han dividido en las siguientes categorías:
Dialog User- Este usuario se utiliza para el acceso individual al sistema interactivo y la mayor parte del trabajo del cliente se realiza mediante un usuario de diálogo. El propio usuario puede cambiar la contraseña. En el usuario de diálogo, se pueden evitar varios inicios de sesión de diálogo.
Service User- Esto se utiliza para realizar un acceso interactivo al sistema para realizar alguna tarea predeterminada como la visualización del catálogo de productos. Se permiten múltiples inicios de sesión para este usuario y solo un administrador puede cambiar la contraseña para este usuario.
System User- Esta identificación de usuario se utiliza para realizar la mayoría de las tareas relacionadas con el sistema: sistema de gestión de transporte, definición de flujos de trabajo y ALE. No es un usuario dependiente del sistema interactivo y se permiten múltiples inicios de sesión para este usuario.
Reference User- No se utiliza un usuario de referencia para iniciar sesión en un sistema SAP. Este usuario se utiliza para proporcionar autorización adicional a los usuarios internos. En un sistema SAP, puede ir a la pestaña Roles y especificar un usuario de referencia para derechos adicionales para los usuarios de diálogo.
Communication Users- Este tipo de usuario se utiliza para mantener un inicio de sesión sin diálogo entre diferentes sistemas como la conexión RFC, CPIC. El inicio de sesión de Diálogo utilizando SAP GUI no es posible para los usuarios de comunicación. Un tipo de usuario puede cambiar sus contraseñas como los usuarios de diálogo común. El módulo funcional RFC se puede utilizar para cambiar la contraseña.
El código de transacción: SU01se utiliza para la creación de usuarios en un sistema SAP. En la siguiente pantalla, puede ver diferentes tipos de usuarios en un sistema SAP en la transacción SU01.
Crear un usuario
Para crear un usuario o varios usuarios con diferentes derechos de acceso en un sistema SAP, debe seguir los pasos que se indican a continuación.
Step 1 - Usar código de transacción - SU01.
Step 2 - Ingrese el nombre de usuario que desea crear, haga clic en el icono de crear como se muestra en la siguiente captura de pantalla.
Step 3- Se le dirigirá a la siguiente pestaña: la pestaña Dirección. Aquí, debe ingresar los detalles como nombre, apellido, número de teléfono, identificación de correo electrónico, etc.
Step 4 - Será dirigido a la siguiente pestaña - Logon Data. Introduzca el tipo de usuario en la pestaña Datos de inicio de sesión. Tenemos cinco tipos de usuarios diferentes.
Step 5 - Escriba la primera contraseña de inicio de sesión → Nueva contraseña → Repetir contraseña.
Step 6 - Será dirigido a la siguiente pestaña - Roles - Asigne los roles al usuario.
Step 7 - Se le dirigirá a la siguiente pestaña - Perfiles - Asignar los perfiles a los usuarios.
Step 8 - Haga clic en Guardar para recibir la confirmación.
Administración central de usuarios (CUA)
La administración central de usuarios es uno de los conceptos clave que le permite administrar todos los usuarios en un entorno de sistema SAP utilizando un sistema central. Con esta herramienta, puede administrar todos los registros maestros de usuarios de forma centralizada en un sistema. Un administrador de usuarios central le permite ahorrar dinero y recursos en la gestión de usuarios similares en un entorno de sistema.
Las ventajas de la administración central de usuarios son:
Cuando configura CUA en el panorama de SAP, puede crear o eliminar usuarios utilizando solo el sistema central.
Todos los roles y autorizaciones requeridos existen en un sistema secundario en formas activas.
Todos los usuarios son monitoreados y administrados de manera centralizada, lo que hace que la tarea de administración sea fácil y una vista más clara de todas las actividades de administración de usuarios en un panorama de sistema complejo.
El Administrador de usuarios central le permite ahorrar dinero y recursos en la gestión de usuarios similares en un entorno de sistema.
Los intercambios de datos realizados utilizando el ALE paisaje llamado como Application Link Enablingque permite intercambiar los datos de forma controlada. El administrador central de usuarios utiliza ALE para el intercambio de datos con sistemas secundarios en un entorno de sistemas SAP.
En un entorno de paisaje complejo, usted define un sistema como el sistema central con entorno ALE y este está vinculado a todos los sistemas secundarios mediante el intercambio de datos bidireccional. Los sistemas secundarios en el paisaje no están conectados entre sí.
Para implementar la administración central de usuarios, se deben considerar los siguientes puntos:
Necesita un entorno SAP con varios clientes en un entorno único / distribuido.
Administrador para administrar usuarios, necesita autorización para los siguientes códigos de transacción:
SU01
SCC4
SCUA
SCUM
SM59
BD54
BD64
Debe crear una relación de confianza entre sistemas.
Debe crear usuarios del sistema en el sistema central y secundario.
Cree el sistema lógico y asigne el sistema lógico al cliente correspondiente.
Cree la vista del modelo y BAPI para la vista del modelo.
Cree un administrador de usuarios central y configure los parámetros de distribución para los campos.
Sincronizar direcciones de empresas
Transferir usuarios
En un entorno administrado de forma centralizada, primero debe crear un administrador. Inicie sesión en todos los sistemas lógicos del futuro CUA como usuario SAP * con la contraseña predeterminada PASS.
Ejecutar la transacción SU01 y cree un usuario con rol de administrador asignado.
Para definir un sistema lógico utilice Transacción BD54. Haga clic en Nuevas entradas para crear un nuevo sistema lógico.
Cree un nuevo nombre lógico en letras mayúsculas para la Administración de usuarios central para los sistemas centrales y todos los sistemas secundarios, incluidos los de otros sistemas SAP.
Para identificar fácilmente el sistema, tiene la siguiente convención de nomenclatura que puede usarse para identificar el sistema de Administración central de usuarios:
<System ID>CLNT<Client>
Ingrese alguna descripción útil de un sistema lógico. Guarde su entrada haciendo clic en elSavebotón. Lo siguiente es crear el nombre del sistema lógico para el sistema central en todos los sistemas secundarios.
Para asignar un sistema lógico a un cliente, use Transacción SCC4 y cambie al modo Cambiar.
Abra el cliente que desea asignar al sistema lógico haciendo doble clic o haciendo clic en el Detailsbotón. Un cliente solo puede asignarse a un sistema lógico.
En un campo de sistema lógico en los detalles del cliente, ingrese un nombre de sistema lógico al que desea asignar este cliente.
Realice los pasos anteriores para todos los clientes de un entorno SAP que desee incluir en el Administrador de usuarios central. Para guardar su configuración, haga clic en elSave botón en la parte superior.
Protección de perfiles específicos en SAP
Para mantener la seguridad en un sistema SAP, debe mantener perfiles específicos que contengan autorización crítica. Hay varios perfiles de autorización de SAP que necesita proteger en un sistema SAP que tiene autorización completa.
Algunos perfiles que deben protegerse en un sistema SAP son:
- SAP_ALL
- SAP_NEW
- P_BAS_ALL
Perfil de autorización SAP_ALL
Un perfil de autorización SAP_ALL permite al usuario realizar todas las tareas en un sistema SAP. Este es el perfil compuesto que contiene toda la autorización en un sistema SAP. Los usuarios con esta autorización pueden realizar todas las actividades en un sistema SAP, por lo que este perfil no debe asignarse a ningún usuario en su sistema.
Se recomienda que se mantenga un solo usuario con un perfil. Si bien la contraseña debe estar bien protegida para ese usuario y solo debe usarse cuando sea necesario.
En lugar de asignar autorizaciones SAP_ALL, debe asignar autorizaciones individuales a los usuarios apropiados. El Superusuario / Administración del sistema de su sistema, en lugar de asignarles la autorización SAP_ALL, debe utilizar las autorizaciones individuales que se requieren.
Autorización SAP_NEW
Una autorización SAP_NEW contiene todas las autorizaciones que se requieren en una nueva versión. Cuando se realiza una actualización del sistema, este perfil se utiliza para que algunas tareas se ejecuten correctamente.
Debe recordar los siguientes puntos sobre esta autorización:
Cuando se realiza una actualización del sistema, debe eliminar los perfiles SAP_NEW para las versiones anteriores a esto.
Debe asignar autorizaciones separadas bajo el perfil SAP_NEW a diferentes usuarios en su entorno.
Este perfil no debe mantenerse activo por mucho tiempo.
Cuando tiene una lista larga de perfiles SAP_NEW en el entorno, muestra que necesita revisar su política de autorización en el sistema.
Para ver la lista de todos los perfiles SAP_NEW, debe seleccionar este perfil haciendo doble clic y luego → ir a Choose.
Autorización P_BAS_ALL
Esta autorización permite al usuario ver el contenido de tablas de otras aplicaciones. Esta autorización contieneP_TABU_DISautorización. Esta autorización permite al usuario de PA ver el contenido de la tabla que no pertenece a su grupo.
Mantenimiento de roles de PFCG
El mantenimiento de roles de PFCG se puede utilizar para administrar roles y autorizaciones en un sistema SAP. En PFCG, el rol representa un trabajo que realiza una persona relacionado con escenarios de la vida real. PFCG le permite definir un conjunto de transacciones que se pueden asignar a una persona para realizar su trabajo diario.
Cuando los roles se crean en una transacción PFCG, puede usar Transacción SU01para asignar estos roles a usuarios individuales. A un usuario en un sistema SAP se le pueden asignar varios roles y que están relacionados con su tarea diaria en la vida real.
Estos roles están relacionados entre el usuario y las autorizaciones en un sistema SAP. Las autorizaciones y perfiles reales se almacenan en forma de objetos en un sistema SAP.
Con el mantenimiento de funciones de PFCG, puede realizar las siguientes funciones:
- Cambiar y asignar roles
- Creando roles
- Creación de roles compuestos
- Transportar y distribuir roles
Analicemos ahora estas funciones en detalle.
Cambiar y asignar roles
Ejecutar transacción: PFCG
Lo llevará a la ventana de mantenimiento de roles. Para cambiar el rol existente, ingrese el nombre del rol entregado en el campo.
Copie la función estándar haciendo clic en el botón Copiar función. Ingrese el nombre del espacio de nombres. Haga clic en el botón de selección de valor y seleccione el rol al que desea copiar esto.
También puede seleccionar los roles entregados por SAP comienza con SAP_, pero luego se sobrescribirán los roles predeterminados.
Para cambiar el rol, haga clic en el Change en Mantenimiento de funciones.
Navegue a la pestaña Menú para cambiar el menú de usuario en la página de la pestaña Menú. Vaya a la pestaña Autorización para cambiar los datos de autorización de ese usuario.
También puede utilizar el Modo experto para ajustar las autorizaciones para los cambios de menú en Autorización. Haga clic en el botón Generar para generar el perfil para este rol.
Para asignar los usuarios a esta función, vaya a la pestaña Usuario en la opción Cambios de función. Para asignar un usuario a este rol, debe existir en el sistema.
También puede realizar una comparación de usuarios si es necesario. Haga clic en la opción Comparación de usuarios. También puede hacer clic en el botón Información para saber más sobre los roles simples y compuestos y la opción Comparación de usuarios para comparar los registros maestros.
Creación de roles en PFCG
Puede crear roles únicos y roles compuestos en PFCG. Ingrese el nombre del rol y haga clic en Crear roles simples o compuestos como se muestra en la captura de pantalla a continuación.
Puede seleccionar en el espacio de nombres del cliente como Y_ o Z_. Los roles entregados por SAP comienzan con SAP_ y no puede tomar el nombre de los roles entregados por SAP.
Una vez que haga clic en el botón Crear rol, debe agregar Transacciones, Informes y Direcciones Web en la pestaña MENÚ en la definición de rol.
Navegue a la pestaña Autorización para generar el perfil, haga clic en la opción Cambiar datos de autorización.
Según su selección de actividad, se le pedirá que ingrese a los niveles organizativos. Cuando ingresa un valor en particular en el cuadro de diálogo, los campos de autorización del rol se mantienen automáticamente.
Puede adaptar la referencia para los roles. Una vez que se realiza una definición de función, debe generar la función. Haga clic en Generar (Shift + F5).
En esta estructura, cuando ve semáforos rojos, muestra los niveles organizativos sin valores. Puede ingresar y cambiar los niveles de la organización con Niveles de organización junto a la pestaña Mantenidos.
Ingrese el nombre del perfil y haga clic en la opción de marcar para completar el paso Generar.
Haga clic en Savepara guardar el perfil. Puede asignar directamente este rol a los usuarios yendo a las pestañas de Usuario. De manera similar, puede crear roles compuestos utilizando la opción de mantenimiento de roles PFCG.
Transportar y distribuir roles
Ejecute la Transacción - PFCG e ingrese el nombre del rol que desea transportar y haga clic en Transport Role.
Llegará a la opción de transporte de rol. Tiene varias opciones en los roles de transporte:
- Transporte roles únicos para roles compuestos.
- Transportar perfiles generados para roles.
- Datos de personalización.
En el siguiente cuadro de diálogo, debe mencionar la asignación de usuario y también deben transportarse los datos de personalización. Si las asignaciones de usuarios también se transportan, reemplazarán toda la asignación de roles de usuarios en el sistema de destino.
Para bloquear un sistema de modo que las asignaciones de roles de usuario no se puedan importar, ingréselo en la tabla de personalización PRGN_CUST usando transacción SM30 y seleccione el campo de valor USER_REL_IMPORT number.
Este rol se ingresa en la solicitud de personalización. Puede ver esto usando TransacciónSE10.
En la solicitud de personalización, los perfiles de autorización se transportan junto con los roles.
Transacción del sistema de información de autorización - SUIM
En la Gestión de Autorizaciones, SUIM es una herramienta clave con la que puede encontrar los perfiles de usuario en un sistema SAP y también puede asignar esos perfiles a esa ID de usuario. SUIM proporciona una pantalla inicial que brinda opciones para la búsqueda de usuarios, roles, perfiles, autorizaciones, transacciones y comparación.
Para abrir el Sistema de información del usuario, ejecute Transacción: SUIM.
En un sistema de información del usuario, tiene diferentes nodos que se pueden utilizar para realizar diferentes funciones en un sistema SAP. Al igual que en un nodo Usuario, puede realizar una búsqueda de usuarios según criterios de selección. Puede obtener la lista bloqueada de usuarios, usuarios que tienen acceso a un conjunto particular de transacciones, etc.
Cuando expande cada pestaña, tiene la opción de generar diferentes informes basados en diferentes criterios de selección. Al igual que cuando expande la pestaña de usuario, tiene las siguientes opciones:
Cuando hace clic en los usuarios según criterios de selección complejos, puede aplicar varias condiciones de selección simultáneamente. La siguiente captura de pantalla muestra diferentes criterios de selección.
Nodo de rol
De manera similar, puede acceder a diferentes nodos como Roles, Perfiles, Autorizaciones y varias otras opciones bajo este sistema de información de usuario.
También puede utilizar la herramienta SUIM para buscar roles y perfiles. Puede asignar una lista de transacciones a un conjunto particular de ID de usuario, realizando una búsqueda por transacción y asignación en SUIM y asignar esos roles a esa ID de usuario.
Con el sistema de información del usuario, puede realizar varias búsquedas en un sistema SAP. Puede ingresar diferentes criterios de selección y generar informes basados en Usuarios, Perfiles, roles, Transacciones y varios otros criterios.
RSUSR002 - Usuarios por criterios de selección complejos.