Conceptos de Autorizaciones

 

 

 

La  Administración de Usuarios y Autorizaciones

 

Los usuarios de SAP R/3 se definen internamente dentro del sistema, utilizando los llamados registros maestros de usuarios; por tanto, no hay necesidad de gestión de usuario a nivel de sistema operativo ó de base de datos, dado que sólo existe un usuario (en Windows NT y AS/400) o dos (en UNIX) en una instalación estándar, que permite la administración del sistema.

 

Los usuarios se definen y se mantienen utilizando los registros maestros de usuarios, y la seguridad del sistema se garantiza mediante el uso de los perfiles y autorizaciones de SAP R/3.

 

El sistema SAP proporciona un modo completo y flexible de proteger los datos y las transacciones de usos no autorizados. En los registros maestros, a los usuarios se les asigna uno o varios perfiles de autorizaciones. Estos perfiles de autorizaciones están compuestos por un conjunto de autorizaciones las cuales proporcionan privilegios de acceso a los distintos elementos del sistema.

 

En un nivel aún inferior, las autorizaciones hacen referencia a los objetos de autorización, que contienen un rango de valores permitidos que se utilizan para permitir o denegar el acceso a las distintas entidades de sistema o de aplicaciones dentro del sistema R/3.

 

Visión general de la administración de usuarios

 

La administración de los usuarios no debe suponer una tarea pesada, siempre y cuando se sigan ciertas normas desde el comienzo de los proyectos. Dicho código de usuario es empleado para ingresar al sistema SAP R/3 acompañado de una contraseña ó clave de acceso.

 

No se puede decir lo mismo cuando se trata del mantenimiento de autorizaciones y perfiles, que es un tema de implantación que se puede abordar como proyecto conjunto entre los equipos técnicos y funcionales. Esto se debe a que no son los administradores de sistemas los que deciden si ciertos usuarios tienen permiso para crear apuntes contables, realizar movimientos de almacén o ver las nóminas de otros empleados. Son los especialistas encargados de configurar el sistema y los “dueños de los procesos” los que deben decir qué empleados o qué puestos de trabajo tienen acceso a qué funciones del sistema y, por tanto, los que deben definir qué entidades deben estar protegidas mediante autorizaciones. Al final se deben ejecutar las pruebas respectivas y adecuadas para evitar el famoso problema de los mensajes de "Falta de autorización" y que nos lleva a preguntar: Porque existen problemas de autorizaciones ?. Este tema se tratará un poco más a detalle en otro artículo. 

 

Es ésta una tarea verdaderamente importante y que puede llegar a ser bastante compleja, requiriendo bastante tiempo, dependiendo del grado de protección y seguridad, del número de usuarios, de los módulos que van a implantarse, y sobre todo, del Esquema de autorizaciones que inicialmente decida implementar. Esta decisión suele ser ignorada, ocasionando potenciales problemas futuros. Este tema se tratará más adelante en otro artículo.

 

Por este motivo, desde la versión 3.1G, SAP introdujo el Generador de Perfiles (Profile Generator), y puso a disposición de los clientes la Guía “Authorizations Made Easy” para facilitar las actividades de asignación de perfiles a los usuarios,

 

La parte fácil de la administración de usuarios trata con tareas como la creación de registros maestros de usuarios, cambiar las palabras claves, ayudar a los usuarios a definir sus valores prefijados y organizar las tareas de mantenimiento.

 

Maestro de Usuarios

 

Del mismo modo que en el resto del sistema R/3 existe un maestro de materiales, de clientes, de proveedores, etc. dentro de las funciones de administración también existe un maestro de usuarios.

 

Los registros maestros de usuarios definen las cuentas para que los usuarios puedan acceder al sistema. Contienen toda la información de acceso que es necesaria para validar los accesos de los usuarios y asignarle los derechos como la palabra clave y los perfiles de autorización. Existe gran cantidad de información extra en un registro maestro de usuarios, como cuál será la pantalla por defecto que verá el usuario cuando acceda al sistema, qué impresora tiene asignada por defecto, la dirección, el teléfono ó el idioma. Algunos de estos campos sirven únicamente como información, mientras que otros tienen un valor y significado en la operación normal.

 

Las funciones de mantenimiento se encuentran seleccionando las opciones desde el Menú principal: Herramientas à Gestión à Administración de usuarios à Usuarios, o bien tecleando el código de transacción SU01.

 

El sistema de Autorizaciones

 

El sistema de autorizaciones de SAP R/3 es el término general que agrupa a todos los elementos técnicos y administrativos utilizados para asignar privilegios de acceso a los usuarios, que sirven para garantizar la seguridad del sistema.

 

Un privilegio de acceso es un permiso para realizar una operación específica en el sistema SAP. Los privilegios de acceso del sistema R/3 se asignan a los usuarios mediante las autorizaciones y los perfiles en los registros maestros de usuarios. Las principales características del sistema de autorizaciones SAP R/3 se puede resumir en los puntos siguientes:

 

ü       El sistema de autorizaciones está basado en objetos complejos del sistema con verificaciones multicondicionales de privilegios de accesos. El sistema de autorizaciones comprueba varias condiciones antes de permitir a los usuarios realizar cualquier tarea en el sistema. Una verificación multicondicional se define en un “objeto de autorización”, por ejemplo, permitir a los usuarios crear, visualizar o borrar información de una organización de compras, sin embargo, estos mismos usuarios sólo pueden visualizar información en otra organización de compras. La tabla siguiente muestra un ejemplo de este concepto:

 

Usuario

Organización de Compras

Permisos

JPEREZ

001

Crear, Borrar, Visualizar

JPEREZ

002

Visualizar

CQUISPE

002

Crear, Borrar, Visualizar

 

 

ü       El sistema de autorizaciones utiliza “Perfiles de autorizaciones” para facilitar el mantenimiento de los registros maestros de usuarios. Los perfiles no son más que grupos de autorizaciones, de manera que en lugar de introducir una a una todas las autorizaciones, se pueden introducir perfiles. De este modo se pueden reutilizar en los registros maestros de otros usuarios.

 

ü       Los perfiles de autorizaciones pueden ser simples o compuestos. Los perfiles compuestos se componen de otros perfiles.

 

ü       El sistema de autorizaciones utiliza un método de activación, es decir, cuando se crean autorizaciones o perfiles, éstos no están disponibles para su uso hasta que no hayan sido previamente activados.

 

ü       El sistema de autorizaciones SAP proporciona mecanismos para distribuir las tareas de mantenimiento relacionadas con los usuarios y los privilegios de acceso, como asignar autorizaciones, activar perfiles, gestionar autorizaciones nuevas, etc. Todas estas tareas la puede realizar un único administrador con todos los privilegios o distribuirse entre varios administradores.

 

Perfiles de autorizaciones

 

Un perfil de autorizaciones contiene un grupo de autorizaciones, es decir, un grupo de privilegios de accesos. Los perfiles se asignan a los usuarios en los registros maestros de usuarios.

 

Un perfil puede representar un puesto de trabajo simple dado que define las tareas para las cuales un usuario tiene privilegios de accesos. Cada perfil puede contener tantos privilegios de acceso (autorizaciones) como sea necesario. Los perfiles pueden contener autorizaciones u objetos de autorización.

 

Cuando se cambia la lista o contenido de las autorizaciones dentro del perfil esto afectará a todos los usuarios que tienen asignado dicho perfil, cuando éste es activado. Pero no será efectivo hasta la próxima vez que esos mismos usuarios se conecten al sistema, o sea, que los cambios no afectan inmediatamente a los usuarios ya conectados.

 

Perfiles compuestos

 

Los perfiles compuestos son conjuntos de perfiles de autorizaciones, que a su vez, pueden ser simples o también compuestos. Un perfil compuesto puede contener un número casi ilimitado de perfiles, y se asigna a los usuarios del mismo modo que los perfiles simples, en los registros maestros de usuarios.

 

Los perfiles compuestos son adecuados para usuarios que tienen varias responsabilidades o tipos de trabajos distintos. Estos perfiles se conocen a veces como perfiles “de referencia” para poder asignar un grupo mayor de privilegios de acceso y tener la posibilidad de ajustarse mejor a los trabajos de usuarios  con varias responsabilidades.

 

Realizar modificaciones a algunos de los perfiles de la lista incluida en un perfil compuesto afecta directamente a los privilegios de acceso de todos los usuarios que tienen asignado el perfil compuesto en su registro maestro de usuario.

 

Cuando se muestran los perfiles den las distintas pantallas de SAP, hay una marca que indica si el perfil es simple o compuesto.

 

Autorizaciones

 

R/3 utiliza autorizaciones para definir cuáles son los valores permitidos para los campos de un objeto de autorización. Una autorización puede contener uno o varios valores para cada campo de un objeto de autorización.

 

Un objeto de autorización es como un modelo para probar o verificar privilegios de acceso, que se descompone de “campos de autorización” que son los que finalmente sirven para definir los valores permitidos para la autorización.

 

Una autorización se identifica con el nombre de un objeto de autorización y el nombre de la autorización creada para el objeto. Una autorización puede contener muchos valores o rangos de valores para un único campo. También es posible autorizar todos los valores posibles indicando el signo polivalente asterisco, o dejar el campo en blanco.

 

Las autorizaciones se introducen en los perfiles  con el correspondiente objeto de autorización. Cuando se modifica y luego se activa una autorización, tendrá un efecto inmediato en todos los usuarios que tengan un perfil que contenga esta autorización.

 

Los nombres técnicos de autorizaciones y objetos de autorización tienen un máximo de 12 posiciones, pero generalmente aparecen en el sistema utilizando textos descriptivos breves.

 

Para autorizaciones nuevas creadas localmente, la única restricción en cuanto al nombre es no colocar un signo de subrayado en la segunda posición del nombre técnico. Además, cada objeto creado por clientes debe cumplir con la guía de estilo de SAP y comenzar con “Z” o con “Y” para distinguirlo de los objetos originales de SAP, y así evitar que sea sobrescrito por una actualización de versión.

 

Objetos de Autorización

 

Un objeto de autorización identifica un elemento u objeto del sistema SAP que necesita estar protegido. Estos objetos funcionan como modelos para permitir derechos de acceso, mediante campos de autorizaciones que permiten realizar verificaciones complejas de los privilegios de acceso.

 

Un objeto de autorización puede contener un máximo de 10 campos de autorización. Los usuarios podrán realizar una función del sistema únicamente si pasan la verificación para cada campo del objeto. Es decir, la verificación contra el contenido del campo se realiza mediante el operador lógico AND. Una acción de usuario se permitirá sólo si la autorización del usuario cumple la verificación de acceso para cada campo contenido en un objeto. Mediante este mecanismo, el sistema puede realizar pruebas multicondicionales.

 

Del mismo modo que con la autorización, cuando se mantienen objetos de autorización, el sistema no muestra los nombres sino una breve descripción de cada objeto.

 

Los objetos de autorización se agrupan en clases que pertenecen a distintas áreas de aplicación, que se utilizan para limitar y facilitar la búsqueda de objetos, y así poder navegar más rápidamente entre los muchos objetos del sistema SAP.

 

Los objetos de autorización predefinidos por SAP (incluido en el estándar) no se deben modificar o borrar excepto si es indicado explícitamente por el personal de soporte autorizado. Borrar o modificar objetos de autorización estándar puede provocar serios problemas e programas que verifiquen dichos objetos.

 

Antes de poder modificar un objeto de autorización, se deben borrar todas las autorizaciones definidas con este objeto.

 

Si se desea utilizar el operador lógico OR para proporcionar acceso a los usuarios a ciertas funciones, se pueden definir varias autorizaciones sobre el mismo objeto y en cada una de ellas asignar valores distintos. En los registros maestros de usuarios se asignan cada uno de estos perfiles que estarán unidos por la lógica OR. De este modo, cuando el sistema verifica si el usuario tiene privilegios de acceso, comprobará cada autorización para ver si los valores asignados cumplen con la condición de acceso. El sistema permitirá el acceso con tal de que una de las autorizaciones pase el test.

 

Campos de autorización

 

Los campos de autorización identifican los elementos del sistema que se van a proteger asignándoles una prueba de acceso. Un campo de autorización puede ser, por ejemplo, un grupo de usuarios, un código de empresa, una organización de compras, una clase de desarrollo, etc. Existe un campo de autorización que se encuentra en la mayoría de los objetos de autorización, se trata del campo llamado “Actividad”. El campo actividad en un objeto de autorización define las posibles acciones que se pueden realizar sobre un objeto concreto de aplicación. Por ejemplo, la actividad “03” siempre significa “Visualizar”, de manera que si una autorización contiene dos campos como “Actividad” y “código de empresa” con valores “03” y asterisco (lo que significa para todos los códigos de empresa), quiere decir que el usuario que tenga esta autorización solo podrá visualizar todos los códigos de empresa.

 

La lista de actividades estándar del sistema se encuentra en la tabla TACT, cuyo contenido puede verse con las transacciones SM31 o SE16. La relación entre los objetos de autorización y las actividades se encuentran en la tabla TACTZ, aunque no todos los objetos de autorización tienen asignado el campo “actividad”.

 

Los campos se utilizan como parte de la función estándar ABAP AUTHORITY-CHECK. Cuando se mantienen las autorizaciones, el sistema no muestra los nombres reales (nombres técnicos) de los campos, sino que muestra la descripción de cada campo. La tabla TOBJ es la que contienen qué campos están asociados con cada objeto de autorización que es el modo en el que SAP conoce qué campos contiene un objeto de autorización. Los campos de un objeto están asociados con elementos de datos del diccionario ABAP.

 

Los campos de autorización se gestionan desde el entorno de desarrollo. En lo general, no se requiere cambiar los campos estándar de autorizaciones, excepto si se añaden o modifican elementos del sistema y  se necesita verificar esos elementos con autorizaciones.

 

En el ejemplo adjunto se muestra lo siguiente:

Objeto :

            Nombre: F_BKPF_BUK  

            Descripción Doc. contable: Autorización para sociedades

            Campo            Actividad

            Campo            Sociedad

 

 En el momento que a un objeto se le asigna valores a sus campos, se transforma en una Autorización. En el ejemplo se muestra:

Autorización :

            Nombre      A:KDELGA0100

            Descripción      Doc. contable: Autorización para sociedades

            Valores            Actividad (02, 03, 08, 77)

Sociedad (6042)

 

-------------------- 0 --------------------