Tabla de contenido

Introduccin .................................................................................................................................... 2

Ejecutar Tablas en SAP ................................................................................................................... 2

Tablas relacionadas a roles y usuarios ms frecuentadas .............................................................. 3
Riesgos de Seguridad: SE16 y SM30 ............................................................................................. 10

Roles Duplicados en Usuarios ....................................................................................................... 11

Herramientas de auditoria del sistema SAP R/3 ........................................................................... 16

Reporte Ajuste Maestro de Usuarios ............................................................................................ 21

Pgina 1 de 19
Introduccin

En SAP hay otras maneras de obtener informacin distinta a la utilizacin de la transaccin SUIM,
por supuesto todo depende del requerimiento que se tenga y la experiencia en la utilizacin de
estas.

Para ello podemos utilizar tablas del sistema que nos permiten obtener informacin que al final de
cuenta es donde las transacciones, por citar algunas como la SUIM, PFCG o SU01 leen y actualizan
la informacin.

La forma de tener acceso a las tablas es a travs de la transaccin SE16, para lo cual debemos
tener autorizacin como prerrequisito, adems, se debe tener permisos a las tablas que se va a
consultar en el sistema.

En cuanto a automatizacin de procesos SAP ha implementado reportes o programas que

permiten la automatizacin de procesos que pueden ser lanzados peridicamente de forma
automtica, entre esas funciones pudiramos hacer ajustes masivos a usuarios, eliminacin de
roles duplicados, etc.

1. Ejecutar Tablas en SAP

Transaccin SE16

A continuacin se selecciona la Tabla a consultar. Por ejemplo:

Pgina 2 de 19
Colocar nombre de la tabla

y oprimir el icono

Se presenta las variables de entrada antes de hacer la consulta

Pgina 3 de 19
Podemos Limitar la salida con Ctd.mxima aciertos por defecto es 500, si se deja en blanco ser
ilimitado.

Colocar los valores para delimitar la consulta. Por ejemplo el rol:

Pgina 4 de 19
En la barra de herramientas podemos seleccionar:

Ejecutar

Te proporciona el nmero de registro que devolver la tabla segn los

parmetros de consulta, se recomienda hacer esto antes de Ejecutar y as saber cuntos registros
devolver la consulta antes de lanzarla. En caso de que sean muchos registros deben ser lanzados
en Fondo. Por ejemplo:

Pgina 5 de 19
Caso contrario

Por ltimo, la salida con registros se vera as:

En caso de lanzar en fondo, para cualquier reporte se procede de la siguiente manera:

Pgina 6 de 19
Seleccionar Ejecutar en proceso fondo

Seleccionar LOCAL por defecto y Aceptar

Aceptar nuevamente.

Seleccionar el botn de inmediato

Pgina 7 de 19
Para ver la informacin se selecciona en el men Sistema > Jobs propios

Se selecciona Pergaminos

Para ver el Spool, se da doble click al cono

Pgina 8 de 19
Por ltimo se obtiene la salida la cual podremos descargar localmente.

2. Tablas relacionadas a roles y usuarios ms frecuentadas:

AGR_DEFINE: Muestra las informacin general de Modificacin de un Rol.

AGR_USERS: Asignacin de Roles a Usuarios.

AGR_1250: Muestra los Objetos de Autorizacin asociados a un Rol.

AGR_1251: Muestra los Objetos de Autorizacin y sus campos asociados a un Rol.

AGR_1252: Muestra los Valores de Niveles Organizativos asociados a un Rol.

Tablas relacionadas a usuarios

USR02: Despliega el master de usuarios y muestra datos de creacin, fecha, primer acceso, etc.

USH02: Histrico de datos de logon de usuarios.

Pgina 9 de 19
3. Riesgos de Seguridad: SE16 y SM30

Transaccin SAP: SE16

Bsicamente es una transaccin para mostrar informacin de una tabla determinada. Cuando es
"se16" es una transaccin normal. A diferencia de cuando se habla de la transaccin "SE16N" que
se denomina transaccin enjoy, ya que permite tener mayor personalizacin en cuanto a la
interfaz de usuario.

Transaccin SAP: SM30

Si bien, al igual que la SE16 (o SE16N) la SM30 permite acceder a la informacin de tablas, slo
podr acceder a tablas con "actualizacin de dilogo", lo que en ingls se denomina: "tables with a
maintaince dialog defined". Esto quiere decir, si intentamos ingresar a una tabla cualquiera a
travs de la SM30, obtendremos el error SAP SV037: "Dilogo actualizacin p.XXXXXX est
incompleto o no se ha definido". Tip: la trx. SE54 es la encargada de generar dilogos de
actualizacin en tablas.

Es una transaccin crtica, porque tiene muchsimas ms atribuciones (si el usuario cuenta con
acceso total) en comparacin con la transaccin SE16/N. Se recomienda deshabilitar el acceso a
cualquier usuario.

Para limitar stas transacciones, se recomienda usar el objeto de seguridad "S_TABU_DIS"

Aqu, es importante considerar la vista: "V_DDAT_54" que tiene la asignacin de grupos de
autorizacin para tablas estndar del mandante.

Bajo ningn punto de vista deben tener acceso a la actividad "02" (modificar).
Tambin revisar el objeto: "S_TABU_CLI", "S_TABU_LIN" y tener en cuenta "S_DEVELOP"

Teniendo lo anterior bien implementado no debera haber mayores problemas de que los usuarios
tengan la SE16.

No obstante es importante que la Tx SM30 no debe estar disponible para usuarios finales.

4. Roles Duplicados en Usuarios

SAP permite la asignacin de roles ms de una vez s y solo si la fecha de valides es diferente, estas
fechas pueden estar vencida, valides futura o valides activa con diferentes fechas de inicio y final,
en algunos casos pudiera darse la necesidad eliminar estas duplicidades de los roles de los
usuarios. Para ello existe un reporte que nos permite hacer este trabajo, teniendo la opcin de
simularlo antes de ejecutarlo.

Pgina 10 de 19
Nombre del Reporte PRGN_COMPRESS_TIMES, para ejecutar debe tener acceso a ejecutar
programas SE38 y las autorizaciones de gestin de usuario como prerrequisitos.

Caso Uso usuarios con roles duplicados:

Pgina 11 de 19
Tabla AGR_USERS antes de la ejecucin del reporte

Ejecucin reporte PRGN_COMPRESS_TIMES , usando transaccin SE38:

El Check Proc.simulado permite simular, No ejecuta la accin si esta activo.

Se muestra la simulacin de la eliminacin de los roles duplicados sin incluir los roles que tienen
periodo vencido.

Pgina 12 de 19
Seleccin de simulacin incluyendo asignaciones vencidas

La simulacin indica los roles vencidos que se van a suprimir

En este caso se procede a borrar todos los roles duplicados activos que tienen diferentes fechas de
inicio y fin, incluyendo las asignaciones vencidas.

Pgina 13 de 19
El resultado

AGR_USERS, luego de hacer la depuracin, ya los usuarios no tienen roles duplicados.

Pgina 14 de 19
5. Herramientas de auditoria del sistema SAP R/3

Existen un grupo de transacciones que permite hacer bsquedas en el sistema de manera de

obtener informacin de modificaciones transaccionales realizadas por usuarios del sistema, as
como, cuando y desde donde se realiz la accin, estas informacin puede ser usada para temas
de auditoria o para determinar performance de la aplicacin, que dan informacin de los tiempos
de repuesta del sistema:

Entre ellas tenemos las transacciones:

STAD
SM20

Transaccin STAD

El cdigo de transaccin STAD se utiliza para calcular el uso de recursos de transacciones

individuales para sistemas ABAP y proporciona un anlisis detallado de una transaccin y los pasos
del dilogo. Los criterios de seleccin incluyen usuario, transaccin, programa, tipo de tarea, fecha
de inicio y hora de inicio. Los registros estadsticos contienen informacin detallada sobre:

Proporciones del tiempo de respuesta

Acceso a bases de datos
Uso de memoria
Llamadas RFC.

A pesar de proveer datos de performance es tambin usada para consultar a que transacciones un
usuario ha ingresado en una ventana de tiempo, as como desde que equipo.

Pgina 15 de 19
Se Observa el ingreso a las transacciones MM01 y PPOSE.

Por ltimo, pudiera verse informacin detallad del proceso, inclusive la mquina que lo ejecut,
til para temas de auditoria.

Pgina 16 de 19
Transaccin SM20

Log de auditora de anlisis de seguridad, es una herramienta diseada para ser utilizada por los
auditores para supervisar las actividades en el sistema SAP. Se utiliza para ver el registro de
auditora. Al activar el registro de auditora (el cual debe realizarse por la transaccin SM19),
mantiene un registro de las actividades que considera relevantes para la auditora. A continuacin,
puede acceder a esta informacin para su evaluacin en forma de un informe de anlisis de
auditora. El registro de auditora se puede explorar durante un perodo de tiempo, usuario,
transaccin, informe, etc.

El informe de auditora se ejecuta peridicamente por el administrador de seguridad para obtener

los detalles de los intentos de inicio de sesin sin xito de los usuarios en el sistema de produccin
e investigar las causas. Aparte de que otros detalles tambin pueden ser obtenidos. Como por
ejemplo: transacciones fallidas, los usuarios que ejecutan los informes crticos, etc.

La salida:

Pgina 17 de 19
6. Reporte Ajuste Maestro de Usuarios

El reporte PFCG_TIME_DEPENDENCY efecta automticamente el ajuste a los usuarios, lo que

tambin se puede efectuar manualmente para un rol individual que se realiza con el Botn del
Comparar usuario en la Tab Usuario. La visualizacin de status en este Botn indica si se debe
efectuar un nuevo ajuste.

Las modificaciones de los usuarios asignados al rol, as como, una generacin de un perfil
de autorizacin correspondiente requieren un ajuste del maestro de usuario.
Los perfiles de autorizacin se ajustarn con los registros maestros de usuario, es decir, los
perfiles que ya no son actuales se retirarn de los registros maestros de usuario y los
perfiles actuales se introducirn en los registros maestros de usuario.

Pgina 18 de 19
En caso de ser necesario se podra agendar un job que realice esta actividad de forma automtica
con cierta frecuencia definida segn la necesidad

Pgina 19 de 19