Documentos de Académico
Documentos de Profesional
Documentos de Cultura
5 - Seguridad - Sap PDF
5 - Seguridad - Sap PDF
Pgina 1 de 49
Tabla de Contenidos
0-OBJETIVO ............................................................................................................................................. 3
1-ALCANCE ............................................................................................................................................... 3
2-INTRODUCCIN ................................................................................................................................. 4
3.1-PFCG ................................................................................................................................................. 7
3.1.1 Nomenclatura de GA .............................................................................................................. 8
3.1.2 GA - Simple............................................................................................................................. 9
3.1.3 Solapa MENU ....................................................................................................................... 10
3.1.3.1 Asignacin de transaccin Modo estndar .......................................................... 11
3.1.3.2 Asignacin de transaccin Desde el men de SAP............................................... 12
3.1.3.3 Asignacin de transaccin Desde un GA ............................................................. 14
3.1.3.4 Asignacin de transaccin Desde un archivo TXT ............................................... 19
3.1.4 Solapa AUTORIZATIONS .................................................................................................... 20
3.1.5 Niveles Organizacionales ..................................................................................................... 22
3.1.6 Solapa USERS ...................................................................................................................... 28
3.1.6.1 Asignacin de usuario ............................................................................................. 28
3.1.6.2 Desafectar usuario de un GA .................................................................................. 30
3.1.6.3 Desafectar usuarios de un GA en modo masivo ...................................................... 31
3.1.6.4 Datos bsicos de usuario......................................................................................... 32
3.1.7 GA - Derivado ...................................................................................................................... 33
3.1.7.1 Modificacin de un GAD ......................................................................................... 35
3.1.7.2 Autorizaciones distribuidas ..................................................................................... 37
3.1.7.3 Problemas en las Autorizaciones ............................................................................ 41
3.1.7.4 Otras funciones........................................................................................................ 44
3.2-SU53 ............................................................................................................................................... 46
3.2.1 Ejecutando SU53 para transacciones................................................................................... 46
3.2.2 Ejecutando SU53 para autorizaciones ................................................................................. 48
Pgina 2 de 49
0-Objetivo
Demostrar el funcionamiento de la herramienta para entender en que sitio del
sistema impactan los cambios que se desarrollan en los grupos de actividad asociados
a los usuarios.
1-Alcance
Este curso pretende llegar a la mnima granularidad en lo que respecta a la
seguridad de SAP R/3, pasando por las herramientas estndar de creacin de grupos
de actividad, informes de auditoria de seguridad, tablas de seguridad y funcionales,
parmetros bsicos de usuarios, creacin de usuarios, definicin de roles, etc.
Pgina 3 de 49
2-Introduccin
En principio veamos algunos conceptos bsicos que demos tener en cuenta
sobre la teora de seguridad en SAP R/3. Estos conceptos nos sern de gran ayuda a
lo largo del curso, ya que con estos conceptos daremos la totalidad del curso.
2.1-Grupo de actividad
El grupo de actividad, tambin denominado errneamente ROL, nos es ms
que un sub.-conjunto de un rol. El mismo, posee una pequea porcin de las funciones
que desempeara un recursos o puesto de trabajo (Varios recursos).
Pgina 4 de 49
2.2-Rol
Un Rol, es un conjunto de GADs agrupados para desempear una funcin
preestablecida. Esta funcin nace de un anlisis funcional y de proceso que no
abarcaremos en este curso.
2.2-Rol compuesto
Un rol compuesto, es un conjunto de Roles o GAD para realizar una tarea
CROSS o abarcativa de varios puestos de trabajo. Los Roles compuestos son muy
difciles de mantener dado que se crean con un propsito especifico y terminan siendo
alterados por el desconocimiento del proceso, o por directrices mal gestionadas.
Pgina 5 de 49
3-Interactuando con el sistema
En esta seccin vamos a ver las distintas transacciones que involucran a la
seguridad en SAP R/3. Algunas de ellas son de impacto directo, mientras que otras
son de investigacin en forma indirecta a la seguridad.
Pgina 6 de 49
16. USR21(Datos de usuario)
17. USOBT (Objetos chequeados por transacciones (Standard))
18. USOBT_C (Idem anterior (Copia))
3.1-PFCG
La transaccin PFCG (Profile Generador), es utilizada generalmente para la
creacin de GA, asignacin de autorizaciones y eventualmente asignacin de usuarios
al GA creado o modificado. Tambin se utiliza para remover usuarios de los GA
indicados por personal jerrquico.
Dicha transaccin, tiene muchas mas funcionalidades que sern vistas a los
largo de este punto.
Figura 1
Pgina 7 de 49
3.1.1 Nomenclatura de GA
Igualmente, no hay una regla de oro para la nomenclatura que utilicemos, para
este caso preciso, utilizaremos la denominacin PRUEBA, cuya inicial no es Y ni Z.
En los casos prcticos (Servidores DEV QUA - PRD) inexorablemente debern
comenzar con las consonantes antes mencionadas.
Pgina 8 de 49
3.1.2 GA - Simple
Figura 2
Podemos observar que una vez creado el GA, pasamos a ver una serie de
solapas en donde podemos definir el Menu del usuario, las Autorizaciones para las
transacciones que posee en el men y la asignacin a el/los usuarios que harn uso
del GA creado. Veamos paso por paso como se construye un grupo de actividad.
Pgina 9 de 49
En la solapa Descripcin, daremos detalle de que se trata el GA para futuros
cambios a los que pueda ser sometido el GA. A continuacin, en la figura 3 y 4
veremos los dos primeros pasos descriptos anteriormente.
Figura 3
Como podemos ver, la descripcin queda a la entrada al GA, vale decir, que de
ahora en mas cuando queramos modificar el GA, lo primero que nos aparecer en
pantalla es la pantalla de la figura 3.
Pgina 10 de 49
Figura 4
Figura 5
Pgina 11 de 49
En los espacios en blanco, definiremos las transacciones que queremos que
formen parte del grupo de actividad, en este caso, solo hemos incorporado la
transaccin SM37.
Ahora, vamos a incorporar una transaccin desde el men sap. Para ello,
Figura 6
Pgina 12 de 49
En esta pantalla podremos seleccionar las transacciones a partir del men
SAP. Las mismas, estn ordenadas en carpetas y bajo ese mismo esquema es como
las importara. Veamos un ejemplo en la figuras 7 y 8.
Figura 7
Pgina 13 de 49
Figura 8
Ahora veamos los tres mtodos restantes que son de gran utilidad a la hora de
simplificar trabajo en el diseo de GAs. Comnmente, estos mtodos no son
utilizados ya que los mantenimientos se realizan en forma manual. Lo ideal seria
mantener el esquema propuesto por SAP, ya que de esta manera, los GA se
convertiran en estndares.
Para comenzar con este mtodo, debemos hacer un clic en el botn from other
Pgina 14 de 49
Figura 9
Figura 10
Pgina 15 de 49
En la figura 10 observamos gran parte de los grupos de actividad creados en el
sistema. Ah, seleccionamos el GA al que deseamos para heredar el men y luego
Figura 11
Pgina 16 de 49
Una vez seleccionada la transaccin que se adecuaba a nuestro GA, haremos
Figura 12
Pgina 17 de 49
Figura 13
Figura 14
Pgina 18 de 49
transacciones. Esto es exclusivamente as cuando seleccionamos toda el rea como lo
haremos nosotros.
Por ultimo, resta ver como armar el men de transacciones desde un archivo
de texto. Cabe destacar, que esta opcin no tiene una frecuente utilizacin. El caso
donde se aplica con frecuencia esta modalidad, es en la recopilacin de roles tanto en
reingenieras como puestas en marcha.
La aplicacin que genera la salida del archivo TXT podra ser una macro en
Excel, o bien, un desarrollo propio.
FORMAT 1.2B
NODE 000030000100001FOLDER
TEXT 00003ENAdministration of role
NODE 000060000300003TRANSACTION PFCG
TEXT 00006ENProfile Generator
El archivo esta compuesto en este caso, por cinco (5) lneas. La primera de
ellas, cumple la funcin de cabecera del archivo. Algo que no nos aporta mucho, pero
que el sistema interpreta.
NODE 00003 00001 00001 FOLDER - Esta linea marca los cuatro
parmetros que comentaba anteriormente.
Pgina 19 de 49
El primero de ellos (00003) es el ID con el que llamara a la etiqueta TEXT.
Luego, aparecen dos grupos de parmetros (00001 00001) donde nos muestra la hoja
o el nodo padre, en este caso: FORMAT 1.2B.
El cuarto parmetro denominado FOLDER, nos indica que el nodo ser una
carpeta que contendr una o un grupo de transacciones.
NODE 00006 00003 00003 TRANSACTION PFCG indica un nuevo nodo que
tiene como padre al 00003. Vale decir, que este nodo estar por debajo del nodo
FOLDER con una jerarqua menor. Pero este nodo es del tipo TRANSACTION, con lo
que deberemos indicarle un nuevo parmetro, que en nuestro caso es PFCG.
Figura 15
Pgina 20 de 49
Ahora, siguiendo en la transaccin PFCG, veamos la solapa
AUTHORIZATIONS.
Figura 16
Como podemos apreciar, esta pantalla nos es mas que informativa. Tenemos
datos como:
Pgina 21 de 49
3.1.5 Niveles Organizacionales
El sistema viene con niveles organizacionales por defecto, que si bien nunca
son utilizados, para este curso nos servirn de ejemplo. En la siguiente pantalla,
veremos que los niveles organizacionales aun no fueron configurados. En este tipo de
situaciones, el sistema arroja la siguiente pantalla como ilustra la figura 17.
Figura 17
Pgina 22 de 49
Figura 18
Figura 19
Pgina 23 de 49
- Significa que estn faltando valores NO ORGANIZACIONALES, tales
como por ejemplo: ACTIVIDAD.
Figura 20
Observemos que los desplegados son los que estn en AMARILLO y uno
VERDE. Cada uno de estos objetos esta faltante de datos, pero es como SAP
presenta de forma Standard. Si nos remitimos a la figura 19 podremos ver lo
antedicho.
Pgina 24 de 49
Figura 21
Figura 22
Pgina 25 de 49
Figura 23
Figura 24
Como vemos, el objeto agregado manualmente figura como tal, pero el grupo
de objetos figura igual. Esto es muy interesante ya que a primera vista podremos
observar si alguien hizo modificaciones manuales. Este status no es ms que una
insercin de un objeto y el mismo, no ocasiona ningn problema. Lo unico que
debemos tener en cuenta, es que el objeto a insertar, no genere conflictos funcionales
o por contraposicin de funciones.
Pgina 26 de 49
Figura 25
En la figura 25, vemos todos los grupos de objetos con sus datos cargados, lo
que restara, es generar el GA. En la cabecera de la imagen, el Status del GA es
Figura 26
Figura 27
Pgina 27 de 49
3.1.6 Solapa USERS
Figura 28
Figura 29
Pgina 28 de 49
En la pantalla de la figura 29, seleccionaremos el usuario HROSSI, y luego
Figura 30
Pgina 29 de 49
Figura 31
Figura 32
Pgina 30 de 49
Figura 33
Para ello, seguiremos una serie de pasos que veremos en la figura 34.
Figura 34
Pgina 31 de 49
3.1.6.4 Datos bsicos de usuario
Figura 35
Esta pantalla como podemos ver, solo es de modo informativa, sin poder
realizar modificaciones sobre ella.
Pgina 32 de 49
3.1.7 GA - Derivado
Como vimos anteriormente, los GAD solo contendrn las autorizaciones, vale
decir, que el GA padre, tendr todas las transacciones que constituirn el GA
completo.
Figura 37
Pgina 33 de 49
1. El GAD se lo denomino PRUEBA_GRAL.
2. No tiene transacciones ni autorizaciones.
3. Aun no fue asignado a ningn usuario.
Veamos que en la figura 37, hay un campo denominado DERIVE FROM ROLE,
donde el mismo esta claramente marcado con un ovalo rojo. En este campo, debemos
indicar el GA padre que ser el que sedera las transacciones. En la figura 38, vemos lo
que estamos describiendo.
Figura 38
En la figura 39, veamos que las transacciones son heredadas del GA padre.
Las misma no pueden ser eliminadas ni modificadas ya que el owner de las misma, es
el GA padre.
Pgina 34 de 49
Figura 39
Pgina 35 de 49
Figura 40
Figura 41
Pgina 36 de 49
Figura 42
Veamos un caso prctico, donde los GAD ya estn creados y solo resta
configurar las autorizaciones. En las figuras 42 y 43 veremos los GAD con variante en
la ORGANIZACIN DE COMPRAS.
Pgina 37 de 49
Figura 42
Figura 43
Pgina 38 de 49
Figura 44
Como podemos ver, los semforos verdes indican que los valores solicitados
fueron cargados, mientras que los que estn en rojo indican que los niveles
organizacionales no fueron ingresados. Estos ltimos, sern ingresados en los GAD.
Figura 45
Pgina 39 de 49
Como indica el crculo rojo de la figura 45, el botn hereda las autorizaciones
(SOLO LAS NO ORGANIZACIONALES) del GA al GAD. Ahora, veamos por ejemplo a
GAD PRUEBA_0001 en la figura 46.
Figura 46
Figura 47
Pgina 40 de 49
Observemos, que las autorizaciones organizacionales han completado la
totalidad de las configuraciones del GAD. Ahora, el GAD PRUEBA_0001 ser limitado
a la organizacin de compras 0001, este es el concepto puro de una variante.
Figura 48
En la figura 48, lo nico que podemos identificar, es que hay objetos nuevos en
el GAD, ahora, si observamos bien, hay objetos nuevos que figuran como
MAINTAINED. Esto, en condiciones normales, suena muy extrao, que por ser nuevo
no debera estar mantenido. Veamos la figura 49, donde este status se aclarara.
Pgina 41 de 49
Figura 49
Figura 50
Pgina 42 de 49
Veamos que los objetos inhabilitados son los que aparecen en la parte superior
en la jerarqua de objetos. Siempre debe ser de esta manera, ya que, cuando SAP
quiere insertar un nuevo objeto, chequea que el mismo este activo, de lo contrario
omite el agregado del mismo.
Figura 51
Pgina 43 de 49
3.1.7.4 Otras funciones
Este botn tiene como funcin mostrar todos los objetos del
sistema agrupados por su categora. De aqu, seleccionaremos el objeto que
deseamos y luego ser aadido al GA en modificacin. Veamos un ejemplo en la
figura 52.
Figura 52
Los grupos de objetos estn sealizados con el signo (+), mientras que cuando
los desplegamos quedan con el signo (-). Luego, vemos a los objetos con un
smbolo , esto quiere decir que el mismo no fue seleccionado aun. En el caso de que
lo seleccionemos, el mismo quedara con el smbolo , lo que indica que este objeto
ser aadido al GA en modificacin.
Pgina 44 de 49
Este botn tiene como funcin, el agregado de objetos de forma manual.
Para utilizar dicha funcin, debemos tener bien en claro, que objeto se debe agregar o
por medio de un reporte, que nos dar la informacin precisa del objeto a aadir.
Pgina 45 de 49
3.2-SU53
Lo primero que debemos hacer antes que nada, es generar un error para ver
como el sistema genera el reporte. Para ello, ejecutaremos una transaccin que no
esta asignada al GAD que tiene el usuario. En la figura 53 veremos este
procedimiento.
Figura 53
Pgina 46 de 49
Como vemos en la figura 53, la transaccin que se ejecuto y a la que no tuvo
acceso en la MK01. Este, seria el caso ms sencillo dentro de los errores de
autorizacin. En la figura 54, veremos el reporte que genera la transaccin SU53, para
ello, debemos ejecutar la misma inmediatamente que el sistema arroja el error. En
este caso, podemos ejecutarla directamente, pero en el caso de que estemos dentro
de una transaccin y ocurra un error de autorizacin, a la misma se deber anteponer
el cdigo /N /O.
Figura 54
En la primer seccin del reporte, nos indica que autorizacin esta haciendo
falta. En este caso, solicita para la clase de objeto AAAB, el objeto S_TCODE, el valor
MK01.
Pgina 47 de 49
En este caso, el valor MK01, no debe ser cargado a mano en el objeto ya que
en los mismos se contemplan variables. Si llegramos a modificar manualmente este
campo, cada vez que agreguemos una transaccin por men, la misma, no ser
cargada en el campo del objeto S_TCODE. Lo mismo sucede, si lo que estamos
modificando manualmente es un Nivel Organizacional. Mas adelante veremos este
caso.
Figura 55
Pgina 48 de 49
En la figura 56 veremos el reporte que genera la transaccin SU53 respecto de
este error.
Figura 56
Este error, debe ser tratado desde los niveles organizacionales del GA
asignado al usuario, ya que el CODIGO de COMPAA esta sujeto a una variable
igual que el campo de la S_TCODE. En este caso, el objeto que esta solicitando el
valor 0001 es el F_BKPK_BUK, cuya actividad es correcta, pero el campo restante
solo tiene seteado AR01 faltando 0001.
Pgina 49 de 49