Archive for April, 2009

Creación de un rol – ejemplo

Thursday, April 23rd, 2009

La idea en este post es entender un proceso simple de creación de un rol,  cómo asignar una transacción a un usuario, los objetos de autorización correspondientes, etc.

Para hacer esto vamos a crear un ejemplo simple en donde vamos a crear un rol con permisos para administrar usuarios en SAP R/3.

1- Lo primero… Darle un nombre, los nombres de todos lo objetos personalizados o creados por el usuario final en SAP comienzan con la letra Z de manera estándar, la realidad es que podemos utilizar cualquier letra pero agrupar todo tras la Z es una buena manera de identificar los roles propios en caso de tener que realizar un upgrade o por cualquier motivo diferenciarlos del resto, por eso en nuestro caso el rol se llamará Z:PRUEBA (podría haber sido por ejemplo ZUSERS o Z_ABM_USUARIOS, etc). Hacemos click en el botón de Rol Simple y pasamos a la siguiente pantalla:

image

2- Una vez en la próxima ventana podemos asignar una descripción al rol y proseguir a la pestaña de “Menú”, en donde haciendo click en el botón “Transacción” incorporaremos una transacción al Rol y por consiguiente a su menú:

image

3- Una vez hecho el click nos disponemos a escribir el nombre de la transacción que queremos incorporar, también podemos hacer esto desde las opciones de Tomar Menús las cuales incorporaran las transacciones desde los menús estándar de SAP, utilizando su estructura predefinida, pero eso se los dejo para que experimenten ustedes.

image

4- Una vez incorporada la transacción al menú podemos ir a la pestaña de autorizaciones:

image

5- Una vez en el menú de autorizaciones hacemos click en Modificar Autorizaciones, y accederemos a una nueva pantalla, nos preguntará si queremos grabar el rol, esta acción es necesaria para poder tratar los objetos de autorización del mismo con lo cual contestaremos que si. La otra alternativa sería utilizar el “diskette” que se encuentra en la barra superior para grabar nuestro trabaja hasta el momento.

image

6- Una vez estemos en la nueva pantalla (a veces demora),  podemos ver los objetos de autorización agrupados por tipo de objeto.

image

7- Una vez que hacemos click en el símbolo [+] podemos ver el nombre del objeto de autorización (en este caso el primero es S_TCODE) y una breve descripción del mismo. Haciendo otra vez click en el [+] podemos ver los campos y sus valores. En este caso vemos el campo TCD y el valor SU01 que es la transacción que anteriormente agregamos en el menú y con la que automáticamente SAP carga el objeto. Resumiendo las transacciones que agregamos en el menú automáticamente son incluidas dentro de los valores del objeto S_TCODE.

image

8-Debajo de este objeto podemos encontrar 3 grupos más con sus respectivos objetos. Estos objetos de autorización son los que la transacción SU01 verifica en tiempo de ejecución (son los definidos en la transacción SU24, puede que existan más o menos chequeos que los aquí establecidos).

image

9- Tenemos que definir todos los valores de los objetos de manera de hacerlos acorde a la funcionalidad a otorgar. Por ejemplo si queremos brindar solo la posibilidad de visualizar usuarios deberíamos concentrarnos en los objetos S_ADDRESS1 (poder visualizar datos de dirección del usuario) y S_USER_GRP (permisos por grupo de usuarios) definiéndolos con la actividad 03 (visualizar) y la definición del grupo correspondiente o “*” para todos los grupos y el tipo de dirección Bc01.

image

10- Una vez realizadas todas las modificaciones se deben grabar las modificaciones (icono de diskette en la barra superior) y generar los perfiles de autorización correspondientes (ícono generar al lado del tacho de basura)

image image

11- Los otros objetos de autorización no brindan permisos adicionales en el caso de solo querer visualizar los datos de un usuario, pueden hacer la prueba y efectivamente van a ser capaces de usar la transacción SU01, pero hay funcionalidades adicionales que solo pueden ser brindados por estos otros, por ejemplo ver los permisos del usuario (roles) con los objetos S_USER_AGR, S_USER_AUT, S_USER_PRO, etc.

12- Una vez creado el rol puede definirse los usuarios que tendrán asignado el mismo desde dentro de la misma transacción PFCG o el proceso inverso desde la transacción SU01 (ingresando desde el usuario y definiendo los roles para el mismo. Una vez realizada la modificación en la PFCG se debe ejecutar la comparación de usuarios (botón) para que se actualicen efectivamente los permisos en los buffers de usuarios.

image

13- Si fuera el caso de requerir la funcionalidad de bloquear/desbloquear usuarios, por ejemplo, se otorgaría en el mismo objeto S_USER_GRP la actividad 05 y automáticamente una vez generado de nuevo el rol (y en ocasiones una vez que se comparen los roles) el usuario tendría el permiso a realizar esa acción.

El presente actúa a modo de ejemplo y podría tener muchas modificaciones para ser un rol de utilidad, pero la idea es entender como es el proceso de creación de un rol, y que el mismo aplica a roles más complejos y transacciones tanto de Base como de Negocio.

VN:F [1.8.2_1042]
Rating: 4.7/5 (6 votes cast)
VN:F [1.8.2_1042]
Rating: +1 (from 1 vote)

Tags: , , , , , , , ,
Posted in Transacción, autorización, introducción, roles | 1 Comment »

Tips: Bloqueo de Transacciones

Wednesday, April 22nd, 2009

Entre tantas opciones de seguridad que tenemos en la herramienta SAP ECC nos encontramos que tenemos la posibilidad de bloquear el uso de una transacción para todos los usuarios independientemente de sus autorizaciones (siempre y cuando no tengan autorización para desactivar el bloqueo), a través de la transacción SM01, en la misma podemos indicar el código de transacción a bloquear y a partir de confirmar el mismo no se permitirá la ejecución de esa transacción por ningún usuario hasta que no se vuelva a desbloquear.

Esta opción es útil para impedir la ejecución de transacciones que consideremos críticas y no querramos que en ese ambiente nadie ejecute, o tal vez para impedir temporalmente la ejecución de una transacción específica (ocurre durante la ejecución de algunos procesos en batch, o actualizaciones del sistema).

VN:F [1.8.2_1042]
Rating: 0.0/5 (0 votes cast)
VN:F [1.8.2_1042]
Rating: 0 (from 0 votes)

Tags: , ,
Posted in Tips, Transacción, introducción | 5 Comments »

Tips: Generación de Contraseñas

Wednesday, April 8th, 2009

Uno de los grandes problemas a la hora de generar contraseñas iniciales o reinicializar las mismas está dado por el uso de contraseñas triviales y por las dificultades que nos presenta la generación de contraseñas al azar estándar de SAP.

Sin embargo existen una posibilidad de configuración en el generador de contraseñas, que suele pasar desapercibida a la mayoría de los usuarios, y que se encuentra poco documentada.

Esta configuración se realiza en la tabla PRGN_CUST, en la que pueden definirise los parámetros:

GEN_PSW_MAX_LETTERS

GEN_PSW_MAX_DIGITS

GEN_PSW_MAX_SPECIALS

Respectivamente, para definir el número máximo de letras, dígitos y caracteres especiales que el generador automático de contraseñas (SU01 o SU10) va a utilizar, siempre y cuando no se contradigan con los parámetros definidos  en el perfil del sistema.

Cuando las políticas de la organización así lo permitan, o durante la generación de un número importante de usuarios en una implementación, podría ser útil deshabilitar colocando en 0 (cero) el uso de caracteres especiales para que las nuevas contraseñas no sean complicadas de escribir para los usuarios finales, ya que a veces por defecto SAP suele utilizar caracteres especiales difíciles de repetir en algunas configuraciones de teclado, o por usuarios impacientes ;-)


VN:F [1.8.2_1042]
Rating: 0.0/5 (0 votes cast)
VN:F [1.8.2_1042]
Rating: 0 (from 0 votes)

Tags: , , ,
Posted in Contraseña, Tips | No Comments »

Tips: Auditoría sin activar la auditoría

Friday, April 3rd, 2009

Estrenando un nuevo diseño en el blog creamos un artículo que puede llegar a ser útil aunque el título suene un tanto ambicioso. La realidad es que la idea básica es la de conocer si un usuario determinado ejecutó una transacción en SAP, o que usuarios ejecutaron una transacción (desde cualquiera de los dos puntos de vista).

La realidad es que la herramienta más idonea que podemos encontrar en SAP, es la transacción SM20N, y la veremos en profundidad en un futuro post.

Pero por ahora y en caso de una emergencia, y teniendo en cuenta que solo nos brinda información sobre acciones recientes, y no nos especifica la fecha y hora de esta ejecución (la cual puede aproximarse) vamos a ver como podemos ver esa información a través de la transacción ST03N.

Esta transacción nos permite evaluar la performance de ejecución en los distintos application servers, y su fin no es brindar información de seguridad, pero en determinados casos donde la auditoría no esté activada puede ser útil para nosotros.

En la misma seleccionando el Modo Experto, disponemos de un frame donde se encuentran las instancias de nuestro SAP. Una vez seleccionada una instancia en esta ventana, seleccionamos un período. Y vamos a la ventana que se encuentra inmediatamente abajo, seleccionando la vista Estadística de Usuario – Perfil de Usuario. Luego en la ventana principal vemos todos los usuarios con sus datos de performance, y si hacemos doble click en los mismos podemos ver que transacciones ejecutaron en el período de tiempo previamente seleccionado.

También existe la posiblidad de hacerlo a la inversa (desde la transacción los usuarios) a través de la vista “Perfil de Transacción”.

Es una alternativa interesante, si bien nunca debe ser la única, y el tiempo de la información resguardada va a depender de la configuración del sistema.

Es posible que nos resulte útil cuando se desea investigar de forma URGENTE, QUIEN EJECUTO tal transacción QUE ORIGINÓ TAL PROBLEMA, y nunca antes nos permitieron activar la auditoría por “cuestiones de performance” (o desconocimiento). Paradojicamente el Trace de performance nos puede brindar ALGO de esa información.

PD: Si necesitan algún capture de pantalla para hacerlo diganmé en los comments.

VN:F [1.8.2_1042]
Rating: 4.7/5 (3 votes cast)
VN:F [1.8.2_1042]
Rating: 0 (from 0 votes)

Tags: , , ,
Posted in Tips, auditoría. | 5 Comments »