Workshop Basis
(Seguridad)
SAP R/3
Temario – I/II
- Capitulo 1: Arquitectura del sistema
- Capitulo 2: Usuarios y autorizaciones
- Capitulo 3: Actualización de usuarios (SU01)
- Capitulo 4: Objetos de autorización bajo transacciones (SU24)
- Capitulo 5: Actualización de roles / Profile Generator (PFCG)
- Capitulo 6: Browser de datos / Visualización de tablas (SE16)
- Capitulo 7: Transportes (STMS / SE10 / SE01)
Temario – II/II
- Capitulo 8: Verificación de datos de autorización (SU53)
- Capitulo 9: Sistema de información de usuario (SUIM)
- Capitulo 10: Auditoria en seguridad ( SE19 / SE20)
- Capitulo 11: Trace de autorizaciones (ST01)
Capitulo 1 - Arquitectura del sistema
- Arquitectura Cliente / Servidor
- Escenario estándar SAP
- Estructura de datos
- Tipos de adaptaciones
1 - 1
Arquitectura Cliente / Servidor
Base de Datos
Message Server
WP
Dispatcher
WP
WP
WP
WP
Dispatcher
WP
WP
WP
SapGui
SapGui
SapGui
SapGui
Servidor de Base de Datos
Servidor de Aplicaciones
Cliente
1 - 2
Escenario estándar SAP
DEV
Datos de Aplicación
Customizing
Usuarios
Mandante 000
Datos de Aplicación
Customizing
Usuarios
Mandante <nnn>
Customizing Independiente de Mandante
Repositorio R/3
En un escenario estándar de SAP, existen 3 sistemas:- Desarrollo o Development (DEV): Configuración y desarrollo en general.- Control de Calidad o Quality Assurance (QAS): Pruebas y capacitación.- Producción o Production (PRD): Área de trabajo.
QAS
Datos de Aplicación
Customizing
Usuarios
Mandante 000
Datos de Aplicación
Customizing
Usuarios
Mandante <nnn>
Customizing Independiente de Mandante
Repositorio R/3
PRD
Datos de Aplicación
Customizing
Usuarios
Mandante 000
Datos de Aplicación
Customizing
Usuarios
Mandante <nnn>
Customizing Independiente de Mandante
Repositorio R/3
1 - 3
Estructura de Datos
Datos de Aplicación
Customizing
Usuarios
Mandante 000
Datos de Aplicación
CustomizingU
suarios
Mandante <nnn>
Customizing Independiente de Mandante
Repositorio R/3
Cada mandante de SAP es una organización diferente.En todo sistema SAP existe el mandante 000 (No debe ser modificado por los usuarios).Existen ciertos tipos de datos que son solo accesibles en un mandante estos son: los de aplicación, la mayoría de los seteos de customizing y los datos de los usuarios del sistema, en tanto que losindependientes son: los datos Customizing independientes de mandantes y el repositorio de R/3 (Tablas, Elementos de datos, reportes, transacciones).
1 - 4
Customizing
Tipos de Adaptaciones
Datos de Aplicación
Customizing
Usuarios
Mandante 000
Datos de Aplicación
Customizing
Usuarios
Mandante <nnn>
Customizing Independiente de Mandante
Repositorio R/3
El sistema R/3 original se modifica por el cliente según los requerimientos del cliente,este proceso que se realiza en la implementación se denomina customizing e incluye la modificaciónde datos de customizing dependiente e independiente de mandante. También se modifica el repositorio existiendo tres tipos de modificaciones que son:- Nuevos desarrollos- Mejoras en los desarrollos estándar de Sap- Modificaciones de los elementos del repositorio
Desarrollos
Modificaciones
Mejoras
1 - 5
Capitulo 2 – Usuarios y autorizaciones
2 - 1
- Usuarios en los entornos R/3
- Conceptos de autorización
Usuarios en los entornos de R/3
DispatcherWP WP …WP
Sistemaoperativo Usuario sist. operativo
Usuario Admin. R/3
Application server
SapGui
Sistemaoperativo Usuario sistema operativo
Usuario Sap R/3
Presentation server
Base de Datos
Sistemaoperativo Usuario sist. operativo
Usuario Admin. Base de datos
Database server
2 - 2
Conceptos de autorización
US
UA
RIO
Grupos deActividadGrupos de
ActividadGrupos deActividadGrupos de
Actividad
Autorizaciones
Autorizaciones
Autorizaciones
Autorizaciones
Autorizaciones
Valores
Valores
Valores
Valores
Valores
En R/3 cada usuario que necesita acceder a un mandante, requiere un usuario con un perfil asignadoCada usuario puede tener uno o mas perfiles de autorización asignados.Los perfiles limitan el accesos a transacciones y objetos por los cuales se requiere limitar las autorizacionesPor ejemplo código de empresa, código de vendedor.
2 - 3
Transacciones
Transacciones
Transacciones
Transacciones
Transacciones
Perfiles de AutorizaciónPerfiles de AutorizaciónPerfiles de Autorización
Capitulo 3 – Administración de usuarios (SU01)
- Maestro de Usuarios
- Conceptos generales
- Creación de Grupos de usuarios
- Actualizaciones en Masa
- Usuarios por defecto
- Parámetros de Seguridad
3 - 1
Maestro de Usuarios – (SU01)
Para la creación, modificación, visualización, borrado, copia, bloqueo / desbloqueo y modificación de clave de usuarios.
3 - 2
Maestro de Usuarios – Conceptos generales (1/7)
En la solapa Dirección, se registran los datos personales del usuario y los de comunicación (contacto).
3 - 3
Maestro de Usuarios – Conceptos generales (2/7)
En la solapa Datos logon, se puede asignar un Alias para un usuario de internet, la clave de acceso, el grupo de usuarios, el período de validez, el tipo de usuario, el nro. de liquidación y el centro de costo.
3 - 4
Maestro de Usuarios – Conceptos generales (3/7)
En la solapa Valores fijos, se determina el menú de ámbito, el dispositivo de salida (impresión), el formato de número, el formato de fecha, el uso horario y el indicador de verificación.
3 - 5
Maestro de Usuarios – Conceptos generales (4/7)
En la solapa Parámetros, se determinan los ID de parámetros y valores para completar automáticamente los campos en una mascara de imagen con los valores aquí propuestos.
3 - 6
Maestro de Usuarios – Conceptos generales (5/7)
En la solapa Roles (Grupos de Actividad), se asignan GAs, pudiendo seleccionar el rango de fecha operativo para cada uno.
3 - 7
Maestro de Usuarios – Conceptos generales (6/7)
En la solapa Perfiles, se visualizan los perfiles correspondientes a los GAs asignados al usuario y se pueden asignar perfiles individualmente. Ej.: Perfil default SAP (SAP_ALL).
3 - 8
Maestro de Usuarios – Conceptos generales (7/7)
En la solapa Grupos, se determina el o los grupos de usuarios a los cuales un usuario pertenece para facilitar las actualizaciones en masa (TX = SU10).
3 - 9
Maestro de Usuarios – Creación de Grupos de usuarios
Se pueden crear grupos de usuarios para facilitar la administración masiva de los mismos (trx SU01 o SUGR)
3 - 10
Maestro de Usuarios – Actualizaciones en Masa
Con la transacción SU10 podemos realizar modificaciones de forma masiva
3 - 11
Maestro de Usuarios – Usuarios por defecto
Con él reporte RSUSR003 se puede verificar si estos usuarios poseen claves conocidas. El parámetro
login/no_automatic_user_sapstar previene la entrada al sistema con el usuario SAP* y la clave PASS
3 - 12
Maestro de Usuarios – Parámetros de Seguridad
Parámetros relacionados a la seguridad y los usuarios
3 - 13
3 - 14
Maestro de Usuarios – Parámetros de Seguridad
Parámetros relacionados a la seguridad y los usuarios
Capitulo 4 – Objetos de autoriz. bajo transacciones - (SU24)
- Concepto General
- Utilización
4 - 1
Concepto general y utilización (1/3)
Mediante la selección de un código de transacción se puede visualizar los objetos de autorización verificados por la misma durante su ejecución.
4 - 2
Concepto general y utilización (2/3)
Permite visualizar objetos de autorización asociados con la transacción, modificar el status de verificación de los objetos de aut. asociados o visualizar los valores por defecto para los objetos de aut. verificados.
4 - 3
Concepto general y utilización (3/3)
Los objetos de autorización verificados por la transacción son los mostrados como “verif./actual”
4 - 4
Capitulo 5 – Profile Generator - (PFCG)
- Introducción
- Grupo de Actividad individual
- Grupo de Actividad derivado
- Grupo de Actividad compuesto
5 - 1
Profile Generator – (PFCG)
El Profile Generator es la herramienta utilizada para la creación de los Roles / Grupos de actividad y la asignación de usuarios en los mismos.
5 - 2
Grupo de Actividad individual (1/4)
Los GA individuales están compuestos por Transacciones y Autorizaciones.
5 - 3
Grupo de Actividad individual (2/4)
La asignación de Transacciones en este tipo de Grupos de Actividad es directa.
5 - 4
Grupo de Actividad individual (3/4)
Las Autorizaciones se configuran mediante la asignación de valores, generándose luego un Perfil con dicha información.
5 - 5
Grupo de Actividad individual (4/4)
Una vez asignadas las transacciones, configuradas las autorizaciones y generado el perfil, a los GA se le asignan usuarios pudiendo seleccionar el rango de fecha operativo para cada uno.
5 - 6
Grupo de Actividad derivado (1/4)
Los GA derivados o heredados, poseen relación de herencia de otro GA, recibiendo así la información relacionada con Transacciones y Autorizaciones asignadas en el GA padre.
5 - 7
Grupo de Actividad derivado (2/4)
De este forma, este tipo de GA “heredan” todas las Transacciones y Autorizaciones asignadas en el GA padre, pudiendo asignar valores de autorización específicos a cada uno de los GA derivados (Solo para valores de Niveles de Organización!).
5 - 8
Grupo de Actividad derivado (3/4)
Una vez configurados todos los valores de autorización específicos para el GA derivado, se debe generar un perfil al igual que en un GA individual.
5 - 9
Grupo de Actividad derivado (4/4)
Una vez configurada la relación de herencia, configuradas las autorizaciones y generado el perfil, a los GA se le asignan usuarios pudiendo seleccionar el rango de fecha operativo para cada uno.
5 - 10
Grupo de Actividad compuesto (1/4)
Un GA compuesto, es un conjunto de distintos GA (individuales o derivados), que dan como resultado un único GA con las transacciones y autorizaciones de los GA de origen.
5 - 11
Grupo de Actividad compuesto (2/4)
A diferencia de un GA derivado, este tipo de GA pueden “heredar” la información de más de un GA, pero no se puede modificar la información relacionada con Autorizaciones.
5 - 12
Grupo de Actividad compuesto (3/4)
El la solapa “Menú” se puede visualizar toda la información relacionada con las transacciones de los GA que contenidos dentro del GA compuesto.
5 - 13
Grupo de Actividad compuesto (4/4)
Una vez asignados los GA de origen, al GA se le asignan usuarios pudiendo seleccionar el rango de fecha operativo para cada uno.
5 - 14
Capitulo 6 – Browser de datos / Vis. de tablas (SE16)
- Introducción
- Conceptos generales
6 - 1
Browser de datos (SE16)
Herramienta para la visualización de datos contenidos en una tabla.
6 - 2
Browser de datos (SE16)
Las consultas se pueden efectuar mediante cualquiera de los campos disponibles, pudiendo así también efectuar consultas complejas seleccionando múltiples campos.
6 - 3
Browser de datos (SE16)
La información contenida dentro de una tabla, se muestra en el formato clásico de tabla = fila / columna.
6 – 4
Browser de datos – Tablas útiles
Estas tablas nos muestran información útil relacionada a los usuarios y grupos de actividad
6 – 5
- AGR_DEFINE Definición de Roles
- AGR_AGRS Roles en Roles compuestos
- AGR_TCODES Transacciones x Rol
- AGR_USERS Usuarios en Roles
- AGR_1251 Roles – objetos – Campos – Valores
- AGR_1252 Valores de Nivel de Organización en Roles
- AGR_FLAGS Atributos de Roles
- USOBT Objetos Verificados en transacciones
Capitulo 7 – Transportes (STMS / SE10 / SE01)
- Transport Management System - (STMS)
- Transport Organizar - (SE10)
- Transport Organizer (vista ampliada) – (SE01)
- Logística del Software
- Transportes entre Sistemas
- Rutas de transporte
7 - 1
Transport Management System - (STMS)
El TMS conecta los diferentes sistemas R/3 y el controlador de Dominio debe ser uno de los sistemas R/3
7 - 2
Transport Management System - Concepto
El TMS permite transportar entre los diferentes sistemas con una administración centralizada.Es necesario definir los sistemas involucrados y las rutas de transporte, esta información es configuradaen el controlador de dominio y luego se distribuye vía RFC a los diferentes sistemas.
DEV
QAS
PRD
Directorio de Transporte
Dominio de Transporte
7 - 3
Transport Organizer - (SE10)
El TO permite modificar y/o visualizar, ordenes propias y ordenes no propias
7 - 4
Transport Organizer (vista ampliada) - (SE01)
Vista ampliada del Transport Organizer
7 - 5
Logística del Software
DEV
Datos de Aplicación
Customizing
Usuarios
Mandante 000
Datos de Aplicación
Customizing
Usuarios
Mandante <nnn>
Customizing Independiente de Mandante
Repositorio R/3
No se deben realizar ningún tipo de cambio en producción. Por esta razón es necesario contar con diferentes Sistemas y mandantes con el objeto de controlar los cambios antes de aplicarlos en el ambiente productivo.
La modificaciones de customizing pueden ser transportadas por los diferentes mandantes en tanto que las Modificaciones del repositorio deben ser transportadas a los diferentes sistemas.
QAS
Datos de Aplicación
Customizing
Usuarios
Mandante 000
Datos de Aplicación
Customizing
Usuarios
Mandante <nnn>
Customizing Independiente de Mandante
Repositorio R/3
PRD
Datos de Aplicación
Customizing
Usuarios
Mandante 000
Datos de Aplicación
Customizing
Usuarios
Mandante <nnn>
Customizing Independiente de Mandante
Repositorio R/3
7 - 6
Transportes entre Sistemas
El software esta clasificado en clases de desarrollo, es factible con esta transacción definirque componente de software es factible modificar.
Datos de Aplicación
Customizing
Usuarios
Customizing Independiente de
Mandante
Repositorio R/3
Datos de Aplicación
Customizing
Usuarios
Customizing Independiente de
Mandante
Repositorio R/3
Directoriode
Transporte
7 - 7
Rutas de Transporte
Las rutas de transportes son definidas en el TMS y luego se distribuyen a los diferentes sistemas.
DEV QAS PRDZDEV
7 - 8
Capitulo 8 – Verificación de autorizaciones (SU53)
- Concepto general
- Transacción SU53
8 - 1
Verificación de autorizaciones – Conceptos generales
Antes de Ejecutar cualquier transacción, mostrar alguna pantalla o modificar datos el sistema SAP siempre chequea los valores de autorización requeridos
-
Verificación de autorizaciones – (SU53)
Al ejecutar una transacción para la cual no tiene autorización, el usuario recibe el mensaje “Sin autorización para transacción XXXX”.
8 - 2
Verificación de autorizaciones – (SU53)
Ejecutando la transacción SU53, el usuario recibe el detalle correspondiente a la autorización faltante (Clase de objeto, Objeto y Valor faltante) y de las últimas autorizaciones verificadas.
8 - 3
Capitulo 9 – Sistema de información de usuario (SUIM)
- Concepto general
9 - 1
Sistema de información de usuario – (SUIM)
Este árbol de reportes permite analizar por múltiples selecciones de Variables:Usuarios, Roles (GA), Perfiles, Autorizaciones, Objetos de autorización, Transacciones, etc.
9 - 2
Capitulo 10 – Auditoria en seguridad (SM19 / SM20)
- Introducción
- Configuración auditoria seguridad (SM19)
- Evaluación log auditoria seguridad (SM20)
10 - 1
Auditoria - Introducción
Requisitos para poder activar la auditoria
10 - 4
- Definir el parámetro rsau/enable = 1
- Reiniciar el Aplication Server
Configuración auditoria seguridad (SM19)
Mediante la configuración de los parámetros de auditoria se determina el criterio utilizado para guardar los registros de auditoria. Los parámetros son agrupados en perfiles de auditoria.
10 - 5
Evaluación log auditoria seguridad (SM20)
La información registrada en los archivos de auditoria puede ser manipulada para confeccionar los reportes de análisis de auditoria basados en los criterios de selección.
10 - 5
Capitulo 11 – Trace de autorizaciones (ST01)
- Introducción
- Conceptos generales
11 - 1
Trace de autorizaciones – (ST01)
Esta transacción permite realizar la verificación de autorizaciones de un usuario mediante un “trace”
11 - 2
Trace de autorizaciones – (ST01)
Para tal fin se debe seleccionar la opción “Verific. autorización” y el ID del usuario a analizar.
11 - 3
Trace de autorizaciones – (ST01)
Posteriormente el “trace” debe ser activado mediante la opción “Trace ON”.
11 - 4
Trace de autorizaciones – (ST01)
Una vez obtenidos los datos deseados, se debe desactivar el “trace” mediante la opción “Trace OFF”.
11 - 5
Trace de autorizaciones – (ST01)
Mediante la opción “Evaluación”, se visualizan los datos registrados en el “trace”
11 - 6
Trace de autorizaciones – (ST01)
La información de las autorizaciones verificadas es presentada en el mismo orden que el usuario ejecutó la verificación de dichas autorizaciones.
11 - 7