Gestión de usuarios y

autorizaciones
marzo 15, 2011
Modelo de seguridad en R/3

En cualquier sistema de gestión de información integrado se guardan datos de diferentes áreas a

los que sólo pueden acceder algunas personas. Estas restricciones pueden darse por varios
motivos:

Proteger datos que afecten a la estrategia de la empresa para no ofrecer ventajas a la

competencia.
Evitar fraudes en la contabilidad o en los cobros y pagos.
Obligación legal de proteger información ajena a la propia empresa como los datos personales
de sus empleados, las condiciones económicas de los proveedores.

SAP contempla toda esta problemática implementando un modelo de seguridad que permite
proteger de una manera flexible los datos y las operaciones que se hacen sobre ellos.

Por un lado tenemos los objetos de autorización que se componen de campos. Estos objetos
representan lo que queremos proteger. Ejemplos de objetos de autorización son:

S TCODE. Protege el código de transacción y contiene un sólo campo que es la transacción. Es

el más importante de todos porque todas las operaciones que se hacen en SAP empiezan por el
acceso a una transacción.

S TABU DIS. Protección del contenido de tablas de customizing. Contiene dos campos que son
el grupo de autorizaciones de la tabla (DICBERCLS) a la que se quiere acceder y la actividad
(ACTVT) que se quiere ejecutar (crear, modificar, borrar. . . )
F BKPF BUK. Protección de la contabilización de documentos por sociedad financiera. Se
compone de dos campos; la sociedad (BUKRS) a cuyos documentos contables queremos
acceder y la actividad (ACTVT) que se quiere hacer.

Por otro lado, vemos la estructura modular que va desde la autorización simple sobre un único
objeto de autorización hasta el maestro de usuarios que son los que acceden al sistema. Veamos
lo que representa cada uno de los niveles:

Autorizaciones. Una autorización consiste en una asignación de valores a los campos de un

objeto de autorización. Por ejemplo, crearemos una autorización para el objeto S TCODE que
tenga el valor FB01 para el campo TCODE. De está manera el usuario que tenga asignada esta
autorización podrá acceder a la transacción de crear documento contable. También tendremos
que crear otra autorización sobre el objeto F BKPF BUK con los valores 1000 para BUKRS y
01 para ACTVT con la que puedan completar la operación de contabilizar para la sociedad
financiera 1000.

Perfiles. Un perfil es simplemente la agrupación de varias autorizaciones que hayamos creado

anteriormente. El perfil es la unidad mínima de seguridad que le podemos asignar a un usuario,
es decir, la única forma de asignar las dos autorizaciones del ejemplo anterior es incluirlas en
un perfil que llamaremos CONTABLE e incluir este perfil en los usuarios.

Grupos de actividad. Son las agrupaciones de transacciones y actividades que se crean con el
generador de perfiles. Estos grupos de actividad contienen internamente perfiles (que a su vez
contienen autorizaciones) y se asignan directamente a los usuarios.

Usuarios. Para que un empleado tenga acceso a los datos de gestión de la empresa debe
disponer de un código de usuario en R/3. Este usuario tendrá asignados unos grupos de
actividad o unos perfiles de autorización (o ambos) para poder realizar las tareas que exige su
función o puesto de trabajo.

Mantenimiento de usuarios
Para la creación y mantenimiento de usuario R/3 dispone de la
transacción SU01(Herramientas/Gestión/Actualizar usuarios/Usuarios). En la pantalla de
selección escribiremos el código del usuario y pulsando uno de los botones de la barra de
aplicación o escogiendo una de las opciones del menúUsuario podemos realizar diversas
acciones como
crear, modificar, cambiar clave acceso, bloquear. . .

Pulsando sobre el botón con el icono de un folio en blanco vamos a crear un nuevo usuario en
el sistema. Vemos las siete pestañas que componen el registro maestro de un usuario. Estas
son:

Dirección. Se graban en este apartado datos personales como el nombre, apellidos,

departamento, teléfono. . . . En el campo edición veremos el nombre tal y como aparecerá en
los listados o en otras transacciones.

Datos logon. Es obligatorio indicar una clave inicial con la que accederá el usuario, aunque en
su primera conexión se le pedirá que la cambie. También podemos limitar la validez temporal
de manera que podemos tener empleados que accedan a nuestro sistema hasta determinada
fecha como puede ser el fin de su contrato o cesión a nuestro departamento.

Valores fijos. En esta pestaña definimos el menú inicial de entrada al sistema, la impresora SAP
y algunos parámetros de impresión por defecto, y el formato en que debe ver el usuario las
fechas y los importes en todas las transacciones SAP. Esta última opción, junto con la del uso
horario, es vital para empresas multinacionales que tienen empleados en diversos países.

Parámetros. Existe la posibilidad de asignar parámetros por defecto para multitud de campos de
todos los módulos de SAP. Si un empleado solo realiza entradas de mercancías en el centro
1000, es muy útil asignarle ese valor en el parámetro correspondiente consiguiendo que en
todas las pantallas de R/3 en la que aparezca el campo centro, éste se encuentre relleno
automáticamente con el valor 1000.
Roles y perfiles. Las operaciones a las que esta autorizado un usuario vienen determinadas por
los valores que le ponemos en estas dos pestañas. Al asignarles un papel le estamos añadiendo
perfiles también, pero existe la posibilidad de incluir perfiles manualmente. Esta
posibilidad se conserva por compatibilidad con versiones anteriores pero no es el modo de
trabajo habitual desde la versión 4.6A.

Grupos. A la hora de descentralizar el mantenimiento de un número enorme de usuarios

debemos agruparlos asignándoles la pertenencia a uno o varios grupos. De esta manera
podemos autorizar a diversos administradores a gestionar los usuarios que pertenezcan a
determinados grupos.

Generador de perfiles

Debido a la gran complejidad que supone la creación manual de perfiles y autorizaciones, desde
la versión 3.1G de R/3, existe el generador de perfiles. Las ventajas que aporta para el
administrador la utilización de esta herramienta son múltiples aunque la más destacable es que
ya no necesita conocer o investigar la funcionalidad de las transacciones que incluyen en los
perfiles de usuario. El generador de perfiles incluyen una base de datos que relaciona cada una
de las transacciones de R/3 con los objetos que comprueba. En la versión 3.0F y anteriores, la
creación de un perfil de seguridad exigía un tedioso trabajo de búsqueda de objetos que
chequea cada transacción.

Para crear un papel disponemos de la transacción PFCG que nos muestra una pantalla. Al
pulsar el botón de crear pasaremos a otra pantalla en la que vemos las diferentes partes de la
creación de un grupo de actividad repartidas en cuatro pestañas. En la primera de ellas
rellenamos únicamente un descripción corta del papel y también podemos completar el campo
de descripción inferior en el que podemos indicar instrucciones sobre a quién se debe asignar
este perfil o cual es su función específica.

Al pasar a la pestaña menú vemos unos botones que nos permiten incluir transacciones,
informes o direcciones web en el grupo de actividad. Observamos en la figura como se ha
incluido ya la transacción de contabilizar documento (perteneciente al módulo FI). Esto implica
que el usuario al que se le asigne este perfil podrá ejecutar la transacción FB01, pero no hemos
determinado aún para que sociedades financieras, cuentas o deudores podrá hacerlo.
Tenemos la pantalla de asignación de valores a los objetos de autorización a la que se llega a
través de la pestaña Autorizaciones. Son cuatros los objetos de la gestión financiera los que
chequea esta transacción y habrá que dar los valores correspondientes para el grupo de
actividad.

Por ejemplo, en el objeto grupo de autorización de cuentas para deudores podemos poner un 01
en actividad y un * en grupo de autorizaciones con lo que estamos permitiendo crear para todos
los grupos de deudores. El resto de los objeto de autorización debe ser completado también,
solo cuando hayamos asignado valores a todos tendremos los semáforos en verde, indicación de
que podemos grabar el papel.

Por último, después de completar la grabación del grupo, tenemos la posibilidad de asignárselo
a uno o varios usuarios. Conviene fijarse en que tenemos los semáforos de las pestañas menú y
autorizaciones en verde, indicándonos que los pasos anteriores se han procesado correctamente.
Es entonces, cuando podemos poner en la tabla de usuarios los códigos (el nombre nos lo
rellena el propio programa) a los que queremos incluir el papel y la fecha de validez de la
asignación. Esta fecha de validez tiene la misma función que la que vimos en el maestro de
usuario, es decir, nos puede interesar autorizar a un usuario a hacer determinadas cosas en el
sistema durante un tiempo limitado de tiempo. Para evitar el tener que acordarnos de quitar la
autorización cuando llegue el día, ponemos la fecha de validez y entonces perderá la
autorización al día siguiente. http://abapysap.blogspot.mx/2011/03/gestion-de-usuarios-y-
autorizaciones.html