Workshop Basis

(Seguridad)
SAP R/3

Temario I/II

- Capitulo 1: Arquitectura del sistema

- Capitulo 2: Usuarios y autorizaciones
- Capitulo 3: Actualizacin de usuarios (SU01)
- Capitulo 4: Objetos de autorizacin bajo transacciones (SU24)
- Capitulo 5: Actualizacin de roles / Profile Generator (PFCG)
- Capitulo 6: Browser de datos / Visualizacin de tablas (SE16)
- Capitulo 7: Transportes (STMS / SE10 / SE01)

Temario II/II

- Capitulo 8: Verificacin de datos de autorizacin (SU53)

- Capitulo 9: Sistema de informacin de usuario (SUIM)
- Capitulo 10: Auditoria en seguridad ( SE19 / SE20)
- Capitulo 11: Trace de autorizaciones (ST01)

Capitulo 1 - Arquitectura del sistema

- Arquitectura Cliente / Servidor

- Escenario estndar SAP
- Estructura de datos
- Tipos de adaptaciones

1-1

Arquitectura Cliente / Servidor

Cliente

Sap
Gui

Sap
Gui

Servidor de Aplicaciones

Sap
Gui

Message
Server
Dispatcher

Dispatcher

WP

WP

WP

WP

WP

WP

WP

WP

Servidor de Base de
Datos

Sap
Gui

Base de
Datos

1-2

Escenario estndar SAP

Mandante 000

Customizing

Datos de
Aplicacin
Customizing

Mandante <nnn>
Datos de
Aplicacin
Customizing

Customizing Independiente de
Mandante

Customizing Independiente de
Mandante

Customizing Independiente de
Mandante

Repositorio R/3

Repositorio R/3

Repositorio R/3

DEV

QAS

PRD

En un escenario estndar de SAP, existen 3 sistemas:

- Desarrollo o Development (DEV): Configuracin y desarrollo en general.
- Control de Calidad o Quality Assurance (QAS): Pruebas y capacitacin.
- Produccin o Production (PRD): rea de trabajo.

1-3

Usuarios

Customizing

Datos de
Aplicacin

Mandante 000
Usuarios

Datos de
Aplicacin

Mandante <nnn>
Usuarios

Customizing

Mandante 000
Usuarios

Datos de
Aplicacin

Usuarios

Customizing

Usuarios

Datos de
Aplicacin

Mandante <nnn>

Estructura de Datos

Datos de
Aplicacin

Datos de
Aplicacin

Customizing

Customizing

Usuarios

Mandante <nnn>
Usuarios

Mandante 000

Customizing Independiente de Mandante

Repositorio R/3
Cada mandante de SAP es una organizacin diferente.
En todo sistema SAP existe el mandante 000 (No debe ser modificado por los usuarios).
Existen ciertos tipos de datos que son solo accesibles en un mandante estos son: los de aplicacin,
la mayora de los seteos de customizing y los datos de los usuarios del sistema, en tanto que los
independientes son: los datos Customizing independientes de mandantes y el repositorio de R/3
(Tablas, Elementos de datos, reportes, transacciones).

1-4

Tipos de Adaptaciones

Modificaciones
Mejoras

Datos de
Aplicacin

Datos de
Aplicacin

Customizing

Customizing

Usuarios

Desarrollos

Mandante <nnn>
Usuarios

Customizing

Mandante 000

Customizing Independiente de Mandante

Repositorio R/3

El sistema R/3 original se modifica por el cliente segn los requerimientos del cliente,
este proceso que se realiza en la implementacin se denomina customizing e incluye la modificacin
de datos de customizing dependiente e independiente de mandante.
Tambin se modifica el repositorio existiendo tres tipos de modificaciones que son:
- Nuevos desarrollos
- Mejoras en los desarrollos estndar de Sap
- Modificaciones de los elementos del repositorio

1-5

Capitulo 2 Usuarios y autorizaciones

- Usuarios en los entornos R/3

- Conceptos de autorizacin

2-1

Usuarios en los entornos de R/3

Presentation server
SapGui
Sistema
operativo

Usuario Sap R/3

Usuario sistema operativo

Application server
Dispatcher
WP WP WP
Sistema
operativo

Database server
Usuario Admin. R/3

Base de
Datos

Usuario Admin.
Base de datos

Usuario sist. operativo

Sistema
operativo

Usuario sist. operativo

2-2

Conceptos de autorizacin

USUARIO

Grupos de
Actividad
Grupos de
Actividad
Grupos de
Actividad
Grupos de
Actividad

Transacciones
Autorizaciones
Valores
Transacciones
Autorizaciones
Valores
Transacciones
Autorizaciones
Valores
Transacciones
Autorizaciones
Valores
Transacciones
Autorizaciones
Valores

Perfiles de Autorizacin
Perfiles de AutorizacinPerfiles de Autorizacin

En R/3 cada usuario que necesita acceder a un mandante, requiere un usuario con un perfil asignado
Cada usuario puede tener uno o mas perfiles de autorizacin asignados.
Los perfiles limitan el accesos a transacciones y objetos por los cuales se requiere limitar las autorizaciones
Por ejemplo cdigo de empresa, cdigo de vendedor.

2-3

Capitulo 3 Administracin de usuarios (SU01)

- Maestro de Usuarios
- Conceptos generales
- Creacin de Grupos de usuarios
- Actualizaciones en Masa
- Usuarios por defecto
- Parmetros de Seguridad

3-1

Maestro de Usuarios (SU01)

Para la creacin, modificacin, visualizacin, borrado, copia, bloqueo / desbloqueo y modificacin de

clave de usuarios.

3-2

Maestro de Usuarios Conceptos generales (1/7)

En la solapa Direccin, se registran los datos personales del usuario y los de comunicacin (contacto).

3-3

Maestro de Usuarios Conceptos generales (2/7)

En la solapa Datos logon, se puede asignar un Alias para un usuario de internet, la clave de acceso, el
grupo de usuarios, el perodo de validez, el tipo de usuario, el nro. de liquidacin y el centro de costo.

3-4

Maestro de Usuarios Conceptos generales (3/7)

En la solapa Valores fijos, se determina el men de mbito, el dispositivo de salida (impresin), el

formato de nmero, el formato de fecha, el uso horario y el indicador de verificacin.

3-5

Maestro de Usuarios Conceptos generales (4/7)

En la solapa Parmetros, se determinan los ID de parmetros y valores para completar

automticamente los campos en una mascara de imagen con los valores aqu propuestos.

3-6

Maestro de Usuarios Conceptos generales (5/7)

En la solapa Roles (Grupos de Actividad), se asignan GAs, pudiendo seleccionar el rango de fecha
operativo para cada uno.

3-7

Maestro de Usuarios Conceptos generales (6/7)

En la solapa Perfiles, se visualizan los perfiles correspondientes a los GAs asignados al usuario y se
pueden asignar perfiles individualmente. Ej.: Perfil default SAP (SAP_ALL).

3-8

Maestro de Usuarios Conceptos generales (7/7)

En la solapa Grupos, se determina el o los grupos de usuarios a los cuales un usuario pertenece para
facilitar las actualizaciones en masa (TX = SU10).

3-9

Maestro de Usuarios Creacin de Grupos de usuarios

Se pueden crear grupos de usuarios para facilitar la administracin masiva de los mismos (trx SU01 o
SUGR)

3 - 10

Maestro de Usuarios Actualizaciones en Masa

Con la transaccin SU10 podemos realizar

modificaciones de forma masiva

3 - 11

Maestro de Usuarios Usuarios por defecto

Con l reporte RSUSR003 se puede verificar si estos usuarios poseen claves conocidas. El parmetro
login/no_automatic_user_sapstar previene la entrada al sistema con el usuario SAP* y la clave PASS

3 - 12

Maestro de Usuarios Parmetros de Seguridad

Parmetros relacionados a la seguridad y los usuarios

3 - 13

Maestro de Usuarios Parmetros de Seguridad

Parmetros relacionados a la seguridad y los usuarios

3 - 14

Capitulo 4 Objetos de autoriz. bajo transacciones - (SU24)

- Concepto General
- Utilizacin

4-1

Concepto general y utilizacin (1/3)

Mediante la seleccin de un cdigo de transaccin se puede visualizar los objetos de autorizacin

verificados por la misma durante su ejecucin.

4-2

Concepto general y utilizacin (2/3)

Permite visualizar objetos de autorizacin asociados con la transaccin, modificar el status de verificacin
de los objetos de aut. asociados o visualizar los valores por defecto para los objetos de aut. verificados.

4-3

Concepto general y utilizacin (3/3)

Los objetos de autorizacin verificados por la transaccin son los mostrados como verif./actual

4-4

Capitulo 5 Profile Generator - (PFCG)

- Introduccin
- Grupo de Actividad individual
- Grupo de Actividad derivado
- Grupo de Actividad compuesto

5-1

Profile Generator (PFCG)

El Profile Generator es la herramienta utilizada para la creacin de los Roles / Grupos de actividad y la
asignacin de usuarios en los mismos.

5-2

Grupo de Actividad individual (1/4)

Los GA individuales estn compuestos por Transacciones y Autorizaciones.

5-3

Grupo de Actividad individual (2/4)

La asignacin de Transacciones en este tipo de Grupos de Actividad es directa.

5-4

Grupo de Actividad individual (3/4)

Las Autorizaciones se configuran mediante la asignacin de valores, generndose luego un Perfil con
dicha informacin.

5-5

Grupo de Actividad individual (4/4)

Una vez asignadas las transacciones, configuradas las autorizaciones y generado el perfil, a los GA se
le asignan usuarios pudiendo seleccionar el rango de fecha operativo para cada uno.

5-6

Grupo de Actividad derivado (1/4)

Los GA derivados o heredados, poseen relacin de herencia de otro GA, recibiendo as la informacin
relacionada con Transacciones y Autorizaciones asignadas en el GA padre.

5-7

Grupo de Actividad derivado (2/4)

De este forma, este tipo de GA heredan todas las Transacciones y Autorizaciones asignadas en
el GA padre, pudiendo asignar valores de autorizacin especficos a cada uno de los GA derivados
(Solo para valores de Niveles de Organizacin!).

5-8

Grupo de Actividad derivado (3/4)

Una vez configurados todos los valores de autorizacin especficos para el GA derivado, se debe
generar un perfil al igual que en un GA individual.

5-9

Grupo de Actividad derivado (4/4)

Una vez configurada la relacin de herencia, configuradas las autorizaciones y generado el perfil, a los
GA se le asignan usuarios pudiendo seleccionar el rango de fecha operativo para cada uno.

5 - 10

Grupo de Actividad compuesto (1/4)

Un GA compuesto, es un conjunto de distintos GA (individuales o derivados), que dan como resultado

un nico GA con las transacciones y autorizaciones de los GA de origen.

5 - 11

Grupo de Actividad compuesto (2/4)

A diferencia de un GA derivado, este tipo de GA pueden heredar la informacin de ms de un GA,

pero no se puede modificar la informacin relacionada con Autorizaciones.

5 - 12

Grupo de Actividad compuesto (3/4)

El la solapa Men se puede visualizar toda la informacin relacionada con las transacciones de los
GA que contenidos dentro del GA compuesto.

5 - 13

Grupo de Actividad compuesto (4/4)

Una vez asignados los GA de origen, al GA se le asignan usuarios pudiendo seleccionar el rango de
fecha operativo para cada uno.

5 - 14

Capitulo 6 Browser de datos / Vis. de tablas (SE16)

- Introduccin
- Conceptos generales

6-1

Browser de datos (SE16)

Herramienta para la visualizacin de datos contenidos en una tabla.

6-2

Browser de datos (SE16)

Las consultas se pueden efectuar mediante cualquiera de los campos disponibles, pudiendo as
tambin efectuar consultas complejas seleccionando mltiples campos.

6-3

Browser de datos (SE16)

La informacin contenida dentro de una tabla, se muestra en el formato clsico de tabla = fila /
columna.

64

Browser de datos Tablas tiles

- AGR_DEFINE

Definicin de Roles

- AGR_AGRS

Roles en Roles compuestos

- AGR_TCODES

Transacciones x Rol

- AGR_USERS

Usuarios en Roles

- AGR_1251

Roles objetos Campos Valores

- AGR_1252

Valores de Nivel de Organizacin en Roles

- AGR_FLAGS

Atributos de Roles

- USOBT

Objetos Verificados en transacciones

Estas tablas nos muestran informacin til relacionada a los usuarios y grupos de actividad

65

Capitulo 7 Transportes (STMS / SE10 / SE01)

- Transport Management System - (STMS)

- Transport Organizar - (SE10)
- Transport Organizer (vista ampliada) (SE01)
- Logstica del Software
- Transportes entre Sistemas
- Rutas de transporte

7-1

Transport Management System - (STMS)

El TMS conecta los diferentes sistemas R/3 y el controlador de Dominio debe ser uno de los sistemas R/3

7-2

Transport Management System - Concepto

DEV

QAS

Directorio de
Transporte

PRD
Dominio de Transporte
El TMS permite transportar entre los diferentes sistemas con una administracin centralizada.
Es necesario definir los sistemas involucrados y las rutas de transporte, esta informacin es configurada
en el controlador de dominio y luego se distribuye va RFC a los diferentes sistemas.

7-3

Transport Organizer - (SE10)

El TO permite modificar y/o visualizar, ordenes propias y ordenes no propias

7-4

Transport Organizer (vista ampliada) - (SE01)

Vista ampliada del Transport Organizer

7-5

Logstica del Software

Mandante 000

Customizing

Datos de
Aplicacin
Customizing

Mandante <nnn>
Datos de
Aplicacin
Customizing

Customizing Independiente de
Mandante

Customizing Independiente de
Mandante

Customizing Independiente de
Mandante

Repositorio R/3

Repositorio R/3

Repositorio R/3

DEV

QAS

Usuarios

Customizing

Datos de
Aplicacin

Mandante 000
Usuarios

Datos de
Aplicacin

Mandante <nnn>
Usuarios

Customizing

Mandante 000
Usuarios

Datos de
Aplicacin

Usuarios

Customizing

Usuarios

Datos de
Aplicacin

Mandante <nnn>

PRD

No se deben realizar ningn tipo de cambio en produccin. Por esta razn es necesario contar con
diferentes Sistemas y mandantes con el objeto de controlar los cambios antes de aplicarlos en el ambiente
productivo.
La modificaciones de customizing pueden ser transportadas por los diferentes mandantes en tanto que las
Modificaciones del repositorio deben ser transportadas a los diferentes sistemas.

7-6

Transportes entre Sistemas

Customizing
Independiente de
Mandante
Repositorio R/3

Datos de
Aplicacin

Directorio
de
Transporte

Customizing

Usuarios

Customizing

Usuarios

Datos de
Aplicacin

Customizing
Independiente de
Mandante
Repositorio R/3

El software esta clasificado en clases de desarrollo, es factible con esta transaccin definir
que componente de software es factible modificar.

7-7

Rutas de Transporte

DEV

ZDEV

QAS

PRD

Las rutas de transportes son definidas en el TMS y luego se distribuyen a los diferentes sistemas.

7-8

Capitulo 8 Verificacin de autorizaciones (SU53)

- Concepto general
- Transaccin SU53

8-1

Verificacin de autorizaciones Conceptos generales

Antes de Ejecutar cualquier transaccin, mostrar alguna pantalla o modificar datos el sistema SAP
siempre chequea los valores de autorizacin requeridos

Verificacin de autorizaciones (SU53)

Al ejecutar una transaccin para la cual no tiene autorizacin, el usuario recibe el mensaje Sin
autorizacin para transaccin XXXX.

8-2

Verificacin de autorizaciones (SU53)

Ejecutando la transaccin SU53, el usuario recibe el detalle correspondiente a la autorizacin faltante

(Clase de objeto, Objeto y Valor faltante) y de las ltimas autorizaciones verificadas.

8-3

Capitulo 9 Sistema de informacin de usuario (SUIM)

- Concepto general

9-1

Sistema de informacin de usuario (SUIM)

Este rbol de reportes permite analizar por mltiples selecciones de Variables:

Usuarios, Roles (GA), Perfiles, Autorizaciones, Objetos de autorizacin, Transacciones, etc.

9-2

Capitulo 10 Auditoria en seguridad (SM19 / SM20)

- Introduccin
- Configuracin auditoria seguridad (SM19)
- Evaluacin log auditoria seguridad (SM20)

10 - 1

Auditoria - Introduccin

- Definir el parmetro rsau/enable = 1

- Reiniciar el Aplication Server
Requisitos para poder activar la auditoria

10 - 4

Configuracin auditoria seguridad (SM19)

Mediante la configuracin de los parmetros de auditoria se determina el criterio utilizado para guardar
los registros de auditoria. Los parmetros son agrupados en perfiles de auditoria.

10 - 5

Evaluacin log auditoria seguridad (SM20)

La informacin registrada en los archivos de auditoria puede ser manipulada para confeccionar los
reportes de anlisis de auditoria basados en los criterios de seleccin.

10 - 5

Capitulo 11 Trace de autorizaciones (ST01)

- Introduccin
- Conceptos generales

11 - 1

Trace de autorizaciones (ST01)

Esta transaccin permite realizar la verificacin de autorizaciones de un usuario mediante un trace

11 - 2

Trace de autorizaciones (ST01)

Para tal fin se debe seleccionar la opcin Verific. autorizacin y el ID del usuario a analizar.

11 - 3

Trace de autorizaciones (ST01)

Posteriormente el trace debe ser activado mediante la opcin Trace ON.

11 - 4

Trace de autorizaciones (ST01)

Una vez obtenidos los datos deseados, se debe desactivar el trace mediante la opcin Trace OFF.

11 - 5

Trace de autorizaciones (ST01)

Mediante la opcin Evaluacin, se visualizan los datos registrados en el trace

11 - 6

Trace de autorizaciones (ST01)

La informacin de las autorizaciones verificadas es presentada en el mismo orden que el usuario

ejecut la verificacin de dichas autorizaciones.

11 - 7