Workshop Basis Seguridad 1106

Workshop Basis

(Seguridad)

SAP R/3

Temario – I/II

- Capitulo 1: Arquitectura del sistema

- Capitulo 2: Usuarios y autorizaciones

- Capitulo 3: Actualización de usuarios (SU01)

- Capitulo 4: Objetos de autorización bajo transacciones (SU24)

- Capitulo 5: Actualización de roles / Profile Generator (PFCG)

- Capitulo 6: Browser de datos / Visualización de tablas (SE16)

- Capitulo 7: Transportes (STMS / SE10 / SE01)

Temario – II/II

- Capitulo 8: Verificación de datos de autorización (SU53)

- Capitulo 9: Sistema de información de usuario (SUIM)

- Capitulo 10: Auditoria en seguridad ( SE19 / SE20)

- Capitulo 11: Trace de autorizaciones (ST01)

Capitulo 1 - Arquitectura del sistema

- Arquitectura Cliente / Servidor

- Escenario estándar SAP

- Estructura de datos

- Tipos de adaptaciones

1 - 1

Arquitectura Cliente / Servidor

Base de Datos

Message Server

WP

Dispatcher

WP

WP

WP

WP

Dispatcher

WP

WP

WP

SapGui

SapGui

SapGui

SapGui

Servidor de Base de Datos

Servidor de Aplicaciones

Cliente

1 - 2

Escenario estándar SAP

DEV

Datos de Aplicación

Customizing

Usuarios

Mandante 000

Datos de Aplicación

Customizing

Usuarios

Mandante <nnn>

Customizing Independiente de Mandante

Repositorio R/3

En un escenario estándar de SAP, existen 3 sistemas:- Desarrollo o Development (DEV): Configuración y desarrollo en general.- Control de Calidad o Quality Assurance (QAS): Pruebas y capacitación.- Producción o Production (PRD): Área de trabajo.

QAS

Datos de Aplicación

Customizing

Usuarios

Mandante 000

Datos de Aplicación

Customizing

Usuarios

Mandante <nnn>

Customizing Independiente de Mandante

Repositorio R/3

PRD

Datos de Aplicación

Customizing

Usuarios

Mandante 000

Datos de Aplicación

Customizing

Usuarios

Mandante <nnn>

Customizing Independiente de Mandante

Repositorio R/3

1 - 3

Estructura de Datos

Datos de Aplicación

Customizing

Usuarios

Mandante 000

Datos de Aplicación

CustomizingU

suarios

Mandante <nnn>

Customizing Independiente de Mandante

Repositorio R/3

Cada mandante de SAP es una organización diferente.En todo sistema SAP existe el mandante 000 (No debe ser modificado por los usuarios).Existen ciertos tipos de datos que son solo accesibles en un mandante estos son: los de aplicación, la mayoría de los seteos de customizing y los datos de los usuarios del sistema, en tanto que losindependientes son: los datos Customizing independientes de mandantes y el repositorio de R/3 (Tablas, Elementos de datos, reportes, transacciones).

1 - 4

Customizing

Tipos de Adaptaciones

Datos de Aplicación

Customizing

Usuarios

Mandante 000

Datos de Aplicación

Customizing

Usuarios

Mandante <nnn>

Customizing Independiente de Mandante

Repositorio R/3

El sistema R/3 original se modifica por el cliente según los requerimientos del cliente,este proceso que se realiza en la implementación se denomina customizing e incluye la modificaciónde datos de customizing dependiente e independiente de mandante. También se modifica el repositorio existiendo tres tipos de modificaciones que son:- Nuevos desarrollos- Mejoras en los desarrollos estándar de Sap- Modificaciones de los elementos del repositorio

Desarrollos

Modificaciones

Mejoras

1 - 5

Capitulo 2 – Usuarios y autorizaciones

2 - 1

- Usuarios en los entornos R/3

- Conceptos de autorización

Usuarios en los entornos de R/3

DispatcherWP WP …WP

Sistemaoperativo Usuario sist. operativo

Usuario Admin. R/3

Application server

SapGui

Sistemaoperativo Usuario sistema operativo

Usuario Sap R/3

Presentation server

Base de Datos

Sistemaoperativo Usuario sist. operativo

Usuario Admin. Base de datos

Database server

2 - 2

Conceptos de autorización

US

UA

RIO

Grupos deActividadGrupos de

ActividadGrupos deActividadGrupos de

Actividad

Autorizaciones

Autorizaciones

Autorizaciones

Autorizaciones

Autorizaciones

Valores

Valores

Valores

Valores

Valores

En R/3 cada usuario que necesita acceder a un mandante, requiere un usuario con un perfil asignadoCada usuario puede tener uno o mas perfiles de autorización asignados.Los perfiles limitan el accesos a transacciones y objetos por los cuales se requiere limitar las autorizacionesPor ejemplo código de empresa, código de vendedor.

2 - 3

Transacciones

Transacciones

Transacciones

Transacciones

Transacciones

Perfiles de AutorizaciónPerfiles de AutorizaciónPerfiles de Autorización

Capitulo 3 – Administración de usuarios (SU01)

- Maestro de Usuarios

- Conceptos generales

- Creación de Grupos de usuarios

- Actualizaciones en Masa

- Usuarios por defecto

- Parámetros de Seguridad

3 - 1

Maestro de Usuarios – (SU01)

Para la creación, modificación, visualización, borrado, copia, bloqueo / desbloqueo y modificación de clave de usuarios.

3 - 2

Maestro de Usuarios – Conceptos generales (1/7)

En la solapa Dirección, se registran los datos personales del usuario y los de comunicación (contacto).

3 - 3

Maestro de Usuarios – Conceptos generales (2/7)

En la solapa Datos logon, se puede asignar un Alias para un usuario de internet, la clave de acceso, el grupo de usuarios, el período de validez, el tipo de usuario, el nro. de liquidación y el centro de costo.

3 - 4

Maestro de Usuarios – Conceptos generales (3/7)

En la solapa Valores fijos, se determina el menú de ámbito, el dispositivo de salida (impresión), el formato de número, el formato de fecha, el uso horario y el indicador de verificación.

3 - 5

Maestro de Usuarios – Conceptos generales (4/7)

En la solapa Parámetros, se determinan los ID de parámetros y valores para completar automáticamente los campos en una mascara de imagen con los valores aquí propuestos.

3 - 6

Maestro de Usuarios – Conceptos generales (5/7)

En la solapa Roles (Grupos de Actividad), se asignan GAs, pudiendo seleccionar el rango de fecha operativo para cada uno.

3 - 7

Maestro de Usuarios – Conceptos generales (6/7)

En la solapa Perfiles, se visualizan los perfiles correspondientes a los GAs asignados al usuario y se pueden asignar perfiles individualmente. Ej.: Perfil default SAP (SAP_ALL).

3 - 8

Maestro de Usuarios – Conceptos generales (7/7)

En la solapa Grupos, se determina el o los grupos de usuarios a los cuales un usuario pertenece para facilitar las actualizaciones en masa (TX = SU10).

3 - 9

Maestro de Usuarios – Creación de Grupos de usuarios

Se pueden crear grupos de usuarios para facilitar la administración masiva de los mismos (trx SU01 o SUGR)

3 - 10

Maestro de Usuarios – Actualizaciones en Masa

Con la transacción SU10 podemos realizar modificaciones de forma masiva

3 - 11

Maestro de Usuarios – Usuarios por defecto

Con él reporte RSUSR003 se puede verificar si estos usuarios poseen claves conocidas. El parámetro

login/no_automatic_user_sapstar previene la entrada al sistema con el usuario SAP* y la clave PASS

3 - 12

Maestro de Usuarios – Parámetros de Seguridad

Parámetros relacionados a la seguridad y los usuarios

3 - 13

3 - 14

Maestro de Usuarios – Parámetros de Seguridad

Parámetros relacionados a la seguridad y los usuarios

Capitulo 4 – Objetos de autoriz. bajo transacciones - (SU24)

- Concepto General

- Utilización

4 - 1

Concepto general y utilización (1/3)

Mediante la selección de un código de transacción se puede visualizar los objetos de autorización verificados por la misma durante su ejecución.

4 - 2

Concepto general y utilización (2/3)

Permite visualizar objetos de autorización asociados con la transacción, modificar el status de verificación de los objetos de aut. asociados o visualizar los valores por defecto para los objetos de aut. verificados.

4 - 3

Concepto general y utilización (3/3)

Los objetos de autorización verificados por la transacción son los mostrados como “verif./actual”

4 - 4

Capitulo 5 – Profile Generator - (PFCG)

- Introducción

- Grupo de Actividad individual

- Grupo de Actividad derivado

- Grupo de Actividad compuesto

5 - 1

Profile Generator – (PFCG)

El Profile Generator es la herramienta utilizada para la creación de los Roles / Grupos de actividad y la asignación de usuarios en los mismos.

5 - 2

Grupo de Actividad individual (1/4)

Los GA individuales están compuestos por Transacciones y Autorizaciones.

5 - 3

Grupo de Actividad individual (2/4)

La asignación de Transacciones en este tipo de Grupos de Actividad es directa.

5 - 4

Grupo de Actividad individual (3/4)

Las Autorizaciones se configuran mediante la asignación de valores, generándose luego un Perfil con dicha información.

5 - 5

Grupo de Actividad individual (4/4)

Una vez asignadas las transacciones, configuradas las autorizaciones y generado el perfil, a los GA se le asignan usuarios pudiendo seleccionar el rango de fecha operativo para cada uno.

5 - 6

Grupo de Actividad derivado (1/4)

Los GA derivados o heredados, poseen relación de herencia de otro GA, recibiendo así la información relacionada con Transacciones y Autorizaciones asignadas en el GA padre.

5 - 7

Grupo de Actividad derivado (2/4)

De este forma, este tipo de GA “heredan” todas las Transacciones y Autorizaciones asignadas en el GA padre, pudiendo asignar valores de autorización específicos a cada uno de los GA derivados (Solo para valores de Niveles de Organización!).

5 - 8

Grupo de Actividad derivado (3/4)

Una vez configurados todos los valores de autorización específicos para el GA derivado, se debe generar un perfil al igual que en un GA individual.

5 - 9

Grupo de Actividad derivado (4/4)

Una vez configurada la relación de herencia, configuradas las autorizaciones y generado el perfil, a los GA se le asignan usuarios pudiendo seleccionar el rango de fecha operativo para cada uno.

5 - 10

Grupo de Actividad compuesto (1/4)

Un GA compuesto, es un conjunto de distintos GA (individuales o derivados), que dan como resultado un único GA con las transacciones y autorizaciones de los GA de origen.

5 - 11

Grupo de Actividad compuesto (2/4)

A diferencia de un GA derivado, este tipo de GA pueden “heredar” la información de más de un GA, pero no se puede modificar la información relacionada con Autorizaciones.

5 - 12

Grupo de Actividad compuesto (3/4)

El la solapa “Menú” se puede visualizar toda la información relacionada con las transacciones de los GA que contenidos dentro del GA compuesto.

5 - 13

Grupo de Actividad compuesto (4/4)

Una vez asignados los GA de origen, al GA se le asignan usuarios pudiendo seleccionar el rango de fecha operativo para cada uno.

5 - 14

Capitulo 6 – Browser de datos / Vis. de tablas (SE16)

- Introducción

- Conceptos generales

6 - 1

Browser de datos (SE16)

Herramienta para la visualización de datos contenidos en una tabla.

6 - 2

Browser de datos (SE16)

Las consultas se pueden efectuar mediante cualquiera de los campos disponibles, pudiendo así también efectuar consultas complejas seleccionando múltiples campos.

6 - 3

Browser de datos (SE16)

La información contenida dentro de una tabla, se muestra en el formato clásico de tabla = fila / columna.

6 – 4

Browser de datos – Tablas útiles

Estas tablas nos muestran información útil relacionada a los usuarios y grupos de actividad

6 – 5

- AGR_DEFINE Definición de Roles

- AGR_AGRS Roles en Roles compuestos

- AGR_TCODES Transacciones x Rol

- AGR_USERS Usuarios en Roles

- AGR_1251 Roles – objetos – Campos – Valores

- AGR_1252 Valores de Nivel de Organización en Roles

- AGR_FLAGS Atributos de Roles

- USOBT Objetos Verificados en transacciones

Capitulo 7 – Transportes (STMS / SE10 / SE01)

- Transport Management System - (STMS)

- Transport Organizar - (SE10)

- Transport Organizer (vista ampliada) – (SE01)

- Logística del Software

- Transportes entre Sistemas

- Rutas de transporte

7 - 1

Transport Management System - (STMS)

El TMS conecta los diferentes sistemas R/3 y el controlador de Dominio debe ser uno de los sistemas R/3

7 - 2

Transport Management System - Concepto

El TMS permite transportar entre los diferentes sistemas con una administración centralizada.Es necesario definir los sistemas involucrados y las rutas de transporte, esta información es configuradaen el controlador de dominio y luego se distribuye vía RFC a los diferentes sistemas.

DEV

QAS

PRD

Directorio de Transporte

Dominio de Transporte

7 - 3

Transport Organizer - (SE10)

El TO permite modificar y/o visualizar, ordenes propias y ordenes no propias

7 - 4

Transport Organizer (vista ampliada) - (SE01)

Vista ampliada del Transport Organizer

7 - 5

Logística del Software

DEV

Datos de Aplicación

Customizing

Usuarios

Mandante 000

Datos de Aplicación

Customizing

Usuarios

Mandante <nnn>

Customizing Independiente de Mandante

Repositorio R/3

No se deben realizar ningún tipo de cambio en producción. Por esta razón es necesario contar con diferentes Sistemas y mandantes con el objeto de controlar los cambios antes de aplicarlos en el ambiente productivo.

La modificaciones de customizing pueden ser transportadas por los diferentes mandantes en tanto que las Modificaciones del repositorio deben ser transportadas a los diferentes sistemas.

QAS

Datos de Aplicación

Customizing

Usuarios

Mandante 000

Datos de Aplicación

Customizing

Usuarios

Mandante <nnn>

Customizing Independiente de Mandante

Repositorio R/3

PRD

Datos de Aplicación

Customizing

Usuarios

Mandante 000

Datos de Aplicación

Customizing

Usuarios

Mandante <nnn>

Customizing Independiente de Mandante

Repositorio R/3

7 - 6

Transportes entre Sistemas

El software esta clasificado en clases de desarrollo, es factible con esta transacción definirque componente de software es factible modificar.

Datos de Aplicación

Customizing

Usuarios

Customizing Independiente de

Mandante

Repositorio R/3

Datos de Aplicación

Customizing

Usuarios

Customizing Independiente de

Mandante

Repositorio R/3

Directoriode

Transporte

7 - 7

Rutas de Transporte

Las rutas de transportes son definidas en el TMS y luego se distribuyen a los diferentes sistemas.

DEV QAS PRDZDEV

7 - 8

Capitulo 8 – Verificación de autorizaciones (SU53)

- Concepto general

- Transacción SU53

8 - 1

Verificación de autorizaciones – Conceptos generales

Antes de Ejecutar cualquier transacción, mostrar alguna pantalla o modificar datos el sistema SAP siempre chequea los valores de autorización requeridos

-

Verificación de autorizaciones – (SU53)

Al ejecutar una transacción para la cual no tiene autorización, el usuario recibe el mensaje “Sin autorización para transacción XXXX”.

8 - 2

Verificación de autorizaciones – (SU53)

Ejecutando la transacción SU53, el usuario recibe el detalle correspondiente a la autorización faltante (Clase de objeto, Objeto y Valor faltante) y de las últimas autorizaciones verificadas.

8 - 3

Capitulo 9 – Sistema de información de usuario (SUIM)

- Concepto general

9 - 1

Sistema de información de usuario – (SUIM)

Este árbol de reportes permite analizar por múltiples selecciones de Variables:Usuarios, Roles (GA), Perfiles, Autorizaciones, Objetos de autorización, Transacciones, etc.

9 - 2

Capitulo 10 – Auditoria en seguridad (SM19 / SM20)

- Introducción

- Configuración auditoria seguridad (SM19)

- Evaluación log auditoria seguridad (SM20)

10 - 1

Auditoria - Introducción

Requisitos para poder activar la auditoria

10 - 4

- Definir el parámetro rsau/enable = 1

- Reiniciar el Aplication Server

Configuración auditoria seguridad (SM19)

Mediante la configuración de los parámetros de auditoria se determina el criterio utilizado para guardar los registros de auditoria. Los parámetros son agrupados en perfiles de auditoria.

10 - 5

Evaluación log auditoria seguridad (SM20)

La información registrada en los archivos de auditoria puede ser manipulada para confeccionar los reportes de análisis de auditoria basados en los criterios de selección.

10 - 5

Capitulo 11 – Trace de autorizaciones (ST01)

- Introducción

- Conceptos generales

11 - 1

Trace de autorizaciones – (ST01)

Esta transacción permite realizar la verificación de autorizaciones de un usuario mediante un “trace”

11 - 2

Trace de autorizaciones – (ST01)

Para tal fin se debe seleccionar la opción “Verific. autorización” y el ID del usuario a analizar.

11 - 3

Trace de autorizaciones – (ST01)

Posteriormente el “trace” debe ser activado mediante la opción “Trace ON”.

11 - 4

Trace de autorizaciones – (ST01)

Una vez obtenidos los datos deseados, se debe desactivar el “trace” mediante la opción “Trace OFF”.

11 - 5

Trace de autorizaciones – (ST01)

Mediante la opción “Evaluación”, se visualizan los datos registrados en el “trace”

11 - 6

Trace de autorizaciones – (ST01)

La información de las autorizaciones verificadas es presentada en el mismo orden que el usuario ejecutó la verificación de dichas autorizaciones.

11 - 7