Durante este artículo, vamos a analizar las Autorizaciones referentes a línea y criterios de organización para tablas.
Las tablas en SAP®, dependiendo de la información que almacenen, pueden ser un recurso muy crítico para el sistema (tablas de IT, configuración, etc.) o para el negocio (tablas de aprobadores, períodos contables, etc.). Como tal, siempre se ha buscado restringir el acceso únicamente a aquellos usuarios que deben tenerlo. Es bastante habitual considerar las transacciones estándar de modificación o visualización de tablas (p.ej., SM30 o SE16) como Acciones Críticas y monitorizar su asignación a través de herramientas de análisis de riesgos como el módulo Access Risk Analysis (ARA) de SAP® GRC.
Al igual que para el resto de las transacciones, es posible restringir y controlar el acceso a las diferentes tablas de SAP® utilizando el modelo de autorizaciones estándar. Los objetos de autorización son la unidad básica para controlar los permisos de los usuarios en un sistema SAP®, y en este caso disponemos de 3 objetos para ello:
- S_TABU_DIS: permite controlar el acceso a visualizar o modificar tablas, utilizando el grupo de autorización al que pertenece la tabla.
- S_TABU_NAM: permite controlar el acceso a visualizar o modificar tablas, utilizando directamente la tabla individual que se desea restringir.
- S_TABU_LIN: permite controlar la autorización a visualizar o modificar el contenido de las tablas, basándose en un criterio de organización definido previamente. Este objeto debe utilizarse en conjunto con uno de los dos anteriores.
Para otorgar acceso a una tabla, es suficiente con utilizar uno de los dos primeros objetos (S_TABU_DIS o S_TABU_NAM). Sin embargo, estos objetos permitirán visualizar o modificar la totalidad de la tabla, sin poder restringir en función del contenido. En este punto podemos utilizar el objeto S_TABU_LIN, que forma parte de una extensión del concepto de autorizaciones denominada Autorizaciones referentes a línea. A continuación, detallaremos esta extensión de las autorizaciones, con el objeto de facilitar su implementación cuando sea necesario.
Autorizaciones Referentes a Línea
Se trata de un concepto de autorizaciones que amplía y complementa al tradicional. Permite restringir el acceso a tablas según criterios organizativos previamente definidos. De esta forma es posible conceder a un usuario una autorización de acceso sólo a líneas específicas de una tabla.
Utilizando las autorizaciones tradicionales, objetos S_TABU_NAM y S_TABU_DIS, es posible permitir la visualización o actualización de contenidos en toda la tabla. El objeto S_TABU_LIN, en cambio, añade la posibilidad de filtrar a nivel de línea. Por ejemplo, si se decide utilizar el país como criterio organizativo en una tabla, será posible restringir el acceso de los usuarios de forma que solo puedan visualizar y modificar los registros correspondientes a su país en una tabla con información de todos los países. El uso de este objeto y concepto de autorizaciones es opcional, y debe hacerse siempre en conjunto con los objetos S_TABU_DIS/S_TABU_NAM.
Definir y Activar Criterios de Organización
Para aplicar el concepto de autorizaciones referentes a línea, se debe definir y activar con antelación un criterio de organización. Estos criterios definen qué tablas y campos se van a considerar para aplicar una determinada restricción, y serán necesarios a la hora de crear también las autorizaciones. Todos ellos deberán ser siempre campos claves de la tabla a restringir.
Para definir un criterio de organización, se puede hacer desde la Guía de Implementación (SPRO) en la siguiente ruta: SAP® NetWeaver → Servidor de aplicación → Gestión del sistema → Usuarios y autorizaciones → Autorizaciones referentes a línea → Definir criterios de organización.
En el siguiente ejemplo, se dispone de una tabla personalizada que permite definir aprobadores en función de la Compañía (BUKRS) y la Organización de ventas (VKORG), sobre la que se quiere aplicar una restricción utilizando estos dos campos:
Se ha definido un criterio de organización para esta tabla de la siguiente manera:
1º) Se ha creado una nueva entrada con nombre ZRESTRICTED02, a modo de ejemplo.
Al crear el criterio, es posible desvincularlo de una tabla concreta, lo que hará que aplique a todo el sistema. Para esto se debe seleccionar la columna table-ind.
2º) Se ha creado un primer atributo del criterio de organización con el nombre Z_BUKRS, que se ha vinculado a su vez con el campo del mismo nombre de la tabla de ejemplo.
3º) Se ha creado un primer atributo del criterio de organización con el nombre Z_VKORG, que se ha vinculado a su vez con el campo del mismo nombre de la tabla de ejemplo.
En este punto, ya se dispone de un criterio de organización disponible para la tabla de ejemplo ZRESTRICTED02.
Los criterios de organización se definen de manera independiente al mandante, y están disponibles en todos ellos. No obstante, funcionan con dependencia del mandante, por lo que deberán activarse de forma específica en cada uno de ellos donde se requiera.
Para activar un criterio de organización, se puede hacer desde la Guía de Implementación (SPRO) en la siguiente ruta: SAP® NetWeaver → Servidor de aplicación → Gestión del sistema → Usuarios y autorizaciones → Autorizaciones referentes a línea → Activar criterios de organización.
Desde esta herramienta, se ha activado el criterio de organización creado con anterioridad, marcando la casilla de activado y guardando los cambios.
Construcción del Rol y la Autorización
Las transacciones de mantenimiento de tablas primero comprueban los valores existentes para los objetos S_TABU_DIS/S_TABU_NAM. Si la comprobación es exitosa, comprueban si se ha definido algún criterio de organización para los campos clave de la tabla. En caso afirmativo, comprueba si se tiene autorización para los distintos valores de los campos definidos en el criterio, utilizando el objeto S_TABU_LIN. Sólo se muestran aquellos valores para los que la comprobación de autorizaciones ha tenido éxito.
Este comportamiento inherente a las transacciones estándar de mantenimiento, también se extiende a aquellas transacciones de parámetros que se han creado a partir de ellas. Por tanto, las restricciones también aplicarán a transacciones personalizadas de mantenimiento de tablas.
Siguiendo el ejemplo anterior, se ha creado un rol que dará acceso a un usuario a modificar la tabla creada, pero solo para los valores deseados de Compañía y Organización de Ventas.
El rol creado incluye el objeto S_TABU_NAM, que es necesario para dar acceso a la tabla; pero también incluye el objeto S_TABU_LIN, con el criterio de organización definido en el ejemplo anterior y los valores 1000 y ES02 para Compañía y Organización de ventas respectivamente.
Puntos Clave
Las tablas seguirán siendo un elemento ampliamente usado en SAP®, tanto para labores de configuración como necesidades propias del negocio. Muchas veces es necesario que los usuarios puedan visualizar y modificar datos, pero del mismo modo hay que tener en cuenta que existen las herramientas necesarias para dar estos accesos de forma adecuada, restringida y siempre basándose en las necesidades específicas.
Con el concepto de autorizaciones referentes a líneas, se dispone de un mayor control con un esfuerzo muy reducido. Estas restricciones cobran también especial relevancia cuando entran en juego las tablas personalizadas, donde los campos no tienen por qué coincidir con el estándar, y muchas veces no se dispone de objetos de autorización que se adecúen perfectamente a lo que se quiere restringir. En definitiva, se consigue una mayor flexibilidad para el modelo de autorizaciones y una mejor protección de la información, adaptada a las necesidades específicas del cliente.
