Você está na página 1de 33

SAP SECURITY SEGURANCA DA INFORMACAO e PERFIS DE ACESSO

Guia de apoio para transaes, funes (perfis) e autorizaes.


Fevereiro/2007

ndice
Verificando autorizaes prprias Verificando transaes em Funes (Perfis) Encontrando funes com determinada transao Encontrando funes com determinada objeto Entendendo o log da transao SU53 Alterando dados prprios (spool, linguagem, etc.) Estrutura de um perfil de acesso

ndice
Verificando autorizaes prprias Verificando transaes em Funes (Perfis) Encontrando funes com determinada transao Encontrando funes com determinada objeto Entendendo o log da transao SU53 Alterando dados prprios (spool, linguagem, etc.) Estrutura de um perfil de acesso

Verificando autorizaes prprias Podemos verificar nossa prprias autorizaes atravs da transao SU56.

Verificando autorizaes prprias A tela nos mostra diversos campo, cada um tem seu significado:

Verificando autorizaes prprias

Authorization Object: a autorizao que libera o acesso a um determinado processo. Com duplo click no objeto podemos entender o que faz cada um.

(Display object documentation)

Verificando autorizaes prprias Autorization: Identifica o perfil que possumos. Listando todas as Autorizaes conseguimos verificar todas as funes (perfis) que possumos.

Verificando autorizaes prprias Role: a funo (Perfil) onde est contido esse objeto de autorizao. Os campos ACTVT e GROUP_CUST so os valores liberados para essa funo.

Verificando autorizaes prprias Verificando transaes em Funes (Perfis) Encontrando funes com determinada transao Encontrando funes com determinada objeto Entendendo o log da transao SU53 Alterando dados prprios (spool, linguagem, etc.) Estrutura de um perfil de acesso

Verificando transaes em Funes (Perfis) Quando precisamos identificar quais transaes compem uma determinada funo (perfil), utilizamos a transao S_BCE_68001418. Neste exemplo vamos identificar as transaes que compem a funo (perfil) RP1ANYGNRC; Preencher no campo Role o nome da mesma e executar (no necessita preencher outro campo)

Aps isso, selecionar a funo (perfil) e clicar na opo Transaction Assignment.

So relacionadas todas as transaes atribudas na funo (perfil).

Verificando transaes em Funes (Perfis) Voc pode executar a mesma ao, atravs da transao SUIM, opo: Roles Roles by Complex Selection Criteria.

Verificando autorizaes prprias Verificando transaes em Funes (Perfis) Encontrando funes com determinada transao Encontrando funes com determinada objeto Entendendo o log da transao SU53 Alterando dados prprios (spool, linguagem, etc.) Estrutura de um perfil de acesso

Encontrando funes com determinada transao Quando precisamos identificar em qual funo (perfil) est uma determinada transao, utilizamos a transao S_BCE_68001420. Neste exemplo vamos identificar quais funes possuem a transao MM03; o Preencher no campo Transao o nome e executar (no necessita preencher outro campo)

Encontrando funes com determinada transao Sero relacionados todas as funes (perfis) que contm a transao MM03. Para esta consulta, desconsidere qualquer funo iniciada com a descrio SAP, as que comeam com / e as que comeam com ASAP (todas so standards).

Verificando transaes em Funes (Perfis) Voc pode executar a mesma ao, atravs da transao SUIM, opo: Roles By Transaction Assignment.

Verificando autorizaes prprias Verificando transaes em Funes (Perfis) Encontrando funes com determinada transao Encontrando funes com determinado objeto Entendendo o log da transao SU53 Alterando dados prprios (spool, linguagem, etc.) Estrutura de um perfil de acesso

Encontrando funes com determinado objeto Quando precisamos identificar em qual funo (perfil) est um determinado objeto, utilizamos a transao S_BCE_68001425. Neste exemplo vamos identificar quais funes possuem o objeto M_BEST_BSA. O campo User(s) no deve estar preenchido; Preencher no campo Object1 o nome e clicar em Entry Values; Como esse processo normalmente ser utilizado a partir de um erro originado pelo log da transao /NSU53, os valores seguintes devero ser preenchidos conforme o log. Neste exemplo vamos preencher apenas quem possui o tipo de activity 01 (que libera a criao) e o tipo de documento de compras ZSP Resumindo, pessoas habilitadas a criar uma ordem de compra para o tipo de documento ZSP.

Encontrando funes com determinado objeto

Encontrando funes com determinado objeto Sero relacionados todas as funes (perfis) que contm a autorizao procurada. Caso nenhuma funo seja encontrada, significa que o valor procurado no existe em nenhum perfil. Certifique-se de ter digitado todos os valores corretamente (trocando valores, invertendo campos, etc.).

Verificando transaes em Funes (Perfis) Voc pode executar a mesma ao, atravs da transao SUIM, opo: Roles Roles by Complex Selection Criteria.

Verificando autorizaes prprias Verificando transaes em Funes (Perfis) Encontrando funes com determinada transao Encontrando funes com determinada objeto Entendendo o log da transao SU53 Alterando dados prprios (spool, linguagem, etc.) Estrutura de um perfil de acesso

Entendendo o log da transao SU53 A transao SU53 sempre ser utilizada imediatamente aps a ocorrncia de um erro que determine um aviso tipo: o Falta autorizao para criar material no Centro SP01; o Sem autorizao para a transao VA01. Mesmo assim, algumas autorizaes podem estar bloqueadas sem que nenhum erro seja informado. Assim como em alguns momentos, ao rodar a transao /NSU53, valores sero informados, mas esses valores no esto necessariamente causando algum erro de autorizao no processo. Exemplo disso que ao logarmos no SAP, antes de executarmos qualquer transao, se executarmos a SU53, provavelmente ser informado algum log de erro, porque alguns objetos esto modificados do ORIGINAL.

Entendendo o log da transao SU53 Exemplo: Transao ME51N (Criar requisio de compras), me retorna o log da SU53:

Entendendo o log da transao SU53 No LOG, temos 2 quadrinhos azuis (que poderiam ser apenas 1 ou mais de 2). O primeiro quadro significa o que est faltando para meu usurio. Traduzindo o log, est faltando Acesso a atividade 01 (Criar Requisio de compra), para o tipo de documento ZRAC.

O segundo quadro determina que no perfil BASICO, temos autorizao 03 e 08 (visualizar e visualizar documentos modificados) para qualquer tipo de documento (*).
O primeiro quadro sempre identifica o que precisamos e os quadros a seguir o que temos. Portanto, para abertura de chamados, sempre enviar o incio do log, que mostra o que o usurio precisa.

Verificando autorizaes prprias Verificando transaes em Funes (Perfis) Encontrando funes com determinada transao Encontrando funes com determinada objeto Entendendo o log da transao SU53 Alterando dados prprios (spool, linguagem, etc.) Estrutura de um perfil de acesso

Alterando dados prprios (spool, linguagem, etc.) Atravs da transao SU3 (sem o 0 zero), conseguimos identificar / modificar os dados prprios. Na aba de Endereo, conseguimos corrigir problemas com nosso nome, funo, departamento, telefone, ramal, etc. Na aba de valores fixos, determinamos os valores de idioma de logon (PT Portugus / EN Ingls / ES Espanhol), formato de data, representao de moeda (com ponto, sem ponto ou com vrgula). Conseguimos neste campo definir o Controle de Spool com Sada Imediata, para que as impresses sejam enviadas diretamente para a impressora, sem necessidade de visualizar a transao SP01 / SP02. Assim como o campo do fuso horrio deve estar preenchido com UTC-3 para usurios que esto em reas sem Horrio de Vero e com o Valor BRAZIL, para usurios que esto em reas com horrio de vero. Na rea parmetros definimos diversos valores, a maioria desses valores sempre ser informado por algum consultor da equipe funcional.

Alterando dados prprios (spool, linguagem, etc.)

Guia de apoio para transaes, funes (perfis) e autorizaes.


Fevereiro/2007

Alterando dados prprios (spool, linguagem, etc.)

Guia de apoio para transaes, funes (perfis) e autorizaes.


Fevereiro/2007

Verificando autorizaes prprias Verificando transaes em Funes (Perfis) Encontrando funes com determinada transao Encontrando funes com determinada objeto Entendendo o log da transao SU53 Alterando dados prprios (spool, linguagem, etc.) Estrutura de um perfil de acesso

A figura abaixo mostra o esquema de funcionamento de um perfil de acesso do sistema SAP R/3 que possui os seguintes componentes: transaes, objetos de autorizao e valores de autorizao.

Perfil de Acesso

Transao 1

Usurio SAP R/3


Obj. Autorizao 1 Campo 1

Restrio 1

Transao 2

Obj. Autorizao 2

Campo 2 Restrio 2

Transao 3

A figura abaixo mostra o esquema de funcionamento do perfil de acesso demonstrado no slide anterior com um exemplo de aplicao.

Comprador
ME21N

Usurio SAP R/3 M_BEST_EKO


ACTV 01 (criar)

ME22N
EKORG
Organizao de compras

ME23N