La gestión de acceso de emergencia (EAM) se destaca como una de las aplicaciones estrella dentro de la suite SAP Access Control, ampliamente utilizada para abordar de manera competente las necesidades de autorización de emergencia.
Este blog profundiza en las últimas mejoras agregadas a EAM con SAP y explora sus aplicaciones prácticas.
Antes de profundizar en estas novedosas funcionalidades, es importante tener en cuenta que muchas de estas funciones están disponibles en los últimos niveles de SP. Asegúrese de que su sistema esté actualizado actualizándolo a un nivel de paquete de servicio superior al SP14. En particular, ciertas funciones son accesibles exclusivamente en las versiones más recientes como SP23.
Antes de comenzar, veamos rápidamente cada uno de los parámetros recién agregados para EAM.
Estos parámetros se pueden habilitar/deshabilitar según los requisitos comerciales. Le recomiendo que consulte la documentación más reciente de SAP antes de implementar o utilizar estos parámetros. ¡Ahora pasemos a analizar las nuevas funciones en profundidad!
Esta interesante característica permite a las empresas controlar qué sistemas y usuarios pueden tener FFID asignados en modo dedicado. Para obtener más información sobre cómo funciona, consulte la publicación de mi blog titulada «Parámetro 4026: Cómo cambiar el uso de la aplicación EAM en el control de acceso de SAP GRC» en este enlace.
El parámetro 4027, también conocido como «Establecer la selección de boletos como obligatoria en EAM Logon Pad», introduce una valiosa mejora al habilitar el menú desplegable de selección de boletos y facilitar la integración con una solución de administración de boletos externa. Para obtener instrucciones de implementación detalladas, consulte la nota de SAP 3061274, que describe los pasos necesarios para aprovechar esta mejora y mejorar el BADI.
Una vez implementado, el parámetro 4027 ofrece la flexibilidad de habilitar o deshabilitar esta función según los requisitos de la organización.
Cuando el parámetro está configurado en «SÍ», los usuarios de bomberos notarán un nuevo menú desplegable dentro de la sección Código de motivo de la pantalla Plataforma de inicio de gestión de acceso de emergencia. Este menú desplegable permite a los usuarios seleccionar el número de ticket relevante del sistema integrado de gestión de tickets. Luego, los datos seleccionados se almacenan en una tabla recién creada, GRACFFTICKET, lo que garantiza la trazabilidad y auditabilidad para referencia futura.
Se han introducido dos nuevos parámetros SPRO, 4028 y 4029, para los Términos y condiciones. Cuando se mantenga/habilite, EAM Launchpad tendrá el botón Términos y condiciones con una casilla de verificación «Acepto los términos y condiciones» que se convierte en un campo obligatorio para que el usuario acepte los términos y condiciones de la organización.
Con el parámetro 4028 (URL absoluta para términos y condiciones en el panel de inicio de sesión de EAM), puede configurar una URL que enlace a los términos y condiciones de su organización, como privacidad de datos, no divulgación, etc. Los usuarios que inicien sesión en el FFID dentro de EAM Launchpad pueden revisar y reconoce estos términos. La URL puede apuntar a una página web o a un archivo PDF y abrirse en una nueva ventana del navegador al hacer clic en el botón de términos y condiciones. Si el parámetro se deja vacío, el botón no aparecerá. Si bien el valor predeterminado está vacío, es fundamental proporcionar una URL absoluta, especialmente al habilitar el parámetro 4029.
El parámetro 4029 (Establecer la aceptación de los términos y condiciones como obligatoria en el panel de inicio de sesión de EAM) le permite hacer que la aceptación de los términos y condiciones sea obligatoria para los usuarios finales.
Hasta ahora, la revisión del informe de registro del bombero solía mostrar un valor preconfigurado en el campo de clave externa. Este campo ahora se puede configurar con esta mejora.
Para configurar la clave externa para que muestre el valor según sus requisitos, configure o cambie el parámetro SPRO 4030. El parámetro SPRO puede ser cualquier valor de tipo de carácter y puede usar ciertas variables preconfiguradas como se muestra a continuación:
A continuación se muestran un par de ejemplos para comprender mejor los valores que se pueden mantener en el parámetro 4030:
Cuando el parámetro está configurado en «{$REQNO} – {$FFOBJECT} se usó en {$CONNECTOR}” como se muestra…
…entonces se mostrará el número/clave de solicitud como se muestra:
Otro ejemplo para una fácil y mejor comprensión es si el parámetro se establece en “{$FFUSER_NAME} inició sesión como {$FFOBJECT} a las {$LOGONTIME}”…
…el resultado será el siguiente:
Este parámetro simplifica la forma en que se administra la clave externa y ayuda mucho durante las revisiones de auditoría. La nota SAP 3331629 detalla más sobre este parámetro e información de uso.
Mesa GRACFFUSERARC (Archivar asignación de bombero de SPM a ID/roles de FF) almacena todas las asignaciones de roles FFID y FF a los usuarios junto con los registros de asignaciones. Consulte las notas de SAP 3105586 y 3105587.
Además, encontrará el campo «Actualizado por», que proporciona información sobre si la asignación se realizó a través de un proceso de flujo de trabajo o directamente, lo que aborda uno de los requisitos clave de la auditoría.
El código de transacción recién introducido GRAC_FFSESSION (Reporte GRAC_FIREFIGHTER_SESSIONS) le permite ver los informes de la sesión. Esto asume la funcionalidad del informe GRAC_EAM_LOG_SYNC_TIMEBASED. En lugar del informe basado en tiempo, ahora puede seleccionar y recopilar los registros de sesiones con este informe. Consulte las notas de SAP 3253221 y 3326827.
Con este código de transacción, los administradores pueden encontrar el estado de inicio de sesión del FFID, como se muestra en esta figura:
El campo «Estado de inicio de sesión» sirve como un indicador útil para rastrear el estado de cada solicitud. Además, hay campos adicionales disponibles para diversos fines de generación de informes, lo que mejora la capacidad del sistema para realizar análisis e informes detallados.
Gracias a la mejora introducida en la nota SAP 3295064, ahora es posible realizar análisis de riesgo para FFID dentro de la función de solicitud de acceso. Se agregó una nueva casilla de verificación al formulario de solicitud de acceso, lo que permite a los usuarios incluir los riesgos asociados del FFID. Simplemente active la casilla de verificación para habilitar esta funcionalidad durante el proceso de solicitud configurando el parámetro 1038 (Considerar asignaciones FF en análisis de riesgos) en SÍ, como se muestra:
NOTA: Esta mejora se proporciona de forma predeterminada en GRC 12, paquete de soporte nivel 21. En caso de que tenga un nivel de SP anterior y desee implementarlo, consulte la nota SAP 3295064 para implementar correcciones manuales.
Una vez que el parámetro se establece en SÍ, los usuarios verán una nueva casilla de verificación «Incluir FFID» en la página de solicitud de acceso.
Permite a los usuarios realizar análisis de riesgos para FFID y FFUSER durante la creación y aprobación de solicitudes de acceso, y muestra los riesgos de SoD asociados con ambos usuarios.
La casilla de verificación «Incluir FFID» también está habilitada dentro del elemento de trabajo «Análisis de riesgo de acceso» en la pestaña de administración de acceso. Facilita el análisis y la simulación de riesgos a nivel de usuario, rol, perfil y objeto de recursos humanos.
Anteriormente, la sesión de bombero se alineaba con la sesión del usuario mediante el ID de bombero en el sistema backend. Comenzó con el inicio de sesión del usuario con la identificación del bombero y concluyó al cerrar la sesión, según lo detectaron procesos específicos.
Sin embargo, ha habido un cambio: la sesión de bombero ahora es independiente de la sesión del usuario con el ID de bombero. Esto significa que el usuario bombero puede iniciar varias sesiones consecutivas con diferentes ID de bombero dentro de una única sesión de bombero.
Para comenzar una sesión de bombero, el usuario simplemente hace clic en el botón de inicio de sesión y la concluye haciendo clic en el nuevo botón de cierre de sesión en Firefighter Logon Pad. Inicialmente, se debe completar la pantalla del código de motivo, pero posteriormente, cualquier acción puede clasificarse como actividad adicional.
Una vez cerrada la sesión de bomberos, las identificaciones de los bomberos se bloquearán automáticamente. Permanecerán en este estado bloqueado hasta que se inicie una sesión de usuario, momento en el que se desbloquearán y estarán disponibles para su uso nuevamente.
La sesión de bombero concluye cuando el usuario selecciona el botón de cierre de sesión en el Panel de inicio de sesión de bombero. Posteriormente, otro usuario sólo podrá acceder a la misma ID de bombero una vez que el usuario anterior haya cerrado sesión correctamente. Para abordar los casos en los que los usuarios pueden olvidarse de cerrar sesión, es recomendable programar un trabajo en segundo plano para forzar automáticamente el cierre de sesión de estas sesiones de bomberos. SAP recomienda programar el informe GRAC_SPM_MAINTENANCE ejecutarse a intervalos regulares, con una frecuencia sugerida de cada 10 minutos. Este enfoque proactivo ayuda a garantizar la seguridad y la integridad de las sesiones de los bomberos dentro del sistema.
El programa “GRAC_FFID_EXPIRE_REMINDER” está diseñado para proporcionar recordatorios para las identificaciones de bomberos (FFID) que están a punto de caducar. Sirve como una medida proactiva para alertar a los propietarios y controladores sobre los FFID que se acercan a su fecha de vencimiento, permitiéndoles tomar medidas oportunas para renovar o extender la validez de estas identificaciones. Al ejecutar este programa, las organizaciones pueden garantizar la continuidad del acceso de los bomberos mientras mantienen el cumplimiento de las políticas y regulaciones de seguridad.
El período está establecido en 15 días de forma predeterminada, con la opción de propietario marcada. Los administradores pueden personalizar las notificaciones para enviarlas a los propietarios o controladores.
Sin embargo, la notificación se activará sólo cuando la diferencia (días) de “válido desde” y “válido hasta” del bombero es mayor que la fecha indicada en el programa.
Al ejecutar el programa, el administrador puede ver las notificaciones enviadas a los propietarios/controladores en los Registros.
El propietario/controlador recibirá un correo electrónico en su ID de correo electrónico que contiene un enlace que redirige a la pantalla de mantenimiento de NWBC y los FFID se pueden revisar y ampliar según sea necesario.
En conclusión, EAM sigue siendo una aplicación fundamental dentro Control de acceso SAP, crucial para gestionar eficazmente las necesidades de autorización de emergencia. Esta publicación de blog ha explorado las últimas mejoras introducidas en EAM, ofreciendo información práctica sobre su implementación y utilización.
Las características detalladas en este blog no solo agilizan las operaciones sino que también aumentan la seguridad y la auditabilidad, lo que permite a las organizaciones mitigar los riesgos de manera efectiva y mantener el cumplimiento normativo.
Calle Eloy Gonzalo, 27
Madrid, Madrid.
Código Postal 28010
Paseo de la Reforma 26
Colonia Juárez, Cuauhtémoc
Ciudad de México 06600
Real Cariari
Autopista General Cañas,
San José, SJ 40104
Av. Jorge Basadre 349
San Isidro
Lima, LIM 15073