Esta metodología es especialmente útil para realizar el rediseño de roles de SAP (pequeña o gran escala) donde elija implementar nuevo Rol(es) de SAP para su productivo entidad de SAP, para reemplazar un concepto de rol existente con un nuevo concepto de rol mejorado y está buscando una estrategia de prueba de autorización de alta calidad que requiera poca participación de los usuarios comerciales.
Esta metodología funciona bien desde la versión básica 7.4 en adelante y también es útil si desea reducir el acceso amplio (como SAP_ALL) de los usuarios del sistema (u otros técnicos) y elige implementar nuevas funciones.
Esta metodología es no útil:
requisitos previos:
Los pasos del proceso son los siguientes:
Con esta metodología, puede lograr muy buenos resultados de prueba para posibles problemas de autorización sin que los usuarios sepan siquiera que están probando, y debido a que todo sucede en el sistema productivo, se trata de una prueba real y exhaustiva de extremo a extremo. , y no requiere un esfuerzo extra por parte del negocio.
Una vez que haya terminado con la implementación de roles en su sistema de desarrollo y haya transportado todos los roles recién creados a su sistema productivo, deberá continuar creando usuarios con el tipo de usuario «L-Reference». Según el escenario, es posible que deba crear un usuario de referencia dedicado para cada usuario normal, pero también es posible asignar el mismo usuario de referencia a varias ID de usuario normales.
No es posible iniciar sesión con el propio usuario de referencia, por lo que esto no significa que los usuarios «normales» tendrán 2 ID de usuario. Este es un tipo de usuario técnico que solo se puede asignar al ID de usuario normal de SAP.
Afortunadamente, esto no tiene impacto en el costo de su licencia porque SLAW2 normalmente no cuenta a los usuarios de referencia, pero es mejor verificarlos dos veces para evitar sorpresas.
Debe agregar el usuario de referencia al usuario normal en la pestaña «Roles» en SU01/SU10:
Hay una entrada en la tabla PRGN_CUST (REF_USER_CHECK) que controla el comportamiento del sistema cuando intenta asignar una identificación de usuario aquí que no es del tipo «L – Referencia».
En caso de que esté utilizando la administración central de usuarios (CUA), deberá crear los usuarios de referencia en todos los sistemas donde se crea el usuario regular; de lo contrario, el segmento de usuario del idoc USERCLONE fallará para aquellos sistemas donde se crea el usuario regular. se crea el ID de usuario, pero no el usuario de referencia.
Si utiliza un sistema SAP con la versión básica 7.50, la cantidad máxima de perfiles que se pueden asignar a un usuario es 312. El usuario de referencia no tiene efecto en este límite, lo que significa que el usuario normal tiene un umbral de 312 y la referencia el usuario también tiene su propio umbral del mismo tamaño.
Uno de los elementos clave de esta metodología de prueba si tiene el código de transacción STUSERTRACE en su sistema SAP.
Este código de transacción está bien documentado en SAP y también hay buenas publicaciones de blog al respecto en SCN, por ejemplo, https://blogs.sap.com/2021/09/20/stusertrace-new-tracing-option-authorization-trace-for-user/
STUSERTRACE recopila los datos en una tabla SAP dedicada: (SUAUTHVALTRC), lo que a veces facilita el análisis y, mientras ejecuta STUSERTRACE, aún puede usar ST01 o STAUTHTRACE como de costumbre.
Para resumir:
En este punto, básicamente comenzó la prueba. Debe iniciar el proceso de análisis de los resultados del seguimiento. En el seguimiento de autorización, verá si una verificación de autorización fue exitosa a través del usuario de referencia o del usuario normal o si no fue exitosa en absoluto.
La razón por la que esta metodología funciona bien es que SAP las autorizaciones se comprueban en secuencia. Primero, el sistema verifica si el usuario de referencia tiene la autorización correcta; de lo contrario, el sistema verifica si el usuario normal de SAP tiene la autorización necesaria., es por eso que necesitaba agregar los nuevos roles a los usuarios de referencia y mantener los roles antiguos para el ID de usuario de SAP normal. Básicamente, de esta manera puede ejecutar un análisis de «qué pasaría si» con respecto a lo que sucedería si el usuario normal solo tuviera los nuevos roles.
Esto es un poco extraño, pero en este caso, las líneas que podrían ser problemas potenciales en STUSERTRACE son las que tienen éxito. sin información adicional (consulte la Figura – 5), porque estas verificaciones de autorización fueron exitosas con las autorizaciones del usuario normal, por lo que es algo que falta en sus nuevos roles. Algunos de estos valores podrían faltar a propósito, por lo tanto, serán falsos positivos, esto es algo que requiere un análisis cuidadoso.
Las líneas que tienen éxito con la información adicional «Autorizado a través del usuario de referencia» son aquellas verificaciones de autorización que tendrán éxito con sus nuevos roles.
Las líneas en las que falló la verificación de autorización (ya sea RC = 4 o 12) son casos en los que el usuario normal ya no tenía acceso (por lo tanto, de su rol «antiguo») también.
Puede ejecutar el análisis siempre que esté seguro de que no quedan problemas. La principal ventaja es que los usuarios comerciales no notarán ninguna diferencia, están haciendo su trabajo diario como antes y obtendrá un resultado de prueba muy detallado.
Una vez más, solo para decir lo obvio: es importante que no todas las verificaciones de autorización fallidas sean problemas, y que no todas las verificaciones de autorización aprobadas estén bien, por lo que cuando aplica esta metodología técnica, necesita saber lo que está haciendo.
Este es un enfoque técnico para las pruebas de autorización e incluso si tiene algunos beneficios importantes (alta calidad de las pruebas y baja participación comercial), también hay algunos inconvenientes:
Incluso si esta metodología es bastante técnica y requiere un poco más de preparación que un enfoque de prueba habitual, personalmente la encontré útil y efectiva. Después de una prueba de 3 meses, aunque solo usé esta metodología, solo hubo algunos problemas menores después de la puesta en marcha.
Haga/responda preguntas relacionadas con SAP Access Control aquí:
https://answers.sap.com/tags/01200615320800000796
Siga/comente los temas relacionados con SAP Access Control aquí:
https://blogs.sap.com/tags/01200615320800000796/
Comparta a continuación en la sección de comentarios sus pensamientos e ideas sobre esta publicación de blog.
Calle Eloy Gonzalo, 27
Madrid, Madrid.
Código Postal 28010
Paseo de la Reforma 26
Colonia Juárez, Cuauhtémoc
Ciudad de México 06600
Real Cariari
Autopista General Cañas,
San José, SJ 40104
Av. Jorge Basadre 349
San Isidro
Lima, LIM 15073