Seguridad en SAP IPN

INSTITUTO POLITCNICO NACIONAL
ESCUELA SUPERIOR DE INGENIERA MECNICA Y ELECTRICA
UNIDAD CULHUACAN
TESINA
Seminario de Titulacin:
Las tecnologas aplicadas en redes de computadoras
DES/ ESME-CU 5092005/11/12
SEGURIDAD EN SAP
Que como prueba escrita de su

examen Profesional para obtener
el Ttulo de: Ingeniero en
Comunicaciones y Electrnica
Presenta:
ISRAEL ROJAS LUNA
Mxico D.F OCTUBRE 2012

Agradecimientos
La presente Tesis es un esfuerzo en el cual, directa o indirectamente, participaron varias personas
leyendo, opinando, corrigiendo, tenindome paciencia y dando nimo.
Agradezco a mi esposa Adriana Gaona e hijas Renata y Regina por la oportunidad prestada para
concluir este gran esfuerzo sacrificando lo ms importante en esta vida el tiempo de familia
dndome nimos para final mente concluir este esfuerzo que iniciaron mis padres.
Igualmente a mis profesores de este seminario quienes me han orientado en todo momento en la
realizacin de este proyecto que enmarca el ltimo escaln hacia un futuro en donde sea partcipe
en el mejoramiento da a da en mis actividades diarias.
I
ndice
INTRODUCCIN .............................................................................................................................. 1
Generalidades de SAP ..................................................................................................................... 2
Estructura SAP ................................................................................................................................ 2
Transporte: ...................................................................................................................................... 3
CAPITULO UNO ............................................................................................................................... 4
Objetivo ........................................................................................................................................... 4
mbito de aplicacin ...................................................................................................................... 4
Documentos relacionados ............................................................................................................... 4
Desarrollo ........................................................................................................................................ 4
Definicin de Estrategia de Roles y Perfiles ............................................................................... 4
Definicin de Roles Simples Maestros ....................................................................................... 5
Roles Compuestos ....................................................................................................................... 5
Segregacin de Actividades ........................................................................................................ 5
Creacin y Asignacin ................................................................................................................ 6
Solicitud de Creacin o Modificacin de Rol ................................................................................. 6
Solicitud de Asignacin .................................................................................................................. 6
Administracin ............................................................................................................................ 7
Ciclo de Vida de roles ..................................................................................................................... 7
Creacin y Modificacin de Roles .............................................................................................. 7
Derivacin de Roles .................................................................................................................... 7
Transporte de Roles ..................................................................................................................... 7
INTERACTUANDO CON EL SISTEMA ..................................................................................... 8
PFCG ............................................................................................................................................... 9
Nomenclatura de Roles ................................................................................................................. 10
Creacion de un Rol Simple............................................................................................................ 10
Pestaa Men ................................................................................................................................ 12
Asignacin de transaccin Modo estndar ................................................................................. 13
Asignacin de transaccin Desde el men de SAP .................................................................... 14
Asignacin de transaccin Desde un Rol ................................................................................... 16
II
Asignacin de transaccin Desde un archivo TXT .................................................................... 21
Pestaa de Autorizaciones............................................................................................................. 23
NIVELES ORGANIZACIONALES............................................................................................. 24
Metodologa de manejo del proyecto ............................................................................................ 32
Evaluacin ..................................................................................................................................... 32
PARTICIPACION ........................................................................................................................ 32
IMPLEMENTACION Y CREACION DE ROLES ...................................................................... 33
MATRIZ DE PRUEBAS .............................................................................................................. 34
ERRORES ..................................................................................................................................... 35
PLANEANDO LA INSTALACIN ............................................................................................ 37
Chequeando necesidades de Software y Hardware ................................................................... 37
Comprobando la red .................................................................................................................. 37
Distribucin de los componentes en los discos ......................................................................... 37
Directorios creados durante la instalacin................................................................................. 38
PREPARANDO LA INSTALACIN .......................................................................................... 38
CDs de Export ........................................................................................................................... 38
Instalando DLLs Actualizadas para el Sistema ......................................................................... 39
Memoria Virtual ........................................................................................................................ 39
Usuario y Permisos para la Instalacin ..................................................................................... 39
Nombre del SAP System y del Servidor ................................................................................... 39
2.6 Preparando el directorio de Transportes .............................................................................. 39
INSTALACIN DEL SISTEMA SAP ......................................................................................... 40
Instalacin del software de Oracle ............................................................................................ 41
Instalando R3SETUP ................................................................................................................ 42
Instalando SAP y cargando la Base de Datos............................................................................ 42
TRAS LA INSTALACIN .......................................................................................................... 45
Arranque y Parada del Sistema SAP ......................................................................................... 45
Entrando en el Sistema SAP...................................................................................................... 48
ANEXO I : Bsico ........................................................................................................................ 49
ANEXO: CONFIGURACIN SEGN EL IMPLEMENTACIN ............................................. 50
Address Manteinance ................................................................................................................ 50
Perfiles de instancia y Modos de Operacin ............................................................................. 51
III
Sistema de Transportes.............................................................................................................. 53
Instalacin de lenguajes ............................................................................................................ 54
Mantenimiento de tablas ........................................................................................................... 56
Cmo aumentar el tamao de los tablespaces ........................................................................... 57
Import de los lenguajes ............................................................................................................. 57
Suplementacin del Espaol ..................................................................................................... 60
Creacin de los mandantes ........................................................................................................ 61
Creacin del Sistema de Transportes del Implementacin........................................................ 63
Qu ocurre si cambiamos el SID de la rz10?........................................................................... 65
Troubleshooting ............................................................................................................................ 65
Durante la Instalacin................................................................................................................ 65
Alertas desde el SAP Management Console ............................................................................. 65
SAPGUI .................................................................................................................................... 66
ABAP Short Dumps .................................................................................................................. 66
Problemas importando lenguajes............................................................................................... 66
CAPITULO DOS .............................................................................................................................. 68
Objetivo ......................................................................................................................................... 68
ARQUITECTURA ............................................................................................................................ 68
COMO FUNCIONA LOS MANDANTES.................................................................................. 69
Mandantes ..................................................................................................................................... 69
SEGURIDAD EN MANDANTES ............................................................................................... 69
AMBIENTES ................................................................................................................................ 71
Ambiente de Calidad ................................................................................................................. 71
Ambiente de Produccin ........................................................................................................... 71
Ambiente de Desarrollo ............................................................................................................ 71
EL SISTEMA DE TRANSPORTES SAP .................................................................................... 72
En resumen ................................................................................................................................ 73
ESQUEMA DE SEGURIDAD ......................................................................................................... 73
Seguridad en la aplicacin SAP .................................................................................................... 75
MEJORES PRCTICAS .................................................................................................................. 75
Seguridad en las cuentas ........................................................................................................... 75
Seguridad en el Sistema de Archivos ........................................................................................ 75
IV
Seguridad en los Servicios ........................................................................................................ 75
Seguridad en Bases.................................................................................................................... 75
La Problemtica de la Seguridad de SAP...................................................................................... 76
Mecanismos de Autenticacin ...................................................................................................... 76
Seguridad de los Usuarios ............................................................................................................. 76
Poltica de Contraseas ................................................................................................................. 76
Mecanismos de Autorizacin ........................................................................................................ 76
Seguridad de las Interfaces ............................................................................................................ 76
POR QUE ANALIZAR LA SEGURIDAD DE SAP? ...................................................................... 77
Como Analizar la seguridad SAP.................................................................................................. 77
CONCLUSION ................................................................................................................................. 79
GLOSARIO....................................................................................................................................... 81
BIBLIOGRAFIA............................................................................................................................... 80
V
Objetivos
El presente Trabajo nace con la intencin de proporcionar una visin ms sobre la aplicacin de la
seguridad en la implementacin de SAP en un Grupo Financiero. Desde el punto de vista
informtico, basados en un estndar y cumpliendo las recomendaciones de distintas normas para
que en un futuro se logre la certificacin deseada.
Siendo escasa la documentacin sobre la implementacin de la seguridad en SAP, este Trabajo se

presenta como un punto de partida para futuras implementaciones de este mismo sistema en
diferentes empresas.
Con este Trabajo tambin se pretende establecer principios bsicos de Seguridad que sirvan de base
para la implementacin de los nuevos sistemas y tecnologas para cumplir con los estndares
bsicos.
Se ha realizado un anlisis sobre la implementacin realizada en Grupo Financiero Interacciones

con el objetivo de facilitar la configuracin de la seguridad de la informacin con la creacin de
roles y perfiles dentro del sistema SAP, permitan obtener el buen funcionamiento de los usuarios de
cada departamento.
Entre las necesidades bsicas del anlisis se hace especialmente relevante la de establecer un punto
de partida para la creacin de roles y perfiles los procesos por cada rea involucrada en la
implementacin de cada modulo en SAP.
Finalmente se plantea el ambicioso objetivo de sentar las bases o el procedimiento que permita al
usuario entender lo importante que es la seguridad en cada uno de los procesos de finidos en la
implementacin de este nuevo sistema.
VI
Justificacin
Este proyecto de tesis se enmarcara dentro de los parmetros y estndares de SAP as como las
buenas prcticas de la Seguridad de la informacin.
Acadmica
El presente proyecto representa la oportunidad de poner en prctica los conocimientos y experiencia
adquirida durante nuestra formacin laboral como Oficial de Seguridad dentro del Grupo Financiero
en el cual labo actual mente dentro del rea de sistemas de la informacin planteando una solucin
viable y didctica a una problemtica de seguridad SAP en todas las empresas que adquieren un
sistema gestor de recursos ERP
Institucional
El proyecto de tesis tiene como finalidad poder brindar a cualquier empresa , el aseguramiento sus
procesos de negocio, teniendo como resultado una robustez en su poltica de seguridad de cada
empresa.
* Tecnolgica
Este proyecto de tesis se justifica tecnolgicamente porque contar con herramientas necesarias
que permitan identificar los puntos vulnerables en los procesos crticos de negocio, subprocesos,
actividades de control y requerimientos de las funcionalidades (de negocio y tcnicas) que sirva
como soporte del rediseo de procesos y ayude a mejorar la calidad del servicio administrativo.
* Operativa
El desarrollo del presente proyecto implica un compromiso de todo el personal empleado de la
organizacin a fin de asumir un rol protagonista y luna nueva conciencia con la importancia de la
seguridad de la informacin asi como el compromiso a de nuevas responsabilidades en el desarrollo
de sus funciones como parte del rediseo de los nuevos roles dentro de la implementacin de SAP
en el Grupo Financiero.
* Econmica
La implementacin del proyecto de tesis minimizara el impacto econmico permitiendo obtener
ahorros significativos realizar la implementacin de la Seguridad de SAP por personal del Grupo
Financiero para minimizar los costos significativos al no contratar proveedores externos con el
beneficio de no exponer la informacin sensible del Grupo
* Social
El proyecto de Tesis, tiene como finalidad poder mejorar los procesos de negocio de la
organizacin, teniendo como beneficio brindar la seguridad necesaria a la empresa.
Con este proyecto de tesis tiene la intencin de asegurar toda la informacin contenida en SAP ya
que con esta implementacin se cumple con los requerimientos mnimos requeridos por empresas
certificadoras para asi estar preparados cuando la empresa o Grupo Fianaciero requiera certificar
sus procesos en materia de Seguridad.
VII
INTRODUCCIN
Se realiza un estudio completo para determinar cual ser el aplicativo a utilizar por el Grupo
Financiero Interacciones (GFI), derivado de un proyecto interno para renovar el core bancario que
se encuentra alineado a l Plan Director. Dicho proyecto nos determino que debemos contar con una
herramienta que cumpla con las directrices del plan y el proyecto, esto es contar con un core lo
suficientemente robusto, para lo cual se realiz una licitacin que nos llevo a adquirir el sistema de
SAP.
Grupo Financiero Interacciones tiene sus antecedentes en 1981 cuando los accionistas actuales del
grupo adquieren la Corporacin Mexicana de Valores. Desde ese entonces el grupo se ha
consolidado para poder proveer al mercado diversos productos en los que se encuentran: Casa de
Bolsa, Banco, Seguros y Fondos de Inversin.
Actualmente Grupo Financiero Interacciones est llevando a cabo el Plan Director el cual es un plan
estratgico de tecnologa que se centra en el proyecto de Core Bancario. Su objetivo es optimizar
los servicios y productos financieros ofrecidos, de manera que agreguen valor y proteccin al
patrimonio de los clientes, y ofrezcan a GFI un marco tecnolgico adecuado para que sus procesos
sean efectivos y eficientes.
En lnea con el Plan Director y buscando trabajar bajo un marco tecnolgico adecuado y de
procesos efectivos y eficientes, GFI ha iniciado con el proyecto SAP Solucin Integral, con el cual
se busca dar soporte bajo una solucin nica de SAP a los procesos de finanzas, compras, gestin
de viajes y facturacin, incorporando facilitadores tecnolgicos como son Business Intelligence y
Portal de SAP. Esto permitir adems tener una base de datos central con la cual puedan atender de
una manera ms eficiente sus necesidades de informacin. Esta plataforma tecnolgica busca
tambin permitirle a GFI estar a la vanguardia para poder afrontar retos o requerimientos futuros.
Bajo el marco del Plan Director, el proyecto SAP Solucin Integral debe compartir sinergias con el
proyecto del core bancario, de manera que se logre la integracin de manera transparente de ambos
proyectos, resultando en una plataforma de procesos y tecnolgica integrada.
1
Generalidades de SAP
SAP pertenece a una empresa alemana, y su significado en castellano es Sistemas, Aplicaciones y

Productos en tratamiento de Datos. El sistema SAP consta de varios mdulos. Algunos de ellos
son:
FI: Finanzas
SD: Ventas y Distribucin
MM: Gestin de Materiales
PP: Gestin de Produccin
WF: WorkFlow
HR: Planificacin y Recursos Humanos.
Estructura SAP
En general, los sistemas SAP tienen la siguiente estructura:
Ambiente de Ambiente Ambiente

Desarrollo Testing/Calidad Produccin
Ambiente de Desarrollo: Aqu se realizan los desarrollos y parametrizaciones del sistema. Al

realizar un nuevo desarrollo, se genera una orden de transporte. Mediante la misma, el desarrollo
pasar a los dems ambientes.
Ambiente de Testing/Calidad: Los objetos generados en Desarrollo pasan a este ambiente por medio
de la orden de transporte. En este ambiente, se realizan las pruebas integrales para verificar el
correcto funcionamiento de los programas y parametrizaciones.
Ambiente Productivo: Aqu estn los datos reales y es el ambiente con el que opera la compaa que
posee el sistema SAP.
2
Adicionalmente, puede usarse un ambiente Sandbox para testeo de configuraciones y desarrollos.
ABAP: el lenguaje de SAP
El lenguaje que se utiliza para programar en SAP es el ABAP. El ABAP es un lenguaje gobernado
por eventos, o sea, que existen eventos que condicionan la secuencia de ejecucin de los programas.
ABAP es propietario de SAP, y no es un lenguaje en el que, como en otros (Visual Basic, C, etc.),
podemos realizar un ejecutable para correr en cualquier equipo. Los programas son ejecutables
dentro del ambiente SAP.
Netweaver: nuestro ambiente de desarrollo
Para programar, necesitamos conectarnos a un servidor SAP. Afortunadamente, en la actualidad

SAP nos provee un entorno para poder instalar en una pc y as tener una suerte de servidor
minisap. Si bien en el mismo no encontraremos los diversos mdulos que se encuentran en una
instalacin real (SD, MM, FI, etc.), este entorno nos provee lo necesario para aprender a programar
y dar los primeros pasos en ABAP.
Transporte:
Cuando hablbamos de los distintos ambientes, decamos que para pasar un desarrollo,
parametrizacin, correccin, etc., de uno a otro (ej., del ambiente de desarrollo al de testing), lo
hacamos por medio de una orden de transporte. En las instalaciones reales, es siempre as, pero en
nuestro caso, tenemos un solo ambiente, y no generaremos nunca orden de transporte.
3
CAPITULO UNO
Objetivo
En este documento se establecen los principios y normas a seguir en la creacin, administracin y

asignacin de roles y perfiles SAP a los usuarios del sistema.
El objetivo del mismo, es tener plenamente identificados los factores que influyen en la creacin,
modificacin, derivacin y transporte de los Roles y Perfiles del sistema, as como el correcto uso y
asignacin a los usuarios, tomando en cuenta su puesto organizacional, el rea al que pertenece, as
como las actividades que realiza el usuario dentro de la empresa.
mbito de aplicacin
El presente documento presenta las actividades y normas que se deben de cumplir por GFI para el
correcto uso y mantenimiento de la poltica de seguridad y asignacin de permisos en el sistema
SAP. Buscando siempre el mantener los componentes bsicos de la seguridad, aplicados a la
informacin:
Confidencialidad: Garantizar que el acceso a la informacin y sistemas que la soportan

slo sea por entidades o personas debidamente autorizadas.
Integridad: Garantizar la exactitud de la informacin y los sistemas que la soportan contra
alteracin, prdida o destruccin, ya sea de forma accidental o fraudulenta.
Disponibilidad: Garantizar que la informacin y los sistemas que la soportan puedan ser
utilizados por personal autorizado en la forma y el tiempo requeridos.
Cumplimiento: Garantizar cumplimiento de la legislacin vigente y estndares del sector
en materia de proteccin y seguridad de la informacin en todos sus procesos de negocio.
Documentos relacionados
Matriz de Roles
Desarrollo
Definicin de Estrategia de Roles y Perfiles
El concepto de autorizacin, manejado dentro de los sistemas SAP, protege las transacciones,
programas y servicios de accesos no autorizados. La base de dicho concepto, es que el
administrador asigne las autorizaciones al usuario, dichas autorizaciones determinan lo que usuario
puede realizar dentro del sistema SAP, una vez que se ha firmado en el sistema.
Para acceder a los objetos de negocio, o transacciones de SAP, el usuario requiere contar con las
autorizaciones necesarias para dichas actividades. Las autorizaciones representan la instancia de una
4
autorizacin genrica que esta definida por las actividades o responsabilidades del empleado.
Dichas autorizaciones son almacenadas en un perfil, quien a su vez esta asociado directamente con
un Rol. El administrador de usuarios se encarga entonces, de asignar el Rol correspondiente al
usuario, con el fin de que pueda realizar sus actividades o tareas.
Existe una lista de Roles Simples Maestros, que contienen acceso a las transacciones que definen
las actividades de dicho Rol. Estos Roles Simples Maestros son la base sobre la cual se generarn
los roles derivados a los cuales se les restringir las actividades sobre dichas transacciones u
objetos de organizacin.
Definicin de Roles Simples Maestros
En el documento Matriz de Roles se encuentran definidos los Roles Simples Maestros, divididos
por mdulo y por actividad a la que hacen referencia sus transacciones. Los Roles Simples Maestros
son la base para la derivacin y agrupacin de Roles SAP.
Esta funcin nace de un anlisis funcional y de proceso
Durante la creacin de los Roles Simples Maestros, solo se agregan las Transacciones a las cuales el
Rol hace referencia.
Su nomenclatura es ZS_(XX)_(YYYYYYYY)
Donde XX indica el mdulo al que pertenece y YY la actividad a la que hace referencia el Rol.
En algunos casos se encontrarn las siglas ADM o ASI al final lo que indica que el Rol pertenece a
los usuarios Administradores o Analistas para el caso de ASI.
Roles Compuestos
Un rol compuesto, es un conjunto de Roles o GAD para realizar una tarea abarcativa de varios
puestos de trabajo. Los Roles compuestos son muy difciles de mantener dado que se crean con un
propsito especifico y terminan siendo alterados por el desconocimiento del proceso, o por
directrices mal gestionada.
Segregacin de Actividades
Las actividades o responsabilidades que cada uno de los usuarios tiene dentro del sistema, debe de
cumplir con la restriccin de que un usuario no puede ser el dueo de ms del 40% de las
actividades necesarias para liberar dicho proceso por completo; siempre y cuando dicho proceso se
vean involucradas diferentes reas.
La segregacin se generar adicionalmente por los objetos de nivel de organizacin que pueden
involucrarse en el proceso, la lista de Niveles de organizacin que se han tomando en cuenta son:
5
Nombre Objeto
Sociedad BURKS
Grupo de compras EKGRP
Organizacin de Compras EKORG
Divisin GSBER
Nmero de Almacn LGNUM
Organizacin de Ventas VKORG
Centro WERKS
Canal de Distribucin VTWEG
Clase de Cuenta KOART
Sociedad CO KOKRS
Centro de Beneficio PRCTR
Puesto de Trabajo ARBPL
Entidad CP FIKRS
Variante de Plan PLVAR
Creacin y Asignacin
Solicitud de Creacin o Modificacin de Rol
Para la creacin o modificacin de un Rol deber hacerse uso del formato modificacin de rolen
el cual deber de indicarse el mdulo, transacciones, reportes y objetos de autorizacin que se
deben de incluir en dicho ROL. El formato deber ser autorizado por la direccin de Informacin
Financiera y la Direccin de Seguridad Informtica.
Una vez que se cuente con el documento de autorizacin se proceder a la creacin o modificacin
del ROL en cuestin.
Solicitud de Asignacin
La direccin de Seguridad de la Informacin estar a cargo de la asignacin de roles y permisos a

los usuarios, para ello se deber hacer uso del formato modificacin de rol para la asignacin de
Roles a usuarios de sistema. Dicho formato deber ser autorizado por la direccin correspondiente
al usuario, Recursos Humanos, la direccin de Informacin Financiera y la Direccin de Seguridad
Informtica. Dicho procedimiento deber de usarse para dar altas y bajas de roles a los usuarios.
Una vez que se ha recibido el formato autorizado, se proceder a la asignacin del o los roles al
usuario. Este procedimiento deber de ser utilizado del mismo modo en la des asignacin de
Roles al usuario.
6
Administracin
Ciclo de Vida de roles
Creacin y Modificacin de Roles
La creacin y modificacin de Roles y Perfiles deber de cumplir con la estrategia de

mandantes del proyecto de implementacin, dicha estrategia cuenta con los siguientes
principios:
-Creacin y Modificacin de Objetos, configuracin y programacin. Deber realizarse en

el mandante 100 del ambiente de desarrollo
-Pruebas unitarias se realizarn en el mandante 110 y 120
-Pruebas Integrales, Calidad Mandante 200
-Asignacin de produccin Mandante 300
Derivacin de Roles
Los Roles Simples Maestros debern de tomarse como base para la derivacin de nuevos roles,
modificando nicamente las actividades y permisos, as como los niveles de organizacin que sea
necesario ajustar de acuerdo a los permisos asignados al usuario.
La denominacin de los roles Derivados va en funcin del nombre del Rol Simple maestro que se
esta derivando. Para ello el hombre de dichos roles derivados comenzar con las letras ZDX
(Derivado Ejecucin) y ZDV (Derivado Visualizacin) estos son los nicos roles que pueden ser
asignados a usuarios finales.
Transporte de Roles
Los Roles deben de ser colocados en un transporte, para aplicarlos en los sistemas de Calidad y
Produccin, esta prohibido modificar Roles directamente en el Mandante Productivo.
-Los roles se transportan localmente del mandante 100 al 110 y 120 mediante la transaccin
SCC1, para ello es necesario que los roles se encuentre previamente empaquetados en un
transporte.
-Para realizar el transporte hacia los sistemas de Calidad y Produccin es necesario realizarlo
mediante la transaccin STMS, o en su defecto realizar la solicitud de transporte al rea encargada
de los mismos.
-En el caso especfico de la aplicacin del transporte a Produccin se deber de contar con la
aprobacin del rea de Sistemas de contabilidad, con el fin de notificar que la aplicacin de los
cambios entrar en produccin.
7
INTERACTUANDO CON EL SISTEMA
En esta seccin vamos a ver las distintas transacciones que involucran a la seguridad en SAP R/3.
Algunas de ellas son de impacto directo, mientras que otras son de investigacin en forma indirecta
a la seguridad.
Las transacciones a utilizar sern las siguientes:
1. PFCG (Profile Generador)
2. SU01 (Gestin de usuarios)
3. SU10 (Gestin de usuarios en masa)
4. SU53 (Datos de autorizacin para usuario)
5. SU56 (Autorizaciones en el buffer del usuario)
6. SU24 (Chequeo de objetos para transaccin)
7. SE10 (Liberacin de ordenes de transporte)
8. SE16 (Browser de tablas)
9. SE37 (Programas del sistema)
10. STMS (Sistema de transportes)
Las tablas que utilizaremos sern las siguientes:
1. ADCP (Datos de usuario)
2. ADRP (Datos de usuario)
3. AGR_DEFINE (Definicin de GA)
4. AGR_USERS (Usuarios por GA)
5. AGR_TCODES (Transacciones por GA)
6. AGR_1016 (Autorizaciones por GA)
7. AGR_1251 (Datos de autorizaciones)
8. AGR_1252 (Niveles organizacionales en autorizaciones)
9. AGR_AGRS (Jerarqua de GA (Roles Compuestos))
10. TACT (Descripcin de actividades)
11. TOBJ (Objetos del sistema)
8
12. TSTCA (Transacciones con valores estndar por objeto)
13. TSTCT (Descripcin de transacciones)
14. USR02 (Usuarios del sistema)
15. USR05 (Parmetros de usuarios del sistema)
16. USR21(Datos de usuario)
17. USOBT (Objetos chequeados por transacciones (Standard))
18. USOBT_C (Idem anterior (Copia))
PFCG
La transaccin PFCG (Profile Generador), es utilizada generalmente para la creacin de Roles,

asignacin de autorizaciones y eventualmente asignacin de usuarios al Rol creado o modificado.
Tambin se utiliza para remover usuarios de los Roles indicados por personal jerrquico.
Dicha transaccin, tiene muchas mas funcionalidades que sern vistas a los largo de este punto. En
la figura observaremos la pantalla de inicio de la transaccin.
Figura 1
Como podemos observar, en la pantalla principal de la transaccin, adems de tener mltiples

opciones, podemos crear, modificar, visualizar o borrar un rol.
9
Nomenclatura de Roles
Tanto para la creacin de nuevos Roles, como transacciones, objetos de autorizacin, etc., SAP,
deja a disposicin de los usuarios las letras Y y Z para este caso se tomara la nomenclatura
ZDX_XXX.
De esta manera, es muy simple detectar los Roles que no son estndar de SAP, y en funcin de
ello, poder realizar el anlisis correspondiente ante cualquier situacin. No olvidemos, que los
desarrollos estndar de SAP NUNCA comenzaran con las letras anteriormente descritas.
Igualmente, no hay una regla de oro para la nomenclatura que utilicemos, para este caso preciso,
utilizaremos la denominacin PRUEBA, cuya inicial no es Y ni Z.En los casos prcticos
(Servidores DEV QUA - PRD) inexorablemente debern comenzar con las letras antes
mencionadas.
En el caso de que los mismos Roles no comiencen con las letras que mencionamos anteriormente,
funcionaran y no habr ningn tipo de problemas en cuanto a la funcionalidad de los mismos. Pero
hay que destacar, que se esta saliendo del estndar y ello puede traer consecuencias para los futuros
administradores del sistema.
Creacion de un Rol Simple
En la figura 2 observaremos la creacin de un GA. Para ello, debemos ingresar el nombre del Rol
en el campo ROLE y luego presionar el botn que se encuentra a la derecha denominado ROLE.
10
Figura2
Podemos observar que una vez creado el Rol, pasamos a ver una serie pestaas en donde podemos
definir el men del usuario, las Autorizaciones para las transacciones que posee en el men y la
asignacin a el/los usuarios que harn uso del Rol creado. Veamos paso por paso como se
construye un grupo de actividad.
En la pestaa Descripcin, daremos detalle de que se trata el Role para futuros cambios a los que
pueda ser sometido el Rol. A continuacin, en la figura 3 y 4veremos los dos primeros pasos
descritos anteriormente.
Figura 3
11
Como podemos ver, la descripcin queda a la entrada al Rol, vale decir, que de ahora en mas
cuando queramos modificar el Rol, lo primero que nos aparecer en pantalla es la pantalla de la
figura 3.
Pestaa Men
Haciendo un clic en la pestaa Menu, nos encontraremos con la pantalla de la figura 4, donde
podremos hacer mltiples configuraciones, yendo desde la mas bsica (Manual) hasta copias del
men de otros Roles.
Figura 4
El paso a seguir, es incorporarle transacciones al nuevo Rol, dado que la configuracin actual no
nos es de mucha utilidad.
12
Asignacin de transaccin Modo estndar
Para agregar una transaccin, haremos un clic en el botn ,donde nos aparecer a modo POP-UP la
pantalla de la figura 5.
Figura 5
En los espacios en blanco, definiremos las transacciones que queremos que formen parte del grupo
de actividad, en este caso, solo hemos incorporado la transaccin SM37 como ejemplo practico.
Para que la transaccin sea confirmada en el Rol, debemos hacer un clic en el botn Asignar
Transaccin.
A partir de ese momento, la transaccin empieza a formar parte del Rol lo que no quiere decir que
la misma se encuentre operativa para su uso. Mas adelante configuraremos la puesta en marcha de
las transacciones asignadas.
13
Asignacin de transaccin Desde el men de SAP
Ahora, vamos a incorporar una transaccin desde el men sap. Para ello, debemos hacer clic en el
botn From the SAP menu . Ante este evento, nos aparecer una pantalla a modo POP-UP como
se ve en la figura 6.
Figura 6
En esta pantalla podremos seleccionar las transacciones a partir del men SAP. Las mismas, estn
ordenadas en carpetas y bajo ese mismo esquema es como las importara. Veamos un ejemplo en la
figuras 7 y 8.
14
Figura 7
Como vemos en la figura 7, hemos seleccionado la transaccin SM02 a travs del men estndar de
SAP. Para que la misma comience a formar parte del GA, debemos hacer un clic en el botn
Transfer .Como mencionbamos anteriormente, en la figura 8 veremos la incorporaron de las
transacciones seleccionadas por los dos primeros mtodos.
A continuacin veremos los mtodos restantes.
15
Figura 8
Ahora veamos los tres mtodos restantes que son de gran utilidad a la hora de simplificar trabajo en
el diseo de Roles. Comnmente, estos mtodos no son utilizados ya que los mantenimientos se
realizan en forma manual. Lo ideal seria mantener el esquema propuesto por SAP, ya que de esta
manera, los Roles se convierten en estndar para una empresa.
Asignacin de transaccin Desde un Rol
El siguiente mtodo que vamos a investigar es el de tomar transacciones desde otro Rol que
conozcamos. Como todos sabemos, SAP en la instalacin, deja Roles genricos creados para su
utilizacin. Estos Roles son los que propone para la utilizacin del sistema, dado que los mismos
estn normalizados y las funciones se encuentran correctamente segregadas.
En la figura 9, vamos a trabajar con el men de un GA estndar de SAP. Cuando apreciemos la

pantalla, podremos observar que prcticamente no difiere en relacin al mtodo From the SAP
men.
Para comenzar con este mtodo, debemos hacer un clic en el botn from other role . En ese
instante, nos aparecer una pantalla a modo de POP-UP tal como vemos a continuacin.
16
Figura 9
En esta pantalla, podremos optar por seleccionar entre Single Roles o Composite Roles. En
nuestro caso vamos a continuar tal cual nos aparece la pantalla. En el campo Single Role
debemos colocar el nombre del GA que queremos utilizar como referencia para el men. Si
desconocemos este, debemos hacer un clic en el botn. Como nosotros no tenemos conocimiento
del Rol a utilizar, procederemos a tomar la accin antes descripta. En ese momento, el sistema
arrojara una pantalla como muestra la figura 10.
Figura 10
17
En la figura 10 observamos gran parte de los grupos de actividad creados en el sistema. Ah,
seleccionamos el GA al que deseamos para heredar el men y luego hacemos clic en el botn . En
nuestro caso, hemos seleccionado el Rol. SAP_ACH_ADMIN.
En la figura 11, observamos una pantalla muy similar a la de la figura 6.
Figura 11
Si comparamos con detenimiento las figuras 6 y 11, vemos que la diferencia es perceptible dado
que en la cabecera de una pantalla y otra, lo nico que vara es SAP estndar Menu por
SAP_ACH_ADMIN. El resto, salvando las distancias de las transacciones asignadas, es
prcticamente similar.
18
Una vez seleccionada la transaccin que se adecuaba a nuestro Rol, haremos clic en el botn Add.
Antes de ver como quedo plasmada la transaccin en el Rol, veamos los ltimos dos mtodos que
nos quedan. El mtodo que a continuacin veremos, es el de incorporar un rea del men.
Difcilmente utilicemos esta opcin, aunque es muy til en las reingenieras de seguridad ya que
podremos decir con exactitud los procesos de cada rea siempre que el dueo de los datos este de
acuerdo con el mtodo a emplear.
Para comenzar, debemos pulsar el botn From area menu.
En la figura 12 veremos un pop-up que solicitara algunos datos.
Figura 12
Muy probablemente, las reas de men lo las conozcamos o no estemos familiarizado con lo cual
pulsaremos el botn para que el sistema no de un resumen de todas las reas creadas hasta el
momento.
19
La pantalla arrojada por el sistema es como la que podemos observar en la figura 13.
Figura 13
Seleccionaremos la primera rea de men y veremos la pantalla tal como muestra la figura 14.
20
Figura 14
Esta pantalla, que como vemos es similar a la de la figura 6 y 11, y la operacin en la creacin de
roles es exactamente igual a las dos anteriores. Lo nico que difiere es la asignacin del rea en
cuanto a que no es una transaccin, si no que es un rea de transacciones. Esto es exclusivamente
as cuando seleccionamos toda el rea como lo haremos nosotros.
Asignacin de transaccin Desde un archivo TXT
Por ultimo, resta ver como armar el men de transacciones desde un archivode texto. Cabe destacar,
que esta opcin no tiene una frecuente utilizacin. El caso donde se aplica con frecuencia esta
modalidad, es en la recopilacin de roles tanto en reingenieras como puestas en marcha.
21
La aplicacin que genera la salida del archivo TXT podra ser una macro en Excel, o bien, un
desarrollo propio.
A continuacin, veremos el esqueleto del archivo TXT, con el fin de poder tomarlo como template
para futuras implementaciones. Los ejemplos a mostrar son para la implantacin de transacciones
con y sin carpeta.
Esqueleto de archivo TXT con transaccin en carpeta:
FORMAT 1.2B
NODE 000030000100001FOLDER
TEXT 00003ENAdministration of role
NODE 000060000300003TRANSACTION PFCG
TEXT 00006ENProfile Generator
El archivo esta compuesto en este caso, por cinco (5) lneas. La primera de ellas, cumple la funcin
de cabecera del archivo. Algo que no nos aporta mucho, pero que el sistema interpreta.
La segunda lnea, denominada NODE, cumple la funcin tal como su denominacin lo dice
NODO, pasndole cuatro parmetros. El primero, es el ID por el cual va a tener nombre la
carpeta, el segundo y tercero indica el nodo predecesor, y el cuarto indica que tipo de nodo ser.
Veamos como funciona:
NODE 00003 00001 00001 FOLDER Esta linea marca los cuatro parmetros que comentaba
anteriormente.
El primero de ellos (00003) es el ID con el que llamara a la etiqueta TEXT. Luego, aparecen dos
grupos de parmetros (00001 00001) donde nos muestra la hoja o el nodo padre, en este caso:
FORMAT 1.2B.
El cuarto parmetro denominado FOLDER, nos indica que el nodo ser una carpeta que contendr
una o un grupo de transacciones.
TEXT 00003 EN Administration of role indica que se trata de una etiqueta 00003 es el
ID de la etiqueta, llamada desde el nodo FOLDER, EN indica el idioma con el que
estamos trabajando (podra contener mltiples lneas con el mismo ID pero diferente
identificador de idioma), y Administration of role, indica el nombre de la carpeta.
NODE 00006 00003 00003 TRANSACTION PFCG indica un nuevo nodo que tiene como padre
al 00003. Vale decir, que este nodo estar por debajo del nodo FOLDER con una jerarqua menor.
Pero este nodo es del tipo TRANSACTION, con lo que deberemos indicarle un nuevo parmetro,
que en nuestro caso es PFCG.
22
Si lo pasamos en limpio, tendremos una transaccin (PFCG) dentro de la carpeta
ADMINISTRATION OF ROLE. Lo nico que resta es la etiqueta TEXT para identificar la
transaccin. Se los dejo para que lo hagan ustedes. Procuren no copiarse del ejemplo anterior. En la
figura 15 veremos el proceso de finalizado.
Figura 15
Pestaa de Autorizaciones
En esta pestaa vamos a configurar las autorizaciones que tendr el usuario o el grupo de usuarios
para las transacciones que existen en el men. En primera instancia, observaremos como se
compone la solapa y luego iremos a la configuracin propiamente dicha. En la figura 16 tenemos
una visin de la misma..
23
Figura 16
Como podemos apreciar, esta pantalla nos es mas que informativa. Tenemos datos como:
1. Creador de la autorizacin (No del Rol)
2. Ultimo usuario que ha realizado un cambio
3. Nombre del perfil
4. Status (Generado, Necesita Ajuste, etc.)
5. Botn de modificacin de autorizaciones.
Configuremos las autorizaciones. En las siguientes figuras veremos la configuracin de

autorizaciones, pasando por los niveles organizacionales, estados de los objetos y significado de las
actividades ms relevantes.
NIVELES ORGANIZACIONALES
Los niveles organizacionales componen una parte fundamental del sistema SAP. Los mismos, son
parame trizados post instalacin del sistema acorde a los mdulos solicitados. Estos valores son
permanentes en el sistema, y como decamos anteriormente ,se definen a media de que se
parametriza el modulo, que no quiere decir que en el futuro no puedas ser agregados, modificados o
borrados.
El sistema viene con niveles organizacionales por defecto, que si bien nunca son utilizados, para
este curso nos servirn de ejemplo. En la siguiente pantalla ,veremos que los niveles
24
organizacionales aun no fueron configurados. En este tipo de situaciones, el sistema arroja la
siguiente pantalla como ilustra la figura 17.
Figura 17
El MATCH CODE, si lo pulsamos, no traer todos los datos relacionados con el campo a
completar. En este caso, el campo a desplegar es el de COMPANY CODE, tal como ilustra la figura
18.
25
Figura 18
En esta pantalla, seleccionaremos aquellas compaas o sociedades que debemos asignar al Rol.
En la figura 19, observaremos los distintos estados de los objetos de autorizacin. Esta
nomenclatura es fundamental tenerla presente a la hora de trabajar con Roles dado que el status nos
indica a primera vista, que datos nos estn faltando.
Figura 19
Si observamos con detenimiento, el semforo general se encuentra en ROJO,

y los que estn en el rbol poseen dos estados, ROJO y AMARILLO. Vemos de qu se tratan estos
estados.
Semforo Rojo Significa que estn faltando valores ORGANIZACIONALES (Figura

17).
Semforo Amarillo Significa que estn faltando valores NO ORGANIZACIONALES, tales

como por ejemplo: ACTIVIDAD.
26
El Semforo en Verde Significa que los valores para el objeto estn completos.
Ahora pasemos a ver los objetos desplegados. En ellos encontraremos una serie de valores a cargar
segn las tares que se hayan definido para el grupo de actividad (GA). En la figura 20, veremos lo
explicado en detalle.
Figura 20
Observemos que los desplegados son los que estn en AMARILLO y uno VERDE. Cada uno de
estos objetos esta faltante de datos, pero es como SAP presenta de forma Standard. Si nos remitimos
a la figura 19 podremos ver lo antedicho.
Cuando se realiza la modificacin de un objeto, el mismo cambiara este status, ya que se estara
violando el Standard SAP. El nuevo status del objeto y grupo de objetos para a ser MAINTAINED.
Veamos la figura 21.
Figura 21
Si observan con detenimiento, el primer grupo de objetos figura en MAINTAINED dado que en el
interior del mismo, se ha modificado un objeto. En la figura 22 vemos este grupo de objetos
desplegado.
27
Figura 22
En algunos casos, los objetos de autorizacin que figuran en nuestro Rol, no son suficientes para
que la transaccin ejecutada cumpla con el espectro funcional que se desea. En estos casos, se
debern incorporar de forma manual, aquellos objetos solicitados por el sistema, tanto por un
reporte con la transaccin SU53 o en su defecto, a travs de un trace con la transaccin (ST01).
Cuando insertamos un nuevo objeto manualmente, el mismo presenta el status MANUALLY. Esto
quiere decir que debido a un incidente o por anlisis surgi que el objeto debera estar en el Rol que
estamos modificando.
En la figura 23 veremos como se ve el grupo de objetos al que le hemos agregado un objeto.
Figura 23
En la figura 24 veremos el grupo de objeto FI desplegado para ver que objeto fue incorporado al
Rol.
28
Figura 24
Como vemos, el objeto agregado manualmente figura como tal, pero el grupo de objetos figura
igual. Esto es muy interesante ya que a primera vista podremos observar si alguien hizo
modificaciones manuales. Este status no es ms que una insercin de un objeto y el mismo, no
ocasiona ningn problema. Lo nico que debemos tener en cuenta, es que el objeto a insertar, no
genere conflictos funcionales o por contraposicin de funciones.
Una vez cargado todos los datos de autorizacin, los semforos se posicionaran en color verde. Esto
conlleva a generar la autorizacin y a posteriori, asignarlo al usuario correspondiente. En la figura
25 vemos el grupo de objetos cargados.
Figura 25
Con esta explicacin grafica se entender mas fcilmente el funcionamiento y los pasos a seguir
para asegurar que el proyecto cumpla con su objetivo.
Dentro del proyecto asignado a mi persona se derivaron muchas dudas ya que como lo repito no hay
muchas fuentes confiables para basarse en una tcnica apropiada en la construccin de Roles para
cada uno de los mdulos adquiridos para el Grupo Financiero.Para realizar la creacin de Roles y
Perfiles de cada uno de los mdulos se conto con el apoyo del lder funcional certificado por SAP y
el dueo del proceso que apoyara con la informacin de cada rea involucrada en el proyecto.
29
PLAN DE TRABAJO
El plan de trabajo adoptado por el Grupo Financiero Interacciones fue denominado Big Bang
Es decir, el arranque se realizar en todas las reas involucradas dentro del Alcance de este
proyecto para que den inicio a sus operaciones en productivo al mismo tiempo y posteriormente se
considere un periodo de soporte y estabilizacin.
Considerando los tiempos y necesidades planteadas por el Cliente, se ha realizado un esfuerzo para
acotar el Alcance y la estrategia de implementacin del Proyecto. La duracin de cada fase del
Proyecto se prev y estima de la siguiente manera:
Figura 26
Fase 1. Preparacin de Proyecto

Comprende el diseo y realizacin de la sesin de arranque del Proyecto (kick-off) con
todo el equipo de Implantacin. Para este punto ya se debe tener definido el organigrama final
del equipo de trabajo, la misin, objetivos, roles y responsabilidades de cada miembro, as
como un alcance de Proyecto detallado y el plan de trabajo detallando las actividades por
cada fase del Proyecto.
Esta definicin es responsabilidad compartida tanto del gerente de Proyecto de SAP como del
gerente que el Cliente designe para este proyecto.
Fase 2. Planos del Negocio
Cubre el entendimiento detallado de los requerimientos del Proyecto para determinar juntos
los procesos de negocios necesarios para cumplir con los requerimientos de informacin,
identificndose en esta etapa la funcionalidad que ser incluida en la construccin. Esto se
lograr mediante la documentacin de los requerimientos, usando cuestionarios y revisando
los procesos de negocios con el personal de SAP. La documentacin obtenida aqu es llamada
planos del negocio, la cual incluye organigramas, diagramas de procesos y respuestas a
cuestionarios resueltos con usuarios; dicha documentacin deber aprobarse como punto de
partida para la siguiente fase.
30
En esta fase es necesario contar con la participacin de usuarios del Cliente que conozcan a
profundidad los procesos a ser analizados. Es responsabilidad del equipo de proyecto SAP y
del Cliente guiar las sesiones de planos de negocio y, al final de la fase, contar con un
documento validado y firmado por las personas que participaron en las reuniones de trabajo.
Fase 3. Realizacin
Durante esta fase, el equipo de Proyecto, con la informacin colectada en la fase anterior,
construir la configuracin del sistema, que represente los procesos de negocios incluidos en
el alcance, interfaces, conversin de datos, etc., as como definir los criterios de aceptacin de
la funcionalidad configurada por los usuarios. En la siguiente etapa se validar la
funcionalidad de este prototipo con los usuarios finales.
En esta fase se contar con el modelo del estado futuro de las operaciones, mediante sesiones
de validacin con el equipo de proyecto, usuarios clave y el personal de SAP, quienes
llegarn a consensos acerca del criterio de aceptacin de cada proceso configurado.
Durante estas sesiones de trabajo el equipo de proyecto por parte del Cliente estar trabajando
estrechamente con los especialistas de SAP para definir los escenarios de negocios que
debern ser cubiertos por la funcionalidad estndar o bien por desarrollos complementarios y
la configuracin se har de manera conjunta. Otro propsito: terminar las pruebas con los
usuarios clave, as como pruebas unitarias y pruebas integrales.
Es responsabilidad del equipo de consultores integrado por SAP documentar la configuracin
llevada a cabo durante esta fase.
Tambin es parte medular de esta fase, la sesin extensiva de pruebas a las que denominamos
pruebas integrales, es decir son escenarios de negocio reales que son simulados en el sistema
y con los cuales estaremos garantizando el funcionamiento ptimo del sistema con la
configuracin final para el Cliente.
Fase 4. Preparacin final y puesta en marcha
En esta fase se hace la capacitacin a usuarios finales con material preparado en la fase
anterior por el equipo especialista del Cliente, se prueban los datos finales, procedimientos y
programas desarrollados en la fase anterior y pruebas de aceptacin final. Se crear una
estrategia de puesta en marcha, se probar el sistema y se asegurar que est listo para puesta
en marcha en la fecha planeada.
Es responsabilidad del equipo de usuarios clave del Cliente preparar el material de
capacitacin a usuario final e impartir dichas capacitaciones, para esto se contar con el
apoyo y asesora del equipo de consultores integrado por SAP.
31
Fase 5. Puesta en marcha y soporte post - arranque
Inmediatamente que el sistema se ponga en marcha, deber ser revisado y afinado para
asegurar que el entorno del negocio est completamente soportado, incluyendo, la precisin
de los datos cargados, convertidos, reportes, seguridad de acceso, medir constantemente los
beneficios obtenidos del uso del sistema por parte del negocio, etc.
Metodologa de manejo del proyecto
De la misma manera se utilizar la metodologa PM (Project Management) para el manejo del

Proyecto. La metodologa de Project Management de SAP est basada en estndares
internacionales certificados por el Project Management Institute en su PMBOK Guide,
combinando procesos que han mostrado ser exitosos en las etapas de inicio, planeacin,
ejecucin, monitoreo, control y cierre en proyectos alrededor del mundo.
El alcance general de la metodologa PM puede ser visualizado como cuatro fases separadas,
pero estrechamente relacionadas:
Evaluacin
En la fase de evaluacin se inicia la recoleccin de documentacin pertinente al Proyecto.
PARTICIPACION
La fase en las cuales se aportaron los conocimientos de Seguridad y Control fueron las Fase 4 y 5
respectivamente.
El proyecto desde su inicio fue muy ambicioso ya que con la carga de operacin diaria y la falta de
personal se lograron casos de xito en corto tiempo.
Gracias a la participacin conjunta del responsable del rea y el lder certificado por SAP se logro
identificar acertadamente las transacciones principales de cada uno de los procesos operativos
dentro del Grupo Financiero.
Con ayuda del formato Pruebas integrales se tuvo un avance gratificante ya que en ese formato
se engloban los flujos o procedimientos descritas por cada rea y el funcional Certificado lo
traduca en transacciones estndar de SAP.
32
Ejemplo del formato de Pruebas Integrales.
Figura 27
IMPLEMENTACION Y CREACION DE ROLES
Para la creacin de roles y perfiles se crearon usuarios de prueba en el ambiente de QA (Pruebas)

este ambiente es controlado ya que no existen datos reales de la empresa para la seguridad del
grupo se dieron datos ficticios para poder realizar las pruebas de cada modulo.
Con la informacin obtenida por cada uno de los funcionales certificados por SAP y el responsable
de cada rea se logro implementar le siguiente matriz de actividades dividindola en dos partes la
primera en Levantamiento de informacin de cada Area y la segunda parte en pruebas preliminares
estas actividades empezaron el julio y terminaron en Octubre del 2011.
Fase 1
Tabla 1
33
Fase 2
Tabla 2
MATRIZ DE PRUEBAS
En esta matriz se ejemplifica las pruebas realizadas antes de liberarlas en productivo en esta
imagen se encuentra las funciones principales de cada rol para cada una de las personas
involucrada en el proyecto de implementacin vase tabla 3.
Tabla 3
Los roles se nombraron como lo recomienda SAP en este caso de opto por la letra Z a si mismo se
dividieron en tres sub roles los cuales son los siguientes
ZS: Rol (padre) En esta nomenclatura se encuentran alojadas exclusivamente transacciones de cada
proceso verificado por cada funcional de modulo certificado la ventaja en esta nomenclatura es que
se podr realizar copias si es que el rea lo requiere.
ZDX: Rol derivado de ZS en esta nomenclatura se encuentran las autorizaciones exclusivas de cada
proceso por lo que de un control mas acertado en las actividades especificas de cada rol.
34
ZDV_ Esta nomenclatura nos indica que es un rol derivado de ZS pero con la actividad de solo
lectura este rol es importante ya que por requerimientos de direccin se creo ya que existen reas
que solo requieren visualizar la informacin contenida en SAP.
Como se ejemplifica en la siguiente tabla 4
ERRORES
En cada implementacin de cualquier sistema existe la posibilidad de encontrarse con errores que a
veces los mismos proveedores desconoce por lo que se les dar una breve explicacin tcnica para
la solucin de errores en transacciones en SAP.
Todas las transacciones de SAP para cualquier modulo estn relacionadas entre si directamente o
indirectamente.
Para esto se utilizara la transaccin su53
La transaccin SU53, es de suma utilidad a la hora de investigar los problemas de seguridad de los
usuarios. El mismo, genera un reporte con el ltimo evento generado por el usuario, vale decir, que
si un usuario ejecuta una transaccin que no tiene asignada, el sistema arrojara un mensaje de error
informando que no posee autorizacin para ejecutar dicha transaccin.
Esta transaccin es de suma importancia para el responsable de la seguridad de SAP ya que sin esta
transaccin seria imposible detectar el problema de autorizaciones, por lo que es recomendable que
se genere un rol con esta transaccin exclusivamente y sea asignada a todos los usuarios de SAP
En la siguiente figura se muestra en forma grafica la transaccin SU53
35
Figura 28
En la primer seccin del reporte, nos indica que autorizacin esta haciendo falta. En este caso,
solicita para la clase de objeto AAAB, el objeto S_TCODE, el valorMK01.
En este caso, el valor MK01, no debe ser cargado a mano en el objeto ya que en los mismos se
contemplan variables. Si llegramos a modificar manualmente este campo, cada vez que
agreguemos una transaccin por men, la misma, no ser cargada en el campo del objeto
S_TCODE. Lo mismo sucede, si lo que estamos modificando manualmente es un Nivel
Organizacional. Mas adelante veremos este caso.
Para nuestro caso con la ayuda de este reporte de la transaccin SU53 los problemas de
autorizaciones se realizaran en los Roles denominados ZDX exclusivamente.
36
PLANEANDO LA INSTALACIN
Se recomienda tener a mano el Manual de Instalacin de SAP R/3 4.6C bajo Windows 2000 y
Oracle para ir siguiendo los pasos de la instalacin.
Chequeando necesidades de Software y Hardware
El servidor de la implementacin cumple con los requisitos mnimos de ms de 20 Gb de espacio en

al menos tres discos separados (en nuestro caso particiones). No cumple con los 512 Mb de
memoria RAM, pero para un entorno no productivo como el de desarrollo servir.
Nota: El espacio requerido para la copia de los mandantes sobrepasa al espacio en disco del
servidor.
En nuestro caso, vamos a instalar sobre Windows 2000 Advanced Sever, y es recomendable que
tenga instalado hasta el Service Pack 3. Sobre todo, es necesario que est sobre NTFN o no podr
ser instalado.
Puesto que queremos instalar localmente, si la mquina pertenece a un dominio lo ms sencillo sera
sacarla de l y si el servidor en el que se va a instalar est configurado como Controlador de
Dominio de Windows2000 ser necesario que deje esa funcionalidad.
Comprobando la red
Se comprueba el correcto funcionamiento de la red en el equipo as como que responde a su nombre

de mquina con el comando ping.
Ejecucin:
- Abrimos una ventana de lnea de comandos, y escribimos ipconfig para conocer la ip del servidor.
- Seguido, escribimos el comando ping sobre esa direccin.
- Pulsamos Windows + Pausa, y nos aparecer la ventana de Propiedades del Sistema. En la pestaa
Identificacin de Red, miraremos el nombre del servidor.
- Ahora, hacemos ping sobre el nombre del servidor, es importante que la red est perfectamente
configurado, puesto que las conexiones SAP se realizan a travs de TCP-IP.
Distribucin de los componentes en los discos
Para la instalacin de R/3 se dispone de la siguiente distribucin de espacio en disco:
C:\ Particin del Sistema Operativo
37
E:\ Particin donde ir la Base de Datos
D:\ Particin donde irn los binarios
En C:\ no vamos a instalar nada, aunque se crearn carpetas para usuarios y se modificarn dlls, se
aadirn claves al registro, etc.
En E:\, por ser la unidad ms grande, va a albergar la base de datos de SAP que viene a ocupar
cerca de 10 Gb en la instalacin y que aumentar su tamao al importar los lenguajes y copiar los
mandantes. La base de datos cuenta con los siguientes componentes: SPACHEK, SAPBACKUP,
SAPTRACE, SAPREORG, SAPARCH, SAPDATA1, SAPDATA2, SAPDATA3, SAPDATA4,
SAPDATA5, SAPDATA6, MIRROLOG B, ORILOG A. En D:\ vamos a instalar los binarios de
Oracle y los de SAP, as como el SAPGUI y el R3SETUP. Adems, contendr las carpetas
MIRROLOG A y ORILOG B. En el caso de los MIRROLOG y ORILOG, las parejas tienen que
estar en unidades distintas
Directorios creados durante la instalacin
Se crearn los siguientes directorios durante la instalacin:
- D:\usr\sap, que contiene el software principal de SAP
- E:\oracle\BPM, que contiene la base de datos SAP
- E:\transportes\implementacin, que contendr el sistema de transportes de SAP
- C:\Documents and Settings\bpmadm, que es el perfil del administrador SAP
- D:\SAPpc , aqu ir la instalacin del SAPGUI
- D:\oracle\bpm\817, contendr los binarios de Oracle
- D:Users\bpmadm\Install , contendr la herramienta R3SETUP
PREPARANDO LA INSTALACIN
CDs de Export
Copiamos en E:\, los CDs necesarios para la instalacin (Los cuatro cds de Export) debido a que la
instalacin va a necesitar que le facilitemos su ruta.
_ E:\Export1 .... Export4 Tenindolos copiados en local nos aseguramos de poder dejar la
instalacin desatendida durante varias horas.
Nota: Los cds de Export contienen la base de datos de SAP.
38
Instalando DLLs Actualizadas para el Sistema
Hay que realizar una actualizacin previa de algunas DLLs del sistema, para lo que se ejecuta el
programa r3dllins desde el CD del kernel del R/3. En caso de necesitarlo, se reiniciar el sistema.
Memoria Virtual
Se precisan al menos 4 veces la memoria RAM, aunque ms de 10 GB no son necesarios. Para

cambiar la memoria virtual:
- Pulsamos Windows + Pausa, y nos aparecer la ventana de Propiedades del Sistema.
- En la pestaa Avanzado, pulsamos en Opciones de Rendimiento y, donde dice Memoria Virtual

damos a cambiar.
- Multiplicamos 128 x 4 : 512 Mb necesitamos de RAM como mnimo, y como mximo le

pondremos 720 Mb para no quedarnos sin espacio en el disco duro. Si fuera muy muy mal el
servidor, siempre podemos ampliarlo a 848.
Usuario y Permisos para la Instalacin
Como es una implementacin, podemos hacer la instalacin con el usuario Administrator,
que es el administrador del servidor, pero en caso de querer podramos crear un nuevo
usuario, por ejemplo, Instalador, y darle los mismos permisos que a Administrator
Nombre del SAP System y del Servidor
La instancia de SAP que se va a instalar, segn los requerimientos del implementacin se
llama BPM, y el servidor de la instalacin ser SERVIDOR
Nota:
Es el nombre que tena por defecto y como cumple la norma de que los
nombres de servidor que albergan las instancias no pueden tener ms de nueve
letras lo dejamos as
2.6 Preparando el directorio de Transportes
Creamos el directorio de Transportes tal y como se requiere en la implementacin:
E:\Transportes\implementacin
Y compartimos la carpeta Transportes, dndole el nombre de recurso compartido
39
Sapmnt2
Ejecucin:
- Desde el explorador de Windows, vamos a E: y creamos la nueva
carpeta.
- Pinchamos con el botn derecho sobre ella, y elegimos Compartir
- En la nueva ventana, elegimos Compartir esta carpeta, y le ponemos
de nombre Sapmnt2
- En la pestaa Seguridad, agregamos el grupo Todos
INSTALACIN DEL SISTEMA SAP
Una instalacin SAP se compone de
- Instancia Central de SAP
- La Base de Datos
- Los frontends de SAP
- Si hacen falta, instancias de Dilogo, de Batch, de Spool.....
Nota:
Una instancia es una instalacin completa de R/3 + base de datos, y puede
haber una instancia por cada tipo de proceso excepto el de enqueue y el
mensajero, que estn siempre en la instancia central
Un mismo servidor puede albergar tantas instancias como sea capaz de
hacer funcionar, de modo que podramos tener en un mismo host la instancia
central con su base de datos central y adems dos instancias de dilogo, por
ejemplo.
En la implementacin vamos a ver la instalacin del Sistema SAP en una sola
instancia, es decir, vamos a tener una Instancia Central con su Base de datos y
su frontend, pero no tendremos instancias especializadas
40
Instalacin del software de Oracle
El Oracle que funciona con SAP es algo diferente del Oracle normal, y es por eso
que se distribuye con las instalaciones y tambin por lo que han creado unos
instaladores especficos
La instalacin de Servidor es la nuestra porque en nuestra mquina vamos a tener
una instalacin de Instancia Central ms Instancia de Base de Datos.
La instalacin de Cliente se hara en caso de tener una mquina dedicada
exclusivamente a la Base de Datos, en cuyo caso tendramos que instalar en dicha
mquina el servidor de Oracle y en la mquina de la Instancia Central, el cliente de
Oracle.
Cualquier instancia que no est en la misma mquina que la de Base de Datos,
tiene que tener instalado el Cliente Oracle y no el Servidor.
_ Escogemos el cd de software Oracle para Windows y lo exploramos para llegar
a la ruta
<Unidad>:\NT\I386
Veremos que hay tres ejecutables, sapserver.cmd, sapclient.cmd y el Universal
Installer normal. Haremos doble clic sobre sapserver.cmd
El nombre de la instancia a crear es: BPM, y la ruta de instalacin es
D:\Oracle\BPM\817
Nota:
Es importante que el SID de la base de datos sea de tres letras, por que
el SAP no nos lo admitir si no es as
Una vez haya terminado de instalar Oracle (la barra de estado siempre va a estar
al 100%), paramos los servicios que ha creado
Ejecucin:
- Inicio / Programas / Herramientas Administrativas _ Servicios
41
- Buscamos los servicios de Oracle y paramos aquellos que estn en
automtico dando al botn parar
A continuacin instalamos el parche de Oracle 8.1.7.0.1 para Servidor, que se
llama sap81701svr.exe y est en el mismo cd de la instalacin en
<Unidad>:\NT\I386\Patches\8.1.7.0.1
Como se puede observar, es un auto descompresor, y hay que darle la ruta donde
hemos instalado los binarios de Oracle, es decir, en D:\oracle\BPM\817 porque tiene
que sobrescribir los archivos
Por ltimo deberemos volver a levantar los servicios de Oracle que paramos
anteriormente
Instalando R3SETUP
El R3SETUP es la herramienta que va a instalar SAP en el equipo, de modo que
tenemos que instalarlo primero desde el cdrom del Kernel de SAP
Ejecucin:
- Iniciamos el programa R3SETUP.BAT que est en el directorio
<Unidad>:\NT\common. Aparecer una ventana
- Le damos el nombre del SAPSID: BPM
- Le damos el directorio donde queremos que nos copie el instalador,
que es en D:\users\bpmadm\install
Una vez hayamos de terminado de rellenar todas las entradas que nos pide, se
instalar automticamente y nos pedir autorizacin para hacer logoff. Le diremos que
s y volveremos a entrar y de ese modo nos habr creado en Inicio/Programas un grupo
llamado Sap System Setup for BPM, desde el que podemos comprobar que se pueden
lanzar todo tipo de instalaciones de SAP R/3.
Instalando SAP y cargando la Base de Datos
Desde el grupo de Programas Sap System Setup for BPM, ejecutamos la
42
opcin de Instancia Central y Base de Datos, y se nos abrir una ventana del R3SETUP
que, cuando haya completado su 100% habr creado la Instancia Central, la Instancia de
Base de datos y la habr rellenado con datos
La herramienta R3SETUP nos va a pedir una serie de parmetros detallados a
continuacin:
Nota:
El ltimo parmetro lo pedir horas despus de haber pedido el resto
PARMETRO VALOR
SAP System Name BPM
Instance Number 00
Domain selection \\servidor
Name of the Central Transpor Host servidor
Database System Name BPM
Character set selection WE8DEC
Default drive for Oracle directories D
Location of SAP database-specific files D
Location of Oracle data files D
Location of log files E, D
Location of mirrored database log files D,E
RAM for the SAP System 128
Location of CDs(during the installation) E:\Export1....E:\Export4
Enter the password for the SAP System administrator Sapcyii
Enter the password for the SAP System service user Sapcyii
Port number 3600
LDAP support No LDAP
Number of processes 4
43
Enter the password for the SAP database user sapr3 Sapcyii
Llegar un momento en la instalacin, despus de haber creado la base de datos
completa (suceso que tarda muchas horas en completarse), en que el instalador nos dir
si queremos instalar otro idioma que no es Ingls o Alemn y nos referir a unas notas
SAP.
En el implementacin tenemos que instalar el idioma ruso, y es por eso que este momento
de la instalacin es muy importante porque, tal y como dice el instalador, tenemos que
introducir unos parmetros en la base de datos.
Nota:
Para conectarnos a la base de datos, desde lnea de comandos
escribimos svrmgrl y nos logamos como sapr3/Sapcyii , pues si no no podremos
ver ni modificar las tablas
As, tenemos que insertar en la tabla TCPDB una lnea que contenga 1500, 1500
para indicarle as que instale el code page del Ruso y una que contenga 1100, 1100 para
el codepage de Ingls. En lneas generales tenemos que seguir los pasos de
modificacin y comprobacin de tablas que indica la nota SAP 10935
Ejecucin:
- Desde lnea de comandos escribimos svrmgrl y damos enter
- Escribimos connect sapr3/Sapcyii
- Ahora hacemos select * from TCPDB; para ver que no hay ningn
registro en la tabla
- Insertamos el 1500 y el 1100 as: insert into table TCPDB values
(1500, 1500); insert into table TCPDB values (1100, 1100);
Una vez hecho esto la instalacin puede continuar.
Nota:
Si tras el punto del lenguaje, la instalacin diera un error de RFC, la
44
detenemos, paramos la instancia, la levantamos de nuevo y volvemos a lanzar la
instalacin (ver punto siguiente para explicacin detallada)
TRAS LA INSTALACIN
Arranque y Parada del Sistema SAP
La parada y el arranque de una instancia de R/3 se realiza con la herramienta
SAP Management Console.
Esta consola es muy til porque nos va a decir todos los fallos que pueda tener el
sistema, desde errores de ABAP hasta que se nos estn quedando sin espacio los
tablespaces as como el grado de rendimiento que tiene la base de datos, los warnings de
optimizacin del sistema, errores en tablas, informacin sobre procesos, las colas de
trabajo de los diferentes procesos del sistema....
La herramienta va a guardar todos los ABAP bumps y terminaciones incorrectas
sufridas por el sistema. As pues, va a registrar:
- Las cadas de los procesos al bajar la instancia (todos como warnings ms un
error de conexin del Dispatcher)
- Si la tabla TCPDB no tiene entradas (si dice esto es porque no hemos realizado
el paso de la instalacin de modificar la tabla)
- Informacin sobre cosas variadas
Adems, en Open Alerts va a registrar todas las alertas y warnings del sistema con
respecto a :
- Bajos niveles de respuesta del Frontend
- Low performance de paginacin, buffers, etc (estos errores no significan que la
instancia no funcione, pero en un sistema real con mquinas potentes no
deberan darse)
En Oracle, habr alertas de performance, as como un error que dir Wrong
Subtipe, y muchas veces veremos que los Tablespaces estn de color amarillo
45
(esto conviene chequearlo, pues nos va a indicar si tenemos o no que aumentarles
el tamao a los tablespaces)
Colores :
- Verde: Arrancado y funcionando perfectamente
- Amarillo: Arrancado, funcionando y con algn warning
- Rojo: Arrancado, funcionando y con errores
- Gris: Parado
Si queremos saber ms sobre cada uno de los iconos, los desplegamos (con lo cual
saldrn a la derecha) y pinchamos con el botn derecho encima, indicndole Show All
Alerts.
El Syslog es una herramienta muy til para saber lo que pasa en el sistema, y
funciona de la misma manera que el syslog de Windows. Es recomendable mirarla de
vez en cuando
Los iconos grises y los de
Informacin nos indican
eventos que han sucedido
que no son problemas.
Los iconos amarillos son
problemas sucedidos que no
no implican mal
funcionamiento
Los iconos rojos son errores
del sistema, y tenemos que
tenerlos muy en cuenta. Sin
embargo, no debemos preocuparnos por todos. Por ejemplo, la mayora de los de
la imagen son errores de comunicacin de haberse cado la red o haber bajado la
46
instancia con frontends abiertos
_ Siempre y cuando BMP y Servidor estn verdes se podr entrar al sistema sin
problemas, estn como estn los otros, ya que el cambio de color de estos dos slo
puede deberse al correcto o incorrecto funcionamiento del Process List.
Para poder arrancar y parar la instancia es necesario estar conectado en el sistema
operativo con el usuario que hemos utilizado para instalar (Administrator) o con el
usuario administrador que se crea durante la instalacin, en nuestro caso, bpmadm.
Nota:
Para poder parar o arrancar la base de datos es imperativo ser bpmadm
Para arrancar una instancia de R/3 comprobamos que los servicios de SAP y
Oracle del sistema estn funcionando. Tras esto, arrancamos la base de datos (con
privilegios de internal) y despus la instancia de SAP
Ejecucin de arrancar la base de datos:
- Desde lnea de comandos invocamos svrmgrl
- Escribimos connect internal
- Escribimos startup open
Para parar la instancia primero pararemos la instancia SAP y despus
desmontaremos la base de datos.
Ejecucin de parar la base de datos:
- Desde lnea de comandos invocamos svrmgrl
- Escribimos connect internal
- Escribimos shutdown immediate
Nota:
Hacerlo al revs podra causar inconsistencias en la base de datos, y lo
mismo suceder si reiniciamos la mquina sin haber detenido antes las instancias
47
Entrando en el Sistema SAP
Para logar al sistema SAP es necesario tener instalado el SAPGUI y haber
arrancado tanto la base de datos como la instancia.
El SAPGUI es la aplicacin, el frontend que nos va a permitir comunicarnos con
la aplicacin. Es un entorno grfico de ventanas.
Para instalarlo buscaremos en el paquete de software de SAP el cd de SAPGUI de
Windows y lo instalaremos como cualquier aplicacin de Windows.
Cuando nos pida qu es lo que queremos instalar, le diremos el SAPGUI.
Al terminar veremos que tenemos un nuevo icono
en el escritorio llamado Sap Logon. Hacemos doble clic
en l y nos aparecer una ventana como la de la imagen.
Pinchamos en Nuevo y nos aparecer la siguiente
ventana
En Descripcin escribimos SAP R/3, en Application Server escribimos Servidor
o ponemos la IP. SAP System es R/3 y System Number es el 00.
Aparecer ahora una entrada en la primera pantalla, la pulsamos dos veces y
vemos que comienza a cargar. Apareceremos en la pantalla de Logon
- Client: Mandante, dejamos el 000
- User: Usuario, entramos como SAP* o
DDIC
- Password: la de SAP* es 06071992 y
la de DDIC es 19920706
Nota:
Las passwords son el da en que
empez a funcionar SAP R/3, 6-7-1992
Nos pedir que cambiemos el password, y as lo haremos, ponindoles a los dos.
48
ANEXO I : Bsico
Una transaccin es un conjunto de pantallas ms las rdenes que damos ms los
programas que se utilizan en ellas. Para entrar en cualquier transaccin podemos hacerlo
navegando por el Men SAP (que aparece tras logarnos y al que podemos volver
pulsando varias veces sobre el botn Principio Transaccin) o podemos hacerlo
escribiendo el nombre en el Cuadro de Transacciones y pulsando enter.
Si queremos saber el nombre de alguna
transaccin para no tener que volver a recorrer
todo el rbol del men pinchamos donde indica la
figura y nos aparecer un cuadro desplegable que
nos muestra el nombre de la instancia y el
nmero, el mandante al que nos hemos conectado,
con qu usuario, qu programa de ABAP est
corriendo, el nombre de la transaccin con que hemos llamado a ese programa y el
tiempo de respuesta
Si estamos dentro de una transaccin y queremos pasar a otra directamente,
tendremos que poner /n<nombretransaccin>
Ejemplo: /nstms /nrz10
Si estamos en una transaccin y queremos que nos abra otra transaccin en una
sesin distinta, tendremos que poner /o<nombretransaccin>
Ejemplo: /ostms /orz10
Las transacciones son bastante complejas internamente en cuanto a navegacin se
refiere, pero tienen forma arborescente. Por ejemplo, la stms
Si desde queremos ir a STMS, daremos al
botn
Si en cambio, queremos ir hasta cualquiera de
49
las otras, daremos al botn
Si queremos cancelar lo que estbamos
haciendo en cualquier transaccin, daremos al
botn
Y si la transaccin lo requiere y lo permite,
grabaremos los datos dando al botn
Una sesin es una ventana completa del SAPGUI donde nos hemos logado y donde
podemos trabajar, y podemos tener ms de una a la vez.
Para abrir una sesin, desde cualquier transaccin vamos al men System/ Create
session. Para cerrarla, haremos como en cualquier ventana de Windows
Por norma, lo que vayamos a usar dentro de la implementacin estar en el rbol del SAP East
Access en Tools _ Administration
ANEXO: CONFIGURACIN SEGN EL IMPLEMENTACIN
Address Manteinance
Logados en el sistema como SAP* y en el mandante 000, si intentamos hacer
cualquier transaccin importante (como la stms) nos va a pedir que realicemos Adress
Manteinance. Lo que nos est pidiendo el sistema es que introduzcamos una serie de
parmetros
En la transaccin
sucomp escribimos un
nombre y pinchamos en
crear. Le vamos a dar un
nombre a quien pertenece,
pas y zona horaria y
guardamos.
50
Perfiles de instancia y Modos de Operacin
Una vez que ya tenemos configurado el sistema principal vamos a modificar el
perfil de la instancia yendo a la transaccin rz10
Un perfil de la instancia es un fichero que incluye cierta informacin sobre la
misma, como puede ser el idioma y mandante que aparecen por defecto al logar, el
directorio por defecto de los transportes...
Una instancia puede tener varios perfiles segn la necesidad del momento. Por
defecto tiene dos, el perfil principal y el perfil de arranque.
Primero importaremos los perfiles que estn en local- yndonos a
_ Utilities / Import profiles / Of active servers
Una vez importados en el sistema, seleccionaremos el perfil de la instancia, que se
llama BPM_DVEBMGS00_SERVIDOR, y elegiremos Extended Manteinance y
pincharemos en Change
Nos aparecern entonces los parmetros que contiene la instancia, como por
ejemplo SAPSYSTEMNAME=BPM, SAPSYSTEM=00.....
El parmetro DIR_TRANS deber tener la ruta \\servidor\saploc2\implementacin
asignada, y ser la ruta que tomarn todos los sistemas de transporte que creemos a
partir de ahora
Nota:
Tras darle el nombre al nuevo parmetro y su valor, damos al botn Copy
dos veces y vamos a la pantalla anterior, la que aparece en la figura de arriba. All
tambin daremos a Copy y marcharemos a la pantalla anterior, donde ya le
daremos al botn de guardar. El sistema nos dir entonces que ha guardado el
perfil y que lo ha activado, y que es necesario reiniciar la instancia para que surta
efecto, cosa que haremos.
Nos pide el implementacin adems que la password de usuario sea como mnimo de 7 letras
51
y que cada 10 das debe ser cambiada. Para ello, introduciremos tambin los siguientes
parmetros
_ login/min_password_lng con valor 7 _ login/password_expiration_time con valor 10
Ahora que ya tenemos el perfil de la instancia cargado y con el sistema de
transportes en su sitio, vamos a crear un nuevo modo de operacin en la transaccin
rz04.
Un modo de operacin es decirle a SAP para cada perfil de instancia que tengamos
creado, qu cantidad de procesos batch, de dilogo, etc, va a tener.
Pinchamos en Instances/Profiles y vemos que est vaco. Eso es porque no le
hemos dicho an ningn modo de operacin
Vamos al men Profile/ Create new instance
Nos va a pedir una serie de parmetros, que son
Host name: Servidor
Sap System Number: 00
Start profile name: START_DVEBMGS00_SERVIDOR
Profile name: BPM_DVEBMGS00_SERVIDOR
Y le damos a guardar. Nos pedir que modifiquemos el nmero de procesos que
tenemos. En total no puede haber ms de ocho.
Segn le en una nota, para hacer los imports de los lenguajes era aconsejable tener
ms de un proceso en background, de modo que le quitamos un proceso de dilogo y le
aadimos uno a batch
Volvemos a guardar y continuamos con la parametrizacin
Nota:
Si tenemos que cambiar un perfil de instancia que est configurado como modo de
operacin, cuando queramos aplicar los cambios el sistema nos dar un warning sobre
que los modos de operacin pueden quedar inconsistentes si aplica los cambios que le
52
hemos solicitado.
En el implementacin, puesto que los cambios que vamos a realizar a partir de ahora no
influyen en los modos de operacin, siempre que aparezca el warning que nos
preguntar si queremos chequear la consistencia le diremos que s y veremos que todo
anda bien
Sistema de Transportes
Despus de haber modificado el perfil de la instancia vamos a la transaccin stms,
que es la del Sistema de Transportes.
El Sistema de Transportes es una herramienta fundamental, puesto que es la que
nos va a permitir importar y exportar objetos en nuestro sistema SAP. En una
instalacin SAP de tres entornos (productivo, test y desarrollo), el Sistema de
Transportes nos permitira llevar de un entorno a otro roles, usuarios, mandantes,
idiomas....
Pero tambin es importante en una instalacin como la del la implementacin, puesto que es
necesario para importar nuevos idiomas, support packages, documentos, roles, usuarios,
etc de fuera hacia nuestro R/3 y tambin entre mandantes
Digamos que, entre otras, su funcin es la forma de tener el sistema actualizado y al
da en todos sus entornos y mandantes
La transaccin stms nos pedir por defecto un nombre para el Sistema de
Transportes, que ser, Entorno Transportes instancia, y su identificador ser BPM.
Pinchamos en el icono de System Overview, y podremos ver los sistemas de
transportes que tenemos creados, en este momento, BPM.
Adems de este, crearemos un sistema de transportes virtual de identificador VIR
desde el men SAP System/Create/Virtual System
Desde el men Extras, pincharemos en Generate RFC destinations (para
asegurarnos de que realmente las conexiones se han realizado, pues cada sistema de
53
transporte tiene que tener la suya) , y despus en Distribute and activate configuration.
Esta accin es muy importante sobre todo cuando tenemos ms de una instancia, ya que
todas conocern as los cambios realizados en un sistema de transportes al que estn
conectadas.
Ahora que tenemos creados los dos sistemas de transportes tenemos que configurar
las rutas. En caso de tener ms servidores o ms instancias, sera imprescindible que nos
hiciramos un pequeo mapa de cmo van a ir entrelazados.
Desde la primera pantalla de la transaccin
stms, pinchamos en transport routes. Una vez
estemos all, pinchamos en el botn Display _
Change (o F5), ponemos cada uno de los sistemas de
transporte en la parte media de la pantalla y
pinchamos en Check. Una vez nos diga que todo
est bien, grabamos.
De momento, la configuracin ser temporal, pues luego tendremos que volver a
modificar el Sistema de Transportes para adecuarlo a las necesidades del implementacin
Instalacin de lenguajes
La implementacin nos pide que instalemos lenguajes. Los lenguajes en la release 4.6C de R/3
se importan de los cds de support packages que vienen incluidos en la caja de SAP y se
van a instalar en el sistema a travs de transportes, y es por eso que hemos configurado
primero el Sistema de Transportes.
(Para esta fase de la post instalacin estamos usando las SAP Notes 42305, 103687,
10935, 73606, 39763, 23955, 309497 y el documento pdf llamado Language Transport
(BC-CTS-LAN) -que podemos encontrar en el cdrom 1 de los paquetes de lenguajes-.
Hay que buscarlos en la SAPnet, imprimirlos y leerlos)
Por defecto, SAP instala tanto el Ingls como el Alemn. Estos lenguajes utilizan
54
un code page especfico que es el ISO8859-1 y son los dos idiomas en que la aplicacin
est completamente traducida, y es por eso por lo que se usan para hacer las
suplementaciones a los otros lenguajes.
Adems, en caso de tener que instalar Support Packages en el entorno SAP
deberamos instalarlos despus de haber importado el idioma, puesto que los Support
Packages slo se van a traducir en los lenguajes que tengamos instalados en el sistema
Un code page es una lista de caracteres letras, nmeros, signos...-, y soportan una
serie de idiomas que comparten esos caracteres. El ISO8859-1 es un Single Code Page,
lo cual significa que slo podremos instalar aquellos idiomas que tengan caracteres
similares al Ingls o Alemn.
A travs de este code page vamos a instalar el Espaol tal y como nos lo piden,
pero no podemos instalar el Ruso porque no est soportado. Es por este motivo por el
que en la instalacin hemos mantenido la tabla TCPDB, pues es en ella donde SAP
reconoce los codepages que tiene instalados. As, si desde el svrmgrl de Oracle (desde
lnea de comandos) hacemos un select * de TCPDB, veremos que tiene una entrada, la
1500, 1500 que se la hemos aadido en la instalacin.
Nota:
Siempre que queramos hacer cambios o ver objetos de la base de datos
tendremos que ser el usuario sapr3 (el que nos pide durante la instalacin) porque
l es el dueo de todos los objetos.
El codepage (1100, 1100) que se instala por defecto con el Ingls y Alemn, no
aparece en esta tabla por defecto en una instalacin normal, de modo que habra que
mantener la TCPDB para que s apareciera (Es comn que, si instalamos y no queremos
tener un codepage distinto al 1100, el Syslog de SAP nos avise de que la tabla TCPDB
no tiene entradas).
55
Mantenimiento de tablas
Antes de instalar cualquier idioma tenemos que asegurarnos de que las tablas
referentes a los idiomas estn mantenidas.
Desde el svrmgrl de Oracle, conectados como sapr3, miramos en la tabla TCP0C
que existe una entrada que contiene los locales que necesitamos (para instalar los
idiomas previamente hemos ledo todas las notas arriba comentadas y hemos instalado
en Windows y puesto activo el idioma Ruso, adems de haber instalado fuentes cirlicas
tal y como indican las notas) y su codepage, pues de no ser as tendremos que
modificarla.
Y miramos que, efectivamente, la tabla TCPDB contiene las dos entradas
pertinentes, 1500 y 1100
Vamos a la transaccin se38, que es el
lanzador de programas (reports) ABAP y
corremos el report RSCPINST. Para ello,
escribimos su nombre y pinchamos en el
botn resaltado en la figura
Nota:
ABAP es el lenguaje de programacin de SAP, en el que est escrita toda la
plataforma y el que usan los desarrolladores para crear transacciones para el
cliente
En el Step1
seleccionamos el Ingls y en
el Step2 seleccionamos
Latin1 or MDMP.
El MDMP es la opcin
que tendremos que
56
seleccionar tambin con el
Ruso, pues es la que permite
tener ms de un codepage
instalado en el sistema.
Ahora pinchamos en
simulate y, si todo va bien,
volveremos a la pantalla
anterior y lo activaremos. Esto mismo tendremos que hacerlo cuando tengamos
instalados los otros idiomas.
Una vez que tenemos mantenido el sistema hasta este punto, es conveniente que
aumentemos el tamao de ciertos tablespaces en Oracle que estarn bastante escasos de
espacio. Para comprobar que, efectivamente se estn quedando sin espacio, podemos
mirarlo en el SAP Management Console, en Open Alerts / Oracle
Cmo aumentar el tamao de los tablespaces
Desde lnea de comandos invocamos al sapdba, que es un programa que nos va a
permitir gestionar ciertos asuntos de la base de datos.
- Elegimos la opcin de tablespaces
- Elegimos la opcin c de ver cun ocupadas estn. Sapdba nos dir cules son las
que estn ms llenas y que tenemos que aumentar sin demora, aunque es aconsejable
aumentar todos los tablespaces que sobrepasen el 85% de su capacidad
- Elegimos un tablespace y le damos a la f. Luego, si tenemos en disco el espacio
que necesita, damos a la s y que comience
-Al terminar nos recomendar hacer backup, pero le daremos a la q, luego a la y
-Repetimos todo el proceso con todas las tablespaces necesarias
Import de los lenguajes
Vamos a la transaccin stlm, y seguimos los
57
pasos que nos indica el pdf Languaje Transport
(BC-CTS-LAN) de cmo usar esta transaccin.
-Pinchamos en Classify Languaje
-Elegimos Ruso o Espaol, y suplementacin
con Ingls y grabamos
-En la nueva carpeta de idioma que hemos
creado, pinchamos en Import Package.
Nos pedir una ruta (que ser la unidad de cdrom),
y pinchamos en Find Packages. Encontrar
uno. Lo seleccionamos y pinchamos en Execute
Nota:
Cuando se hayan terminado de importar los lenguajes, tendremos que
suplementar el Espaol como pide el implementacin
Importaremos primero un lenguaje y cuando termine el otro, por dos motivos. El
primero porque los dos import iran en paralelo, podramos quedarnos sin procesos
batch suficientes y el servidor no es tan potente como para hacer tanto a la vez, y el
segundo porque hay que tener en cuenta el tamao de los tablespaces.
Nota:
El import de un lenguaje tardar varias horas, y sabremos que est
importando el lenguaje porque si vemos dentro de la carpeta del lenguaje y dentro
de Imported Packages, vamos a ver un camioncito rojo delante del nombre del
paquete que est subiendo. Adems, podemos comprobar los logs de los
transportes que va realizando as como el log del job
As, al terminar de importar el primer lenguaje vamos a comprobar los tablespaces
y veremos que efectivamente, tenemos que aumentar de nuevo algunos de tamao. Lo
hacemos segn se explic ms arriba, y continuamos importando el siguiente lenguaje
58
Por fin, cuando hemos
terminado de importar los lenguajes
modificamos el perfil de la
instancia de nuevo en la transaccin
rz10.
Vamos a aadirle un parmetro
nuevo llamado
zcsa/installed_languages con el
valor DESR, de modo que sepa que
tenemos instalado D(Alemn), S(Espaol) R(Ruso) y E(Ingls) . Este parmetro es
imprescindible puesto que si no lo escribiramos no podramos loguear en el sistema
con nuestros recin instalados idiomas
Y vamos a cambiar el parmetro zsca/system_language y ponerle una S para que
tome el Espaol como idioma por defecto
Reiniciamos la instancia despus de grabar el perfil y activarlo
Seguido a esto, volvemos a correr
el report RSCPINST como hicimos
anteriormente y vemos que ahora
aparecen todos los idiomas que
aadimos en el perfil de la instancia
Todos ellos tienen que funcionar
con MDMP para que nos permita tener
usuarios que logueen en Espaol,
Ingls o Aleman y por otro lado, los
que usan Ruso y probamos a logar con
el Espaol y el Ruso
59
Nota:
Para loguear en Ruso debemos modificar un parmetro en el SAPGUI, y
decirle que tome el codepage 1500 en vez del 1100 por defecto
Suplementacin del Espaol
Hecho esto, vamos a proceder a suplementar el Espaol. Segn la nota 309497,
podemos tener problemas a la hora de suplementar que pueden ser resueltos aplicando
el support package de Basis SAPB46C03.
Comprobamos que existe en el sistema, as que corremos la transaccin spam
Elegimos la opcin Applied Support Packages y pinchamos en Display, y nos
aparecer una lista de todos los que estn instalados en el sistema. Buscando entre los
paquetes de Basis veremos que el que buscamos aparece como instalado
O, si pinchamos en Package Level, nos aparecer esta otra pantalla que nos indicar
qu nivel de parche tiene Basis, que es del que necesitamos el 3. Como vemos que tiene
el 15, no es necesario instalar nada
En la transaccin smlt, pinchamos en Espaol y
hacemos doble clic sobre Supplementation with English,
carpeta que nos cre cuando creamos la clave Espaol
antes de importar.
Nos aparecer una pantalla donde elegiremos qu
tablas vamos a suplementar.
Le damos una descripcin y pinchamos en Select, y veremos que nos han aparecido
abajo una serie de tablas. Ahora, elegimos las tablas que queremos (que van a ser todas)
pinchando en el botn Select All
Por ltimo, pinchamos en el botn Execute.
El proceso durar una hora aproximadamente, y podremos ver lo que hace del
mismo modo que mirbamos el import del lenguaje
60
Cuando termine tendr un tringulo amarillo, que es porque no todas las tablas se
han suplementado.
Nota:
Es conveniente volver a mirar el tamao de los tablespaces despus de
ejecutar la suplementacin y agrandarlos si fuera necesario
Creacin de los mandantes
Una vez terminada la parte de lenguaje procedemos a crear los mandantes en la
transaccin scc4.
Una de las cosas ms importantes que debemos tener en cuenta en un sistema SAP
es que los tres mandantes por defecto nunca podrn ser productivos ni podr acceder a
ellos nadie que no sea el administrador
El mandante 000 es el mandante de seguridad. En el mandante 000 vamos a
configurar las cosas esenciales y bsicas de toda la instancia de modo que todos los
mandantes que creemos sern copias suyas. Por esa razn no hemos copiado el
mandante 000 al principio, sino una vez tenemos hechas ciertas parametrizaciones como
el idioma, ya que tiene que ser comn para todos los mandantes
El mandante 000, y va a servirnos, entre otras cosas, para comprobar entre
mandantes qu es lo que hemos podido cambiar respecto al l en nuestra instancia y
poder detectar as posibles fallos
El mandante 001 es una copia del mandante 000, y por eso no hay que modificarlo
pues, en caso de prdida del sistema y del mandante 000 siempre lo tendramos como al
principio
El mandante 066 es el mandante que utiliza SAP para realizar las auditoras. Dos
veces al ao entran al sistema y lo chequean para ver si est bien, aunque si tenemos
problemas podemos pedirles ayuda y entrarn por l tambin. Este mandante tampoco
lo podemos tocar puesto que, si hacemos algo y luego SAP no puede conectarse ellos no
61
asumen la responsabilidad
Hacemos clic en ver-modificar y pinchamos en el botn New Entries. Nos
aparecer una nueva ventana con campos que rellenar, de los cuales solo necesitamos
Client: (Nmero de mandante) 007, (Descripcin) Gold
Client Role: (De qu va a ser el cliente) Test
Changes and transports for client-specific objects: Automatic recording of
changes
Y el resto lo dejamos en blanco, o por defecto
Guardamos los cambios y, en la ventana anterior veremos que ahora aparece el
cliente que hemos creado
Una vez tenemos creada la entrada para el nuevo mandante tenemos hacer logon
en el nuevo mandante que hemos creado, en nuestro caso, el 007, con el usuario SAP* y
la contrasea pass
Nota:
En todos los mandantes que copiemos, la contrasea de SAP* y de DDIC
va a ser pass hasta que la cambiemos
Antes de copiar nada tenemos que ver si tenemos espacio suficiente en los
tablespaces PSAPPOOLD, PSAPPOLI, PSAPSTABD y PSAPSTABI, pues son los que
van a soportar la carga de la copia. Por eso, es muy posible que tras cada copia de
mandante haya que aumentar el tamao de los tablespaces
Nota:
Si no tenemos muy claro lo que va a ocupar la copia de mandante, es
recomendable tener una ventana con el sapdba abierta e ir comprobando
peridicamente el crecimiento de los tablespaces, agrandndolos cuando fuese
necesario
Una vez comprobados los tamaos y estando dentro del nuevo cliente vamos a la
62
transaccin sccl (transaccin para copiar mandantes) y rellenamos los campos como en
la figura
y vemos que podemos indicarle que comience el trabajo inmediatamente o que lo deje
como un proceso en background. Vamos a decirle que comience inmediatamente
Las copias de mandante suelen tardar un rato en estar terminadas, sobre todo
dependiendo de la cantidad de datos que tengan que ser copiados
Nota:
Este proceso que hemos comentado para crear el mandante 007 vamos a
tener que realizarlo con cada uno de los mandantes que nos pida el implementacin
Cuando tengamos copiados todos los mandantes, volvemos a la transaccin scc4
para cambiar los parmetros necesarios
Por fin, como se pide que el mandante por defecto sea el 007, en el perfil de la
instancia (transaccin rz10) aadiremos el parmetro login/system_client con valor
013
Creacin del Sistema de Transportes del Implementacin
A continuacin y a peticin de la implementacin, crearemos los dos Sistemas de Transporte
virtuales ACC y COR en la transaccin stms
Pinchamos en el icono de System Overview, y podremos ver los sistemas de
transportes que tenemos creados, en este momento, BPM y VIR
Desde System Overview borramos el sistema de transportes virtual que tenamos en
un principio (VIR), porque no nos es ya de utilidad.
Para ello seleccionamos el sistema de transporte, y vamos al men SAP
System/Delete
Desde el men SAP System/Create/Virtual System crearemos los dos nuevos
sistemas de transporte virtuales de identificador ACC y COR.
Tras crearlos, no debemos olvidar que, desde el men Extras, hemos de pinchar en
63
Generate RFC destinations y despus en Distribute and activate configuration.
Desde la principal de stms, pinchamos en el botn de Transport Routes nos van a
aparecer los tres sistemas de transporte que tenemos creados pero sin rutas de
transporte.
Pinchamos en el botn Display _ Change (lapiz y gafas) y vamos al men
Configuration/Standart Configuration/ Three systems in a group.
En la ventana que nos aparece, vamos a seleccionar
- Para Desarrollo, el entorno BMP
- Para Quality, el entorno ACC
- Para Productivo, el entorno COR
Le damos a grabar, y veremos que nos aparecen los tres entornos con sus rutas de
transporte configuradas.
Ahora creamos el transport group.
Vamos al men Edit/Transport Target Group/Create.
Le damos un nombre al nuevo grupo,
por ejemplo /QUAS/
Nota:
Los nombres de grupo tienen que
estar entre /
Agregamos en Target System al sistema
ACC como nos han pedido en el implementacin, y
pinchamos en el botn Client assignment.
Entonces agregamos el mandante 020 y por
fin damos a guardar
Las rutas de transporte aparecern as
Damos al botn de check, al de distribuir configuracin y guardamos.
64
Qu ocurre si cambiamos el SID de la rz10?
Dejara de funcionar. El SAPGUI no sabra dnde conectarse, como todas las
conexiones RFC. El SID + el system number de una instancia de SAP son como su
carnet de identidad, si cambiamos una parte.
Si hablamos del SID de la instancia de base de datos, SAP no podra conectar a la
base de datos porque no la encontrara, de modo que tambin dejara de funcionar
Troubleshooting
Durante la Instalacin
En el grupo de programas creado por el instalador del R3SETUP hay adems de
las diversas instalaciones un programa llamado Command File Editor, R3SEdit que
nos va a permitir, si nos hemos equivocado al insertar algn parmetro en la
instalacin, volver a ese paso. Para utilizarlo:
- Lo lanzamos
- Cargamos el fichero CENTRDB.R3S
- Veremos que aparece una lista de nombres y una casilla marcable. Los
nombres con tic son los que ya han sido introducidos por el usuario, as que lo
que hay que hacer es desmarcar la casilla en que nos hemos equivocado
Fallos en RFC destination. Este error parece ser comn en las instalaciones de
R/3, y se solventa deteniendo la instalacin, parando y arrancando la instancia de SAP
manualmente. Luego podremos continuar con la instalacin lanzando de nuevo el
R3SETUP
Alertas desde el SAP Management Console
Problema: Da un error en la tabla TCPDB pues dice que no tiene entradas.
Deberamos haber mantenido esta tabla durante la instalacin, pues ahora ser
ms complicado instalar el ruso.
Recomendacin: Intentar entrar los campos sealados durante la instalacin con
65
sql e intentar instalar el ruso. Si no funcionara, reinstalar.
Problema: BPM y Servidor estn amarillos en vez de verdes
Comprueba el estado del Process List. Seguramente sea culpa del Dispatcher.
Dale tiempo, al arrancar la instancia suele tardar en conectar.
Problema: Da un error en la tabla TCP0D pues dice que tiene dos entradas
Esta tabla slo tiene que tener una entrada, que es ( , E). Si tiene ms, es
conveniente retirarlas
SAPGUI
Problema: Aparece un error de conexin
Comprueba que el equipo est enchufado a la red, y que la red funciona.
Comprueba tambin el estado del Dispatcher en el Sap Management Console.
ABAP Short Dumps
Se pueden deber a varios motivos, pero si no aparece la pantalla de SAP Easy
Access y no nos deja entrar en transacciones como SMLT o STMS, desinstalar del
sistema el SAPGUI completamente y reinstalarlo
Problemas importando lenguajes
Problema: Estamos importando un lenguaje y el log de transportes no ha
cambiado en varias horas.
Comprobar todo el sistema de transportes. Comprobar que hemos creado un modo
de operacin y que tenemos dos procesos background funcionando
Problema: Estbamos importando un lenguaje y el servidor se ha cado o hemos
parado la instancia
Si todo est bien, al reiniciar la instancia de SAP el job que controla el importe del
lenguaje se habr reactivado. En cualquier caso, si no se hubiera reiniciado el job y
hubiera un rayo en lugar del camioncito, pinchamos en el botn que son unos pasos
para reiniciar el job
66
Problema: No se puede hacer display de las tablas TCPDB, TCP0C, TCP0D
Hay que mantenerlas primero desde la transaccin se38 y corriendo los reports
RSCPINST, RSCP0004, RSCP0017.
Se pueden ver, si no, desde el sqlplus o svrmgrl haciendo Select * from TCPDB;
Problema: Probando la configuracin del Ruso en el report RSCPINST, dice que
no est el local Russian_Russia*.nls
Comprueba si est instalado el idioma Ruso en el Win2000 del servidor. Si no
est, instlalo
Si est instalado, comprueba que en el perfil de la instancia has aadido una R al
parmetro zsca/installed_languages
67
CAPITULO DOS
Objetivo
En este capitulo nos llevara de la mano a entender de como funciona la seguridad de SAP a si como
se establecen los principios y normas a seguir en la , administracin y control.
El objetivo principal o, es tener plenamente identificados los factores que influyen en el

mantenimiento de la seguridad, as como las actividades que debe de realizar el encargado de la
seguridad SAP
ARQUITECTURA
Figura 1
68
COMO FUNCIONA LOS MANDANTES
Ya vimos que bsicamente pueden existir tres ambientes (Desarrollo, Calidad, y Produccin) y para
que servan cada uno de los mismos. Ahora podemos explicarlo mas a detalle.
Los ambientes mencionamos que normalmente estn ubicados en equipos

(computadoras/servidores) distintos, cada ambiente en su respectivo servidor (generalizo para
simplificar), el hecho es que cada ambiente, o sistema puede a su vez contener otras divisiones
dentro de si mismo.
A modo de ejemplo, un ambiente de desarrollo, puede contener una subdivisin que sea la que va a
poseer las parametrizaciones propiamente dichas, otra que haga las veces de ambiente de pruebas
unitarias (para que los mismos desarrolladores o parametrizadores prueben el funcionamiento de lo
que definen).
Estas subdivisiones se llaman Mandantes en SAP
Mandantes
Los mandantes poseen nombres numricos, siendo a modo de ejemplo un ambiente de SAP de
nombre DEV (por Development), y mandante 200, otro mandante en el mismo equipo puede
ser UNI(por Pruebas Unitarias) y mandante 210. Otro ambiente puede serQAS y el nmero de
mandante el 300, y el ambiente productivoPRD y mandante 400.
Los mandantes poseen maestros de usuario distintos, esto quiere decir que en un mismo sistema
(DEV) un usuario puede tener acceso al mandante200 pero no al 210, o puede acceder a los dos pero
con distintos permisos.
La informacin operativa que se cargue en un mandante no es compartida con el otro, a pesar de

que la informacin por pertenecer a un mismo sistema, se aloja en una misma base de datos. Las
tablas con las que trabaja SAP poseen normalmente un indicador de mandante, por lo
que SAP siempre lee este campo primero y solo muestra la informacin del mandante en el cual el
usuario se autentic.
SEGURIDAD EN MANDANTES
Un tema sumamente importante los distintos niveles de proteccin que SAP nos brinda para los
mismos tienen una importancia mayscula dentro del marco general de seguridad del sistema y
gestin de ambientes
Por ejemplo, dentro de los parmetros a definir se puede establecer que el mandante sea
modificable, la posibilidad de copiar el mismo, realizar modificaciones independientes de
mandante, etc.
69
Desde la transaccin SCC4 podemos consultar y/o modificar la configuracin de los mandantes, y
dentro de las mismas se nos presentan varias opciones que es importante que nos queden claras y
bien definidas.
Modificar objetos dependientes de mandante
-Permitir libremente las modificaciones sin realizar rdenes de transporte automticamente (No
recomendado su uso, solo factible para ambientes Sandbox con rutas cerradas de transporte)
- Permitir modificaciones pero realizar automticamente las rdenes de transporte respectivas (para
reforzar la nivelacin de ambientes hacia adelante, y la ejecucin del proceso transporte,
recomendable para ambientes de parametrizacin o customizing)
- No permitir modificaciones (o lo que se conoce como mandante cerrado, recomendable para
ambientes productivos y no solo recomendable indispensable para mantener cierto control)
- Permitir las modificaciones de customizing pero anular las posibilidades de transporte incluso
manuales (no recomendable, solo para entornos cerrados de pruebas)
Modificaciones de objetos independientes de mandante:
-Permitir todos los cambios (Recomendable para ambientes de desarrollo)

- Permitir solo cambios de Repository o workbench (Son solo modificables los programas, reportes,
diccionario de datos, etc.)
- Permitir solo cambios de Customizing independiente de mandante (Solo el customizing y no el
workbench)
- No permitir ningn cambio independiente de mandante (Ambientes de produccin)
Proteccin contra copias de mandante:
- Sin posibilidad de sobrescribir el mandante (habitual para la mayora de los mandantes, salvo
excepcin puntual)
- Eliminar la posibilidad de tomarlo como origen de una copia de mandante (Es para evitar que un
mandante que tiene informacin confidencial pueda ser copiado a otro mandante)
Proteccin contra uso de CATTS:
- Las herramientas de CATT o ECATT pueden ser utilizadas para realizar cargas masivas de datos
en el sistema y por lo tanto se recomienda que se limite la posibilidad de su uso en los ambientes
productivos.
Es importante destacar que estas configuraciones son solo aproximaciones a lo que debera ser, y
que sin embargo muchas veces ocurren excepciones a las reglas aqu definidas, ya que se habilitan
temporalmente las posibilidades de copiar mandantes de produccin para realizar pruebas (deberan
anonimizarse sus datos), o copiar ambientes de desarrollo
70
AMBIENTES
Qu es un ambiente productivo?
Es el ambiente donde la empresa opera, y sobre el cual se realizan todas las operaciones diarias de
la organizacin, contiene toda la informacin sobre compras, pagos, cobranzas, contabilidad, etc y
al mismo acceden los usuarios de las reas especficas (Depto de Contabilidad, Tesorera, RRHH,
etc)
Qu otros ambientes necesitamos?

Una empresa promedio se encuentra constantemente realizando mejoras sobre su software,
reparando errores, o en pos de implementar nuevas funcionalidades. Nos puede parecer correcto o
incorrecto, pero esto es as cuando se trabaja con grandes ERPs.
Para estar mas apegado a los estndares
Ambiente de desarrollo
donde acceden los parametrizadores (consultores de producto) y desarrolladores o

programadores que no posee informacin del trabajo diario de la organizacin.
Ambiente de Calidad
Al que acceden los consultores de producto, consultores funcionales, y usuarios para probar el
correcto funcionamiento del programa o funcionalidad configurada en el ambiente de desarrollo
pero sin alterar los datos del da a da de la organizacin, con datos de prueba no crticos o
censurados.
Ambiente de Produccin
donde los consultores y desarrolladores no acceden, salvo en casos particulares y solo como
visualizacin, y es en donde la organizacin posee sus datos operativos y al que acceden todos los
usuarios finales del sistema.
Ambiente de Desarrollo
Aqu se realizan los desarrollos y parametrizaciones del sistema. Al realizar un nuevo desarrollo, se
genera una orden de transporte. Mediante la misma, el desarrollo pasar a los dems ambientes.
71
EL SISTEMA DE TRANSPORTES SAP
El sistema de transporte en la plataforma SAP es de suma importancia para nosotros, desde el punto
de vista de la seguridad. A travs del mismo nos garantizamos la separacin de los ambientes, y el
control de cambios. En el presente post vamos a hacer una introduccin a los principales aspectos
del mismo.
Mediante el sistema de transporte nosotros vamos a realizar la migracin de datos, estructuras,

programas, parametrizaciones, roles, etc. entre los distintos ambientes, a travs de lo que en SAP se
conocen como rdenes de transporte.
Las rdenes de transporte son la estructura en la que se almacena la informacin a transportar, las
mismas estn constituidas por tareas individuales (pueden tener una sola) las cuales deben asociarse
a usuarios individuales, los cuales adjuntaran sus modificaciones en las mismas.
Cuando uno modifica un objeto en el sistema (ABAP, Customizing, etc) el tipo de objeto es
seleccionado automticamente y se solicita una orden de transporte la cual si uno posee los
permisos puede crearla, o simplemente asignarla a una orden ya creada que tengamos asignada con
su correspondiente tarea.
Siempre dependiente de los permisos que poseamos podramos reasignar ordenes de otros usuarios,
crear ordenes para otros usuarios, etc.
Una vez creada la orden o asignadas las modificaciones a una tarea, la misma debe liberarse para
que sea incluida en la orden y la misma pueda procesarse, la documentacin que se desee debe
incluirse antes de liberar la tarea. A su vez la orden tambin necesita ser Liberada por la persona
con la responsabilidad y los permisos adecuados para hacerlo, para poder realizar esta tarea deben
estar todas las tareas de la misma liberadas.
Cuando la orden es liberada, el sistema se encarga de guardar el versionado de los objetos

involucrados, desbloquear los objetos tomados por la orden, y guardados los archivos de datos en el
directorio correspondiente del sistema operativo, a su vez se marca la orden como import en el
sistema destino.
Dentro del Transport Organizer (SE09) se realizan todas las tareas de liberacin y monitoreo de
las rdenes. Adicionalmente puede utilizarse como sistema de consulta la transaccin SE03.
Dentro del workflow de transporte debe incluirse la verificacin de tablas, programas, y dems
objetos modificados, para verificar que los cambios que se realizan no afectan la seguridad e
integridad del sistema.
Los objetos de autorizacin que principalmente regulan el comportamiento del usuario respecto al
sistema de transportes son para las funciones administrativas y, en lo referente a las autorizaciones
de crear, modificar y liberar rdenes y tareas.
72
En resumen
Este landscape es propio de un sistema SAP en produccin (cuando ya opera para la empresa) en el
caso de las implementaciones en las que participan habitualmente los consultores el ambiente puede
solo contener el Ambiente de Desarrollo en una primera etapa, y posteriormente para la llegada de
las pruebas integrales suele incorporarse el Ambiente de Calidad, y finalmente cerca de la fecha de
implementacin el Ambiente Productivo.
ESQUEMA DE SEGURIDAD
SAP es el ERP ms popular en el mundo y suele sustentar el ncleo del negocio de muchas
empresas. Por eso garantizar su seguridad debe ser un objetivo prioritario para ellas.
Para cubrir por completo todas las capas lgicas que conforman la seguridad de un sistema SAP,
necesitamos tener en cuenta los siguientes procesos:
73
Figura 2
1) Capa de negocio SAP: Auditoria de polticas de asignacin de privilegios (usuarios, perfiles,

authorization objects).
2) Capa tecnolgica SAP: Anlisis de vulnerabilidades de los servicios SAP (saprouter, sap-
dispatcher, sap-gateway, sap-message-server, sap-igs, sap-portal) .
3) Base de Datos: Anlisis de vulnerabilidades a nivel de BBDD.
4) Sistema Operativo: Anlisis de vulnerabilidades a nivel de sistemas y redes.
Tradicionalmente la capa tecnolgica de SAP ha sido la menos tenida en cuenta por la mayora de
profesionales:
Los consultores SAP, normalmente se limitaban a auditar solamente la seguridad de la capa

de negocio, ignorando la base tecnolgica que toda gran aplicacin tiene.
Los auditores de seguridad, normalmente se limitaban a analizar la plataforma (sistema
operativo y base de datos) como si de una auditoria normal se tratase. Sin tener en cuenta la
gran complejidad que tiene un sistema SAP.
El problema es que una vulnerabilidad grave en cualquiera de las capas compromete completamente
la integridad del sistema SAP en su conjunto.
Por ejemplo si se produce un compromiso a nivel de sistema operativo, el atacante podra modificar
cualquiera de las capas superiores y conseguir acceso de administrador.
Si se compromete la base de datos. La configuracin de seguridad del entorno SAP queda tambin
comprometida ya que se encuentra almacenada en ella.
Si la capa tecnolgica no se encuentra protegida, cualquier usuario de la red podra llegar a

conseguir privilegios de administrador en el sistema SAP y tomar control del mismo.
Por lo tanto, es imprescindible que una auditoria de seguridad de un sistema SAP cubra los cuatro
niveles.
74
Seguridad en la aplicacin SAP
Para la gente nueva en esta tecnologa se debe de tener en cuenta las siguientes indicaciones para
tener un control de la seguridad mas robusto.
MEJORES PRCTICAS
Las mejores prcticas de seguridad nos indica que tenemos en tomar en cuenta estas
recomendaciones en cada uno de los sistemas que estemos administrando.
Seguridad en las cuentas
Usuarios, Grupos, Polticas de Contrasea, Asignacin de correcta de permisos, Limitar el acceso a

los usuarios Administradores (solo va consola).
Seguridad en el Sistema de Archivos
Utilizar particiones NTFS, Eliminar Shares por default, asignacin de permisos correctos y no full
control, Archivos con SETUID y/o SETGID mascara de creacin de archivos (Umask)
Seguridad en los Servicios
Desactivar todos aquellos servicios que no se utilicen (smtp, ntp, telnet, snmp, echo, rsh y rlogin).
Seguridad en Bases
Cambiar todas las contraseas de los usuarios creados por default.

Eliminar contraseas que se almacenan en texto plano despus de la
instalacin.
Instalar las ltimas versiones de Service Pack y parches disponibles.
Bloquear los accesos a los puertos de Sql para los clientes no
75
confiables
Aplicar los permisos correspondientes a los directorios donde se instala
la base de datos.
Restringir el acceso administrativo al Listener.
La Problemtica de la Seguridad de SAP
En la mayora de las implementaciones , las configuraciones de seguridad son dejadas por defecto.
Las configuraciones por defecto generalmente son inseguras.
Conclusin: Si bien SAP posee medidas de seguridad robustas, el problema est en la Seguridad de
las Implementaciones, que generalmente son por defecto!!! Seguridad en Sap es mucho ms que
Roles y Perfiles.
Mecanismos de Autenticacin
Usuario y contrasea, Secure Network Communications (SNC), Certificados de Cliente SSL

X.509, Logon Tickets, Pluggable Authentication Services (PAS)
Seguridad de los Usuarios
Usuarios por defecto ( SAP*, DDIC, EARLYWATCH), Desactivar SAP*, Bloquear

EARLYWATCH y DDIC, Cambiar las contrasea de estos usuarios en todos los mandantes.
Poltica de Contraseas
Aplicar polticas de contraseas como por ejemplo, Longitud de contrasea, caducidad de
contrasea, historial de contraseas, lista de contraseas no permitidas ( Tabla USR40)
Mecanismos de Autorizacin
Asignacin de autorizaciones ( Objetos de autorizacin, Perfiles, Roles), SAP_All, autorizaciones
S_*.
Seguridad de las Interfaces

Restringir el acceso a la tabla RFCDES y a la transaccin SM59. Habilitar SNC para conexiones
que transmitan informacin sensible. Evitar almacenar los passwords en las conexiones RFC.
Configurar los archivos secinfo y reginfo. Restringir el acceso al Gateway Monitor.
Mantener un esquema separado de ambientes de Produccin, Calidad y Desarrollo. Establecer

controles de transportes a produccin. Asignar roles y autorizaciones para los transportes.
76
Proporciona un nivel de seguridad optimo ya que al contar con ambientes separados se de
continuidad a las mejores practicas de la administracin a nivel mundial.
POR QUE ANALIZAR LA SEGURIDAD DE SAP?
La mayora de las empresas es el sistema mas importante ya que es uno de los que proporciona un
riesgo directo al negocio.
Como Analizar la seguridad SAP
Existen en el mercado muchas consultoras o auditores externos que realizan anlisis y revisiones
anuales a estos sistemas llamados ERPS en el caso de Grupo Financiero se cuenta con el apoyo de
Salles Thorton que es una de las empresas de auditoria mas confiables dentro del mercado. Pero
esto no es todo ya que cada empresa debe contar con una poltica de Seguridad para machear las
indicaciones mencionadas anterior mente. Ya que con una poltica de seguridad robusta se facilita la
administracin y entendimiento de la seguridad de cualquier sistema ERP.
Dentro de todas las bondades ya mencionadas SAP tambin cuenta con algunas vulnerabilidades
controlables .
Usuarios y contraseas por defecto (SAP*, DDIC, EARLYWATCH, Oracle, Informix, SA,
Administrador, Root)
Scripts para interfaces con usuarios y contraseas.
Relaciones de confianza entre equipos mal configurada.
Permisos a nivel NFS o Share mal configurados.
Errores de configuracin en SAPRouter. Sin restriccin de acceso.
Publicacin de Servicios de SAP en Internet mal configurados (SAPRouter, ITS, Business
Connector).
Vulnerabilidades de Sistemas Operativos que soportan SAP

Vulnerabilidades de Base de Datos que soportan SAP.
Usuarios de desarrollo de SAP con privilegios amplios sobre sistemas de Produccin.
Usuarios de aplicacin SAP con contraseas triviales.
Privilegios amplios para usuarios de SAP (asignacin de transacciones criticas del sistema
,SAP_ALL)
No aplicacin de parches de Seguridad en SAP, permitiendo la explotacin de
vulnerabilidades
El sistema operativo y la base de datos representan los pilares de los sistemas SAP. Los mismos
deben mantenerse actualizados y configurados en forma segura.
77
SAP provee una gran cantidad de soluciones y una arquitectura compleja, la cual debe ser
asegurada a nivel aplicacin y comunicacin.
Es fundamental mantener un control estricto sobre los usuarios y las autorizaciones de los mismos
en el sistema. Por defecto, muchas configuraciones son inseguras y deben ser modificadas.
Este tipo de vulnerabilidades son controlables y se pueden erradicar haciendo una buena
mancuerna con el rea de Base de Datos ya que estos son parmetros que solo una persona
certificada en el modulo de Basis puede configurar y ser tarea del personal de Seguridad indicarle
los puntos dbiles de la configuracin de SAP .
Esto se logra con la transaccin SE38 y ejecutando el reporte de parmetros principales de SAP
llamado RSPARAM con este reporte nos dara la informacin de configuracin que cuenta SAP.
78
CONCLUSION
En el entorno SAP existen una serie de transacciones que deben ser limitadas, incluso impedir desde
cualquier usuario su llamada, debido a los riesgos de seguridad que implican. Principalmente se
trata de la SE11, SE16, SE30, SA38, SM30, SE16m y SM49, y debemos prestar especial atencin a
RSBDCOS0, SM38 (shell de sistema), SM49 (creacin de rdenes del sistema) y SM59 (ejecucin
de rdenes en el sistema). Otro punto de control a tener en cuenta son aquellas transacciones
desarrolladas a medida para la empresa por un equipo de desarrollo no perteneciente a SAP y que,
por tanto, no han pasado por el equipo tcnico de calidad de SAP.
Otro aspecto de seguridad en el mbito de SAP es el relacionado con la gestin de usuarios; de

entrada, no se debe permitir a un usuario saltar a otro mandante distinto al asignado, para lo que
aquellos usuarios que se conecten de forma remota (ya sea mediante la interfaz Web o mediante el
cliente R/3) deben de estar configurados como usuarios de fondo y NO como dilogo.
De la misma forma, es recomendable la aplicacin de polticas de seguridad que fuercen al uso de

contraseas seguras, por ejemplo empleando la transaccin SM30 USR40 para especificar,
mediante expresiones regulares, qu contraseas no son vlidas y un diccionario de palabras no
permitidas. Adicionalmente, mediante el uso del report RSPARAM, se pueden parametrizar
aspectos como el nmero de logins incorrectos, longitud mnima de la contrasea, seguimiento de la
inactividad, etc.
Finalmente, pero no por ello menos importante, debemos hablar de una segregacin de funciones
correcta en SAP, que no permita a un determinado usuario acceso a determinadas combinaciones de
transacciones; para ayudar en esta segregacin de funciones, SAP dispone
del report RSVR008_009_NEW, que permite indicar las combinaciones crticas existentes en el
sistema.
79
BIBLIOGRAFIA
ELEMENTOS ESENCIALES DE SEGURIDAD DE SAP
Autores: Alfredo Hernandez Gabriel Gorostieta
Editorial: Equality Press
Diciembre ,2006
SAP Certified Technology Profecional Security whith SAP Netweaver 7.0
Autores : SAP Academy.
Enero, 2010
METODOLOGIA O CHECKLIST PARA AUDITAR UN SISTEMA SAP
Autor Mariano Nuez Di Croce
Junio , 2009
Seguridad SAP en profundidad, serie de artculos donde explican los pasos a seguir para revisar la
seguridad de un sistema SAP en profundidad.
Volume I: The risks of downwards compatibility
Volume II: SAP Knowledge Management The risks of sharing
Gua de Seguridad para sistemas SAP NetWeaver pero tambin unas directrices para auditar SAP ECC
creado en el 2009
Fuentes
http://sap-school.com/certificationquestionsSecurity
http://www.mundosap.com
80
GLOSARIO
GFI: Grupo Financiero Interacciones

Confidencialidad: Caracterstica de la informacin que garantiza que la informacin pueda
ser accedida solamente por quienes estn especficamente autorizados para hacerlo.
Disponibilidad: Caracterstica de la informacin que garantiza que los usuarios autorizados
tengan acceso a la informacin en la forma, tiempo y lugar en que son requeridos por el
proceso del negocio.
Informacin Crtica: Informacin cuya prdida, destruccin o modificacin en forma no
autorizada pueden impactar significativamente la capacidad de GFI para mantenerse como
negocio.
Integridad: Propiedad de la informacin que garantiza que sta sea modificada en forma
debida y slo por partes autorizadas.
Propietario de la informacin: Usuario que tiene la responsabilidad ante GFI de los datos
tcnicos o del negocio con relacin a la actividad que desempea.
Riesgo: El impacto de la materializacin de una vulnerabilidad, considerndose ambos la
probabilidad y la frecuencia del evento fortuito o intencional a los activos de informacin de
GFI, el cual es negativo para el negocio.
SGSI: Sistema de Gestin de Seguridad de la Informacin
Seguridad de la Informacin: Preservacin y proteccin de la confidencialidad, integridad
y disponibilidad de la informacin, para asegurar la continuidad del negocio, y minimizar
los riesgos a travs del establecimiento, implementacin, monitoreo, revisin y mejora de
controles, incluyendo polticas y procedimientos para asegurar que los objetivos de
seguridad y de negocio son alcanzados.
ROL: Definicin de actividades y transacciones permitidas para un usuario dentro del
sistema SAP
Perfil: Definicin de permisos y objetos que pueden ser visualizados, modificados,
adicionados, o reportados por las transacciones definidas en el ROL.
Transaccin: Mdulo de operacin que permite realizar una actividad especfica dentro del
sistema.
Core Bancario: Se define como el negocio desarrollado por una institucin bancaria con
sus clientes minoristas y pequeas empresas. Esto bsicamente quiere decir que todas las
oficinas del banco acceden las aplicaciones a fuentes de datos centralizadas.
Landscape: Suele llamar a como est compuesto un ambiente, por cuantos servidores, con
qu aplicativos.
Licitacion: Tambin denominada concurso pblico o contrato del Sector Pblico y privado)
es el procedimiento administrativo para la adquisicin de un producto o servicio.
Busisnes Intelligence: Se denomina inteligencia empresarial, inteligencia de
negocios o BI (del ingls business intelligence) al conjunto de estrategias y herramientas
enfocadas a la administracin y creacin de conocimiento mediante el anlisis
de datos existentes en una organizacin o empresa.
Sinergias: resultado de la accin conjunta de dos o ms causas, pero caracterizado por tener
un efecto superior al que resulta de la simple suma de dichas causas.
Workflow: El flujo de trabajo (workflow en ingls) es el estudio de los aspectos
operacionales de una actividad de trabajo: cmo se estructuran las tareas, cmo se realizan,
cul es su orden correlativo, cmo se sincronizan, cmo fluye la informacin que soporta
las tareas y cmo se le hace seguimiento al cumplimiento de las tareas.
81
Testing: Las pruebas de Software son una actividad mas en el proceso de Aseguramiento
de la Calidad. Las Pruebas son bsicamente un conjunto de actividades dentro del
desarrollo de software. Dependiendo del tipo de pruebas, estas actividades podrn ser
implementadas en cualquier momento de dicho proceso de desarrollo.
Netweaver: Es una plataforma de tecnologa integrada para todas las aplicaciones SAP en
el plano tcnico. Es conocida como una aplicacin orientada a servicios y a la integracin.
Provee al usuario de un vnculo entre lenguajes y aplicaciones. Est construido usando
estndares abiertos de la industria por lo que es sencillo negociar transacciones de
informacin con desarrollos de Microsoft .NET, Sun Java EE, e IBM WebSphere.
PMBook: Es un estndar en la Administracin de proyectos desarrollado por el Project
Management Institute (PMI). La misma comprende dos grandes secciones, la primera sobre
los procesos y contextos de un proyecto, la segunda sobre las reas de conocimiento
especfico para la gestin de un proyecto.
CATT o ECATT: Subprogramas de rutina dentro SAP para poder modificar o crear
informacin en tablas.
Repository: Espacio dedicado a un grupo especifico de datos.
Workbench: Es una parte fundamental del sistema operativo del ordenador personal
Sandbox: Es el aislamiento de procesos, mediante el cual, se pueden ejecutar distintos
programas con seguridad y de manera separada.
82

Seguridad en SAP IPN

Încărcat de

Informații document

Descriere originală:

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Seguridad en SAP IPN

Încărcat de

Drepturi de autor:

Formate disponibile

INSTITUTO POLITCNICO NACIONAL

ESCUELA SUPERIOR DE INGENIERA MECNICA Y ELECTRICA

Que como prueba escrita de su

Mxico D.F OCTUBRE 2012

La presente Tesis es un esfuerzo en el cual, directa o indirectamente, participaron varias personas

leyendo, opinando, corrigiendo, tenindome paciencia y dando nimo.

Siendo escasa la documentacin sobre la implementacin de la seguridad en SAP, este Trabajo se

Se ha realizado un anlisis sobre la implementacin realizada en Grupo Financiero Interacciones

SAP pertenece a una empresa alemana, y su significado en castellano es Sistemas, Aplicaciones y

En general, los sistemas SAP tienen la siguiente estructura:

Ambiente de Ambiente Ambiente

Ambiente de Desarrollo: Aqu se realizan los desarrollos y parametrizaciones del sistema. Al

ABAP: el lenguaje de SAP

Para programar, necesitamos conectarnos a un servidor SAP. Afortunadamente, en la actualidad

En este documento se establecen los principios y normas a seguir en la creacin, administracin y

Confidencialidad: Garantizar que el acceso a la informacin y sistemas que la soportan

Definicin de Estrategia de Roles y Perfiles

Definicin de Roles Simples Maestros

Esta funcin nace de un anlisis funcional y de proceso

Solicitud de Creacin o Modificacin de Rol

La direccin de Seguridad de la Informacin estar a cargo de la asignacin de roles y permisos a

Ciclo de Vida de roles

Creacin y Modificacin de Roles

La creacin y modificacin de Roles y Perfiles deber de cumplir con la estrategia de

-Creacin y Modificacin de Objetos, configuracin y programacin. Deber realizarse en

-Pruebas unitarias se realizarn en el mandante 110 y 120

-Pruebas Integrales, Calidad Mandante 200

-Asignacin de produccin Mandante 300

Las transacciones a utilizar sern las siguientes:

1. PFCG (Profile Generador)

2. SU01 (Gestin de usuarios)

3. SU10 (Gestin de usuarios en masa)

4. SU53 (Datos de autorizacin para usuario)

5. SU56 (Autorizaciones en el buffer del usuario)

6. SU24 (Chequeo de objetos para transaccin)

7. SE10 (Liberacin de ordenes de transporte)

8. SE16 (Browser de tablas)

9. SE37 (Programas del sistema)

10. STMS (Sistema de transportes)

Las tablas que utilizaremos sern las siguientes:

1. ADCP (Datos de usuario)

2. ADRP (Datos de usuario)

3. AGR_DEFINE (Definicin de GA)

4. AGR_USERS (Usuarios por GA)

5. AGR_TCODES (Transacciones por GA)

6. AGR_1016 (Autorizaciones por GA)

7. AGR_1251 (Datos de autorizaciones)

8. AGR_1252 (Niveles organizacionales en autorizaciones)

9. AGR_AGRS (Jerarqua de GA (Roles Compuestos))

10. TACT (Descripcin de actividades)

11. TOBJ (Objetos del sistema)

13. TSTCT (Descripcin de transacciones)

14. USR02 (Usuarios del sistema)

15. USR05 (Parmetros de usuarios del sistema)

16. USR21(Datos de usuario)

17. USOBT (Objetos chequeados por transacciones (Standard))

18. USOBT_C (Idem anterior (Copia))

La transaccin PFCG (Profile Generador), es utilizada generalmente para la creacin de Roles,

Como podemos observar, en la pantalla principal de la transaccin, adems de tener mltiples

Creacion de un Rol Simple

A continuacin veremos los mtodos restantes.

Asignacin de transaccin Desde un Rol

En la figura 9, vamos a trabajar con el men de un GA estndar de SAP. Cuando apreciemos la