PMERP-F3-EF-GB-039 Configuración de Los Roles, Perfiles y Usuarios - Parte 2 v1

de 74 PMERP-F3-EF-GB-039 Configuración de los Roles, Perfiles y Usuarios - Parte 2 v1.docx

PMERP-F3-EF-GB-039 Configuración de los Roles, Perfiles y Usuarios - Parte 2 v1.docx

1

Configuración de los Roles, Accesos, Perfiles

y Usuarios – Parte 2

Proyecto de Modernización del ERP

SERVICIO DE LICENCIAMIENTO E IMPLEMENTACIÓN DEL SISTEMA ERP SAP EN PETROPERÚ

“PROYECTO PMERP”

CMA-0014-2010-OFP/PETROPERU



2

Identificación del documento Código del documento PMERP-F3-EF-GB-039

Nombre del documento Configuración de los Roles, Accesos, Perfiles y Usuarios – Parte 2

Versión UNO

Tipo documento: Diseños Técnicos – Arquitectura del Entorno de Producción

Finalidad: Diseño de Seguridad

Historial del documento

VERSIÓN/ FECHA DESCRIPCIÓN DEL CAMBIO RESPONSABLE INFORMACIÓN

01 / 17.12.2012 DOCUMENTO ORIGINAL ACARDONA VERSION UNO

Distribución del Documento CLIENTE INDRA

Nombre Puesto Nombre Puesto

Paola Terán Líder de Proyecto Alberto Cardona Gerente de Proyecto

Jorge Ruiz Coordinador de Proyecto

Vladimir Villasís Analista de Soporte

Revisión del Documento ACTUALIZACIÓN REVISION 1 REVISION 2

Alberto Cardona Vladimir Villasís Jorge Ruiz

Fecha: Fecha: Fecha:

Aprobación del Documento

APROBADO APROBADO

Alberto Cardona Paola Terán

Fecha: Fecha:



3

Índice

INTRODUCCIÓN ..................................................................................................................................................................................... 4

1 ALCANCE ........................................................................................................................................................................................ 5

2 CONFIGURACIÓN DE ROLES Y PERFILES ............................................................................................................................. 6

2.1 SAP ENTERPRISE RESOURCE PLANNING (ERP) .......................................................................................................................... 6 2.2 SAP SUPPLIER RELATIONSHIP MANAGEMENT (SRM) ............................................................................................................. 10 2.3 SAP BUSINESS INTELLIGENCE (BI) ............................................................................................................................................ 12 2.4 SAP PROCESS INTEGRATION (PI) ............................................................................................................................................. 14 2.5 SAP SOLUTION MANAGER (SM) .............................................................................................................................................. 16 2.6 SAP ACCESS CONTROL (AC) ..................................................................................................................................................... 18 2.7 SAP ENTERPRISE PORTAL (EP) ................................................................................................................................................. 20 2.8 SAP BUSINESSOBJECTS PLANNING AND CONSOLIDATION (BPC) ........................................................................................... 21

3 GESTIÓN DE SEGURIDAD EN SISTEMAS SAP ABAP .......................................................................................................... 23

3.1 CREACIÓN DE ROLES SIMPLES Y/O MÁSTERS ......................................................................................................................... 23 3.2 CREACIÓN DE ROLES DERIVADOS ........................................................................................................................................... 31

3.2.1 Definición de Roles Derivados.................................................................................................................................... 32 3.2.2 Ajuste de Roles Máster ............................................................................................................................................... 39

3.3 CREACIÓN DE ROLES COMPUESTOS ........................................................................................................................................ 43 3.4 ASIGNACIÓN DE ROLES A USUARIOS ...................................................................................................................................... 45

4 GESTIÓN DE SEGURIDAD EN SISTEMAS SAP EP ............................................................................................................... 49

4.1 AUTENTICACIÓN EN SAP EP .................................................................................................................................................... 49 4.2 GESTIÓN DE USUARIOS, GRUPOS Y ROLES ............................................................................................................................. 50 4.3 ROLES COMO CONTENIDO DEL EP .......................................................................................................................................... 54

5 GESTIÓN DE SEGURIDAD EN SISTEMAS SAP BPC............................................................................................................. 59

5.1 AUTENTICACIÓN EN SAP BPC .................................................................................................................................................. 59 5.2 GESTIÓN DE USUARIOS ........................................................................................................................................................... 61 5.3 GESTIÓN DE EQUIPOS.............................................................................................................................................................. 64 5.4 GESTIÓN DE PERFILES DE TAREAS ........................................................................................................................................... 67 5.5 GESTIÓN DE PERFILES DE ACCESO A MIEMBROS .................................................................................................................... 70

6 ANEXOS ......................................................................................................................................................................................... 74



4

Introducción

El objetivo del presente documento es presentar los aspectos referentes a la configuración de las autorizaciones (Roles y Perfiles), así como de los usuarios, en el marco de la estrategia de seguridad.

Este marco de seguridad cubre los aspectos técnico y funcional afín a los sistemas del proyecto PMERP.



5

1 Alcance

Para PETROPERU, se definió el alcance de la implementación, en términos de sistemas SAP, según el documento “PMERP-F1-EF-GB-012A Definición Del Alcance Técnico del Proyecto PMERP”.

La configuración de roles y perfiles mostrada en el presente documento cubre los siguientes sistemas:

- SAP Enterprise Resource Planning (ERP)

- SAP Supplier Relationship Management (SRM)

- SAP Business Intelligence (BI)

- SAP Process Integration (PI)

- SAP Solution Manager (SM)

- SAP Access Control (AC)

- SAP Enterprise Portal (EP)

- SAP BusinessObjects Planning and Consolidation (BPC)



6

2 Configuración de Roles y Perfiles

Esta sección describe la configuración realizada sobre los roles y perfiles concernientes a los sistemas SAP del proyecto.

Las capturas de pantalla de este documento sólo muestran una parte de los roles configurados. Para tener una visión de todos los roles creados, se deben revisar los archivos indicados en la sección Anexos (punto 5), los cuales se entregan junto con este documento.

2.1 SAP Enterprise Resource Planning (ERP)

Para esta solución SAP se han configurado los roles agrupados por las áreas funcionales relevantes del proyecto:

- Comercial: SD

- Finanzas: FI, CO

- Logística: MM

- Refinería: PP, PM, QM

- Proyectos: PS

- Recursos Humanos: HCM

El siguiente gráfico es un ejemplo de los roles creados para FI:

La primera columna se refiere a los roles (simples o derivados) del área funcional. La segunda columna muestra el rol máster del cual se deriva el rol, en caso de ser derivado.



7

Esta es la estructura que se mostrará para los roles simples y derivados en el resto de ejemplos del documento.

Así mismo, se ha considerado la creación de roles para el control de la autorización de las siguientes funcionalidades por separado:

- DMS: Siglas para Document Management System. Es una funcionalidad de SAP para la gestión documental, es decir, para el almacenaje y recuperación de documentación de distinta naturaleza desde el sistema SAP y de forma transparente para los usuarios, la cual puede ser utilizada por varias áreas funcionales a la vez.

- Clases: Dentro del área funcional de Refinería, la cual cubre los módulos de PP, PM y QM del SAP ERP, se manejan los conceptos de clasificación de objetos y características de materiales. Por esta razón se ha modelado un grupo de roles aparte para modelar el nivel de autorización a esta área común.



8

De igual forma, existe un grupo de roles que modela las autorizaciones para los usuarios técnicos, tales como administradores del sistema SAP (Basis) o usuarios de soporte:

Finalmente, se cuentan con roles para controlar las autorizaciones de los usuarios técnicos desarrolladores (ABAP), es decir, los usuarios que desempeñan la labor de programación dentro del sistema SAP:

Se debe señalar que en el SAP ERP también se han creado roles compuestos para todas las áreas funcionales.

El siguiente gráfico es un ejemplo de los roles compuestos creados para SD:



9

La siguiente tabla resume la cantidad de roles simples creados a la fecha para los módulos del SAP ERP:

Area funcional

Cantidad de roles Nombre Módulos

Ventas y Distribución (Comercial) SD 841

Finanzas FI, CO 607

Gestión de Materiales MM 2700

Refinería PP, PM, QM 582

Gestión de Proyectos PS 86

Recursos Humanos HCM 375

DMS - 69

Clases - 60

Basis BC 22

ABAP - 7

Así mismo, se muestra la cantidad de roles compuestos creados a la fecha para los módulos del SAP ERP:

Area funcional

Cantidad de roles Nombre Módulos

Ventas y Distribución (Comercial) SD 126

Finanzas FI, CO 94

Gestión de Materiales MM 44

Refinería PP, PM, QM 86

Gestión de Proyectos PS 19

Recursos Humanos HCM 8



10

2.2 SAP Supplier Relationship Management (SRM)

Para esta solución SAP se han configurado los roles de la funcionalidad de SRM, de acuerdo a los roles principales de esta área funcional. A continuación se muestran los roles de este sistema:

Al igual que con el SAP ERP, existe un grupo de roles que modela las autorizaciones para los usuarios técnicos:



11

También se cuentan con roles para controlar las autorizaciones de los usuarios técnicos desarrolladores (ABAP):

La siguiente tabla resume la cantidad de roles generados a la fecha para SAP SRM:

Area funcional Cantidad de roles

Supplier Relationship Management 16

Basis 22

ABAP 7



12

2.3 SAP Business Intelligence (BI)

En esta solución SAP se han configurado los siguientes roles funcionales:

De la misma forma que con los sistemas SAP descritos anteriormente, existe un grupo de roles que modela las autorizaciones para los usuarios técnicos:

Igualmente, se cuentan con roles para controlar las autorizaciones de los usuarios técnicos desarrolladores (ABAP):



13

La siguiente tabla resume la cantidad de roles generados a la fecha para SAP BI:


Business Intelligence 14

Basis 22

ABAP 7



14

2.4 SAP Process Integration (PI)

Para SAP PI se han configurado los siguientes roles funcionales:

Análogamente a los roles de los sistemas mostrados anteriormente, se han creado un grupo de roles para modelar las autorizaciones de los usuarios técnicos:



15

También se han creado roles para controlar las autorizaciones de los usuarios técnicos desarrolladores (ABAP):

La siguiente tabla resume la cantidad de roles generados a la fecha para SAP PI:


Process Integration 14

Basis 22

ABAP 7



16

2.5 SAP Solution Manager (SM)

Para esta solución SAP no se han configurado los roles de la funcionalidad de Solution Manager siguiendo una categorización en particular. A continuación se muestra una parte de los roles de este sistema:

Como ocurre con el resto de los roles de los sistemas SAP descritos en este documento, se han creado un grupo de roles para modelar las autorizaciones de los usuarios técnicos:



17

De igual manera, también se han creado roles para controlar las autorizaciones de los usuarios técnicos desarrolladores (ABAP):

En este sistema también se han creado roles compuestos:

La siguiente tabla resume la cantidad de roles generados a la fecha para SAP Solution Manager:


Solution Manager 90

Basis 22

ABAP 7

Así mismo, se muestra la cantidad de roles compuestos creados a la fecha:


Solution Manager 2



18

2.6 SAP Access Control (AC)

Para SAP GRC (Governance Risk and Compliance) se han configurado los siguientes roles funcionales, los cuales son copia de roles estándar:

Como ocurre con el resto de los sistemas SAP descritos en el presente documento, se han creado roles para los usuarios técnicos:

También existen roles para controlar las autorizaciones de los usuarios técnicos desarrolladores (ABAP):



19

La siguiente tabla resume la cantidad de roles generados a la fecha para SAP Solution Manager:


Access Control (GRC) 4

Basis 22

ABAP 7



20

2.7 SAP Enterprise Portal (EP)

Dado el requerimiento de negocio respecto de la funcionalidad a publicarse en el SAP Enterprise Portal (módulo HCM del SAP ERP), no ha sido necesario crear roles nuevos o modificar roles estándar. Los escenarios de trabajo en el SAP EP se basan en la asignación de los siguientes dos roles estándar:

Rol Descripción

com.sap.pct.erp.ess.employee_self_service Employee Self-Service

com.sap.pct.erp.mss.manager_self_service Manager Self-Service

Estos roles no están asignados directamente a los usuarios, sino que su asignación se realiza a través de los siguientes grupos:

Grupo Descripción

HCM_ESS Grupo ESS para HCM

HCM_MSS Grupo MSS para HCM

El grupo HCM_ESS corresponde a todos los usuarios (empleados) que utilizarán la funcionalidad de HCM a través del SAP EP, tales como marcación de tiempos, consulta de boletas, etc.

El grupo HCM_MSS engloba a los usuarios administradores de la funcionalidad, es decir, analistas y key users del módulo HCM en el SAP ERP.



21

2.8 SAP BusinessObjects Planning and Consolidation (BPC)

Como se detalló en el entregable PMERP-F3-DT-BC-038 Documentación del Diseño de Roles Funcionales-Técnicos, la solución SAP BPC no utiliza el concepto de seguridad ABAP o Java, visto en el resto de puntos de este capítulo, sino que utiliza su propio mecanismo de seguridad, basado en perfiles de tareas, tareas de interface y perfiles de acceso a miembros.

En este contexto, se ha configurado el perfil de tareas budget, al cual están asociadas las siguientes tareas:

Perfil de tareas Tareas de interface

Budget

AccesoBiblContenidos

CargarDocumento

SetApplicationContext

Reglas empresariales

CrearDiario

EjecuciónBPF

Bloqueos

Otros

FijarStatusTrabajo

TransferirDatos

eAnalyze

GestionarComentarios

AñadirComentario

GestionarObtenciónDeDetalles

ObtenciónDeDetallesDeUsuarioFinal

A continuación se listan las aplicaciones que se han diseñado para la implementación de SAP BPC:

Aplicación Descripción

INVERSION Inversiones de la compañía

MAESTRO Maestros de datos

OPERATIVO Presupuesto Operativo



22

Así mismo, se han configurado los siguientes perfiles de acceso a miembros:

Perfil de acceso

a miembros Aplicación

Nivel de acceso

Dimensión Elemento

OP_TALARA

INVERSION Read & Write PT_AREA 10

MAESTRO

OPERATIVO Read & Write PT_CECO_CEBE 1010000000

Read & Write PT_SOCIEDAD CP01

OP_SELVA


MAESTRO



OP_CONCHAN


MAESTRO



OP_OLEODUCTO


MAESTRO



OP_MILAGRO


MAESTRO



OP_COMERCIAL


MAESTRO



OP_LIMA


MAESTRO





23

3 Gestión de seguridad en sistemas SAP ABAP

Para complementar lo expuesto hasta este punto, se detallan los procedimientos de creación y asignación de roles, los cuales son válidos para todos los sistemas SAP basados en un servidor de aplicaciones SAP NetWeaver ABAP.

Pre-requisitos

1. El administrador de seguridad debe estar autenticado en el mandante del

sistema SAP ABAP (ERP, SRM, BI, PI, GRC o Solution Manager) en donde

se encuentran creados los usuarios a gestionar, mediante SAP GUI . Es importante tener en cuenta que en un sistema SAP ABAP los registros maestros de usuario son datos dependientes de mandante, y que puede existir más de un mandante en cada sistema SAP ABAP.

2. El administrador de seguridad debe contar con los privilegios de acceso a las transacciones de gestión de seguridad.

Los roles se gestionan mediante la transacción PFCG. En esta transacción se puede crear, modificar o eliminar roles simples, másters, derivados y compuestos.

3.1 Creación de Roles Simples y/o Másters

Ingresar el nombre del rol.

En el ejemplo, el nombre del rol es: ZHRCMM_ADM_REMUNERACION

Presionar el botón .

En la ficha ‘Descripción’ se completan los datos descriptivos del rol.



24

Siguiendo el mismo ejemplo, tenemos lo siguiente:

Luego, se procede a grabar el rol. Presionar el botón .

El sistema mostrará el siguiente mensaje en la parte inferior de la ventana:

Seguidamente, ingresar a la ficha ‘Menú’. Esta opción de la transacción permite asociar transacciones (estándar o Z) al rol. Para ello se utiliza el botón

.

Siguiendo el ejemplo, se muestra la asignación de la transacción PO13:



25

Asignamos la transacción tal y como se muestra a continuación:




26

Lo siguiente a realizar es editar las autorizaciones del nuevo rol. Para ello se ingresa a la ficha ‘Autorizaciones’.

Un paso importante en este punto es asignar el perfil que tendrá asociado el

nuevo rol. Para realizarlo, presionar el botón . Esta acción asigna un nombre de perfil propuesto por el sistema.

En el ejemplo, el nombre asignado es T-ED052873:

Presionar el botón para grabar los cambios.




27

Seguidamente, modificar las autorizaciones del rol. En la siguiente sección,

presionar el botón :

El sistema muestra la siguiente ventana:

El sistema requiere que se ingrese los valores para los niveles organizacionales. Como se indicó en el punto 3.2, esta información debió ser proporcionada por los key users.



28

Para el ejemplo, se ingresan los siguientes datos:

En el ejemplo, se deja en blanco al nivel organizacional División de Personal debido a que este rol tendrá roles derivados y se diferenciarán por dicho nivel organizacional.

Utilizar el botón para grabar los cambios.

A continuación, el sistema muestra las opciones para la modificación de los objetos de autorización:



29

Los valores para los campos de los objetos de autorización son ingresados de acuerdo a los requerimientos del proyecto de implementación.

Una vez completados los datos, se procede a generar el perfil asociado. Para

ello se utiliza el botón .

Presionar el botón para generar el perfil.


Regresar a la ventana anterior presionando el botón .



30

El sistema muestra ahora que la pestaña ‘Autorizaciones’ tiene valoración verde, indicativo que los datos mínimos han sido ingresados y grabados:

La ficha ‘Usuario’ tiene valoración roja porque el rol todavía no ha sido asignado a ningún usuario:

Esta asignación se puede realizar posteriormente.



31

3.2 Creación de Roles Derivados

Siguiendo con el ejemplo, se procederá a crear roles derivados en base al rol del punto anterior (ZHRCMD_ADM_REMUNERACION).

Para el ejemplo, los roles derivados tendrán los siguientes nombres:

ZHRCMD_ADM_REMUNERACION_OFP

ZHRCMD_ADM_REMUNERACION_OTL

ZHRCMD_ADM_REMUNERACION_OPC

ZHRCMD_ADM_REMUNERACION_OPS

ZHRCMD_ADM_REMUNERACION_OLE

ZHRCMD_ADM_REMUNERACION_CML


Los datos a tener en cuenta son los siguientes:

Como se mencionó en el punto anterior, los roles derivados se van a diferenciar por el nivel organizacional División de Personal. Los valores del resto de niveles organizacionales del rol máster serán heredados a los roles derivados.



32

Los pasos para la creación de roles derivados son los siguientes:

3.2.1 Definición de Roles Derivados

Llamar a la transacción PFCG e ingresar en el campo Rol el nombre del rol derivado a crear.

En el ejemplo, se ingresa ZHRCMD_ADM_REMUNERACION_OFP:

Presionar el botón para crear el rol.

En la ficha ‘Descripción’, ingresar la información requerida.



33

Para el ejemplo, en el campo Descripción se ingresa lo siguiente: Administrador de Remuneración OFP

En la sección ‘Herencia de transacciones’, ingresar en el campo Derivar de rol el nombre del rol máster del cual se van a heredar las autorizaciones y niveles organizacionales:

Para el ejemplo, se ingresa ZHRCMM_ADM_REMUNERACION:



34

Presionar el botón para grabar los cambios. El sistema muestra el siguiente mensaje:


El sistema muestra ahora que la pestaña ‘Menú’ tiene valoración verde, lo que indica que los datos han sido ingresados y grabados, y el rol ha sido derivado correctamente:

Al ingresar a la ficha ‘Menú’ se pueden verificar las transacciones que han sido heredadas:



35

Lo siguiente a realizar es completar el nivel organizacional División de Personal. Ingresar a la ficha ‘Autorizaciones’:

A continuación, se debe asignar el perfil que tendrá asociado el nuevo rol, de manera análoga a como se mostró en la creación de los roles simples.

Presionar el botón . Esta acción asigna un nombre de perfil propuesto por el sistema.

En el ejemplo, el nombre asignado es T-ED052874:





36




Solamente se completará el campo División de Personal, ya que los otros valores serán heredados del rol máster, como se muestra a continuación:

Presionar el botón de la esquina inferior derecha para grabar los cambios.



37


Una vez completados los datos, se procede a generar el perfil asociado. Para

ello se utiliza el botón .



Este procedimiento se sigue para cada rol derivada que se desee crear.

Como parte del ejemplo, se procederá a crear un segundo rol, en este caso, definido como: ZHRCMD_ADM_REMUNERACION_OTL

Seguimos el mismo procedimiento realizado en la creación del rol derivado anterior.



38

El resultado debe ser el siguiente:

La diferencia con el rol anterior es el campo División de Personal, el cual en este caso tomar el valor OTL0.

El resto de pasos (generación del perfil) son los mismos mostrados en la creación del primer rol derivado.



39

3.2.2 Ajuste de Roles Máster

Llamar a la transacción PFCG e ingresar en el campo Rol el nombre del rol máster a ajustar.

Siguiendo el ejemplo, se ingresa ZHRCMD_ADM_REMUNERACION:

Presionar el botón para modificar el rol.



40

Ingresar a la ficha ‘Autorizaciones’:




Para ajustar el rol máster, presionar el botón en la siguiente sección:



41

El sistema muestra el siguiente mensaje:

Presionar el botón . El sistema muestra ahora el siguiente mensaje:



Con esta acción se completa el ajuste del rol máster y sus roles derivados.



42

Regresar a la ventana anterior presionando el botón .

Para verificar la relación entre el rol máster y sus roles derivados, presionar el

botón :

Realizar un doble click sobre, por ejemplo, el vínculo del rol derivado ZHRCMD_ADM_REMUNERACION_OFP. Esta acción mostrará el contenido de dicho rol, pudiendo constatarse que todos los objetos de autorización tienen valoración verde, lo que indica que el rol derivado fue creado correctamente y heredó todos los valores del rol máster:

Lo mismo puede realizarse con el resto de roles derivados creados.



43

3.3 Creación de Roles Compuestos

Llamar a la transacción PFCG. Ingresar el nombre del rol compuesto a crear.

En el ejemplo, el nombre es: ZHRCMC_ADM_REMUNARC_ADVISOR*


(*): Para el ejemplo, este rol estará compuesto por los roles:

ZHRCMD_ADM_REMUNERACION_OFP


ZHRCMD_ADM_REMUNERACION_OPC

ZHRCMD_ADM_REMUNERACION_OPS

ZHRCMD_ADM_REMUNERACION_OLE

ZHRCMD_ADM_REMUNERACION_CML



44


Seguidamente, ingresar a la ficha ‘Roles’:

A continuación, se ingresan todos los roles que van a ser parte del rol compuesto.

Para el ejemplo, se ingresan los siguientes valores:





45

3.4 Asignación de roles a usuarios

A continuación, se detalla el procedimiento para la asignación de roles a cuentas de usuarios.

Al igual que el procedimiento descrito en el punto anterior de este documento, el procedimiento descrito aquí es válido para todos los sistemas SAP referidos en el punto 1, y el mismo a utilizar para la asignación de roles simples, derivados o compuestos.

Llamar a la transacción PFCG e ingresar el nombre del rol a modificar.

En el ejemplo mostrado, el rol es el ZFICO_00024:




46

Si el rol no ha sido asignado a ningún usuario, el sistema mostrará que la ficha ‘Usuario’ tiene valoración roja:

Seleccionar la ficha ‘Usuario’:

Ingresar los ID de usuario que tendrán asociado el rol en la sección ‘Asignaciones usuar.’, columna Ident.usuario:




47


El sistema mostrará que el botón tiene valoración roja:

Esto es un indicador de que es necesario realizar un ajuste. Presionar el botón

.

El sistema mostrará la siguiente ventana:

Finalmente, presionar el botón , para que se realice el ajuste.



48

El sistema muestra ahora que el ajuste se ha realizado con éxito:

Para corroborarlo, verificar que se tenga una valoración en verde para todas las secciones del registro del rol:



49

4 Gestión de seguridad en sistemas SAP EP

En esta sección se detallan los procedimientos relevantes para la gestión de seguridad en sistemas SAP EP (Enterprise Portal).

Pre-requisitos

1. El administrador de seguridad debe estar autenticado en el sistema SAP EP

en donde se encuentran creados los usuarios a gestionar, mediante un browser de Internet*.

2. El administrador de seguridad debe contar con los privilegios de acceso a la funcionalidad de gestión de seguridad.

(*): Los browsers compatibles son MS Internet Explorer 8.0 ó 9.0, y Mozilla Firefox

4.1 Autenticación en SAP EP

Ejecutar un browser y accesar a la siguiente URL**:

(**): URL sólo accesible desde dentro de la red de Petroperú o externamente a través de VPN

Ingresar los datos de una cuenta autorizada:



50

4.2 Gestión de usuarios, grupos y roles

Una vez autenticado en el Enterprise Portal, navegar como se indica:

En esta funcionalidad el sistema permite realizar una búsqueda por usuarios, grupos o roles:



51

En este otro ejemplo, se muestran los roles existentes en el sistema EP:

En el siguiente ejemplo, se revisan los roles asignados al usuario BASIS:

Cuando se selecciona el registro de un usuario, aparecen en la parte inferior de la página opciones adicionales de búsqueda y modificación de información, incluyendo la asignación de nuevos roles:



52

Así mismo, se puede realizar la asignación del usuario a otros grupos:

En este ejemplo, se revisan los usuarios asignados al grupo* HCM_ESS y se asigna el usuario BASIS al grupo:

(*): Los grupos de HCM en EP fueron descritos en el punto 2.7 del presente documento

Navegar como se indica:

Con lo botones disponibles, es posible recorrer la lista completa de usuarios del grupo.



53

Para asignar el usuario BASIS al grupo HCM_ESS, cambiar a modo de edición presionando el botón:

Luego, seguir los siguientes pasos:

Como resultado, el usuario es agregado al grupo HCM_ESS:



54

Para grabar los cambios, presionar el botón:

El usuario ahora cuenta con el rol com.sap.pct.erp.ess.employee_self_service, el cual le permitirá navegar y utilizar la funcionalidad de HCM en el sistema EP.

4.3 Roles como contenido del EP

Para que el esquema de seguridad opere con la funcionalidad de HCM de SAP ERP publicada a través de SAP EP, es necesario, además de la gestión de los usuarios, grupos y roles, declarar los roles involucrados como parte del contenido de PETROPERÚ en el EP.

Para verificar la configuración actual, navegar como se indica:



55

A continuación, desplegar el nodo Contenido PetroPeru:

Aquí se puede observar que los roles Employee Self-Service y Manager Self-Service han sido declarados como parte del contenido del nodo:



56

Para visualizar mayor detalle de un rol, seleccionar la opción correspondiente en el menú contextual del rol o realizar un doble click sobre el rol:

Esta acción desplegará los atributos del objeto rol:

En la sección Display se puede cambiar a otra vista del objeto para visualizar atributos adicionales del rol:



57

En la vista Permissions es posible cambiar la asignación de permisos del rol respecto de los usuarios o grupos de usuarios:

Finalmente, y en caso se requiera asignar roles adicionales al no Contenido PetroPeru, se debe realizar la siguiente acción:



58

A continuación, se deben completar los datos referidos al rol que se desea agregar al nodo Contenido PetroPeru:

Presionar el siguiente botón para continuar:

El sistema mostrará el resumen del cambio a realizar:

Para grabar el cambio, presionar el siguiente botón:



59

5 Gestión de seguridad en sistemas SAP BPC

A continuación se detallan los procedimientos relevantes para la gestión de seguridad en SAP BPC.

Pre-requisitos

1. El administrador de seguridad debe estar autenticado en el sistema SAP

BPC en donde se encuentran registrados los usuarios a gestionar, mediante la herramienta Planning and Consolidation Administration Client:

2. El administrador de seguridad debe contar con los privilegios de acceso a la funcionalidad de gestión de seguridad.

5.1 Autenticación en SAP BPC

Ejecutar la aplicación cliente para administración y seleccionar el AppSet PETRO_NEW:



60

Autenticar al sistema SAP BPC con los datos correspondientes de la cuenta del usuario e ingresar PETBPCPRD como dominio:

Desplegar la opción Security:



61

5.2 Gestión de usuarios

Seleccionar la opción Users para navegar en la lista de usuarios registrados y elegir el usuario a gestionar:

En el lado derecho de la pantalla está el Panel de acciones, donde se encuentran las opciones para crear nuevos usuarios, o modificar y eliminar usuarios existentes:



62

Para el ejemplo, seleccionamos la opción Modificar usuario:

En el paso 1 se muestran los usuarios miembros del dominio:

En el paso 2 se pueden modificar los atributos básicos del usuario:



63

En el paso 3 se puede asociar el usuario a equipos de usuarios, perfiles de tarea o perfiles de acceso de miembro:

Finalmente, en el paso 4 se muestra un resumen de los cambios seleccionados y se aplican al usuario. También se tiene la opción de cancelar las modificaciones:



64

5.3 Gestión de equipos

Seleccionar la opción Teams para navegar en la lista de equipos configurados y elegir el equipo a gestionar:

Similar a lo detallado en el punto 4.2, el Panel de acciones mostrará las opciones para crear nuevos equipos, o modificar y eliminar equipos existentes:



65

Para el ejemplo, seleccionamos la opción Modificar equipo:

En el paso 1 se puede modificar la descripción del equipo:

En el paso 2 se pueden agregar o quitar usuarios al equipo:



66

En el paso 3 se puede asociar el equipo a otro perfil de tarea (en el ejemplo mostrado, sólo existe el perfil de tarea budget):

Finalmente, en el paso 4 se muestra un resumen de los cambios seleccionados y se aplican al equipo. También se tiene la opción de cancelar las modificaciones:



67

5.4 Gestión de perfiles de tareas

Seleccionar la opción Task profiles para navegar en la lista de perfiles configurados y elegir el perfil a gestionar:

Similar a lo detallado en los puntos anteriores, el Panel de acciones mostrará las opciones para crear nuevos perfiles de tareas, o modificar y eliminar los perfiles existentes:



68

Para el ejemplo, seleccionamos la opción Modificar perfil de tarea:

En el paso 1 se puede modificar la descripción del perfil de tareas:

En el paso 2 se pueden agregar o quitar tareas al perfil:



69

En el paso 3 se pueden asociar usuarios o equipos al perfil de tarea (en la implementación, los perfiles se han asociado a equipos de usuarios, no a usuarios individuales):

Finalmente, en el paso 4 se muestra un resumen de los cambios seleccionados y se aplican al perfil de tarea. También se tiene la opción de cancelar las modificaciones:



70

5.5 Gestión de perfiles de acceso a miembros

Seleccionar la opción Member Access Profiles para navegar en la lista de perfiles configurados y elegir el perfil a gestionar:

Al igual que en lo detallado en los puntos anteriores, el Panel de acciones mostrará las opciones para crear nuevos perfiles de acceso a miembros, o modificar y eliminar los perfiles existentes:



71

Para el ejemplo, seleccionamos la opción Modificar perfil de acceso de miembro:

En el paso 1 se puede modificar la descripción del perfil de acceso de miembro:

En el paso 2 se pueden configurar los niveles de acceso a las aplicaciones configuradas en la solución BPC, así como especificar los valores válidos para las dimensiones utilizadas por las estructuras de datos:



72

En el paso 3 se pueden asociar usuarios o equipos al perfil de tarea (en la implementación, los perfiles se han asociado a equipos de usuarios, no a usuarios individuales):



73

Finalmente, en el paso 4 se muestra un resumen de los cambios seleccionados y se aplican al perfil de acceso de miembro. También se tiene la opción de cancelar las modificaciones:



74

6 Anexos

Se anexa la versión electrónica del presente documento en formato .PDF.

Así mismo, la versión electrónica de los siguientes archivos en formato de MS Excel 2007, con el detalle de los roles creados (simples y compuestos, si corresponde) por sistema SAP:

Solución SAP Archivo

SAP Enterprise Resource Planning SAP ERP - Roles v5.xlsx

SAP Supplier Relationship Management SAP SRM - Roles v5.xlsx

SAP Business Intelligence SAP BI - Roles v5.xlsx

SAP Process Integration SAP PI - Roles v5.xlsx

SAP Solution Manager SAP SM - Roles v5.xlsx

SAP Access Control (GRC) SAP AC - Roles v5.xlsx

Finalmente, acompañan al presente documento la versión electrónica de los siguientes archivos en formato MS Excel 2007:

Solución SAP Archivo

SAP Enterprise Resource Planning ECP-400 - Usuarios y Roles v1.xlsx

SAP Supplier Relationship Management SMP-100 - Usuarios y Roles v1.xlsx

SAP Business Intelligence BIP-400 - Usuarios y Roles v1.xlsx

SAP Process Integration PIP-001 - Usuarios y Roles v1.xlsx

SAP Solution Manager SMP-100 - Usuarios y Roles v1.xlsx

SAP Access Control (GRC) GRP-400 - Usuarios y Roles v1.xlsx

Los archivos contienen cuatro pestañas con información a la fecha (17.12.2013) sobre lo siguiente:

1. Users: Relación de usuarios creados en el mandante de producción.

También se muestra información de los tipos de roles asignados. Para el caso del ERP, se muestra también información del módulo de ERP.

2. Users vs Roles: Relación de usuarios y roles asignados (simples y compuestos).

3. Comp. Roles vs Sing. Roles: Relación de roles compuestos y roles

simples configurados en cada uno.

4. Roles vs Func.: Relación de roles simples con el detalle de la funcionalidad (transacciones) configurada en cada uno.

PMERP-F3-EF-GB-039 Configuración de Los Roles, Perfiles y Usuarios - Parte 2 v1

Documents

Transcript of PMERP-F3-EF-GB-039 Configuración de Los Roles, Perfiles y Usuarios - Parte 2 v1