Treinamento SAP R3

Treinamento do Sistema SAP R/3 Segurança das Informações e Perfis de Acesso 23.08.2005 

ÍNDICE 1. Obje Objetitivo vo

2. Conteúdo Conteúdo do Treina Treinamento mento 3. Aspectos Aspectos de Segurança Segurança do Sistema Sistema SAP R/3 4. Administraç Administração ão dos Perfis Perfis de Acesso 5. Matriz Matriz de Segregação Segregação de de Funções

ÍNDICE 1. Obje Objetitivo vo

2. Conteúdo Conteúdo do Treina Treinamento mento 3. Aspectos Aspectos de Segurança Segurança do Sistema Sistema SAP R/3 4. Administraç Administração ão dos Perfis Perfis de Acesso 5. Matriz Matriz de Segregação Segregação de de Funções

1. Objetivo O objetivo deste material é apresentar as principais características e funcionalidades funcionalidades do sistema SAP R/3 que estão relacionadas à segurança das informações e, consequentemente, consequentemente, aos perfis de acesso, de modo que a administração deste ambiente possa seguir s eguir as boas práticas de mercado.

2. Conteúdo do Treinamento O conteúdo deste treinamento abrange:  Aspectos de Segurança do Sistema SAP R/3: 

Autenticação de Usuários.



Conceitos de Autorização.



Parâmetros de Segurança (RSPARAM).



Trilhas de Auditoria.

Segregação de Funções na Administração dos Perfis de Acesso.







Administração dos Perfis de Acesso: 

Profile Generator.



Ferramentas Úteis.



Relatórios.

Matriz de Segregação de Funções.

 Aspectos de Segurança do Sistema SAP R/3

3. Aspectos de Segurança do Sistema SAP R/3 A ilustração abaixo esboça a visão geral dos dispositivos de segurança do sistema SAP R/3. Os três (3) tópicos que serão abordados neste treinamento, dentro do tópico segurança, estão indicados com setas vermelhas.

3. Aspectos de Segurança do Sistema SAP R/3 A demanda por segurança aumenta em linha com o aumento da utilização de sistemas distribuídos para gerenciar os dados do negócio. O uso deste tipo de sistema requer que os processos e dados que suportam as necessidades de negócio estejam protegidos contra acesso não autorizado, principalmente, quando tratamos de informações críticas. Em decorrência dos fatores acima citados, faz-se necessário a adequada administração dos seguintes aspectos de segurança do ambiente SAP R/3:

Somente usuários autorizados podem ter acesso ao sistema SAP R/3. Os usuários somente podem executar tarefas e transações autorizadas e que estejam de acordo com as funções desempenhadas. Os dados do sistema não podem ser modificados sem que seja registrada a operação. Os dados e a comunicação devem ser protegidos contra acesso não autorizados. Assegurar que a empresa e os usuários do SAP R/3 conhecem suas responsabilidades e obrigações legais. As atividades e eventos críticos do sistema devem ser registrados para consulta futura e auditorias. Tópicos que estão contemplados neste treinamento.

3. Aspectos de Segurança do Sistema SAP R/3 Autenticação de Usuários A autenticação dos usuários é realizada por meio de contas dos usuários (IDs) e senhas de acesso, assegurando: 

Somente usuários autorizados acessem o sistema SAP R/3.



Manutenção da integridade das informações registradas.

O sistema dispõe de diversos mecanismos (regras e parâmetros) para autenticar os usuários e garantir que as contas de acesso (IDs) não sejam indevidamente utilizados, entre estes mecanismos estão: (i).número mínimo de caracteres por senha, (ii).troca periódica da senha, (iii).bloqueio das contas dos usuários que erram as senhas, entre outros mecanismos que discutiremos mais detalhadamente no item “Parâmetros de Segurança do Sistema SAP R/3”.

3. Aspectos de Segurança do Sistema SAP R/3 Autenticação de Usuários (continuação) O SAP dispõe de regras padrão para utilização de senha. Estas regras podem ser alteradas conforme a conveniência e de acordo com a Política de Segurança da Organização. As regras padrão para as senhas dos usuários estão detalhadas abaixo: É obrigatório trocar a senha de acesso ao sistema na primeira vez que o usuário efetua sua conexão. 

 A senha deve possuir, no mínimo, três (3) caracteres. 

O tamanho máximo da senha é oito (8) caracteres.



O primeiro caractere da senha não pode ser interrogação “?” ou exclamação “!”.

Os três (3) primeiros caracteres da senha não podem estar na mesma ordem de parte da conta do usuário. Exemplo: usuário: JOSESILVA, senha: SES. 



Os três (3) primeiros caracteres da senha não podem ser repetidos (ex.:aaa) e não

podem possuir o caractere “espaço”.  A 

senha não pode ser “SAP*” ou “PASS”.

O usuário não pode reutilizar as últimas cinco (5) senhas.

Os usuários somente podem trocar suas senhas se estiverem conectados ao sistema. 

3. Aspectos de Segurança do Sistema SAP R/3 Conceitos de Autorização As Organizações têm diversos cargos e funções associados a sua estrutura organizacional (organograma), e as pessoas responsáveis por desempenhar tais atividades precisam ter acesso a determinados módulos (funcionalidades) do sistema integrado. Neste sentido, os processos e informações não devem e não precisam estar disponíveis para usuários que não desempenham esta função.

Os usuários somente devem possuir acesso às transações e programas associados as suas tarefas, portanto, é importante que o responsável pela manutenção dos perfis de acesso revise regularmente a utilização das transações disponíveis aos usuários. Caso estas não estejam sendo utilizadas, devese retirar este acesso.

3. Aspectos de Segurança do Sistema SAP R/3 Conceitos de Autorização O conceito de autorização do sistema SAP R/3 foi desenvolvido para permitir que os usuários somente acessem as transações e programas para os quais foram autorizados. Por isso, quando um usuário executa uma transação ou um programa, o sistema efetua uma checagem de autorização (authority check ) para verificar se o usuário possui os privilégios de acesso necessários para efetuar tal acesso. As checagens de autorização do sistema SAP R/3 são baseadas em quatro (4) tipos de checagem de autorização: 1. Autorização para execução de transações (objeto de autorização S_TCODE). 2. Autorizações específicas para executar transações (objetos de autorização). 3. Checagem de autorização nos programas (cláusula de authority check ). 4. Classes de relatório (class) e grupos de autorização nas tabelas (authorization group).

De modo a auxiliar os Administradores de Sistema a criar e manter os perfis de acesso dos usuários, a SAP criou a ferramenta Profile Generator (PFCG) que automatiza o processo de criação dos perfis de acesso, facilitando a gestão destes.

3. Aspectos de Segurança do Sistema SAP R/3 Parâmetros de Segurança (RSPARAM) Os principais parâmetros do sistema SAP R/3 estão registrados no programa RSPARAM que está estruturado em três (3) colunas com as seguintes informações: Nome do parâmetro: nesta coluna está registrado o código do parâmetro (login/fails_to_user_lock, por exemplo). 

Valor definido pelo usuário: caso esta coluna esteja preenchida, o valor desta prevalece sobre o valor padrão, ou seja, são os valores definidos pela Organização. 

Valor padrão (default ) do sistema: nesta coluna estão registrados os valores definidos pela SAP. 

Os parâmetros da RSPARAM podem afetar o desempenho do sistema, portanto, qualquer alteração nestes deve ser avaliada pelos Administradores do Sistema em conjunto com a área de TI. O slide a seguir demonstra os principais parâmetros de segurança do sistema SAP R/3.

3. Aspectos de Segurança do Sistema SAP R/3 Parâmetros de Segurança (RSPARAM) - continuação Abaixo estão listados os principais parâmetros de segurança do sistema SAP R/3, os valores padrão e os valores recomendados pela Deloitte. Descrição do Parâmetro

Código do Parâmetro

Valor Padrão

Valor Recomendado

Login/password_expiration_time

90 dias

60 dias

Tamanho mínimo de senha.

Login/min_password_lng

3 caracteres

8 caracteres

Número de tentativas inválidas de acesso para o usuário ser bloqueado.

Login/fails_to_user_lock

Tempo de expiração de senha.

Número de tentativas inválidas de acesso, após as quais a sessão do sistema é fechada.

Login/fails_to_session_end

Tempo máximo de execução de um programa em tempo real (on-line).

Rdisp/max_wprun_time

Tempo de inatividade para sessão de trabalho ser desconectada automaticamente.

Rdisp/gui_auto_logout

Desbloqueio automátic o de usuários após a meia noite. Criação automática do usuário SAP*. Desligar as checagens de autorização das transações.

12 tentativas 3 tentativas 1200 segundos 0 (nunca)

Login/faile d_user_auto_unlo ck

1 (ativado)

Login/no_automatic_user_sapstar ou Login/no_automatic_user_sap*

0 (ativado)

Auth/no_check_in_some_cases

Y (permitido desligar)

3 tentativas 3 tentativas 900 segundos 1200 segundos 0 (desativado) 1 (desativado) N (Não é permitido desligar)

3. Aspectos de Segurança do Sistema SAP R/3 Parâmetros de Segurança (RSPARAM) - continuação

Descrição do Parâmetro

Código do Parâmetro

Valor Padrão

Valor Recomendado

Conexões múltiplas ao SAP

Login/disable_multi_gui_login

0 (ativado)

1 (desativado)

Desligar as checagens de autorização dos objetos de autorização.

Auth/object_disabling_active

Y (pode ser desativado)

N (Não pode ser desativado)

Auth/rfc_authority_check

1 (desativa a checagem)

2 (ativa a checagem)

Rdisp/keepalive

1200 segundos

300 segundos

Auth/system_access_check_off 

0 (desativa a checagem)

0 (ativa a checagem)

Rsau/enable

0 (desativada)

1 (ativada)

Rec/client

OFF

ALL (todas).

Efetua as checagens de autorização dos objetos S_RFC e FUGR Tempo para checar conexões não utilizadas. Desliga a checagem automática das autorizações para ABAP. Habilitação da trilha de auditoria. Registro (log) de modificações nas tabelas. Desabilita a checagem de autorizações para as transações SU53 e/ou SU56.

auth/tcodes_not_checked

0

SU53

3. Aspectos de Segurança do Sistema SAP R/3 Auditoria e Registros de Utilização (Logs) O registro dos eventos dos processos de negócio e atividades efetuadas pelos usuários do sistema integrado precisam ser efetuados para propósitos legais e para o monitoramento da segurança do ambiente SAP R/3. O ERP registra diversos logs que estão relacionados à administração, monitoramento, solução de problemas e auditoria do sistema. Duas (2) outras ferramentas que auxiliam no monitoramento da segurança do sistema são:  Audit 

Info System (AIS) – transação SECR.

Security Audit Log (transação SM20).

As transações abaixo listadas permitem que a área responsável pela Administração do ERP possa monitorar eventos e atividades efetuadas neste: 

SM18: Auditoria de segurança – eliminar arquivos antigos.

SM19: Auditoria de segurança – administrar perfil de auditoria. 



SM20: Log de auditoria – análise local.



SM21: Log de sistema – avaliação local.



SLG1: Analisar log de aplicação.



STAT: Estatística do sistema.



ST01: Trace do sistema.



ST03: Workload no sistema.



SECR: Sistema info de auditoria.

3. Aspectos de Segurança do Sistema SAP R/3 Super Usuário

Segregação de Funções na Administração dos Perfis de Acesso As boas práticas de administração dos privilégios de acesso dos usuários recomendam que as tarefas de manutenção dos perfis de acesso sejam divididas entre três (3) pessoas (segregação de funções), conforme detalhado a seguir:  Administração

de dados de autorização: somente tem permissão para criar, modificar e salvar os perfis de acesso, não tem permissão para gerar.  Administração

de perfis de acesso: somente tem permissão para aprovar e gerar o perfil de acesso corrigido.  Administração

dos usuários: tem permissão para associar os perfis de acesso aos usuários

Administrador de

Administrador de

Administrador de

Dados de Autoriz.

Perfis de Acesso

Usuários

Permitido

Permitido

Permitido

• Criar e modificar

• Visualizar os

• Atualizar os

os dados de autorizações.

dados de autorização.

usuários.

• Utilizar a SUIM.

• Gerar os perfis e

aos usuários.

Não Permitido • Modificar usuários

e gerar perfis.

Perfil Padrão SAP SAP_ADM_AU

autorizações.

Não Permitido • Modificar usuários

e autorizações. • Gerar perfis de

acesso com obj. de autorização que iniciam com S_USER*.

Perfil Padrão SAP SAP_ADM_PR

• Associar os perfis • Visualizar perfis e

autorizações. • Utilizar a SUIM.

Não Permitido • Modificar e gerar

autorizações e perfis.

Perfil Padrão SAP SAP_ADM_US

 Administração dos Perfis de Acesso

4. Administração dos Perfis de Acesso Profile Generator 



Empresa (company code).

A adequada gestão dos perfis de acesso dos usuários do sistema SAP R/3 permite que a segurança, integridade e confidencialidade dos dados armazenados possam ser mantidas.



Centro ( plant ).



Centro de Custo (cost center ).



Grupo de Compras ( purchasing group).

Os perfis de acesso são fundamentais para a Organização segregar as funções desempenhadas pelos usuários, de modo que estes somente possam executar transações associadas às funções por eles desempenhadas.



Organização de Compras  (purchasing organization).

Para possibilitar que as Organizações configurem os acessos de seus funcionários conforme suas necessidades, a SAP desenvolveu a ferramenta Profile Generator que é utilizada para criar os privilégios de acesso dos usuários do R/3. Esta ferramenta permite que os acessos sejam restritos de acordo com os níveis organizacionais relacionados ao lado:

 Tipo

de Depósito (storage type).



Canal de Distribuição (distribution channel ).



Organização de Vendas (sales organization).



Centro de Lucro ( profit center ).



Escritório de Vendas (sales office)

 Tipo

de Movimento (movement type).

 Tipo

de Documento (documente type).



Entre outros.

4. Administração dos Perfis de Acesso A figura abaixo mostra o esquema de funcionamento de um perfil de acesso do sistema SAP R/3 que possui os seguintes componentes: transações, objetos de autorização e valores de autorização.

Usuário SAP R/3 Perfil de Acesso

Transação 1

Obj. Autorização 1

Campo 1 Restrição 1

Transação 2

Obj. Autorização 2 Campo 2

Transação 3

Restrição 2

4. Administração dos Perfis de Acesso A figura abaixo mostra o esquema de funcionamento do perfil de acesso demonstrado no slide anterior com um exemplo de aplicação.

Usuário SAP R/3 Comprador  ME21N M_BEST_EKO ACTV 01 (criar)

ME22N EKORG

ME23N

Organização de compras

4. Administração dos Perfis de Acesso  Abaixo demonstramos as duas (2) principais telas da ferramenta “Profile

(ii).Autorizações.

Generator”  (PFCG):

(i).Menu de transações e

4. Administração dos Perfis de Acesso Profile Generator 

A ferramenta do sistema SAP R/3 que permite criar os perfis de acesso possui diversas funcionalidades para facilitar o dia-a-dia do Administrador, dentre elas estão: 

Criação de Perfis Compostos.



Cópia de Perfis Simples e Compostos.



Download e Upload de Perfis de Acesso entre Clients.

Geração, Ajuste, Transporte, Download e Ferramenta de Comparação de Perfis de Acesso. 



Criação de Perfis Derivados (Hierarquia).

 Atribuição dos Perfis de Acesso aos Usuários.

4. Administração dos Perfis de Acesso Ferramentas Úteis O sistema SAP R/3 possui ferramentas que facilitam a gestão dos perfis de acesso e a manutenção das autorizações dos usuários. Dentre estas ferramentas, destacam-se:  Transação SU53: exibe os erros de autorização.  Transação SU24: demonstra as checagens de autorização

realizadas em cada transação.  Transação SUIM: árvore de relatórios do Sistema de

Há ainda tabelas que facilitam a rotina do Administrador, pois, fornecem informações diretamente das tabelas consultadas pelo sistema SAP R/3, entre elas estão:  Tabela AGR_AGRS: mostra os perfis

de acesso simples que estão associados a perfis compostos.  Tabela AGR_TCODES: mostra as

associadas aos perfis simples.  Tabela AGR_USERS : mostra os

usuários que estão

associados aos perfis simples.

Informação dos Usuários.

 Tabela TSTC: lista de

 Transação SA38: execução de programas.

 Tabela TSTCA: lista de

 Transação SE16: visualização de tabelas.

transações que estão

transações do sistema. objetos de autorização associados

às transações.  Tabela TSTCV: mostra o programa

que é chamado

quando uma transação é executada.  Tabela USR01: informações

dos usuários.

4. Administração dos Perfis de Acesso Ferramentas Úteis – Transação SUIM A transação SUIM (Sistema de Informações dos Usuários) permite que os Gestores responsáveis pela manutenção dos perfis de acesso e usuários visualizem relatórios com dados dos usuários (logons incorretos, autorizações críticas, etc), funções, perfis, autorizações no sistema, objetos de autorização, transações, comparações, lista de utilizações e documentos de modificação. É dentro deste conjunto de relatórios que está o relatório para identificação de conflitos de acesso (Segundo Combinações Críticas de Autorizações para Execução de Transação). Estes dados são de grande relevância no processo de gerenciamento dos perfis de acesso, pois, permitem que o Administrador pesquise e analise os perfis de acesso e usuários com base em diversos mecanismos de busca.

4. Administração dos Perfis de Acesso Relatórios Assim como as ferramentas úteis do sistema, os relatórios permitem que os Gestores, Consultores e Auditores analisem as informações relacionadas à segurança, perfis de acesso e usuários. Abaixo demonstramos uma lista com os principais relatórios do sistema: Nome do Relatório

Descrição

RSUSR002

Usuário por critérios seleção complexos

RSUSR002_ADDRESS

Usuário seg.dds.endereço

RSUSR003

Verificar senhas dos usuários SAP* e DDIC em todos os mandantes

RSUSR004

Restring.valo res usuário aos segts. perfis individs.e objetos autoriz.

RSUSR005

Com autorizações críticas

RSUSR006

Lista dos usuários com logons incorretos

RSUSR008

Segundo combinações críticas de autorizações para execução transação

RSUSR009

Com autorizações críticas

RSUSR011

Lista de transação por seleção com usuário, perfil ou objeto

RSUSR012

Pesq.autorizações, perfis e usuário c/valo res de objeto determinados

RSUSR020

Perfis segundo critérios seleção complexos

RSUSR030

Autorizações segundo critérios seleção complexos

RSUSR040

Objetos autorização segundo critérios de seleção complexos

4. Administração dos Perfis de Acesso Relatórios (continuação)

Nome do Relatório

Descrição

RSUSR050

Comparações

RSUSR060

Listas de utilizações

RSUSR060OBJ

Lista de utilizações p/obj.autorização nos programas e nas transações

RSUSR070

Funções segundo critérios seleção complexos

RSUSR080

Usuários por dados de licença

RSUSR100

Documentos de modificação para usuário

RSUSR101

Documentos de modificação para perfis

RSUSR102

Documentos de modificação para autorizações

RSUSR200

Lista dos usuários segundo data de logon e modificação da senha

Matriz de Segregação de Funções

4. Matriz de Segregação de Funções A matriz de segregação de funções é uma lista composta de transações (pares) que, de acordo com as boas práticas, não podem estar presentes em um mesmo perfil de acesso e/ ou usuário. O sistema SAP R/3 possui o relatório (standard ) “Segundo Combinações Críticas de Autorizações para Execução de Transação” que identifica os conflitos de acesso, com base

na lista de conflitos de acesso cadastrada na tabela SUKRI. O resultado deste relatório pode ser exibido em dois (2) formatos diferentes: 1.

Usuários x conflitos de acesso.

2.

Conflitos de acesso x usuário.

A figura ao lado mostra a árvore de relatórios do Sistema de Informações dos Usuários (transação SUIM) e o caminho do relatório que identifica eventuais combinações críticas de transações dos usuários.

4. Matriz de Segregação de Funções Para que a matriz de segregação de funções seja executada, é necessário que os conflitos de acesso estejam cadastrados na tabela SUKRI. O acesso à tabela pode ser feito por dois (2) caminhos: 1. Transação SE16 > SUKRI > Executar > Modificar combinações críticas. 2. Transação SUIM > Usuário > Segundo combinações críticas de autorizações para execução de transação > Modificar combinações críticas.

A figura no canto superior direito do slide mostra o botão “Modificar combinações críticas” que deve ser clicado para

iniciar o cadastramento dos conflitos de acesso.