¿SAP_ALL? ¿SAP_NEW?

SAP_ALL

Quien haya tenido contacto con SAP muy probablemente conoce de la existencia de un permiso llamado “SAP_ALL”: una especie de llave maestra para todas las puertas cerradas de la aplicación.

Hablando técnicamente, SAP_ALL no es un simple permiso, sino un perfil standard que contiene todas las autorizaciones presentes en el sistema, lo cual permite por ende acceder a todas transacciones y actividades en un sistema SAP, sin restricciones.
Bien es sabido que este perfil no debe ser otorgado a cualquier usuario o en cualquier circunstancia; las prácticas recomendadas por SAP dictan que un solo usuario con este perfil debería existir en el sistema  y que debería encontrarse deshabilitado regularmente y ser habilitado ante una tarea particular que lo requiera.

El usuario standard SAP* es el único que posee el perfil SAP_ALL asignado por defecto.

SAP_NEW

Este perfil es menos conocido muy importante ante la perspectiva de una actualización de versión SAP . Es un perfil compuesto que contiene otros perfiles: uno por cada release de SAP.

Ante el cambio de versión de SAP, nuevos chequeos de autorización son creados en el sistema. Basándose en esos nuevos chequeos, el perfil SAP_NEW otorga las autorizaciones que los usuarios necesitan para ejecutar las funciones que usaban hasta antes del upgrade.

Entonces ¿cuál uso y cuándo?

Como anticipamos anteriormente, el perfil SAP_ALL solo debería asignarse ante necesidades administrativas puntuales. Lo correcto es diseñar perfiles adecuados a cada tarea a realizar, incluyendo sólo las autorizaciones requeridas.

En cuanto a SAP_NEW, es necesario no dejar activo este perfil por un largo período de tiempo, ya que contiene extensas autorizaciones, como niveles organizaciones con autorización total (*). Una larga lista de perfiles SAP_NEW (por ejemplo, después de múltiples actualizaciones) indica que es tiempo de redefinir el diseño de autorización en sus sistemas.

A modo de resúmen, para un ambiente productivo SAP_NEW deberá ser utilizado mientras ocurre un upgrade de versión, mientras SAP_ALL no debería ser utilizado en ninguna circunstancia fuera de aquellas necesarias por pedido de SAP.

 

0 Comments
0 Pings & Trackbacks

Deja un comentario