Análisis y Diseño de Sistemas
Módulos de SAP/R3, Arquitectura y Seguridad
Módulos
de SAP/R3
Antiguamente,
hablar de SAP/R3 era sinónimo de gigantescas organizaciones en las que se
implantaría el sistema, tales como petroleras, industrias de consumo masivo, industrias
de electricidad, grandes operadoras de telefonía, entre otras. Con el pasar de
los años, SAP ha cambiado su target en el mercado a
fin de tener una mayor penetración en el mercado de las PYME, y definitivamente
su estrategia ha sido muy bien llevada y
ha dado excelentes resultados. Hoy en día, es la primera casa productora de
software después de Microsoft. Sin embargo, son dos cosas totalmente distintas
y apuntan a mercados y necesidades distintas.
El
sistema SAP R/3 tiene un conjunto de normas estándares en el área de software
de negocios. Este está compuesto de una serie de módulos funcionales que
responden de forma completa a los procesos operativos de las organizaciones.
Un
resumen de los módulos de SAP R/3 son:
Production Planning. PP
Sales & Distribution. SD
Office & Communications. OC
Controlling. CO
Material Management. MM
Human Resources. HR
Quality Assurance. QA
Asset Management. AM
Plant Maintenance. PM
Project System. PS
Industry Solutions. IS
Financial Accounting. FI
Además
de estas soluciones estándares, el ambiente de desarrollo de SAP y su sistema
de información, proveen a los clientes con poderosas herramientas para
desarrollo y adaptación del sistema a los requerimientos individuales
(personalización). El ambiente de desarrollo del sistema R/3 aun ofrece a los
usuarios sus propio lenguaje de programación de la cuarta generación (ABAP/4),
creado especialmente para las necesidades comerciales.
El
poderoso rango de servicios que provee el sistema, sin embargo, es solamente
una causa del éxito del sistema R/3. SAP soporta el concepto de sistema
abierto, construcción de interfaces (GUIs),
servicios, sobre los actuales estándares.
El
sistema SAP R/3 es un sistema integrado. Esto significa que una vez que la
información es almacenada, esta es disponible a través de todo el sistema,
facilitando el proceso de transacciones, flujo de documentos y el manejo de la
información. Por ejemplo, si un departamento necesita comprar un ventilador
industrial para un nuevo edificio, este es buscado desde ese momento y con el
más apropiado vendedor. Con el sistema SAP R/3, el siguiente paso es dar de
alta la orden de compra, la cual automáticamente ordena los fondos necesarios.
En este punto todas las oficinas que necesiten saber sobre esta compra, tendrán
la información. Por lo tanto, lo anterior no requerirá producir o tramitar
copias de papeles de la compra y/o facturarla para el uso de varios
departamentos administrativos, sino lo tendrán la información necesaria en sus
sistemas computacionales. Una vez que el ventilador industrial es recibido, el
departamento notificará del hecho al sistema SAP R/3 y se pagará la factura sin
la necesidad de aprobaciones futuras. La oficina central de contabilidad puede
hacer los cálculos por cargos extras. La oficina de activos, a través del
sistema R/3 sabe que el ventilador fue entregado y desde ese momento puede
empezar a hacer el cálculo de las depreciaciones. La oficina de mantenimiento
también estará enterado del hecho y comenzará a hacer
el calendario de mantenimiento para el ventilador, así hacer un historial del
ventilador fácilmente.
Arquitectura del sistema SAP R/3
Arquitectura cliente / servidor del sistema R/3
El
sistema R/3 opera utilizando el principio cliente / servidor aplicado a varios
niveles. Es altamente modular y se aplica fundamentalmente por medio del
software, de forma que los modos de iteración entre los diversos clientes y
servidores puedan ser controlados.
Principios de sistema abierto incluidos en el sistema R/3. Normas
internacionales para interfaz abierta
TCP/IP. Protocolo de comunicaciones en red.
RPC. Incluido en ABAP/4 como RFC (Remote Function Call) Constituye la
interfaz de programación abierta de R/3, permitiendo que otros sistemas se
conecten con las funciones de R/3.
CPI-C. Common Programming Interface-Communication). Utilizado para las comunicaciones
programa-a-programa a través de sistemas múltiples.
SQL. Structured Query Language.
ODBC. Open Data Base Connectivity. Son las normas utilizadas para el acceso
abierto de los datos a los datos comerciales de R/3
en las bases de datos relaciónales.
OLE/DDE. Object Linking and Embedding. Es el
estándar principal para integrar las aplicaciones de las PC´s
con el sistema R/3.
X.400/X.500, MAPI. Messaging
Application Programming Interface y EDI (Electronic Data Interchange) Son las normas para las comunicaciones
externas.
También están establecidas interfaces abiertas para proporcionar acceso a las
aplicaciones especializadas como: CAD (Computer-Aided Design), archivos ópticos,
subsistemas técnicos relacionados con la producción.
Sistema operativos compatibles con el sistema R/3
UNIX
Open
MPE/iX
Windows NT
Linux
Bases de datos compatibles con el sistema R/3
Informix
Oracle
Software
Sybase
DB/2
Compatibilidad entre la presentaciones del tipo front-end
SAP-GUI
(Interfaz gráfica de usuario) es capaz de mostrar los resultados en forma de
lista o gráfico en la mayoría de los sistemas de presentación front-end, incluidos los
siguientes:
Windows
OSF/Motif
OS/2PM
Macintosh
Seguridad en SAP R/3
El módulo Basis provee al
sistema SAP R/3 de un entorno apropiado para que los módulos instalados en el
sistema, funcionen en consonancia con la base de datos y las aplicaciones de red
sin arriesgar la seguridad de la información utilizada por estos. Es por eso,
que el módulo de Basis es el encargado de interactuar
entre los servicios específicos del
sistema y los servicios de las aplicaciones de
negocio, a fin de proveerle a estas de estabilidad en las operaciones.
Cabe destacar que una de las características
fundamentales del módulo Basis del sistema SAP R/3,
es la de administración de seguridad y accesos a los distintos módulos del
sistema, como por ejemplo: FI, MM, CO, AM, HR, entre otros; lo que permite
centralizar y controlar eficientemente los accesos otorgados a los usuarios de
las aplicaciones de negocio instaladas. En
Figura No. 1 Estructura SAP R/3
Es necesario mencionar, que deben existir controles
asociados a la función de la administración de seguridad y a la de
administración de usuarios en un ambiente integrado como lo es SAP R/3, ya que
se debe poseer un control de las transacciones ejecutadas desde este módulo,
así como de las autorizaciones otorgadas a los usuarios de las aplicaciones de
negocio.
Los usuarios de SAP R/3 se definen internamente
dentro del sistema, utilizando los llamados registros maestros de usuarios
(RMU); por tanto, no hay necesidad de la administración de los usuarios a nivel
de sistema operativo o de base de datos, dado que sólo existe un usuario (en
Windows NT) o dos (en UNIX) en una instalación estándar: el administrador del
sistema [sid]adm y el
administrador de la base de datos ora[sid] para el
caso de base de datos de “oracle”. Los usuarios se
definen y se mantienen utilizando los registros maestros de usuarios, y la
seguridad del sistema se garantiza mediante el uso de los perfiles y
autorizaciones de SAP R/3.
El sistema SAP proporciona un modo completo y
flexible de proteger los datos y las transacciones de usos no autorizados.
En los registros maestros, a los usuarios se les
asignan uno o varios perfiles de autorizaciones. Estos perfiles están
compuestos por un conjunto de autorizaciones, las cuales proporcionan
privilegios de acceso a los distintos elementos del sistema. En un nivel aun
inferior, las autorizaciones hacen referencia a los objetos de autorización,
que contienen un rango de valores que se utilizan para permitir o denegar el
acceso a las distintas entidades de sistema o de aplicación dentro de R/3.
Visión general de la administración de usuarios
La administración de los usuarios no debe suponer una
tarea pesada, siempre y cuando se sigan ciertas normas desde el comienzo de los
proyectos de implantación del Esquema de Seguridad.
No se puede decir lo mismo cuando se trata de la
definición de los perfiles y autorizaciones, que es un tema de implantación que
se suele abordar como proyecto en conjunto entre el equipo técnico y funcional.
Esto se debe a que no son los administradores del sistema los que deciden si
ciertos usuarios tienen permiso para crear posteos
contables, realizar movimientos en los almacenes o ver las nóminas de otros
empleados. Son los especialistas encargados de configurar el sistema y los
“dueños de los procesos” los que deben decir qué empleados o qué puestos de
trabajo tienen acceso a qué funciones del sistema y, por tanto, los que deben
definir qué entidades deben estar protegidas mediante autorizaciones.
Es ésta una tarea verdaderamente importante y que puede llegar a ser bastante compleja, requiriendo bastante tiempo, dependiendo del grado de protección y seguridad, número de usuarios y de los módulos que van a implantarse.
Por este motivo, desde la versión 3.1G (en pruebas
también ya en la
Maestro de Usuarios
Del mismo modo que en el resto del sistema R/3 existe
un maestro de materiales, de cliente, de proveedores, etc., dentro de las
funciones de administración, también existe un “maestro de usuarios”.
Los registros maestros de usuarios definen las
cuentas para que los usuarios puedan acceder al sistema. Contienen toda la
información de acceso que es necesaria para validar los accesos de los usuarios
y asignarle los derechos de acceso al sistema, como la clave de acceso y
perfiles de autorización. Existe una gran cantidad de información extra en un
registro maestro de usuarios, como: cuál será la pantalla por defecto que verá
el usuario cuando acceda al sistema, qué impresora tiene asignada por defecto,
dirección, el teléfono o el idioma. Algunos de estos campos sirven únicamente
como información mientras que otros tienen un valor y significado en la labor
diaria de los usuarios.
Sistema de Autorizaciones
El sistema de autorizaciones de SAP R/3 es el término general que agrupa todos los elementos técnicos y administrativos utilizados para asignar privilegios de acceso a los usuarios. Un privilegio de acceso es un permiso para realizar una operación específica en el sistema SAP. Los privilegios de acceso del sistema R/3 se asignan a los usuarios mediante autorizaciones y los perfiles.
Las principales características del sistema de autorizaciones
SAP R/3 se pueden resumir en los siguientes puntos:
·
El sistema de autorizaciones está basado en objetos
complejos del sistema con verificaciones multicondicionales
de privilegios de accesos.
·
El sistema de autorizaciones comprueba varias condiciones
antes de permitir a los usuarios realizar cualquier tarea en el sistema. Una
verificación multicondicional en un objeto de
autorización, por ejemplo, permitirá a los usuarios crear, visualizar o borrar
información de una organización de compras, sin embargo, estos mismos usuarios
sólo pueden visualizar información en otra organización de compras. La tabla N° 1, muestra un ejemplo de este concepto:
|
Identificador |
Organización de compras |
Permisos |
|
PEREZ |
001 |
Crear, Borrar, Visualizar |
|
MALVAREZ |
002 |
Visualizar |
|
IRODRIGUEZ |
002 |
Crear, Borrar, Visualizar |
Tabla N°
1
· El sistema de autorizaciones utiliza perfiles de
autorizaciones para facilitar el mantenimiento de los registros maestros de usuarios.
Los perfiles no son más que grupos de autorizaciones, de manera que en lugar de
introducir una a una todas las autorizaciones para los usuarios, se pueden
introducir perfiles. De este modo se pueden reasignar en los registros maestros
de otros usuarios.
Los perfiles de
autorizaciones pueden ser simples o compuestos. Los perfiles compuestos se
componen de otros perfiles.
El sistema de
autorizaciones utiliza un método de activación, es decir, cuando se crean
autorizaciones o perfiles, éstos no están disponibles para su uso hasta que no
hayan sido previamente activados.
El sistema de
autorizaciones de SAP proporciona mecanismos para distribuir las tareas de
mantenimiento relacionadas con los usuarios y los privilegios de acceso, como
asignar autorizaciones, activar perfiles, gestionar nuevas autorizaciones, etc.
Todas estas tareas las puede realizar un único administrador con todos los
privilegios o puede distribuirse entre varios administradores con funciones
distintas.
El sistema R/3 incluye de
manera estándar, una variedad de autorizaciones y perfiles que cubren la
mayoría de las necesidades habituales para asignar privilegios de acceso a los
usuarios. Antes de crear un nuevo perfil, es buena práctica comprobar si ya
existe otro igual o similar de manera estándar.
Los objetos complejos del
sistema de autorizaciones de R/3 están estructurados de manera jerárquica, pero
flexible, tal como se muestra en
Figura N°. 2. Jerarquía de sistemas de autorizaciones
Infografìa
http://www.pc-news.com/detalle.asp?sid=&id=11&Ida=1290
http://www.gestiopolis.com/recursos/documentos/fulldocs/ger1/usoerppub.htm