Buenos días,
Perdonar pero me gustaría comentaros a todxs que, para ayudar a esta comunidad, el documento debería compartirse en el hilo de forma general o en el apartado de descargas, no vía email (siempre que el autor quisiera, claro).
Es como si alguien escribe una duda en un post y yo en vez de responder en el hilo (para que lo lea quien lo necesite), le mando un mensaje privado y sólo lo lee él, esto es algo que lo único que hace es anular la comunidad de mundosap.
Por otro lado, la verdad es que nunca se me ha dado el caso de revisar el estado de los roles después de una implantación, ya que después del arranque, los roles deberían estar correctos (o casi correctos).
Quizá, sin tener idea de ello, me inclinaría en varios pasos a relizar:
- Revisar si, en Producción, existen usuarios con perfiles SAP_ALL/*_ALL/etc. y de ser así, comunicarlo para su revisión por parte del cliente.
- Revisar si los usuarios tienen asignados perfiles Z (en vez de roles), de ser así, yo me inclinaría por incluir las autorizaciones de estos perfiles Z en los roles que correspondieran o crear un rol nuevo especifico para ese perfil, según las necesidades.
- Revisar que los roles de usuarios finales no tengan transacciones críticas/de consultor (SE16, SM30, SE38, SA38, SPRO, etc.) de ser así, comunicarlo al cliente para que tome una decisión (crear transacciones Z para variantes de visualización de tablas, crear transacciones Z con los reports que se necesitasen ejecutar, etc.).
- Relacionado con el punto anterior, revisar si existen roles de usuarios finales que tengan acceso a todas las transacciones (S_TCODE = *), así como otros accesos criticos como por ejemplo: acceso a modificación de todas las tablas (S_TABU_NAM/S_TABU_DIS = *), acceso a Debug (S_DEVELOP = DEBUG), etc. y de ser así, comunicarlo al cliente para tomar una decisión al respecto.
- Por otro lado, yo mantendría una (o varias) reuniones con el cliente para identificar si existen usuarios que tengan accesos de más (transacciones que no deben tener, actividades que no deberían realizar en una transacción, niveles organizativos a los que no deberían tener acceso, etc.) y de ser así identificar los roles de esos usuarios y ver como restringir esos accesos.
- También tendría otra reunión con el cliente para identificar si existen usuarios que tengan falta de autorización (accesos que realmente necesitasen), de ser así, yo les propondría realizar un Test Script/testos con un usuario clave e ir solucionando los errores de autorización que fueran saltando.
Yo creo que con estos pasos, posiblemente abarcaríais bastantes puntos que se deberían tener en cuenta para mantener la seguridad dentro de un cliente. Por ahora no se me ocurren muchos más pasos que realizar, pero seguro que alguno más se puede encontrar
Como comenté antes, nunca se me dio el caso de realizar una auditoria de roles y espero que estos puntos pudieran cuadraros y ayudaros.
Con lo que sea no dudéis en avisar.
Un saludo.