Vous êtes sur la page 1sur 30

Treinamento do Sistema SAP R/3

Segurana das Informaes


e Perfis de Acesso

23.08.2005
NDICE

1. Objetivo

2. Contedo do Treinamento

3. Aspectos de Segurana do Sistema SAP R/3

4. Administrao dos Perfis de Acesso

5. Matriz de Segregao de Funes


1. Objetivo

O objetivo deste material apresentar as principais


caractersticas e funcionalidades do sistema SAP R/3
que esto relacionadas segurana das informaes e,
consequentemente, aos perfis de acesso, de modo que
a administrao deste ambiente possa seguir as boas
prticas de mercado.
2. Contedo do Treinamento
O contedo deste treinamento abrange:

Aspectos de Segurana do Sistema SAP R/3:

Autenticao de Usurios.

Conceitos de Autorizao.

Parmetros de Segurana (RSPARAM).

Trilhas de Auditoria.

Segregao de Funes na Administrao dos


Perfis de Acesso.

Administrao dos Perfis de Acesso:

Profile Generator.

Ferramentas teis.

Relatrios.

Matriz de Segregao de Funes.


Aspectos de Segurana
do Sistema SAP R/3
3. Aspectos de Segurana do Sistema SAP R/3

A ilustrao abaixo esboa a viso geral dos dispositivos de segurana do sistema SAP R/3. Os trs (3) tpicos que sero
abordados neste treinamento, dentro do tpico segurana, esto indicados com setas vermelhas.
3. Aspectos de Segurana do Sistema SAP R/3

A demanda por segurana aumenta em linha com o aumento da utilizao de sistemas distribudos para gerenciar os dados do
negcio. O uso deste tipo de sistema requer que os processos e dados que suportam as necessidades de negcio estejam
protegidos contra acesso no autorizado, principalmente, quando tratamos de informaes crticas.

Em decorrncia dos fatores acima citados, faz-se necessrio a adequada administrao dos seguintes aspectos de segurana do
ambiente SAP R/3:

Somente usurios autorizados podem ter acesso ao sistema SAP R/3.

Os usurios somente podem executar tarefas e transaes autorizadas e que estejam


de acordo com as funes desempenhadas.

Os dados do sistema no podem ser modificados sem que seja registrada a operao.

Os dados e a comunicao devem ser protegidos contra acesso no autorizados.

Assegurar que a empresa e os usurios do SAP R/3 conhecem suas responsabilidades


e obrigaes legais.
As atividades e eventos crticos do sistema devem ser registrados para consulta
futura e auditorias.

Tpicos que esto contemplados neste treinamento.


3. Aspectos de Segurana do Sistema SAP R/3

Autenticao de Usurios

A autenticao dos usurios realizada por meio de contas dos usurios


(IDs) e senhas de acesso, assegurando:

Somente usurios autorizados acessem o sistema SAP R/3.

Manuteno da integridade das informaes registradas.

O sistema dispe de diversos mecanismos (regras e parmetros) para


autenticar os usurios e garantir que as contas de acesso (IDs) no
sejam indevidamente utilizados, entre estes mecanismos esto:
(i).nmero mnimo de caracteres por senha, (ii).troca peridica da senha,
(iii).bloqueio das contas dos usurios que erram as senhas, entre outros
mecanismos que discutiremos mais detalhadamente no item Parmetros
de Segurana do Sistema SAP R/3.
3. Aspectos de Segurana do Sistema SAP R/3

Autenticao de Usurios (continuao)

O SAP dispe de regras padro para utilizao de senha. Estas regras podem ser
alteradas conforme a convenincia e de acordo com a Poltica de Segurana da
Organizao. As regras padro para as senhas dos usurios esto detalhadas abaixo:

obrigatrio trocar a senha de acesso ao sistema na primeira vez que o usurio


efetua sua conexo.

A senha deve possuir, no mnimo, trs (3) caracteres.

O tamanho mximo da senha oito (8) caracteres.

O primeiro caractere da senha no pode ser interrogao ? ou exclamao !.

Os trs (3) primeiros caracteres da senha no podem estar na mesma ordem de


parte da conta do usurio. Exemplo: usurio: JOSESILVA, senha: SES.

Os trs (3) primeiros caracteres da senha no podem ser repetidos (ex.:aaa) e no


podem possuir o caractere espao.

A senha no pode ser SAP* ou PASS.

O usurio no pode reutilizar as ltimas cinco (5) senhas.

Os usurios somente podem trocar suas senhas se estiverem conectados ao


sistema.
3. Aspectos de Segurana do Sistema SAP R/3

Conceitos de Autorizao

As Organizaes tm diversos cargos e funes associados a


sua estrutura organizacional (organograma), e as pessoas
responsveis por desempenhar tais atividades precisam ter
acesso a determinados mdulos (funcionalidades) do sistema
integrado. Neste sentido, os processos e informaes no
devem e no precisam estar disponveis para usurios que
no desempenham esta funo.

Os usurios somente devem possuir acesso s transaes e


programas associados as suas tarefas, portanto, importante
que o responsvel pela manuteno dos perfis de acesso
revise regularmente a utilizao das transaes disponveis
aos usurios. Caso estas no estejam sendo utilizadas, deve-
se retirar este acesso.
3. Aspectos de Segurana do Sistema SAP R/3

Conceitos de Autorizao De modo a auxiliar os Administradores de Sistema a criar e


manter os perfis de acesso dos usurios, a SAP criou a
O conceito de autorizao do sistema SAP R/3 foi
ferramenta Profile Generator (PFCG) que automatiza o
desenvolvido para permitir que os usurios somente acessem
processo de criao dos perfis de acesso, facilitando a gesto
as transaes e programas para os quais foram autorizados.
destes.
Por isso, quando um usurio executa uma transao ou um
programa, o sistema efetua uma checagem de autorizao
(authority check) para verificar se o usurio possui os
privilgios de acesso necessrios para efetuar tal acesso.

As checagens de autorizao do sistema SAP R/3 so


baseadas em quatro (4) tipos de checagem de autorizao:

1. Autorizao para execuo de transaes (objeto de


autorizao S_TCODE).

2. Autorizaes especficas para executar transaes (objetos


de autorizao).

3. Checagem de autorizao nos programas (clusula de


authority check).

4. Classes de relatrio (class) e grupos de autorizao nas


tabelas (authorization group).
3. Aspectos de Segurana do Sistema SAP R/3

Parmetros de Segurana (RSPARAM)

Os principais parmetros do sistema SAP R/3 esto


registrados no programa RSPARAM que est estruturado em
trs (3) colunas com as seguintes informaes:

Nome do parmetro: nesta coluna est registrado o cdigo


do parmetro (login/fails_to_user_lock, por exemplo).

Valor definido pelo usurio: caso esta coluna esteja


preenchida, o valor desta prevalece sobre o valor padro, ou
seja, so os valores definidos pela Organizao.

Valor padro (default) do sistema: nesta coluna esto


registrados os valores definidos pela SAP.

Os parmetros da RSPARAM podem afetar o desempenho do


sistema, portanto, qualquer alterao nestes deve ser avaliada
pelos Administradores do Sistema em conjunto com a rea de
TI.

O slide a seguir demonstra os principais parmetros de


segurana do sistema SAP R/3.
3. Aspectos de Segurana do Sistema SAP R/3

Parmetros de Segurana (RSPARAM) - continuao

Abaixo esto listados os principais parmetros de segurana do sistema SAP R/3, os valores padro e os valores recomendados
pela Deloitte.

Descrio do Parmetro Cdigo do Parmetro Valor Padro Valor Recomendado


Tempo de expirao de senha. Login/password_expiration_time 90 dias 60 dias
Tamanho mnimo de senha. Login/min_password_lng 3 caracteres 8 caracteres
Nmero de tentativas invlidas de acesso para o 12 tentativas
Login/fails_to_user_lock 3 tentativas
usurio ser bloqueado.
Nmero de tentativas invlidas de acesso, aps as 3 tentativas
Login/fails_to_session_end 3 tentativas
quais a sesso do sistema fechada.
Tempo mximo de execuo de um programa em 1200 segundos
Rdisp/max_wprun_time 900 segundos
tempo real (on-line).
Tempo de inatividade para sesso de trabalho ser 0 (nunca)
Rdisp/gui_auto_logout 1200 segundos
desconectada automaticamente.

Desbloqueio automtico de usurios aps a meia noite. Login/failed_user_auto_unlock 1 (ativado) 0 (desativado)

Login/no_automatic_user_sapstar ou 0 (ativado)
Criao automtica do usurio SAP*. 1 (desativado)
Login/no_automatic_user_sap*
N
Desligar as checagens de autorizao das transaes. Auth/no_check_in_some_cases Y (No permitido
(permitido desligar) desligar)
3. Aspectos de Segurana do Sistema SAP R/3

Parmetros de Segurana (RSPARAM) - continuao

Descrio do Parmetro Cdigo do Parmetro Valor Padro Valor Recomendado


Conexes mltiplas ao SAP Login/disable_multi_gui_login 0 (ativado) 1 (desativado)
Desligar as checagens de autorizao dos objetos de Y (pode ser N (No pode ser
Auth/object_disabling_active
autorizao. desativado) desativado)
Efetua as checagens de autorizao dos objetos 1 (desativa a 2 (ativa a
Auth/rfc_authority_check
S_RFC e FUGR checagem) checagem)
Tempo para checar conexes no utilizadas. Rdisp/keepalive 1200 segundos 300 segundos
Desliga a checagem automtica das autorizaes para 0 (desativa a
Auth/system_access_check_off 0 (ativa a checagem)
ABAP. checagem)
Habilitao da trilha de auditoria. Rsau/enable 0 (desativada) 1 (ativada)
Registro (log) de modificaes nas tabelas. Rec/client OFF ALL (todas).
Desabilita a checagem de autorizaes para as 0
auth/tcodes_not_checked SU53
transaes SU53 e/ou SU56.
3. Aspectos de Segurana do Sistema SAP R/3

Auditoria e Registros de Utilizao (Logs) As transaes abaixo listadas permitem que a rea
responsvel pela Administrao do ERP possa monitorar
O registro dos eventos dos processos de negcio e atividades
eventos e atividades efetuadas neste:
efetuadas pelos usurios do sistema integrado precisam ser
efetuados para propsitos legais e para o monitoramento da SM18: Auditoria de segurana eliminar arquivos antigos.
segurana do ambiente SAP R/3.
SM19: Auditoria de segurana administrar perfil de
O ERP registra diversos logs que esto relacionados auditoria.
administrao, monitoramento, soluo de problemas e
SM20: Log de auditoria anlise local.
auditoria do sistema. Duas (2) outras ferramentas que auxiliam
no monitoramento da segurana do sistema so: SM21: Log de sistema avaliao local.

Audit Info System (AIS) transao SECR. SLG1: Analisar log de aplicao.

Security Audit Log (transao SM20). STAT: Estatstica do sistema.

ST01: Trace do sistema.

ST03: Workload no sistema.

SECR: Sistema info de auditoria.


3. Aspectos de Segurana do Sistema SAP R/3
Super Usurio

Segregao de Funes na Administrao dos Perfis de


Acesso

As boas prticas de administrao dos privilgios de acesso Administrador de Administrador de Administrador de


dos usurios recomendam que as tarefas de manuteno dos Dados de Autoriz. Perfis de Acesso Usurios
perfis de acesso sejam divididas entre trs (3) pessoas
Permitido Permitido Permitido
(segregao de funes), conforme detalhado a seguir:
Criar e modificar Visualizar os Atualizar os
Administrao de dados de autorizao: somente tem os dados de dados de usurios.
autorizaes. autorizao.
permisso para criar, modificar e salvar os perfis de acesso, Associar os perfis
Utilizar a SUIM. Gerar os perfis e aos usurios.
no tem permisso para gerar. autorizaes.
No Permitido Visualizar perfis e
Administrao de perfis de acesso: somente tem permisso No Permitido autorizaes.
Modificar usurios
para aprovar e gerar o perfil de acesso corrigido. e gerar perfis. Modificar usurios Utilizar a SUIM.
e autorizaes.
Perfil Padro SAP No Permitido
Administrao dos usurios: tem permisso para associar Gerar perfis de
SAP_ADM_AU Modificar e gerar
os perfis de acesso aos usurios acesso com obj. de
autorizaes e
autorizao que
perfis.
iniciam com
S_USER*. Perfil Padro SAP
Perfil Padro SAP SAP_ADM_US
SAP_ADM_PR
Administrao dos Perfis
de Acesso
4. Administrao dos Perfis de Acesso

Profile Generator Empresa (company code).

A adequada gesto dos perfis de acesso dos usurios do Centro (plant).


sistema SAP R/3 permite que a segurana, integridade e
Centro de Custo (cost center).
confidencialidade dos dados armazenados possam ser
mantidas. Grupo de Compras (purchasing group).

Os perfis de acesso so fundamentais para a Organizao Organizao de Compras (purchasing organization).


segregar as funes desempenhadas pelos usurios, de modo Tipo de Depsito (storage type).
que estes somente possam executar transaes associadas s
Canal de Distribuio (distribution channel).
funes por eles desempenhadas.
Organizao de Vendas (sales organization).
Para possibilitar que as Organizaes configurem os acessos
de seus funcionrios conforme suas necessidades, a SAP Centro de Lucro (profit center).
desenvolveu a ferramenta Profile Generator que utilizada
Escritrio de Vendas (sales office)
para criar os privilgios de acesso dos usurios do R/3. Esta
ferramenta permite que os acessos sejam restritos de acordo Tipo de Movimento (movement type).

com os nveis organizacionais relacionados ao lado: Tipo de Documento (documente type).

Entre outros.
4. Administrao dos Perfis de Acesso

A figura abaixo mostra o esquema de funcionamento de um perfil de acesso do sistema SAP R/3 que possui os seguintes
componentes: transaes, objetos de autorizao e valores de autorizao.

Usurio SAP R/3

Perfil de
Acesso Transao 1
Obj.
Autorizao 1
Campo 1
Restrio 1
Transao 2 Obj.
Autorizao 2
Campo 2
Restrio 2
Transao 3
4. Administrao dos Perfis de Acesso

A figura abaixo mostra o esquema de funcionamento do perfil de acesso demonstrado no slide anterior com um exemplo de
aplicao.

Usurio SAP R/3

Comprador
ME21N
M_BEST_EKO
ACTV
01 (criar)
ME22N

EKORG
Organizao
de compras
ME23N
4. Administrao dos Perfis de Acesso

Abaixo demonstramos as duas (2) principais telas da ferramenta Profile Generator (PFCG): (i).Menu de transaes e
(ii).Autorizaes.
4. Administrao dos Perfis de Acesso

Profile Generator

A ferramenta do sistema SAP R/3 que permite criar os perfis


de acesso possui diversas funcionalidades para facilitar o
dia-a-dia do Administrador, dentre elas esto:

Criao de Perfis Compostos.

Cpia de Perfis Simples e Compostos.

Download e Upload de Perfis de Acesso entre Clients.

Gerao, Ajuste, Transporte, Download e Ferramenta de


Comparao de Perfis de Acesso.

Criao de Perfis Derivados (Hierarquia).

Atribuio dos Perfis de Acesso aos Usurios.


4. Administrao dos Perfis de Acesso

Ferramentas teis H ainda tabelas que facilitam a rotina do Administrador,


pois, fornecem informaes diretamente das tabelas
O sistema SAP R/3 possui ferramentas que facilitam a
consultadas pelo sistema SAP R/3, entre elas esto:
gesto dos perfis de acesso e a manuteno das
autorizaes dos usurios. Dentre estas ferramentas, Tabela AGR_AGRS: mostra os perfis de acesso simples
destacam-se: que esto associados a perfis compostos.

Transao SU53: exibe os erros de autorizao. Tabela AGR_TCODES: mostra as transaes que esto
associadas aos perfis simples.
Transao SU24: demonstra as checagens de autorizao
realizadas em cada transao. Tabela AGR_USERS : mostra os usurios que esto
associados aos perfis simples.
Transao SUIM: rvore de relatrios do Sistema de
Informao dos Usurios. Tabela TSTC: lista de transaes do sistema.

Transao SA38: execuo de programas. Tabela TSTCA: lista de objetos de autorizao associados
s transaes.
Transao SE16: visualizao de tabelas.
Tabela TSTCV: mostra o programa que chamado
quando uma transao executada.

Tabela USR01: informaes dos usurios.


4. Administrao dos Perfis de Acesso

Ferramentas teis Transao SUIM

A transao SUIM (Sistema de Informaes dos Usurios)


permite que os Gestores responsveis pela manuteno dos
perfis de acesso e usurios visualizem relatrios com dados
dos usurios (logons incorretos, autorizaes crticas, etc),
funes, perfis, autorizaes no sistema, objetos de
autorizao, transaes, comparaes, lista de utilizaes e
documentos de modificao. dentro deste conjunto de
relatrios que est o relatrio para identificao de conflitos
de acesso (Segundo Combinaes Crticas de Autorizaes
para Execuo de Transao).

Estes dados so de grande relevncia no processo de


gerenciamento dos perfis de acesso, pois, permitem que o
Administrador pesquise e analise os perfis de acesso e
usurios com base em diversos mecanismos de busca.
4. Administrao dos Perfis de Acesso

Relatrios

Assim como as ferramentas teis do sistema, os relatrios permitem que os Gestores, Consultores e Auditores analisem as
informaes relacionadas segurana, perfis de acesso e usurios. Abaixo demonstramos uma lista com os principais relatrios
do sistema:

Nome do Relatrio Descrio


RSUSR002 Usurio por critrios seleo complexos
RSUSR002_ADDRESS Usurio seg.dds.endereo
RSUSR003 Verificar senhas dos usurios SAP* e DDIC em todos os mandantes
RSUSR004 Restring.valores usurio aos segts. perfis individs.e objetos autoriz.
RSUSR005 Com autorizaes crticas
RSUSR006 Lista dos usurios com logons incorretos
RSUSR008 Segundo combinaes crticas de autorizaes para execuo transao
RSUSR009 Com autorizaes crticas
RSUSR011 Lista de transao por seleo com usurio, perfil ou objeto
RSUSR012 Pesq.autorizaes, perfis e usurio c/valores de objeto determinados
RSUSR020 Perfis segundo critrios seleo complexos
RSUSR030 Autorizaes segundo critrios seleo complexos
RSUSR040 Objetos autorizao segundo critrios de seleo complexos
4. Administrao dos Perfis de Acesso

Relatrios (continuao)

Nome do Relatrio Descrio


RSUSR050 Comparaes
RSUSR060 Listas de utilizaes
RSUSR060OBJ Lista de utilizaes p/obj.autorizao nos programas e nas transaes
RSUSR070 Funes segundo critrios seleo complexos
RSUSR080 Usurios por dados de licena
RSUSR100 Documentos de modificao para usurio
RSUSR101 Documentos de modificao para perfis
RSUSR102 Documentos de modificao para autorizaes
RSUSR200 Lista dos usurios segundo data de logon e modificao da senha
Matriz de Segregao de
Funes
4. Matriz de Segregao de Funes

A matriz de segregao de funes uma lista composta de


transaes (pares) que, de acordo com as boas prticas, no
podem estar presentes em um mesmo perfil de acesso e/ ou
usurio.

O sistema SAP R/3 possui o relatrio (standard) Segundo


Combinaes Crticas de Autorizaes para Execuo de
Transao que identifica os conflitos de acesso, com base
na lista de conflitos de acesso cadastrada na tabela SUKRI.
O resultado deste relatrio pode ser exibido em dois (2)
formatos diferentes:

1. Usurios x conflitos de acesso.

2. Conflitos de acesso x usurio.

A figura ao lado mostra a rvore de relatrios do Sistema de


Informaes dos Usurios (transao SUIM) e o caminho do
relatrio que identifica eventuais combinaes crticas de
transaes dos usurios.
4. Matriz de Segregao de Funes

Para que a matriz de segregao de funes seja executada,


necessrio que os conflitos de acesso estejam cadastrados
na tabela SUKRI. O acesso tabela pode ser feito por dois
(2) caminhos:

1. Transao SE16 > SUKRI > Executar > Modificar


combinaes crticas.

2. Transao SUIM > Usurio > Segundo


combinaes crticas de autorizaes para
execuo de transao > Modificar combinaes
crticas.

A figura no canto superior direito do slide mostra o boto


Modificar combinaes crticas que deve ser clicado para
iniciar o cadastramento dos conflitos de acesso.
4. Matriz de Segregao de Funes

1
Conforme demonstrado no slide anterior, possvel
cadastrar at cinco (5) cdigos de transaes conflitantes por
linha da tabela SUKRI, ou seja, pode ser identificado que um
usurio tenha acesso a at cinco (5) transaes que no
podem estar dentro de um mesmo perfil de acesso e/ ou
usurio.

A Deloitte desenvolveu dois (2) programas em ABAP para


auxiliar no desempenho de nossos trabalhos de reviso de
perfis de acesso. Estes programas tm as seguintes funes:

1. Perfis de Acesso com Conflitos: mostra quais 2


perfis de acesso possuem problemas de
segregao de funes. Este relatrio pode ser
exibido de duas (2) maneiras: (i).Perfis de Acesso
versus Conflitos e (ii). Conflitos versus Perfis de
Acesso.

2. Possveis Conflitos de Acesso: mostra os


possveis e os atuais conflitos nos perfis de
acesso caso determinada transao seja inserida.