Anlisis del Conflicto

El usuario EN31372 actualmente mediante 4 transacciones puede realizar la funcin GF05.CONTABILIZAR[footnoteRef:1] en concreto estas transacciones son: [1: Ingreso y modificacin de asientos contables manuales. Por ejemplo:- Registrar contablemente los flujos generados IFT- Registrar/Modificar/Corregir apuntes en cuentas transitorias mediante asientos manuales en SAP-FI- Contabilizar partidas de transitorias- Realizar ajustes contables en la valoracin de derivados- Registrar el importe de la liquidacin de la tasa de la CNE y la cuota del GTS- Contabilizar gastos por tickets restaurante]

F.80: Anular documentos en masa (sirve para documentos de clientes, proveedores como de cuentas de mayor) FB08: Anular documento (sirve para documentos de clientes, proveedores como de cuentas de mayor) F.57: Borrar documento (sirve para documentos de clientes, proveedores como de cuentas de mayor) F.56: Borrar documentos peridicos (sirve para documentos de clientes, proveedores como de cuentas de mayor)

La ejecucin de estas transacciones es debida a la combinacin de 2 roles (Conflictos INTER-ROL):

EN:FI:CON:AP:DO (Acreedores Documentos sociedad 102): Obtencin de las transacciones mencionadas anteriormente. Este rol adems provee de ms transacciones. EN:FI:CON:AP:CU (Acreedores sociedad 102-FBL1,FBL1N,FK10,FK10N): Obtencin de objetos con la opcin de modificar para documentos de G/L.

La propagacin de objetos de autorizacin indeseada, provoca que el usuario EN31372 pueda eliminar documentos para cuentas de tipo K (proveedor),M (material),S (cuentas de mayor) mediante las transacciones mencionadas anteriormente.

PruebaObjetivoEl objetivo de la prueba es la simulacin de un conflicto inter-rol provocado por la combinacin de objetos de autorizacin pertenecientes a distintos roles.

Para simplificar el ejemplo, no se ha simulado la totalidad de permisos que tiene el usuario EN31372 en SAP Enags, sino que se ha seleccionado de cada uno de los roles cierta informacin: EN:FI:CON:AP:DO : Transaccin F.80. EN:FI:CON:AP:CU: Transaccin FBL1.

Parametrizndose los objetos de autorizacin de la transaccin F.80 en modo lectura y los objetos de autorizacin de la transaccin FBL1 en modo modificacin.

Se ha procedido posteriormente a crear un rol con cada una de estas transacciones y se ha procedido a asignrselo a un usuario, el cual, exclusivamente tendr estos permisos.DesarrolloSe ha procedido en el SANDBOX de E&Y a realizar una simulacin mediante la creacin de un usuario (id.=FB08_MOD) y asignarle exclusivamente los 2 roles que se mencionan a continuacin:

Rol 1: Rol que exclusivamente tiene la transaccin F.80 (eliminacin masiva de documentos) pero se ha restringido que para que slo tenga acceso a las cuentas de mayor y con el permiso de lectura, es decir, el objeto F_BKPF_KOA (autorizacin para tipos de documentos) parametrizado con los valores: S : indicador cuenta de mayor 03: visualizar

Rol 2: Rol que exclusivamente tiene la transaccin FBL1 (Visualizacin y modificacin de partidas individuales en cuentas de acreedor). Transaccin no relacionada con cuentas de mayor pero que a nivel de objetos de autorizacin tiene similitudes, es decir, las transacciones FBL1 y F.80 requieren del objeto F_BKPF_KOA para poder ejecutarse.

En este caso el objeto F_BKPF_KOA, se ha configurado para dar acceso a todo todo tipo de documento y se permite su creacin / modificacin/ eliminacin.

ResultadoSe ha procedido a ejecutar F.80, borrado masivo de documentos y se ha eliminado un documento.

En este caso el documento borrado es de tipo KA (Acreedor para anticipos de bienes y servicios).

La transaccin que me permite borrar documentos masivamente est en el rol 1 (transaccin F.80) y los objetos de autorizacin que me faltan para que esta transaccin pueda ser ejecutada se encuentra en el rol 2 (F_BKPF_KOA; Actividad=Todas las actividades; Tipo de documento=Todos los documentos)

Page 1 of 4