Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Autorizaciones de SAP
<a name="authorizations"></a>

La autorización necesaria para configurar el SDK depende de la edición del SDK.

**Topics**
+ [Autorizaciones de configuración](#configuration-authorizations)
+ [Autorizaciones de SAP para usuarios finales](#user-authorizations)

## Autorizaciones de configuración
<a name="configuration-authorizations"></a>

Consulte las siguientes pestañas para obtener más información.

------
#### [ SDK for SAP ABAP ]

Se requieren las siguientes autorizaciones para configurar el SDK de SAP ABAP.
+ S\$1`TCODE`
  +  `TCD` = `/AWS1/IMG` 
+ `S_TABU_DIS`
  +  `ACTVT` = `02`, `03`
  + `DICBERCLS`

**Elija entre los siguientes grupos de autorización.**
    + `/AWS1/CFG`- AWS SDK para SAP ABAP v1 - Config
    + `/AWS1/MOD`- AWS SDK para SAP ABAP v1 - Tiempo de ejecución
    + `/AWS1/PFL`- AWS SDK para SAP ABAP v1 - Perfil del SDK
    + `/AWS1/RES`- AWS SDK para SAP ABAP v1 - Recursos lógicos
    + `/AWS1/TRC`- AWS SDK para SAP ABAP v1 - Rastreo

------
#### [ SDK for SAP ABAP - BTP edition ]

Siga los siguientes pasos para permitir que el SDK para SAP ABAP - edición BTP acceda a la configuración.

1. Cree un nuevo rol empresarial mediante la plantilla de rol `SAP_BR_BPC_EXPERT` empresarial. Esta plantilla proporciona acceso a la aplicación de configuración empresarial personalizada.

1. En **Detalles generales de las funciones**, vaya a **Categorías de acceso** y seleccione **Sin restricciones** para *leer, escribir y valorar* la ayuda.

1. Vaya a la pestaña **Catálogo empresarial** y asigne el catálogo `/AWS1/RTBTP_BCAT` empresarial para proporcionar acceso a la configuración del SDK.

1. Vaya a la pestaña **Usuarios empresariales** y asigne a los usuarios empresariales el acceso a la configuración del SDK.

------

## Autorizaciones de SAP para usuarios finales
<a name="user-authorizations"></a>

 **Requisito previo: definir los perfiles del SDK** 

Antes de que el administrador de seguridad de SAP pueda definir sus funciones, el analista de negocios definirá los perfiles del SDK en Transaction `/AWS1/IMG` para el AWS SDK de SAP ABAP o la aplicación de configuración empresarial personalizada para el SDK de SAP ABAP, edición BTP. Por lo general, un perfil del SDK se denominará de acuerdo con su función empresarial: ZFINANCE, ZBILLING, ZMFG, ZPAYROLL, etc. Para cada perfil del SDK, el analista de negocios definirá los roles de IAM lógicos con nombres abreviados, como CFO (Director financiero), AUDITOR o INFORMES. El administrador de seguridad de IAM los asignará a los roles de IAM reales.

 **Defina las funciones empresariales o de PFCG** 

**nota**  
Los roles de PFCG se denominan roles de negocio en el entorno SAP BTP o ABAP.

A continuación, el administrador de seguridad de SAP añadirá un objeto de autorización `/AWS1/SESS` para conceder el acceso a un perfil del SDK.

Objeto de autenticación `/AWS1/SESS`
+ Campo `/AWS1/PROF` = `ZFINANCE`

A los usuarios también se les deben asignar roles de IAM lógicos para cada perfil del SDK, según su función laboral. Por ejemplo, un auditor financiero con acceso a los informes podría estar autorizado para desempeñar un rol de IAM lógico denominado `AUDITOR`.

Objeto de autenticación `/AWS1/LROL`
+  Campo `/AWS1/PROF` = `ZFINANCE`
+  Campo `/AWS1/LROL` = `AUDITOR`

Mientras tanto, el director financiero, con autorizaciones de lectura/escritura, podría tener un rol de PFCG que le autorice el rol lógico de `CFO`.

Objeto de autenticación `/AWS1/LROL`
+ Campo `/AWS1/PROF` = `ZFINANCE`
+ Campo `/AWS1/LROL` = `CFO`

En general, un usuario solo debe estar autorizado para un rol de IAM lógico por perfil del SDK. Si un usuario está autorizado para más de un rol de IAM (por ejemplo, si el CFO está autorizado para ambos `CFO` roles de IAM `AUDITOR` lógicos), el AWS SDK resuelve el problema asegurándose de que el rol de mayor prioridad (número de secuencia más bajo) surta efecto.

Como ocurre con todos los escenarios de seguridad, los usuarios deben tener el privilegio mínimo para realizar sus funciones laborales. Una estrategia sencilla para gestionar los roles de PFCG sería asignar un nombre a los roles de PFCG únicos según el perfil del SDK y el rol lógico que autoricen. Por ejemplo, el rol `Z_AWS_PFL_ZFINANCE_CFO` otorga acceso al perfil `ZFINANCE` y al rol de IAM lógico `CFO`. Luego, estos roles individuales se pueden asignar a roles compuestos que definan las funciones laborales. Cada empresa tiene su propia estrategia de gestión de roles, y le recomendamos que defina una estrategia de PFCG que se adapte a sus necesidades.