Seguridad SAP Fiori | Autorizaciones y Acceso

Modelo de Seguridad en 2 Capas

A diferencia de las transacciones SAP GUI tradicionales, SAP Fiori requiere una gestión de roles coordinada entre el servidor de Frontend y el Backend.

1. Rol de Frontend (FES)

Contiene las asignaciones de Catálogos de Negocio y Grupos/Spaces. Determina qué aplicaciones ve el usuario en su menú.

2. Rol de Backend (BES)

Contiene la lógica de negocio y autorizaciones. Incluye:

S_SERVICE: Autoriza la ejecución del servicio técnico OData.
Objetos de Negocio: (Ej: F_BKPF_BUK para Sociedad, M_MATE_WRK para Centro).

Autenticación y Single Sign-On (SSO)

Dado que Fiori suele exponerse a internet o redes corporativas amplias, la autenticación básica (usuario/password) se suele reemplazar por métodos más seguros:

SAML 2.0: Estándar para integración con Azure AD, Okta o SAP Cloud Identity Services.
X.509: Autenticación mediante certificados digitales.
Kerberos / SPNego: Para integración transparente con dominios Windows corporativos.

Conexión Trusted RFC

Para evitar que el usuario tenga que loguearse dos veces (en el Frontend y en el Backend), se configura una relación de confianza (Trusted RFC):

Configuración del destino RFC en SM59 con la opción "Trusted Relationship" activa.
El usuario debe existir en ambos sistemas con el mismo ID de usuario.
Se asigna el objeto S_RFCACL al usuario en el sistema Backend para permitir el acceso mediante Trusted RFC.

Preguntas Frecuentes (FAQ)

¿Qué roles necesita un usuario para usar SAP Fiori?

Un usuario necesita típicamente dos tipos de roles: un rol de Frontend (que otorga acceso al Launchpad, catálogos y grupos) y un rol de Backend (que otorga las autorizaciones de negocio para los servicios OData).

¿Qué es el objeto de autorización S_SERVICE?

Es el objeto fundamental en el backend que controla si un usuario tiene permiso para ejecutar un servicio OData específico. Se debe añadir al rol de backend con el nombre del servicio técnico.

¿Cómo funciona la conexión Trusted RFC?

Es una relación de confianza establecida entre el Frontend Server y el Backend que permite que el usuario se autentique una sola vez en el Frontend y su identidad se propague automáticamente al Backend sin volver a pedir contraseña.