Muchos aspectos de control en nuestro sistema Sap están determinados por los parámetros de la instancia, que configuran como se comporta el sistema en aspectos tan variopintos como el mandante e idioma por defecto (que se nos propone cuando nos conectamos al sistema), el número de modos que podemos tener abiertos, si podemos tener o no multilogon (entrar varias veces al sistema con el mismo usuario), la caducidad de las contraseñas, la estructura y valores permitidos para estas, tiempo máximo de proceso en dialogo, tiempo de espiración de las sesiones inactivas, etc.
La configuración de estos valores es una labor de los consultores Basis o BC y se realiza sobre los ficheros de configuración de Sap con la transacción RZ10 (en el fichero de parámetros de la instancia). La modificación de estos valores implica en la mayoría de los casos el reinicio de la instancia Sap para que sean efectivos. Es importante que esta labor solo la realice el administrador del sistema, y por tanto os recomiendo conocer los parámetros y sus posibilidades de cara a los requerimientos de los clientes, pero siempre dejar su mantenimiento en manos de un experto, ya que la modificación inapropiada de valores en la configuración puede ocasionar problemas en el arranque de Sap.
Vamos a ver algunos de los parámetros más interesantes:
- Idioma por defecto al conectarnos al sistema: determina el lenguaje utilizado por defecto al conectarnos al sistema. Se establece con el parámetro zcsa/system_language. Por ejemplo, para el idioma español, pondremos un valor ‘S’. Es condición para poder utilizarlo que el idioma este instalado (transacción SMLT) y habilitado el idioma en la instancia con el parámetro zcsa/installed_languages. Por defecto al instalar Sap, están disponibles los idiomas Ingles y Alemán.
- Mandante por defecto: con el parámetro login/system_client indicamos el mandante por defecto que se nos va a proponer al hacer logon.
- Máximo número de modos permitidos: podemos configurar el número de modos abiertos que puede tener abiertos un usuario con el parámetro rdisp/max_alt_modes. Por defecto, tiene un valor de 6, aunque podemos modificarlo para reducirlo o incrementarlo (hasta 16). Tener en cuenta siempre a la hora de modificar este parámetro, que los procesos de impresión requieren un modo, y por tanto, no es recomendable nunca indicar un valor 1.
- Deshabilitar el multilogon en el sistema: con el parámetro login/disable_multi_gui_login podemos establecer que el multilogon no este permitido (no se podrá conectar un usuario dos veces al mismo mandante con el mismo identificador de usuario). Por defecto, tiene el valor 0 (esta habilitado el multilogon), aunque con el valor 1 se deshabilitará.
- Multilogon permitido en determinados usuarios: tanto si el multilogon esta habilitado o no a nivel general, con el parámetro login/multi_login_users podemos forzar a que algunos usuarios si lo tengan permitido. En el caso de varios usuarios, introduciremos todos los valores separados por coma. A los usuarios que estén en la lista no se les presentará el tedioso diálogo que aparece al entrar una segunda vez al sistema.
- Máximo tiempo de ejecución en procesos de diálogo: con el parámetro rdisp/max_wprun_time podemos limitar el tiempo de ejecución de un proceso de usuario en dialogo. Puede ser interesante para prevenir problemas de rendimiento por ejecuciones de procesos demasiado pesados por los usuarios (sería conveniente realizarlos en procesos d fondo para que no afecten al performance del sistema). Por defecto, se indican los valores en segundos, aunque tambien se pueden indicar en minutos (p.e. 30 M sería media hora o 3H seria 3 horas).
- Tiempo de expiración de sesiones inactivas: podemos configurar con el parámetro rdisp/gui_auto_logout el tiempo de inactividad permitido en las sesiones del Sapgui. Una vez superado este tiempo, el sistema desconecta la sesión. Es un mecanismo de seguridad para cerrar sesiones olvidadas, sin duda.
- Uso permitido del usuario SAP* para tareas de configuración: en todas las instalaciones Sap existe un usuario SAP* (mientras no este creado como tal a propósito), que tiene la contraseña por defecto PASS y todas las autorizaciones disponibles (SAP_ALL). Esto es un agujero de seguridad grave que Sap soluciono con el parámetro login/no_automatic_user_sapstar. Por defecto, el parámetro vale 1 e impide utilizar este usuario. Para poder activarlo, habrá que poner el valor 0. Lo lógico es activarlo para tareas de configuración, y una vez terminado el proceso, volver a desactivarlo. Este usuario es HARDCODED.
- Parametros de control de contraseñas: ademas de poder introducir en la tabla USR40 la lista de contraseñas que no vamos a permitir, disponemos de igualmente de multitud de parámetros para establecer unas políticas de seguridad en cuanto a las contraseñas y los accesos (podeís obtener información adicional en las notas 2467 y 862989 del OSS):
- Longitud mínima de la contraseña: se establece con el parámetro login/min_password_lng. El valor por defecto es 3. Se recomiendan valores más largos.
- Número mínimo de caracteres diferentes entre la contraseña anterior y la actual: parámetro login/min_password_diff .
- Número mínimo de dígitos en la contraseña: parámetro login/min_password_digits.
- Número mínimo de letras en la contraseña: parámetro login/min_password_letters.
- Número mínimo de minúsculas en la contraseña: parámetro login/min_password_lowercase.
- Número mínimo de mayúsculas en la contraseña: parámetro login/min_password_uppercase.
- Número mínimo de caracteres especiales en la contraseña: parámetro login/min_password_specials.
- Número de intentos fallidos para cerrar la sesión: con el parámetro login/fails_to_session_end indicamos el número de intentos de conexión erróneos permitidos antes de cerrar la sesión. No significa que se bloquee el usuario.
- Número de intentos fallidos para bloquear el usuario: con el parámetro login/fails_to_user_lock determinamos el número de accesos incorrectos permitidos hasta que se bloquea un usuario en el sistema.
- Desbloqueo automático diario de usuarios: con el parámetro login/failed_user_auto_unlock podemos forzar a que en la medianoche de cada día se desbloqueen de forma automáticas los usuarios que se bloquearon por intentos de acceso incorrectos.
- Número de días a partir del cual se puede cambiar la contraseña: con el parámetro login/password_change_waittime.
- Número de días a partir del cual se debe de cambiar la contraseña (el sistema nos obliga): con el parámetro login/password_expiration_time.
- Número de contraseñas almacenadas (que no se podrán repetir): con el parámetro login/password_history_size. Si indicamos, por ejemplo, el valor 5, no se podrán repetir en el usuario las últimas 5 contraseñas. Solo se almacenan las contraseñas introducidas por el usuario, no por el administrador.
- Número de días maximos de inactividad de una contraseña indicada por el administrador: parámetro login/password_max_idle_initial. Superado el número de días indicado, sino se ha utilizado la contraseña (el usuario no ha entrado el sistema), esta se bloquea.
- Número de días máximos de inactividad de una contraseña indicada por el usuario: parámetro login/password_max_idle_productive. Superado el número de días indicado, sino se ha utilizado la contraseña (el usuario no ha entrado el sistema), esta se bloquea.
- Uso permitido de fieldexit: las fieldexit son una tecnología un tanto obsoleta de Sap que permite introducir verificaciones adicionales en el sistema a nivel de campos en las dynpro estandar. Hablaremos en otra entrada de la forma de configurarlas, pero para poder utilizarlas es necesario que el parámetro abap/fieldexit tenga el valor yes (por defecto tiene el valor no, y están deshabilitadas).
- Deshabilitar la verificación de autorizaciones en transacciones de analisis SU53 y SU56: con las transacciones SU53 y SU56 podemos revisar problemas en las autorizaciones asignadas a los usuarios. Con el parámetro auth/tcodes_not_checked podemos indicar que estas transacciones estén disponibles siempre a los usuarios, independientemente si las tienen o no en sus perfiles de autorización (el valor se indicará de la forma «SU53», «SU56», «SU53 SU56» ).
Ejemplo de uso de la transacción SU56
Añadir para terminar que mediante esta transacción se configuran otros muchos parámetros de control, como son los tamaños de buffers, áreas de memoria, número de procesos de trabajo de cada tipo (dialogo, fondo, actualización), configuración de estadísticas, directorios, spool, pasarela de correo, servidor http. En definitiva, es el corazón del sistema Sap, se pueden ajustar muchos valores para mejorar el rendimiento o cambiar el comportamiento del sistema y es, por tanto, una tarea muy delicada de realizar, como ya os he indicado.
Notas y trucos SAP (Bitacora) 
Pingback: Los números de 2012 « Notas y trucos SAP (Bitacora)
Gracias por la información. Me parece un articulo muy interesante.
Me alegro que te haya sido util, saludos.
Buenos días, podría explicarme o indiarme porque el parametro login/password_expiration_time no funciona para ciertos usuarios?, no se tiene ningun parametro que indique no aplicarlo a unos usuarios. Esto nos está pasando en especial a unos usuarios creados y que ingresan al sistema en idioma inglés.
Le agradezco una respuesta.
Hola me solicita un cliente lo siguiente : Existe la posiblidad de crear un parametro de usuario para que no se pueda modificar, bloquear o desbloquear un proveedor especifico:: Ejemplo: Rebeca Bonilla Existe como acreedor pero requiero que yo no pueda modificar ni desbloquear este proveedor ya que soy yo misma. Se puede hacer esto por parametros de usuario?? Sino es posible se puede hacer por roles??
No he bloqueado la vista o acceso de proovedores antes por parametron, me podrian ayudar ?
Mil gracias de antemano
Gracias Roberto por haberte tomado el trabajo de volcar aquí esta info, muy útil para quienes nos estamos iniciando en SAP. Aprovecho para consultarte si sabes de algún parámetro para establecer excepciones a rdisp/gui_auto_logout, ya que quisiera inhabilitar este timeout para ciertos usuarios.
Saludos.
Hola Diego:
No, el logout es un parametro general. Que yo conozca, no hay un parametro para permitirlo por usuario como si lo hay en otras funcionalidades (como por ejemplo el logon multiple).
Un saludo.
Excelente aporte, Gracias
Hola Roberto,
Quisiera poder controlar el hecho de que si una clase de mensaje en SD-Facturación fue impreso, no puedan reimprimirlo, a menos que tenga un tipo de autorización o algo por el estilo.
Gracias de antemano
Hola Moises:
Me temo que no es posible lo que tu quieres. Por ejemplo, en la transacción de impresion de facturas de SD, la VF31, se verifican los objetos de autorización:
V_VBRK_FKA Facturación: Autorización p.clases de facturas
V_VBRK_VKO Factura: Autorización para organizaciones de ventas
En ambos objetos, la autorización requerida en el campo actividad es:
04 Imprimir, tratar mensajes
pero no hay una diferencia de actividad entre la primera impresión o la reimpresión.
Un saludo.
Amigo Roberto tengo una duda,
El año pasado cambiamos de plataforma de SAP a 720 y en este no encontramos un reporte de facturacion que nos de el avance de facturacion con GSV y tenememos que bajar tres tablas para sacar esta informacion, existe una transaccion que nos permita visualizar la facturacion en tiempo real sin tener que bajar tablas??
En espera de tu pronta respuesta.
Saludos
Hola Roberto,
¿Sabes si hay alguna manera para poder ver las descripciones y textos de los datos maestros sin importar el idioma con el que accedo?
Por ejemplo si entro con idioma inglés no veo las descripciones de los centros de coste en español y viceversa.
Saludos,
Hola roberto,
Sabes como se actualiza el parámetro rdisp/tm_max_no en la RZ10 ? Porque no logramos encontrar la opción modificar.
gracias por tu aporte
Saludos
Hola Buen dia
sabes como puedo restringir el parametro de las multisesiones de http en CRM
Gracias por tu aporte
Saludos!!
Hola Roberto,
Una consulta: habrá algún parámetro o configuración que me permita recuperar la clave de usuarios sap de dialogo, a través de email?. Algo como. después de los intentos fallidos sap proponga recuperar clave a través de un email? gracias de antemano.
Buenas! Te hago una pregunta..
Hay forma de excluir a usuarios VIP de la politicas de contraseña?
Se puede realizar desde la tabla una por una o hay alguna regla que te deje excluirlos..
La verdad que estoy buscando, pero no encuentro la forma de hacerlo, si es que se puede..
Desde ya MIL gracias!!!
¿Existe un máximo número de registros que se pueden crear cuando se ejecuta un script de test con la transacción SECATT?
Que yo sepa no
Hola Roberto,
ocurre que cuando ejecuto la transacción SECATT para un objeto de Configuración test desde un archivo texto que tiene más de 10,000 registros solamente se ejecuta para 9,997 registros.
Y en el log no se manifiesta ningún error. Si aparece el log para cada una de las 9,997 grabaciones que se ejecutaron correctamente y la grabación 9,998 simplemente no aparece.
Un usuario también manifiesta el mismo error en el que indica que solamente 9997 transacciones del objeto Configuración Test se realizaron bién y sin error; pero allí se detiene.
He analizado bastante el tema, se ha revisado la configuración pero no se ha podido determinar cual es la causa. ¿a que se deberá el que no se realice la transacción para los registros 9,998 hacia adelante?
Buen día,
Alguien me puede ayudar a entender este parámetro auth/object_disabling_active, cuál es su impacto? y como funciona?
gracias
Creo que sirve para quitar la verificación de autorizaciones en el sistema. Mira esta entrada de la ayuda a ver si te dice algo:
https://help.sap.com/saphelp_nw70ehp2/helpdata/en/52/671463439b11d1896f0000e8322d00/content.htm
Un saludo.
Hola Roberto,
Tu sabes como se podría restringir el uso de una cuenta de usuario SAP entre rangos de horario del día?. Por ejemplo crear pedidos de venta (tx VA01), solo hasta las 16:00 hrs.
Saludos,
Francisco
Buen día Roberto
Ojala puedas ayudarme.
Dentro de SAPLOGON tengo varias conexiones que pertenecen a diferentes sistemas y en uno de ellos esta activo el parámetro para el control de sesiones inactivas. El problema es que no se como o debido a que, pero este parámetro se transmite a todas los demás sistemas que tengo registrados en el SAPLOGON
Gracias por el post esta muy interesante, tengo la siguiente inquietud; es posible dar prioridad a los procesos de impresion en SAP, me explico en ocasiones tengo encolamiento en el spool de impresion en SAP y necesito darle prioridad a ciertas impresiones y que se evacuen tan pronto entren a la cola, las impresora configuradas en el sistema todas se acoplan con el tipo F: Imprimir en ordenador Front end, no se si sea esta la causa y si es como puedo solucionar el inconveniente.
De antemano agradezco la ayuda que pueda recibir.
Hola, Saben si hay algun parametro o como puedo poner y quitar la pantalla de conexión al sistema SAP R/3? es decir despues de dar doble clic sobre SAP GUI normalmente te pregunta Cliente, User & Pass e Idioma pero como evitar que me aparezca y visceversa.
Gracias
Hola Cesar:
Puedes crear accesos directos a transacciones, es lo mas parecido a lo que tu quieres. Lo unico que le pedira al usuario la primera vez que se conecte será la contraseña. Esto no se puede obviar, pues no se puede entrar al sistema sin usuario.
También es posible configurar (yo lo he visto hecho, no se exactametne como se hace), es la configuracion del Single Signon, que permite a un usuario de windows conectarse sin pedir contraseña al Sap. Requiere que el usuario Sap este identificado con el usuario windows.
Saludos
Por favor, necesito me ayuden con algun parametro que deniegue aquellas que contengan los siguientes caracteres: *ABC*, *ENE*, *FEB*, *MAR*, *ABR*, *JUN*, *JUL*, *AGO*, *SEP*, *OCT*, *NOV*, *DIC*, *ENER*, *SAP*, *CENTRO*, *CISNERGIA*, y 123456 (Numeración consecutiva).
Número de días a partir del cual se debe de cambiar la contraseña (el sistema nos obliga): con el parámetro login/password_expiration_time.
La consulta es la siguiente, si configuro este parametro, este aplica tambien a mis usuarios de: sistema, Comunicacion, Servicio? de ser asi que alguien me explique como hacer para que solo afecte a mis usuarios de Dialogo.
Roger, solo afecta a los usuarios de Diálogo.
Saludos.
Rodrigo. Gracias por tu respuesta, es la primera ves que aplico parámetros al sistema, ahora tengo dos inconvenientes
1. No me esta anunciando que tengo que cambiar la contraseña antes de que caduque.
2. Tengo dos usuarios, no pude ingresar con estos, me ingrese con otro usuario para ver si estaban bloqueados, pero no fue este el problema, me encontré con que el usuario de desactivo. le cambie la clave y al momento de grabar se vuelve a desactivar
Buenas tardes, una pregunta, al ingresar al parametro rdisp/gui_authomatic_logout no se si marcar la casilla que dice «Conmutar en servidores» podrías darme una idea de para que sirve esa opción? de antemano gracias
Hola! quería consultarles si existe algún parámetro que permita finalizar una sesión web de SAP en un determinado horario sin importar la actividad del usuario (es decir, a pesar de estar operando en el sistema).
¡Desde ya muchas gracias!
Me pueden decir si ahí algún parámetro para disminuir el tiempo de bloqueo de un usuario SAP, es decir una vez bloqueado el usuario como puedo hacer que se auto desbloquee cada 30 min por ejemplo.
Gracias
Hola Roberto, tengo un problema muy recurrente el cual deriva del bloqueo de procesos, mas que todo al ejecutar las transacciones VA01-VA02-VF01-VF02-ME21N-ME22N, este inconveniente amarra el proceso o la Tx tratada en su momento y no permite que otros usuarios puedan ingresar a la transacción y continuar con algún proceso especifico, la solución se da al ingresar a la Tx SM12 y borrar los bloqueos existentes, mi pregunta es, estos bloqueos derivan de la dinámica de la operación o es un error a nivel técnico de la aplicación y base de datos. Gracias por su respuesta.