Autorizaciones
las autorizaciones son creadas usando roles y perfiles. Los administradores crean los roles y el sistema provee el soporte para la creacion de las autorizaciones asociadas.
Los objetos de autorizacion protegen las acciones y accesos a los datos y estan divididos en diferentes clases. Permiten verificaciones complejas que involucran multiples condiciones que son evaluadas por la condicion logica AND, quiere decir que deben cumplirse todas las condiciones para que la autorizacion sea exitosa.
los objetos de autorizacion y los campos contienen nombres tecnicos y descriptivos. Un objeto de autorizacion puede incluir hasta diez campos de autorización
Una autorización SIEMPRE se asocia con solo un objeto de autorización y esta formada por el valor para los campos del objeto de autorizacion.
Cuando un usuario se loguea a un cliente de un sistema SAP, sus autorizaciones son cargadas en el contexto de usuario, es decir en el buffer del servidor de aplicacion, se puede consultar con la transaccion SU56. De asignarse nuevas autorizaciones, podria serr necesario que el usuario volviese a loguearse para poder utilizar las nuevas autorizaciones.
Si la verificacion de autorizacion para llamar a la transaccion es exitosa, se muestra la pantalla inicial de la transacción, dependiendo de la transaccion el usuariopuede crear datos o seleccionar acciones que son enviadas al dispatcher el cual se los pasa a los work process para su procesamiento.
Verificaciones de autorizacion son realizadas durante la ejecucion en el work process son programdas dentro del codigo por los desarrolladores ABAP para proteger los datos y las acciones que van a realizarse. Si el usuario contiene todas las autorizaciones requeridas para la verificacion (Codigo de retorno = 0), los datos y las acciones son procesadas y la proxima pantalla es devuelta al usuario, de lo contrario el procesamiento no se realiza y el usuario recibe un mensaje que indica que las autorizaciones son insuficientes (codigo de retorno <> 0). Todas las autorizaciones son permisos, no hay autorizaciones para prohibir, es decir, el concepto de autorizacion en positivo explica que todo aquello que no esta explicitamente permitido esta prohibido.
Transaccion PFCG
El mantenimiento de roles simplifica la creacion de autorizaciones y sus respectivas asignaciones a los usuarios. Este crea las autorizaciones con los valores de campos requeridos para los objetos de autorizacion que son verificados en la transaccion elegida.
El rol puede ser asignado a varios usuarios y los usuarios pueden ser asignados a más de un rol (M:M), los cambios a un rol por lo tanto tienen efecto sobre todos estos usuarios
Niveles organizacionales
son campos que se refieren a la estructura de la compañia. Estos campos aparecen en la mayoria de las autorizaciones, el boton organizational levels facilita su mantenimiento.
Una vez todas las autorizaciones han sido mantenidas como se requiere, el perfil de autorizacion puede ser generado mediante el boton GENERATE, estas autoriaciones se combinan en un perfil. Los perfiles deben ingresarse en los registros maestros de usuarios esto se denomina comparacion de registros maestros.
Usuarios y roles
se asignan en la transaccion PFCG o en SU01. Los usuarios pueden recibir más de un rol, la asignaciones de roles a los usuarios no otorga automaticamente las autorizaciones, para asignar estas autorizaciones es necesario realizar una comparacion de registros de usuarios mediante en el cual los perfiles de los roles son insertados en el registro maestro de usuario, esta comparacion determina si los perfiles de autorizacion deben ser agragados o eliminados del usuario basandose en la asignaciones de roles. Durante esta comparación se agregan perfiles al maestro de usuario si nuevos roes son agregados. Si la asignacion de roles es removida manualmete o porque se cumple la fecha de vencimiento del rol estos perfiles son eliminados del registro maetro de usuario. La comparacion puede realizarse individualmente con el boton user comparision > complete comparison durante esta operacion los perfiles obsoletos son eliminados.
Si son multiples roles se puede a traves d ela transaccion PFCG > utilities > mass comparison o en la transaccion PFUD, se pueden seleccionar los roles o actualizar las asignaciones ingresando el caracter asteristco (*)
De forma periodica a traves de un schedule o check job for full reconciliation para activar una comparacion de registros maestros. El job de background es PFCG_TIME_DEPENDENCY, de no encontrar el job tenemos la opcion de crear uno. El valor por defecto de todos los registros maestros seran comparados una vez por dia.