✒️SAP BASIS El concepto de autorización
SAP BASIS El concepto de autorización
Autorizaciones en SAP
Objeto de autorización: Realiza la tarea de verificación de autorizaciones de acciones de usuarios. Para esto se utilizan los campos de autorización en el objeto (se pueden verificar los objetos de autorización de una transacción con la TX SU24). Los objetos de autorización permiten la verificación de condiciones necesarias para accedes a realizar una acción sobre el sistema SAP. Si no se cumplen todas las condiciones la transacción no es exitosa.
Las autorizaciones de un usuario al loguearse se cargan en el contexto de este, dicho contexto se encuentra en el buffer de la memoria principal y puede ser consultado a través de la TX SU56. Al asignarle una transacción nueva al usuario, podría ser necesario que el mismo cierre el sistema y se vuelva a loguear para que se cargue el nuevo contexto.
El sistema lee el contexto de usuario cuando este llama una transacción, si se cumple la verificación de autorización la misma se ejecuta, y se mostrara la pantalla inicial de la misma.
No existe TX para prohibir un acceso, el sistema utiliza un concepto de autorización positiva, es decir, lo que no está explícitamente permitido, está prohibido.
Mantenimiento de roles:
El mantenimiento de roles, se realiza a través de la TX PFCG. Se agrupan en los roles las transacciones que desde el punto de vista de la compañía deben estar juntas. Un rol puede ser asignado a varios usuarios y los cambios a estos roles afectan a los usuarios que se encuentran asignados a este.
En la solapa o pestaña menú de la transacción PFCG se puede modificar el menú de usuario, se pueden añadir nuevas transacciones con el botón transacciones, reportes con el botón reports (programa ABAP) y otros (URL, o vínculos a archivos). La función de arrastras y soltar se encuentra disponible.
Al modificar el árbol de menú, el mantenimiento de roles crea las autorizaciones asociadas a las TX que se coloquen en este. Sin embargo es una buena práctica el verificar manualmente las autorizaciones para asegurarse que ajusten a los permisos que pretenden dar al rol.
En solapa de autorizaciones – Botón mostrar o cambiar datos de autorización se mostrara y podrá modificar los campos de autorización propuestos para el objeto de autorización.
En la pantalla existen tres tipos de indicadores:
Luz verde: Valor propuesto para cada uno de los campos.
Amarilla: Se necesita mantenimiento manual en al menos uno de los campos.
Roja: Los niveles organizacionales no están definidos.
El botón Organizational Level, se utiliza para modificar campos presentes en varias autorizaciones, al modificar dichos campos nivel organizacional, este afectara a todos los objetos de autorización que lo contengan.
Una vez culminada se presiona el botón generate y se genera un perfil que debe ser configurado en el maestro de usuario. Esto se llama comparación de registro de maestro de usuarios.
Usuarios y roles:
Se realiza mediante la transacción PFCG (solapa users y vaciar los usuarios) o SU01 (solapa roles). Al modificar una autorización a un perfil, se debe generar nuevamente y luego realizar una comparación de usuarios para actualizar el maestro de los usuarios agregados al rol que se esté modificando, de esta manera se elimina o bien se agregan los perfiles necesarios en la solapa profiles del maestro de usuario, esto para adaptarse a las autorizaciones modificadas en el perfil del rol.
Se pueden actualizar varias asignaciones de roles con la transacción PFCG en la ruta utilities- Mass comparition o por la TX PFUD. Se agregan los roles a actualizar o se pueden actualizar todos al mismo tiempo colocando el valor asterisco (*). Se puede configurar un job para la actualización automática con la opción Schedule, esta llevara a la programación de Jobs y donde se debe buscar el job ya programado pfcg_time_dependency el cual podemos modificar a nuestro gusto o crear uno nuevo. Por defecto este job compara el registro maestro de usuarios una vez por dia.
Sobre el autor
Publicación académica de Jesus Alberto Segovia Marrero, en su ámbito de estudios para la Carrera Consultor Basis NetWeaver.
SAP SemiSenior
Jesus Alberto Segovia Marrero
Profesión: T.s.u en Informática - Venezuela - Legajo: OM86D
✒️Autor de: 18 Publicaciones Académicas
🎓Egresado del módulo:
Presentación:
Tsu en informática con 10 años de experiencia en tecnología de información
Certificación Académica de Jesus Segovia
