Roles y autorizaciones de SAP

Publicado en: SAP General 1
Gestión de autorizaciones
Gestión de autorizaciones

Dado que SAP es un paquete de software único utilizado por muchas personas en una empresa, la gestión de roles y permisos de SAP es crucial para un uso sólido y eficiente.

Dependiendo del departamento en el que trabaje el usuario, o del nivel jerárquico en el que se encuentre, los roles y autorizaciones del usuario serán diferentes, pero sobre todo adaptados a sus tareas diarias.

En este artículo, veremos juntos qué es un rol y el acceso a las funcionalidades que permite/no permite, cómo gestionarlo y también cómo asignarlo a un usuario. A continuación, desarrollaremos juntos cómo analizar y corregir los problemas de autorización de los usuarios.

¿Qué es una función SAP?

Para empezar, un rol SAP permite definir las autorizaciones de uno o varios usuarios.

Además, una función SAP puede identificarse mediante tres ejes:

  • Una o varias transacciones funcionales
  • Uno o varios objetos de autorización
  • O la combinación de ambos

La transacción funcional SAP proporciona acceso a la liberación de una característica, que puede ser estándar o específica.

El objeto autorización permite acceder a determinados datos específicos. Tomemos el ejemplo de una lista de órdenes de fabricación de dos fábricas pertenecientes a la misma empresa. El objeto de autorización podría, por ejemplo, restringir el acceso a las órdenes de fabricación de una sola fábrica.

Además, SAP distingue dos tipos diferentes de roles: el papel individual y el rol compuesto.

Papel individual

El rol único corresponde al primer nivel, la base de los roles. Permite reunir en su interior varias transacciones funcionales y/u objetos de autorización.

Papel compuesto

El rol compuesto es simplemente un rol que combina varios roles individuales. Así, la gestión de las autorizaciones es más sencilla y rápida.

Cada uno tiene sus ventajas y sus inconvenientes. Dependiendo de la situación, en algunos casos será preferible utilizar un rol individual, en otros un rol compuesto.

Nota: una vez creado el rol, no hay posibilidad de convertir un rol individual en rol compuesto, o viceversa. Sin embargo, seguirá siendo posible modificar su contenido.

Asignación de funciones

Una vez definidos los roles, es necesario asignarlos a los usuarios según sus perfiles. Cada usuario puede tener uno o varios roles (rol individual o rol compuesto).

Esto ocurre a nivel del registro maestro de usuario. En efecto, para asignar funciones, utilice la operación funcional SU01:

Código T SU01
Transacción SU01

Tenga en cuenta que también es posible asignar funciones a un usuario de forma temporal indicando una fecha de inicio y otra de finalización.

Nota: En la gran mayoría de las empresas, se proporciona un proceso para añadir roles SAP. Por lo tanto, siga atentamente el proceso (si existe) establecido por la empresa.

Además, también es posible asignar funciones en bloque a varios usuarios mediante herramientas estándar como LSMW, SHDBECATT etc...

Gestión de Roles y Permisos de SAP

De hecho, dado que la gestión de roles y autorizaciones de SAP es una parte fundamental de los procesos de una empresa, normalmente la gestiona un administrador dedicado.

La gestión de los roles individuales se realiza a través de la transacción funcional PFCG. Además, puede dividirse en tres partes principales (Menú, Autorizaciones y Usuario):

En la pestaña "Menú", encontrará la lista de transacciones que el rol hace accesibles. También es posible gestionar la estructura de árbol con la creación de carpetas, subcarpetas...

En la pestaña "Autorizaciones" encontrará los objetos de autorización asociados y sus valores. Por lo tanto, los valores de los objetos de autorización configurados serán accesibles a través del rol en cuestión.

Por último, la tercera pestaña importante es la de "Usuario". Aquí es donde el administrador puede asignar el rol a determinados usuarios. Esta posibilidad es adicional a la vista anteriormente (asignar el rol a través de la función de gestión de usuarios SU01).

La gestión de los roles compuestos es algo diferente dado su objetivo principal: agrupar roles individuales existentes.

Transporte de los papeles

Una vez creados los roles, hay que activarlos. Es importante tener en cuenta que los roles se transportan de un sistema a otro. Por lo tanto, primero se crean en el sistema de desarrollo, luego se transportan al sistema de pruebas y, por último, al sistema de producción.

El transporte de roles también se realiza a través de la transacción funcional PFCG. Existen dos posibilidades: transportar un rol cada vez o realizar un transporte masivo de varios roles. Una vez ejecutada la funcionalidad de transporte, el solicitar se crea y puede así transportarse, como en un personalizar "clásico".

Errores de roles y autorizaciones de SAP

Muchos usuarios ya han experimentado este mensaje:

Error de autorización de transacción
Error de autorización de transacción

De hecho, este mensaje bastante explícito indica que el usuario no tiene el rol necesario para acceder a la funcionalidad ofrecida por la transacción funcional introducida.

O esta otra:

Error de objeto de autorización
Error de objeto de autorización

Además, este mensaje significa que la operación realizada dentro de una transacción no está autorizada para el usuario en cuestión. Tomemos el caso de la empresa X, con dos centros de producción S1 y S2. El empleado del departamento de compras del centro de producción S1 puede acceder a la transacción funcional de la lista de pedidos, pero también puede limitarse a los de S1 sólo.

En ambos casos, se trata de un error en los roles y/o autorizaciones SAP. Es posible que este mensaje de bloqueo sea voluntario o involuntario. Si es voluntario, significa que la función o posición del usuario no permite el acceso a la funcionalidad deseada. Si es voluntario, puede deberse a un error del administrador SAP al asignar roles, o a un cambio de función que no se ha tenido en cuenta. Los roles permanecen asignados estáticamente al usuario. Cualquier cambio debe realizarse manualmente.

¿Cómo analizar un error de autorización?

En caso de que el usuario se encuentre con un mensaje de error de autorización y éste no esté justificado, es necesario realizar un análisis.

Esto le permitirá entender lo que está bloqueando y así determinar con facilidad los roles y/o objetos de autorización que faltan.

Por lo tanto, una vez que el usuario se queda atascado en el mensaje de error, el usuario puede iniciar la transacción funcional SU53: Mostrar datos de autorización. Puede tener este aspecto en el contexto de un error de autorización:

Código T SU53
Transacción SU53

Esto indica explícitamente qué autorizaciones faltan. El administrador SAP puede entonces utilizar diferentes herramientas (por ejemplo, la transacción funcional SUIM) para determinar la función o funciones que faltan y que las componen.

¿Cómo evitar un error de autorización?

Si dispone de las autorizaciones asignadas a los consultores SAP, podrá evitar un error de autorización. Esto es posible gracias a la depuración.

El primer paso es iniciar la operación funcional SE37 y ejecutar el módulo de funciones AUTH_CHECK_TCODE.

FM AUTH_CHECK_TCODE
Módulo de funciones AUTH_CHECK_TCODE

A continuación, añada un punto de interrupción en la línea "if sy-subrc = 0":

Punto de interrupción SY-SUBRC = 0
Punto de interrupción SY-SUBRC = 0

Si la variable sy-subrc = 0, no hay error de autorización. Si, por el contrario, sy-subrc es distinta de 0, se produce un error de autorización. Y es precisamente esta condición la que nos interesa.

Cambia el valor de la variable sy-subrc a 0 y ejecuta:

Cambiar la variable SY-SUBRC -> valor a 0
Cambiar la variable SY-SUBRC -> valor a 0

De este modo, es posible acceder a la funcionalidad y eludir el mensaje de error. Sin embargo, esta técnica un tanto "ilegal" sólo funciona temporalmente y no es permanente. Sólo debe utilizarse en casos de necesidad urgente.

¿Desea tener acceso ilimitado a toda nuestra biblioteca de formación SAP? Pruebe nuestra plataforma de formación de forma gratuita durante 7 días.

  1. Kumar
    | Responder

    Es muy útil y útil y sorprendente explicación. Podría explicar en detalle sobre su53 y stauthtrace

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *