Como SAP es un paquete de software único utilizado por muchas personas en una empresa, la gestión de roles y permisos de SAP es crucial para un uso sólido y eficiente.
Dependiendo del departamento en el que trabaje el usuario, o del nivel jerárquico en el que se encuentre, los roles y autorizaciones del usuario serán diferentes, pero sobre todo adaptados a sus tareas diarias.
En este artículo, veremos juntos qué es un rol y el acceso a las funcionalidades que permite/no permite, cómo gestionarlo y también cómo asignarlo a un usuario. A continuación, desarrollaremos juntos cómo analizar y corregir los problemas de autorización de los usuarios.
¿Qué es un papel SAP?
Para empezar, un rol SAP permite definir las autorizaciones de uno o varios usuarios.
Además, una función SAP puede identificarse mediante tres ejes:
La transacción funcional de SAP proporciona acceso a la liberación de una característica, que puede ser estándar o específica.
El objeto de autorización permite el acceso a ciertos datos específicos. Tomemos el ejemplo de una lista de pedidos de producción de dos fábricas pertenecientes a la misma empresa. El objeto de autorización podría, por ejemplo, restringir el acceso a las órdenes de fabricación de una sola fábrica.
Además, SAP distingue dos tipos diferentes de roles: el papel individual y el rol compuesto.
Papel individual
El rol único corresponde al primer nivel, la base de los roles. Permite la recopilación de varias transacciones funcionales y/o objetos de autorización en su interior.
Papel compuesto
El rol compuesto es simplemente un rol que combina varios roles individuales. Así, la gestión de las autorizaciones es más sencilla y rápida.
Cada uno tiene sus ventajas y desventajas. Dependiendo de la situación, en algunos casos será preferible utilizar un rol individual, en otros un rol compuesto.
Nota: una vez creado el rol, no hay posibilidad de convertir un rol individual en un rol compuesto, o viceversa. Sin embargo, seguirá siendo posible modificar su contenido.
Roles y autorizaciones SAP - Asignación de roles
Una vez definidos los roles, es necesario asignarlos a los usuarios según sus perfiles. Cada usuario puede tener uno o varios roles (rol individual o rol compuesto).
Esto ocurre a nivel del registro maestro de usuario. En efecto, para asignar funciones, utilice la operación funcional SU01:
Tenga en cuenta que también es posible asignar funciones a un usuario de forma temporal indicando una fecha de inicio y de finalización.
Nota: En la gran mayoría de las empresas, se proporciona un proceso para añadir roles SAP. Por lo tanto, siga cuidadosamente el proceso (si lo hay) establecido por la empresa.
Además, también es posible asignar funciones en bloque a varios usuarios a través de herramientas estándar como LSMW, SHDBECATT etc...
Roles y autorizaciones SAP - Gestión de roles y autorizaciones SAP
De hecho, dado que la gestión de roles y autorizaciones de SAP es una parte crítica de los procesos de una empresa, suele ser gestionada por un administrador dedicado.
La gestión de los roles individuales se realiza a través de la transacción funcional PFCG. Además, puede dividirse en tres partes principales (Menú, Autorizaciones y Usuario):
En la pestaña "Menú", encontrará la lista de transacciones que el rol hace accesible. También es posible gestionar la estructura de árbol con la creación de carpetas, subcarpetas...
En la pestaña "Autorizaciones" encontrará los objetos de autorización asociados y sus valores. Por lo tanto, los valores de los objetos de autorización configurados serán accesibles a través del rol en cuestión.
Por último, la tercera pestaña importante es la de "Usuario". Aquí es donde el administrador puede asignar el rol a ciertos usuarios. Esta posibilidad se suma a la vista anteriormente (asignación de roles a través de la funcionalidad SU01 de gestión de usuarios).
La gestión de los roles compuestos es algo diferente dado su objetivo principal: agrupar roles individuales existentes.
Transporte de los papeles
Una vez creados los roles, hay que activarlos. Es importante tener en cuenta que los roles se transportan de un sistema a otro. Por lo tanto, primero se crean en el sistema de desarrollo, luego se transportan al sistema de pruebas y finalmente al sistema de producción.
El transporte de roles también se realiza a través de la transacción funcional PFCG. Hay dos posibilidades: transportar un rol a la vez o realizar un transporte masivo de varios roles. Una vez ejecutada la función de transporte, el solicitar se crea y puede así transportarse, como en un personalizar "clásico".
Errores de roles y autorizaciones de SAP
Muchos usuarios ya han experimentado este mensaje:
De hecho, este mensaje bastante explícito indica que el usuario no tiene el rol necesario para acceder a la funcionalidad que ofrece la transacción funcional introducida.
O esta otra:
Además, este mensaje significa que la operación realizada dentro de una transacción no está autorizada para el usuario en cuestión. Tomemos el caso de la empresa X, con dos centros de producción S1 y S2. El empleado del departamento de compras del centro de producción S1 puede acceder a la transacción funcional de la lista de pedidos, pero también puede restringirse a los de S1 sólo.
En ambos casos, se trata de un error en las funciones y/o autorizaciones de SAP. Es posible que este mensaje de bloqueo sea voluntario o involuntario. Si es voluntario, significa que la función o el cargo del usuario no permite el acceso a la funcionalidad deseada. Si es voluntario, puede deberse a un error del administrador de SAP al asignar las funciones, o a un cambio de función que no se ha tenido en cuenta. Los roles permanecen asignados estáticamente al usuario. Cualquier cambio debe hacerse manualmente.
¿Cómo analizar un error de autorización?
En caso de que el usuario se encuentre con un mensaje de error de autorización y éste no esté justificado, es necesario realizar un análisis.
Esto le permitirá entender lo que está bloqueando y así determinar con facilidad los roles y/o objetos de autorización que faltan.
Por lo tanto, una vez que el usuario se queda atascado en el mensaje de error, el usuario puede iniciar la transacción funcional SU53: Mostrar datos de autorización. Puede tener este aspecto en el contexto de un error de autorización:
En él se indica explícitamente qué autorizaciones faltan. El administrador de SAP puede entonces utilizar diferentes herramientas (por ejemplo, la transacción funcional SUIM) para determinar la(s) función(es) faltante(s) que comprende(n) estas autorizaciones.
¿Cómo evitar un error de autorización?
Si tiene las autorizaciones asignadas a los consultores de SAP, podrá evitar un error de autorización. Esto es posible gracias a la depuración.
El primer paso es iniciar la operación funcional SE37 y ejecutar el módulo de funciones AUTH_CHECK_TCODE.
A continuación, añada un punto de interrupción en la línea "si sy-subrc = 0":
Si la variable sy-subrc = 0, no hay error de autorización. Si, por el contrario, sy-subrc es diferente de 0, entonces hay un error de autorización. Y es precisamente esta condición la que nos interesa.
Cambia el valor de la variable sy-subrc a 0 y ejecuta:
De este modo, el acceso a la funcionalidad es posible y se ha evitado el mensaje de error. Sin embargo, esta técnica algo "ilegal" sólo funciona temporalmente y no es permanente. Sólo debe utilizarse en casos de necesidad urgente.
¿Desea tener acceso ilimitado a toda nuestra biblioteca de formación SAP? Pruebe nuestra plataforma de formación de forma gratuita durante 7 días.
Pierre Balbinot
Consultor funcional SAP, experto en EAM (Enterprise Asset Management) y PP (Production Planning).
Kumar
Es muy útil y útil y sorprendente explicación. Podría explicar en detalle sobre su53 y stauthtrace