UNIDAD 5 LECCION 2

Las autorizaciones de los usuarios son creadas usando roles y perfiles.

Los administradores crean los roles y el sistema provee el soporte para
la creacin de las autorizaciones asociadas.

1| Objetos de Autorizacin y Chequeo de Autorizacin

Comprender el concepto de autorizacin de SAP requiere el

conocimiento del rol y perfil de autorizacin en el registro maestro de un
usuario. Esta leccin provee el conocimiento necesario para poder crear
los roles y autorizaciones propios.

Figura 521 Objetos de Autorizacin

Las acciones y los accesos a los datos estn protegidos a travs de los
objetos de autorizacin en el sistema SAP. Los objetos de autorizacin
se encuentran en el sistema SAP.
Para facilitar un poco la organizacin, los objetos de autorizacin estn
divididos en diferentes clases.

Los objetos de autorizacin permiten verificaciones complejas que

involucran mltiples condiciones que permiten a un usuario realizar una
accin. Las condiciones son especificadas en los campos de autorizacin
para el objeto de autorizacin y son evaluados estos campos mediante
la condicin lgica AND para la verificacin. O sea, se deben cumplir
todas las condiciones para que la verificacin de autorizacin sea
exitosa.

Los objetos de autorizacin y los campos que contienen tienen nombres

tcnicos y descriptivos.
En el ejemplo de la figura 521, el objeto de autorizacin User Master
Maintenance: User Groups (nombre tcnico: S_USER_GRP) contiene dos
campos de autorizacin: Actividad (nombre tcnico: ACTVT) y User
Group in User Master Record (nombre tcnico: CLASS).

El objeto de autorizacin S_USER_GRP protege el registro maestro de

usuario justamente. Un objeto de autorizacin puede incluir hasta diez
campos de autorizacin.

Una autorizacin siempre se asocia con solo un objeto de autorizacin y

est formada por el valor para los campos del objeto de autorizacin.
Una autorizacin es un permiso para realizar cierta accin en el sistema
SAP. La accin es definida sobre la base de los valores para cada uno de
los campos de un objeto de autorizacin.

Por ejemplo, la autorizacin B en la figura para el objeto de autorizacin

S_USER_GRP permite mostrar todos los registros de usuarios que NO
estn asignados al grupo SUPER. La autorizacin A, en cambio, permite
mostrar registros de usuarios pertenecientes a ese grupo.

Es posible que existan mltiples autorizaciones para un objeto de

autorizacin. Algunas autorizaciones ya estn incluidas en el sistema por
SAP, pero la mayor parte son creadas especficamente por
requerimientos de los clientes.
Figura 522 Verificacin de Autorizacin

Cuando un usuario se loguea a un cliente de un sistema SAP, sus

autorizaciones son cargadas en el contexto de usuario. El contexto de
usuario se encuentra en el buffer (en la memoria principal, puedes
consultarla mediante la transaccin SU56) del servidor de aplicacin.

Cuando el usuario llama a la transaccin, el sistema verifica si el usuario

tiene la autorizacin necesaria en el contexto de usuario para acceder a
la transaccin. Las verificaciones de autorizacin utilizan las
autorizaciones que existen en el contexto de usuario. Si se asignan
nuevas autorizaciones al usuario, podra ser necesario para este usuario
volverse a loguear al sistema SAP para poder utilizar estas nuevas
autorizaciones.

Si la verificacin de autorizacin para llamar a la transaccin es exitosa,

el sistema luego muestra la pantalla inicial de la transaccin.
Dependiendo de la transaccin, el usuario puede crear datos o
seleccionar acciones. Cuando el usuario realiza la accin, los datos son
enviados al dispatcher, el cual los pasa a un work process para que
ejecute el procesamiento.

Verificaciones de autorizacin (AUTHORITY-CHECK) que son realizadas

durante la ejecucin en el work process son programadas dentro del
cdigo por los desarrolladores ABAP para proteger los datos y las
acciones que van a realizarse.

Si el contexto de usuario contiene todas las autorizaciones requeridas

para la verificacin (cdigo de retorno = 0), los datos y las acciones son
procesadas y la prxima pantalla es devuelta al usuario. Si falta alguna
de las autorizaciones requeridas, el procesamiento no se realiza y el
usuario recibe un mensaje que indica que las autorizaciones son
insuficientes.

Esto se controla mediante la evaluacin del cdigo de retorno. En este

caso, no sera igual a 0.

Todas las autorizaciones son permisos. No hay autorizaciones para

prohibir.

Todo aquello que no est explcitamente permitido est

prohibido. Esto es lo que se conoce como concepto de autorizacin
positivo.

2| Mantenimiento de Roles: Men y Autorizaciones

Figura 523 Mantenimiento de Roles

El Mantenimiento de Roles (transaccin PFCG, previamente tambin

llamada Profile Generator o Activades de Grupo) simplifica la creacin de
autorizaciones y sus respectivas asignaciones a los usuarios.

En el mantenimiento de roles, las transacciones, que desde el punto de

vista de la compaa, pertenecen a un mismo grupo se seleccionan. El
mantenimiento de roles crea las autorizaciones con los valores de
campos requeridos para los objetos de autorizacin que son verificados
en la transaccin elegida.

Un rol puede ser asignado a varios usuarios. Los cambios a un rol por lo
tanto tienen efecto sobre todos estos usuarios. Los usuarios pueden ser
asignados a ms de un rol.

El men de usuario se compone del men de rol y contiene las entradas

(transacciones, URLs, reportes, etc) que son asignadas al usuario a
travs de los roles.
Figura 524 Men de usuario

Puedes acceder al mantenimiento de roles con la transaccin PFCG o

mediante el men de la pantalla inicial del sistema en Tools
Administration User Maintenance Role Administration Roles.
Ingresa el nombre del rol y presiona el botn Create o Change.
Selecciona la solapa Menu.

Selecciona y modifica las funciones: En el rbol de men se pueden

realizar ajustes para los roles individuales. Se pueden insertar o borrar
transacciones en el rbol de transacciones.

Si se selecciona el botn Report, puedes integrar reportes (programas

ABAP). En este caso la transaccin PFCG se encarga de crear los cdigos
de transaccin (si es que no existen para el reporte) con el cual los
reportes luego pueden ser accedidos.

Si seleccionamos el botn Other, es posible agregar direcciones de

internet o vnculos a archivos.
Modificacin de Mens: podemos crear, mover, borrar y renombrar
directorios y sub-directorios si es necesario. La funcin Drag&Drop se
puede utilizar tambin.

Figura 525 Generando Perfiles de Autorizacin

El mantenimiento de roles automticamente crea las autorizaciones que

estn asociadas con las transacciones especificadas en el rbol del
men. De todas maneras, todos los valores de autorizacin deben ser
verificados manualmente y ajustados si fuese necesario para que
concuerden con los requerimientos y permisos que se deben otorgar con
el rol.

El administrador del sistema es responsable para esta tarea, junto con el

rea apropiada para quien se estn creando o modificando los roles.

Selecciona la solapa Authorizations y luego el botn Change

Authorization Data o Display Authorization Data, dependiendo en cual
modo estemos trabajando en la transaccin PFCG.

En la pantalla que ingresamos podremos ver y modificar el contenido de

las autorizaciones, o sea los valores propuestos para los campos de los
objetos de autorizacin.
El significado de los indicadores es el siguiente:

Luz verde: el objeto de autorizacin tiene un valor propuesto para

cada uno de los campos.

Luz amarilla: el objeto de autorizacin necesita mantenimiento

manual al menos para uno de los campos.

Luz roja: Los niveles organizacionales no estn definidos.

Figura 525_b Significado de los indicadores

La falta de un valor propuesto por PFCG para alguno de los campos

del objeto de autorizacin puede ser por ejemplo en los casos de
accesos a archivos externos donde no se puede determinar si el
 acceso ser de lectura o de lectura/escritura.

Algunos campos aparecen en muchas autorizaciones por lo que estos

campos se denominan Niveles Organizacionales. Si editamos una
entrada en el nivel organizacional utilizando el botn
entonces los cambios afectarn a todos los objetos de autorizacin que
lo contienen.

Qu son los Niveles Organizacionales? Son campos determinados

por SAP en el Concepto de Autorizacin que se refieren a la
estructura de la compaa. Estos campos aparecen en la mayora de
las autorizaciones. Por lo tanto dentro de un rol estos campos
pueden aparecer muchas veces. El botn Organizational levels en la
transaccin PFCG facilita su mantenimiento.

Una vez que todas las autorizaciones han sido mantenidas como se
requiere, el perfil de autorizacin puede ser generado mediante el botn
Generate . Las autorizaciones se combinan en un perfil. Los perfiles
deben ingresarse en los registros maestros de usuarios, esto se
denomina Comparacin de Registros Maestros de Usuarios (User Master
Record Comparission)

3| Usuarios y Roles

La asignacin de usuarios a roles se realiza mediante la transaccin

PFCG (mantenimiento de roles) o en la transaccin de mantenimiento de
usuario SU01. Selecciona la solapa User y los ID de usuarios a los que
se les asignar el rol.
Figura 526 Asignacin de Roles a Usuarios

Los usuarios pueden recibir ms de un rol, esto es til para algunas

actividades (como impresin) que sern permitidas para la mayora de
los usuarios.

La asignacin de roles a los usuarios no otorga automticamente las

correspondientes autorizaciones a los usuarios. Para asignar las
autorizaciones, es necesario realizar una comparacin de registros de
usuarios mediante la cual los perfiles de los roles son insertados en el
registro maestro de usuario.
Figura 527 Comparacin de Registro Maestro de Usuario

Una comparacin de registros maestros de usuarios determina si los

perfiles de autorizacin deben ser agregado o eliminados del usuario
basndose en la asignacin de roles para este.

Durante una comparacin se agregarn perfiles al maestro de usuario si

nuevos roles son agregados.

Si la asignacin de roles es removida manualmente o porque se cumple

la fecha de vencimiento del rol para el usuario los perfiles
correspondientes son eliminados del registro maestro de usuario.

La comparacin puede realizarse por cada rol individualmente.

Seleccionando el rol en la funcin de mantenimiento de roles en la
solapa User y luego seleccionando User comparison. En la ventana que
aparece, seleccionamos Complete comparison.

Para ms informacin, selecciona el botn de informacin en la

transaccin PFCG y el mismo botn en la comparacin de maestros de
usuarios.
Durante una comparacin completa, los perfiles obsoletos son
eliminados.
Si mltiples asignaciones de roles va a ser actualizada, puedes realizar
una comparacin en la transaccin PFCG seleccionando Utilities Mass
comparison o llamando a la transaccin PFUD. Puedes seleccionar los
roles que desees o actualizar todas las asignaciones si ingresas el
caracter asterisco (*).

Tambin puedes activar una comparacin de registros maestros de

usuarios peridicamente si seleccionas Utilities Mass comparison.
Selecciona la opcin Schedule o Check job for full reconciliation. El
sistema luego muestra una ventana de bsqueda para el job de
background PFCG_TIME_DEPENDENCY. Si no encuentra el job, tenemos
la opcin de crear uno. El valor por defecto es que todos los registros
maestros de usuarios sern comparados una vez por da.

Qu aprendiste en esta leccin?

Ahora puedes comprender y diferenciar los trminos, autorizacin,

objeto de autorizacin, perfil y rol en SAP. Tambin vimos la herramienta
para la administracin de roles PFCG.