Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Roles de usuario
con PFCG(I).
En nuestro dos próximos trucos volvemos al módulo Basis para hablar de una
funcionalidad no demasiado conocida pero que puede ser muy útil si queremos
utilizar el módulo de Organización para construir la estructura de puestos de
trabajo de nuestra organización (desde el punto de vista de RRHH o también desde
el punto de vista de uso o funciones en Sap). Cada unidad organizativa y/o puesto
de trabajo tendrá asociadas las diferentes autorizaciones en el sistema, de
forma que cuando un empleado/usuario sea asignado en los diferentes
puestos/roles en el arbol organizativo, automáticamente en su perfil de usuario
Sap se asignarán todas las autorizaciones vinculadas para que pueda
desempeñar las funciones previstas.
De esta forma se realiza una gestión de las autorizaciones mucho más ordenada.
Utilizando el árbol organizativo de las transacciones del módulo de organización
(PPOMW/PPOSW), podemos ver de forma visual nuestra estructura y quién está
asignado en cada lugar (así como los roles de autorización asignados). Como os digo,
puede ser una funcionalidad muy interesante para poner un poco de “orden” en el
laberinto en el que se suele convertir la gestión de autorizaciones en Sap conforme
los proyectos van evolucionando.
Objeto de autorización.
Como podéis ver, al final se acaba chequeando cada objeto de autorización concreto
y los valores de este. Si el usuario tiene asignada la autorización requerida, puede
llevar a cabo la acción. En caso contrario, se genera un mensaje de error o
simplemente no tiene acceso a la visualización de los objetos involucrados.
Hay objetos de autorización para casi todo en Sap, desde el acceso a ejecutar
transacciones que veíamos antes (TCODE), objetos para modificar datos maestros en
los diferentes ámbitos (general, centro, sociedad, organización de ventas, sociedad
CO, organización de compras, etc.). También hay objetos de autorización para las
funciones básicas del sistema. De esta forma, casi cualquier operación sobre el
sistema, siempre se podrá permitir o no (con la ausencia de la autorización).
Perfiles de autorización.
Si no queremos trabajar con los roles, siempre podemos definir los perfiles de
autorización con la transacción SU02 (opción que no os recomiendo en
absoluto).
En los perfiles se indican los diferentes objetos de autorización que vamos a asignar
al usuario y con la autorización, que valores incluidos para los campos de dichos
objetos. Finalmente, estos se asignan a los usuarios mediante la transacción SU01 en
la pestaña Perfiles.
Con la introducción del concepto de Rol Sap dio un respiro a los administradores del
sistema y les facilito mucho la vida a la hora de realizar la tediosa configuración de las
autorizaciones en Sap.
Los roles se definen con la transacción PFCG y son un nivel superior dentro de la
gestión de autorizaciones con funcionalidades añadidas como:
Una vez indicadas las transacciones, reports, etc. que se asocian al rol, la
transacción PFCG automáticamente nos genera o actualiza el perfil de
autorizaciones asociado al rol con los objetos de autorización necesarios. Según
cada transacción o report indicado, el sistema nos genera una propuesta de
autorizaciones que tendremos que actualizar (habrá que concretar los objetos
referentes a las unidades organizativas de los diferentes módulos, clases de actividad
permitidas, clases de documentos, etc., etc.).
Una vez asignado el Rol al usuario, las autorizaciones estarán disponibles para el
usuario en cuestión y si hemos incluido un árbol de transacciones, estas estarán
visibles en el Menú del usuario en Sap.
Una vez creados todos los roles de autorización necesarios para la gestión de los
procesos de usuario en Sap (puede ser uno de los temas que más tiempo nos pueda
llevar por su complejidad), procederemos a crear la estructura del organigrama
dentro del módulo de organización. Básicamente, el organigrama es una estructura
jerárquica con diferentes tipos de componentes vinculados entre sí en forma de árbol.
Los elementos que vamos a usar para poblar este árbol con nuestra estructura
organizativa y de autorizaciones son los siguientes (los que a nosotros nos afectan
para la gestión de autorizaciones):
El paso final, una vez creado el organigrama y asignados los diferentes elementos
necesarios en él es la explosión de la autorizaciones a partir del árbol y las
relaciones de vinculación establecidas entre los diferentes objetos que lo
forman. Esta tarea se realiza a través de la transacción PFUD (report
RHAUTUPD_NEW). Este proceso se puede lanzar manualmente o bien automatizar a
través de un job que hará el trabajo por nosotros.
Con este primera ejecución de la transacción hemos pasado de tener el usuario sin
roles en sus datos maestros a estar asignados los roles correspondientes, aunque, es
importante, sin activar (tal y como observamos en la imagen).