Análisis de autorizaciones.

 Traza.
La gestión de autorizaciones en Sap es un tema complejo, sobre todo si queremos
restringir el acceso a los usuarios a su ámbito de actuación y funciones, evitando la
modificación o consulta de datos en módulos para los que no debería de estar
autorizado.

En esta entrada del blog no voy a entrar en profundidad en el tema de autorizaciones, lo

que requeriría una serie de artículos para poder abordar todos los aspectos a tener en
cuenta de una forma profunda.  Simplemente os voy a mencionar algunas transacciones
interesantes para el caso de que tengamos problemas de autorizaciones y queramos
analizar donde reside el problema.

Objetos de autorización verificados en una transacción.

Con la transacción SU24 podemos ver las autorizaciones asociadas a una transacción y
que se verificaran cuando entremos en ella.

En el ejemplo, en la transacción PA20 (consulta de datos maestros de empleados),

vemos que se verifican los objetos típicos para acceso a datos de administración de
personal (P_ORGIN, P_PCLX, P_PERNR, PLOG).

Ultima verificación de autorizaciones realizada en el usuario actual.

Cuando intentamos acceder a una transacción o intentamos realizar algún proceso sobre
algún objeto sobre el que no estamos autorizados (aunque si tengamos acceso a la
transacción donde se realiza este), la revisión del objeto de autorización que ha fallado
la podemos realizar a traves de la transacción SU53.
En la imagen podemos ver el resultado de la transacción, después de intentar acceder a
una transacción de finanzas (la FB50 de contabilizaciones), para la que no estamos
autorizados.

En la parte superior aparece el objeto de autorización verificado que no disponemos en

nuestro perfil, y en la parte inferior los valores que si tenemos en nuestro perfil para ese
objeto de autorización, pero que no son suficientes para poder acceder al objeto.

Es conveniente incluir la transacción SU53 en los perfiles de todos los usuarios para
agilizar las tareas de administración. Solo aparece el último objeto de autorización
revisado que ha fallado.

Autorizaciones existentes en el perfil de usuario actual.

Aunque las autorizaciones de las que dispone un usuario pueden ser consultadas desde
la transacción SU01 (en la pestaña de Roles o Perfiles), desde aquí no veremos el detalle
de objetos de autorización asignados al usuario. Para ello, tenemos la interesante
transacción SU56 que nos muestra de forma detallada los valores de autorizaciones
asignadas a un usuario que residen en la memoria intermedia del sistema.
Traza de autorizaciones.

Cuando tenemos verificaciones de autorizaciones complejas, el uso de la transacción

SU53 puede ser muy incomodo pues el sistema nos avisará de la autorización que falta,
la incluiremos en el perfil del usuario, volverá a fallar otro objeto, etc. Así hasta que
podamos identificar todo lo que nos falta e incluirlo en los correspondientes roles o
perfiles.

Para simplificar esta tarea de identificar las autorizaciones verificadas, podemos utilizar
la traza de contexto (transacción STKONTEXTTRACE) o bien la clásica traza de
sistema (transacción ST01). En ambas transacciones podemos analizar otros aspectos
ademas de las autorizaciones, como las traza SQL, de memoria intermedia, RFC, etc.

En la traza de contexto indicaremos la transacción a analizar, marcaremos el flag trace

de autorización y realizaremos las tareas en el sistema como si fuesemos el usuario para
el que estamos preparando o revisando los perfiles de autorización.
Una vez completada la traza, la revisaremos desde la transacción ST01, desde la
opción evaluación. El programa nos mostrará todos los objetos de autorización
verificados, con sus correspondientes valores para cada uno de sus campos. Con el
resultado podremos preparar un perfil de autorización que incluya todo lo necesario para
el trabajo del usuario.
La traza también la podremos realizar desde la transacción ST01 directamente,
llevando cuidado en marcar el flag Verif. Autorización, e indicar los
correspondientes filtros (por ejemplo, un usuario o una transacción), ya que si no
la traza se realizará sobre todos los usuarios del sistema, y es un proceso pesado que
puede afectar al rendimiento del sistema.

NOTA: Transacciones para el mantenimiento de las autorizaciones.

PFCG Mantenimiento de Roles de Autorización (incluidos los menús de Rol que se

asocian al usuario). El mantenimiento se realizaba antiguamente con la transacción
SU02. El rol incluye los perfiles de autorización, que son una lista de objetos de
autorización con valores asignados en sus campos, que son los que determinan que
acciones podemos realizar en el sistema.

SU21 Mantenimiento de objetos de autorización (para visualizar los estándar o crear

nuestros propios objetos de autorización para las transacciones de cliente). También se
puede acceder desde la SU03.

SU20 Mantenimiento de campos de autorización (un objeto de autorización se

compone de varios campos).