11.4 - Autorizaciones en SAP

Curso MM Gestión de Materiales.
Autorizaciones en SAP
Objeto de autorización.
Las autorizaciones en Sap se basan en dos unidades básicas de gestión: el campo de
autorización y el objeto de autorización.
Con los campos de autorización definimos técnicamente la longitud de los campos de
autorización (dominio), así como los valores posibles que se van a poder indicar en ellos
cuando los utilicemos en las definición de nuestras autorizaciones. Por ejemplo, para el control
de acceso a transacciones se utiliza el campo TCODE, que tiene el dominio tcode que permite
utilizar valores en el campo de longitud 20 (suficiente para cualquiera de las transacciones
definidas en Sap).
Página 1 de 13
Curso MM Gestión de Materiales. Autorizaciones en SAP
En otras autorizaciones debemos de indicar que tipo de actividad esta permitida o no para el
usuario. Para este caso, tendremos por ejemplo el campo de autorización ACTVT que utiliza el
dominio ACTIV_AUTH, asociado a una tabla de valores que indicarán los diferentes actividades
que podemos hacer, por ejemplo, en el mantenimiento de datos maestros de artículos,
clientes, proveedores, etc (Añadir, Modificar, Borrar, Visualizar modificaciones, etc).
Página 2 de 13
Los campos de autorización se definen en la transacción SU20. Sap dispone de campos
de autorización suficientes para crear nuestros propios objetos de autorización (aunque es
posible si fuera necesaria alguna personalización específica), crear nuestros propios campos de
autorización.
El objeto de autorización es el nivel superior dentro de la gestión de autorizaciones y
el objeto básico con el que trabajaremos. Básicamente, un objeto de autorización en
una etiqueta (nombre técnico) y un conjunto de campos de autorización asociados
(de los vistos anteriormente). Los objetos de autorización se mantienen en la transacción
SU21, estando clasificados de forma estándar por los diferentes módulos y componentes de
Sap. También podremos crear nuestros propios objetos de autorización insertándolos en una
clase Z (las clases se crean desde la transacción SU03).
Página 3 de 13
La asignación de autorizaciones se realiza utilizando los objetos de autorización,
asignando a cada campo una serie de valores, que indican las operaciones
permitidas dentro del ámbito del objeto de autorización. En el ejemplo de la imagen,
podemos ver como el objeto de autorización esta siendo utilizando en un rol de autorizaciones
y como se le asignan determinados valores que luego serán los que tenga el usuario al que
este rol sea asignado.
Dentro de la programación de las aplicaciones SAP, con la sentencia “AUTHORITY-CHECK”
verificaremos que el usuario dispone de la autorización correspondiente y le dejaremos
continuar o no con la acción a realizar (en caso de informes podremos estar restringiendo
también la información a mostrar). En el estándar Sap lo hace de forma automática, aunque
este procedimiento lo podremos incluir también en nuestros desarrollos Z.
* Verificación de autorización para crear pedidos de venta
AUTHORITY-CHECK OBJECT ‘V_VBAK_AAT’
ID ‘AUART’ FIELD VBAK-AUART
ID ‘ACTVT’ FIELD ’01′.
IF SY-SUBRC ne 0.
message e008(ZSISTEMAS) with ’SIN AUTORIZACION PARA CLASE DOC’.
ENDIF.
Como podéis ver, al final se acaba chequeando cada objeto de autorización concreto y los
valores de este. Si el usuario tiene asignada la autorización requerida, puede llevar a cabo la
Página 4 de 13
acción. En caso contrario, se genera un mensaje de error o simplemente no tiene acceso a la
visualización de los objetos involucrados.
Hay objetos de autorización para casi todo en Sap, desde el acceso a ejecutar transacciones
que veíamos antes (TCODE), objetos para modificar datos maestros en los diferentes ámbitos
(general, centro, sociedad, organización de ventas, sociedad CO, organización de compras,
etc). También hay objetos de autorización para las funciones básicas del sistema. De esta
forma, casi cualquier operación sobre el sistema, siempre se podrá permitir o no (con la
ausencia de la autorización).
Perfiles de autorización.
En versiones anteriores no existía el concepto de roles y se trabajaba con los perfiles de
autorización. Estos no eran mas que un conjunto de objetos de autorización con sus
correspondientes valores que se asignaban a los usuarios en la transacción SU01/SU10. En
versiones mas recientes se introdujo un concepto mucho mas potente, el de los roles (aunque
realmente por detrás siempre siguen estando los perfiles de autorización). Los roles se
gestionan desde la transacción PFGC y tiene un generador automático de perfiles de
autorización que veremos a continuación, que facilitan la utilización de los objetos de
autorización.
Sino queremos trabajar con los roles, siempre podemos definir los perfiles de
autorización con la transacción SU02 (opción que no os recomiendo en absoluto).
Página 5 de 13
En los perfiles se indican los diferentes objetos de autorización que vamos a asignar al usuario
y con la autorización, que valores incluidos para los campos de dichos objetos. Finalmente,
estos se asignan a los usuarios mediante la transacción SU01 en la pestaña Perfiles.
Roles de usuario simples.
Con la introducción del concepto de Rol Sap dio un respiro a los administradores del sistema y
les facilito mucho la vida a la hora de realizar la tediosa configuración de las autorizaciones en
Sap.
Los roles se definen con la transacción PFCG y son un nivel superior dentro de la gestión
de autorizaciones con funcionalidades añadidas como:
• Creación de menús de usuario asociados al rol: en el rol se define una
estructura de carpetas y las transacciones que se van a poner a disposición del
usuario.
Página 6 de 13
• Además de incluir en el menú transacciones ya creadas, podemos crear las nuestras
propias directamente aquí, enlazando a Programas Abap, Querys, Informes de Report
Writer o de Investigación, etc:
• Transferencia de menús al rol desde los menús de ámbito Sap, de otros roles, desde
ficheros de texto.
• Traducción de los textos asociados o modificación de estos en el ámbito del menú
para indicarles textos mas significativos a los usuarios.
Una vez indicadas las transacciones, reports, etc que se asocian al rol, la transacción
PFCG automaticamente nos genera o actualiza el perfil de autorizaciones asociado al
rol con los objetos de autorización necesarios. Según cada transacción o report indicado,
Página 7 de 13
el sistema nos genera una propuesta de autorizaciones que tendremos que actualizar (habrá
que concretar los objetos referentes a las unidades organizativas de los diferentes módulos,
clases de actividad permitidas, clases de documentos, etc, etc).
Desde la pestaña de autorizaciones podemos acceder a la modificación del perfil de
autorizaciones. Aquí podremos ver todos los objetos de autorización asignados, asi como los
campos relacionados con cada uno de ellos y los valores asignados. Os recomiendo activar
siempre la visualización de los nombre técnicos a través de la opción de menú
Utilidades –> Activar nombre técnicos.
Página 8 de 13
Además de la propuesta de objetos de autorización que nos realiza Sap según las
transacciones indicadas, podremos incluir manualmente nuestros propios objetos de
autorización o bien copiarlos de otros modelos (perfil de autorizaciones, modelo,
etc). Es interesante conocer que Sap dispone de un repertorio de Roles y Perfiles de
autorización estándar que posiblemente podamos utilizar como modelo para nuestras propias
autorizaciones.
IMPORTANTE: una vez concluida la definición de objetos de autorización y sus
valores, siempre hay que generar el perfil de autorización para que este sea activo y
sus valores aplicables a los usuarios.
Página 9 de 13
El último paso sería la asignación del Rol al usuario, bien desde la misma transacción PFCG en
la pestaña Usuario o bien desde el mantenimiento de datos de usuarios (transacciones SU01 /
SU10 en la sección Roles).
Una vez asignado el Rol al usuario, las autorizaciones estarán disponibles para el usuario en
cuestión y si hemos incluido un árbol de transacciones, estas estarán visibles en el Menú del
usuario en Sap.
En el Rol no es obligatorio indicar un menú de transacciones, puede incluir únicamente el perfil
de autorización (es decir, incluir únicamente objetos de autorización con sus correspondientes
valores asignados).
Roles de usuario compuestos.
Los Roles de autorización compuestos también se mantienen desde la transacción PFCG
y consisten en roles que a su vez están formados por varios roles simples. Son un
mecanismo para “agregar” varios roles y facilitar su asignación a los usuarios.
Página 10 de 13
Cuando vemos como esta el rol asignado en el maestro de usuarios, aparece el rol compuesto
(es el que podremos asignar o desasignar) y luego en color azul los roles que forman ese rol
compuesto (se hace la explosión al asignarlo en el usuario).
Página 11 de 13
Es un buen mecanismo para “agrupar” autorizaciones y simplificar la gestión de la asignación
a los usuarios.
Análisis de autorizaciones y traza.
Para concluir este repaso a nociones básicas de autorizaciones en Sap, os recomiendo la
lectura del documento Anexo I de esta unidad, donde se habla de como analizar problemas
con autorizaciones y como realizar una traza en el sistema para obtener que autorizaciones se
verifican realmente: ver entrada aquí. Resumiendo:
• Transacción SU24: objetos de autorización verificados en cada transacción.
• Transacción SU53: ultima verificación de autorizaciones errónea realizada en el
usuario actual.
• Transacción SU56: autorizaciones existentes en memoria para el usuario actual
(las asignadas en su perfil).
• Transacción ST01: traza de autorizaciones verificadas (también la transacción
STKONTEXTTRACE). Nos permite hacer una medición de todas las autorizaciones
que son verificadas en un determinado usuario, transacción, etc.
Página 12 de 13
Las autorizaciones SU53 y SU56 seria conveniente que estuvieran asignadas a todos
los usuarios por autorizaciones (o bien permitiendo siempre su ejecución con el parámetro de
sistema auth/tcodes_not_checked).
Una vez introducidos los conceptos básicos de autorizaciones, en nuestra próxima entrada
veremos la forma de gestionar las autorizaciones utilizando el módulo de
Organización de Sap, y como asignando los usuarios a las posiciones del Organigrama,
podremos derivar la asignación automática de autorizaciones. Con una herramienta visual
podremos de forma jerárquica ver nuestra estructura de usuarios y las posiciones funcionales
y roles de autorización que tienen asignados.
Página 13 de 13

11.4 - Autorizaciones en SAP

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

11.4 - Autorizaciones en SAP

Cargado por

Copyright:

Formatos disponibles

Curso MM Gestión de Materiales.

Las autorizaciones en Sap se basan en dos unidades básicas de gestión: el campo de

autorización y el objeto de autorización.

Con los campos de autorización definimos técnicamente la longitud de los campos de

utilizar valores en el campo de longitud 20 (suficiente para cualquiera de las transacciones

que podemos hacer, por ejemplo, en el mantenimiento de datos maestros de artículos,

clientes, proveedores, etc (Añadir, Modificar, Borrar, Visualizar modificaciones, etc).

Los campos de autorización se definen en la transacción SU20. Sap dispone de campos

de autorización suficientes para crear nuestros propios objetos de autorización (aunque es

El objeto de autorización es el nivel superior dentro de la gestión de autorizaciones y

el objeto básico con el que trabajaremos. Básicamente, un objeto de autorización en

una etiqueta (nombre técnico) y un conjunto de campos de autorización asociados

(de los vistos anteriormente). Los objetos de autorización se mantienen en la transacción

clase Z (las clases se crean desde la transacción SU03).

La asignación de autorizaciones se realiza utilizando los objetos de autorización,

permitidas dentro del ámbito del objeto de autorización. En el ejemplo de la imagen,

este rol sea asignado.

Dentro de la programación de las aplicaciones SAP, con la sentencia “AUTHORITY-CHECK”

verificaremos que el usuario dispone de la autorización correspondiente y le dejaremos

también la información a mostrar). En el estándar Sap lo hace de forma automática, aunque

este procedimiento lo podremos incluir también en nuestros desarrollos Z.

* Verificación de autorización para crear pedidos de venta

AUTHORITY-CHECK OBJECT ‘V_VBAK_AAT’

ID ‘AUART’ FIELD VBAK-AUART

ID ‘ACTVT’ FIELD ’01′.

message e008(ZSISTEMAS) with ’SIN AUTORIZACION PARA CLASE DOC’.

acción. En caso contrario, se genera un mensaje de error o simplemente no tiene acceso a la

visualización de los objetos involucrados.

(general, centro, sociedad, organización de ventas, sociedad CO, organización de compras,

En versiones anteriores no existía el concepto de roles y se trabajaba con los perfiles de

correspondientes valores que se asignaban a los usuarios en la transacción SU01/SU10. En

gestionan desde la transacción PFGC y tiene un generador automático de perfiles de

autorización que veremos a continuación, que facilitan la utilización de los objetos de

autorización con la transacción SU02 (opción que no os recomiendo en absoluto).

estos se asignan a los usuarios mediante la transacción SU01 en la pestaña Perfiles.

Roles de usuario simples.

de autorizaciones con funcionalidades añadidas como:

• Creación de menús de usuario asociados al rol: en el rol se define una

estructura de carpetas y las transacciones que se van a poner a disposición del

• Además de incluir en el menú transacciones ya creadas, podemos crear las nuestras

propias directamente aquí, enlazando a Programas Abap, Querys, Informes de Report

Writer o de Investigación, etc:

• Traducción de los textos asociados o modificación de estos en el ámbito del menú

para indicarles textos mas significativos a los usuarios.

PFCG automaticamente nos genera o actualiza el perfil de autorizaciones asociado al

clases de actividad permitidas, clases de documentos, etc, etc).

Desde la pestaña de autorizaciones podemos acceder a la modificación del perfil de

siempre la visualización de los nombre técnicos a través de la opción de menú

Utilidades –> Activar nombre técnicos.

transacciones indicadas, podremos incluir manualmente nuestros propios objetos de

autorización o bien copiarlos de otros modelos (perfil de autorizaciones, modelo,

etc). Es interesante conocer que Sap dispone de un repertorio de Roles y Perfiles de

IMPORTANTE: una vez concluida la definición de objetos de autorización y sus

sus valores aplicables a los usuarios.

la pestaña Usuario o bien desde el mantenimiento de datos de usuarios (transacciones SU01 /

SU10 en la sección Roles).

En el Rol no es obligatorio indicar un menú de transacciones, puede incluir únicamente el perfil

Roles de usuario compuestos.

Los Roles de autorización compuestos también se mantienen desde la transacción PFCG

mecanismo para “agregar” varios roles y facilitar su asignación a los usuarios.

compuesto (se hace la explosión al asignarlo en el usuario).

Es un buen mecanismo para “agrupar” autorizaciones y simplificar la gestión de la asignación

Análisis de autorizaciones y traza.

Para concluir este repaso a nociones básicas de autorizaciones en Sap, os recomiendo la