PFCG parte 1 Creación de roles

Facebooktwittergoogle_pluslinkedinmail

Buenas saper@s, hoy veremos la definición de roles, para que sirven una pequeña guía de cómo deberíamos empezar hacer los roles, explicando los tipos de roles. Recuerden que la creación de roles lo haremos por la transacción PFCG. En los tres siguientes artículos veremos los pasos a seguir para la creación de los tres tipos de roles disponibles en el sistema.

Definición de roles

Puede usar las funciones de administración de roles para administrar roles y datos de autorización.  La herramienta de gestión de roles crea datos de autorización de forma automática en función de las funciones de menú seleccionadas y los presenta para su posterior procesamiento. También está integrado con la gestión organizacional.

Tipos de roles posibles:

  • Simples: Podrán ser roles simples de menús (solo con las transacciones), roles simples con objetos de autorizaciones (sin transacciones en el menú) o que contengan ambas cosas (por defecto SAP traerá por cada transacción los objetos de autorización necesarios, los cuales podemos ver con la transacción SU22)
  • Compuestos: Un rol compuesto básicamente es un conjunto de roles simples. De forma que unimos varios roles simples para mejor organización de los roles con un objetivo concreto, por ejemplo, crear un rol compuesto para el administrador de la nómina (que por ejemplo, tendrá perfil simple de administración de personal y rol simple administración de nómina)
  • Derivados (Herencias): En roles derivados suelen hablarse de “Padres e hijos”

PFCG Instrucciones breves para el procedimiento durante la creación de roles según SAP

En estas instrucciones se describe el procedimiento habitual durante la creación de roles simples.

Paso 1

Indique un nombre para el rol y seleccione Crear rol.  Tenga en cuenta que los roles entregados por SAP empiezan por el prefijo “SAP_”. Si desea crear sus propios roles de usuario, no utilice el área de nombres SAP.

Paso 2

Describa en la siguiente pantalla que función debe tener el rol.

Paso 3

Asigne transacciones al rol en la ficha Menú.

  • Esto se puede hacer introduciendo directamente las transacciones.
  • Además, se pueden asignar ramificaciones del menú global SAP.

Las opciones de menú seleccionadas en este paso se visualizan como menú de usuario en el Session Manager y en la imagen de acceso “SAP  Easy Access” en todos los usuarios asignados al rol

Paso 4

Seleccione el pulsador Modificar datos de autorización en la ficha Autorizaciones.

Según las transacciones seleccionadas, puede aparecer en este punto una ventana de entradas. Se solicita actualizar los niveles de organización. En el caso de estos niveles, se trata de campos de autorización que aparecen simultáneamente en varias autorizaciones, de modo que también se pueden actualizar conjuntamente. Un ejemplo   posible es una sociedad que aparece en varios objetos de autorización. Asignando valores a los niveles de organización se     actualizan a la vez los campos de autorización correspondientes en todas las autorizaciones de la siguiente visualización de árbol.

Se accede a una visualización de árbol de todas las autorizaciones propuestas por SAP para las transacciones seleccionadas. Las autorizaciones ya están provistas parcialmente con valores.

  • En aquellas partes donde se observan semáforos amarillos en la visualización de árbol se deben tratar posteriormente de forma manual los valores de autorización. Después de actualizar posteriormente los valores, las autorizaciones constan como modificadas manualmente. No se sobrescribirán si se incluyen otras transacciones y se tratan de nuevo las autorizaciones. Haciendo clic sobre los semáforos se puede asignar la autorización global para el nivel de jerarquía correspondiente para todos los campos no actualizados.
  • En todos los puntos donde hay semáforos rojos existen los llamados niveles de organización que aún no se han ocupado con valores. Mediante el pulsador Niveles org…. éstos se pueden introducir y modificar.
  • Si se desean más funciones en la visualización de árbol, como por ejemplo, copiar o resumir autorizaciones, éstas se pueden visualizar mediante la opción de menú Utilidades -> Opciones.
  • Se debe generar un perfil de autorización para las autorizaciones. A tal fin, se debe seleccionar la tecla con el icono Generar- o la opción de menú Autorizaciones -> Generar.
  • Se solicita un nombre para el perfil de autorización establecido. Se propone un nombre válido y que se encuentra en el área de nombres de cliente.
  • Cuando se genere el perfil finalice la visualización de árbol.
  • En el caso de modificaciones de la selección de menú y de una nueva llamada de la visualización de árbol para las autorizaciones se intenta mezclar las autorizaciones de las nuevas transacciones con las autorizaciones existentes. Puede ocurrir que los semáforos vuelvan al color amarillo porque vuelvan a aparecer en la visualización de árbol autorizaciones nuevas no caracterizadas completamente. Éstas se deben prever a su vez con valores o borrarlas si no se desean.
  • Una autorización se puede borrar inactivándola primero, a continuación, se puede borrar.
  • Las autorizaciones generales, como por ejemplo, la visualización SPOOL y la impresión no se encuentran almacenadas normalmente en las transacciones. Para este fin existen los modelos de autorización que se pueden añadir a los datos existentes. A tal  objeto, se debe seleccionar la opción de menú Tratar -> Insertar autorizaciones -> De modelo… y uno de los modelos (por    ejemplo, SAP_USER_B autorización base para usuario de aplicación  o SAP_PRINT autorización para imprimir). De manera alternativa se puede crear un rol separado para esta autorización general aumentando de esta forma la claridad.

Paso 5

Asignar usuarios al rol en la ficha Usuario.

  • Las opciones de menú del rol en el Session Manager se visualizan como menú de usuario para los usuarios asignados.
  • Además, para estos usuarios los perfiles de autorización generados se introducen automáticamente en el registro maestro de usuario cuando se efectúa el ajuste de maestro de usuario.Para llevarlo a cabo se debe seleccionar el pulsador Ajuste de usuario en la ficha Usuario y allí seleccionar la opción Ajuste
  • Si no se limita el período de asignaciones y se toma el período propuesto (fecha actual hasta 31.12.9999) no se requiere efectuar ninguna acción. Si se realiza otra limitación de tiempo, entonces es necesario que el report PFCG_TIME_DEPENDENCY se prevea de forma periódica cada día. Este report efectúa una actualización automática de los registros maestros de usuario.   Igualmente, es necesaria una previsión del report en la   utilización de la gestión de organización.

Paso 6

Para transportar el rol a otro sistema se debe registrar en una orden de transporte.

  • A tal fin, se debe seleccionar la opción de menú Rol ->Transportar. Ahora se puede indicar si la asignación de usuario se debe transportar conjuntamente o no.
  • Los perfiles de usuario se transportan conjuntamente si no se ha indicado explícitamente que no se desea ningún transporte de los perfiles.
  • Después del import al sistema destino se requiere efectuar un ajuste completo del maestro de usuario para los roles Este ajuste se puede lanzar de forma manual o puede ser efectuado automáticamente por el report PFCG_TIME_DEPENDENCY  en tanto que este report esté previsto periódicamente en el   sistema destino.

Atención

Es muy importante que los perfiles de autorización no se introduzcan nunca directamente en los registros maestros de usuario como es el caso en los perfiles de autorización creados. Un enlace de perfiles   generados para usuarios sólo puede ocurrir si los usuarios se  asignan al rol correspondiente y acto seguido se efectúa un ajuste del maestro de usuario. En este ajuste se introducen los perfiles  del rol en todos los usuarios del rol.

Ejemplo de creación de roles

Como siempre, espero haberles ayudado con este post, si quieres esta página siga en pié pudiéndote ayudar en el día a día, dona, cualquier donativo hará que pueda ayudarte más.




Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

doce − 2 =