Tema complicado si los hay… explicar como funciona la seguridad en SAP… trataré de hacer lo más simple posible algo lo suficientemente complicado.
Una vez que accedimos a SAP si nuestro usuario no tiene efectivamente ningún tipo de permiso al sistema (solo el acceso) no vamos a poder realizar ninguna actividad sobre el mismo.
La manera de asignar estos permisos es a través de Roles (alias Papeles, alias Grupos de Autorización).
Los Roles, son un medio para permitir que un usuario acceda a una transacción o pueda ejecutar una función determinada dentro de alguna transacción.
Para entender el concepto hace falta explicar el concepto de Objeto de Autorización: Es un objeto que nos brinda SAP como marco para crear Autorizaciones y es la unidad fundamental de la seguridad en SAP.
Un Objeto de Autorización tiene el siguiente formato:
Nombre del Objeto: S_TCODE (Permiso de acceso a las transacciones)
Campo: TCD (Código de Transacción)
Este es el objeto por excelencia (S_TCODE), en donde uno determina las transacciones a las que el usuario debería tener acceso. Para ser más claros:
Paso 1: El usuario pfernandez necesita acceder a las transacciones SU01 (ABM de Usuarios) y SU10 (Gestión de Usuarios en Lote)
Paso 2: Ante la necesidad se crea un ROL de nombre Z:GESTION_USUARIOS al cual se le asignan las dos transacciones en el menú a través de la transacción PFCG.
Paso 3: Automáticamente SAP crea una autorización para el rol Z:GESTION_USUARIOS para el objeto S_TCODE, al que le agrega en el campo TCD los valores: SU01 y SU10.
Paso 4: Se asigna al usuario pfernandez el rol Z:GESTION_USUARIOS dándole a través del mismo el acceso a las transacciones SU01 y SU10
Paso 5: El usuario pfernandez, accede al sistema con su usuario y contraseña y una vez dentro, ejecuta la transacción SU01.
Paso 6: SAP analiza el pedido de ejecución de la transacción SU01, y se fija que entre los permisos de pfernandez se encuentre el objeto de autorización S_TCODE con el campo TCD con el valor SU01. Si es correcto permite el acceso a la transacción.
Cabe destacar que el control del objeto S_TCODE está implícito en SAP y se realiza siempre que se llama a una transacción, por eso el objeto S_TCODE es tan “popular” dentro de la segurida SAP
Esta explicación es a fines educativos solamente, más adelante vamos a ver que la generación de un rol, es mucho más compleja que los pasos seguidos anteriormente, pero da una idea general de como es el proceso.
También recuerden que según la versión de SAP con la que trabajemos a veces pueden llamarse Roles, o pueden ser Grupos de Autorización o en algún lugar también pueden ser Papeles.
Una explicación sobre perfiles la podemos ver en el siguiente post
En un próximo post también, vamos a explicar como es el proceso de autorización completo y con ejemplos de mayor complejidad.
Ejemplo en SAP del uso de la transacción PFCG
Tags: autorización, objeto de autorización, roles, S_TCODE, Transacción
Muy buenos artículos y muy interesante información.
De gran ayuda para los que empiezan con SAP! Seguir así
Por cierto, queda claro lo de los roles pero… y que pasa con los perfiles entonces, eh?
En el próximo post, que acabo de escribir se explica un poco el tema de perfiles!
Saludos.
Gracias! Eres un crack
Hola.
Muy buenos los artículos.
Solo una pregunta…
¿has tenido alguna vez el caso de diferenciar autorizaciones por organizaciones de ventas?
En mi caso tengo dos org. de ventas y quisiera dividir a los usuarios por las mismas para que en cualquier transacción autorizada en su menú solo viesen datos de sus org. de ventas.
No se como hacerlo si crear variantes específicas para cada uno de los roles.
Gracias y adelante con este proyecto..
Gorwi
Excelentes articulos! Sigue escribiendo que somos varios los que te leemos
Hola a todos, alguien sabe como asignar permisos a un campo en una webdynpro??