PFCG parte 1 Creación de roles Guía de cómo deberíamos empezar hacer los roles, explicando los tipos de roles. Recuerden que la creación de roles lo haremos por la transacción PFCG. En los tres siguientes artículos veremos los pasos a seguir para la creación de los tres tipos de roles disponibles en el sistema. Definición de roles Puede usar las funciones de administración de roles para administrar roles y datos de autorización. La herramienta de gestión de roles crea datos de autorización de forma automática. También está integrado con la gestión organizacional. Tipos de roles posibles: Simples: Podrán ser roles simples de menús (solo con las transacciones), roles simples con objetos de autorizaciones (sin transacciones en el menú) o que contengan ambas cosas (por defecto SAP traerá por cada transacción los objetos de autorización necesarios, los cuales podemos ver con la (transacción SU22) Compuestos: Un rol compuesto básicamente es un conjunto de roles simples. De forma que unimos varios roles simples para mejor organización de los roles con un objetivo concreto, por ejemplo, crear un rol compuesto para el administrador de la nómina (que, por ejemplo, tendrá perfil simple de administración de personal y rol simple administración de nómina) Derivados (Herencias): En roles derivados suelen hablarse de “Padres e hijos” PFCG Instrucciones breves para el procedimiento durante la creación de roles según SAP En estas instrucciones se describe el procedimiento habitual durante la creación de roles simples. Paso 1 Indique un nombre para el rol y seleccione Crear rol. Tenga en cuenta que los roles entregados por SAP empiezan por el prefijo «SAP_». Si desea crear sus propios roles de usuario, no utilice el área de nombres SAP. Paso 2 Describa en la siguiente pantalla que función debe tener el rol. Paso 3 Asigne transacciones al rol en la ficha Menú. Esto se puede hacer introduciendo directamente las transacciones. Además, se pueden asignar ramificaciones del menú global SAP. Las opciones de menú seleccionadas en este paso se visualizan como menú de usuario en la Sesión Manager y en la imagen de acceso «SAP Easy Access» en todos los usuarios asignados al rol Paso 4 Seleccione el pulsador Modificar datos de autorización en la ficha Autorizaciones. Según las transacciones seleccionadas, puede aparecer en este punto una ventana de entradas. Se solicita actualizar los niveles de organización. En el caso de estos niveles, se trata de campos de autorización que aparecen simultáneamente en varias autorizaciones, de modo que también se pueden actualizar conjuntamente. Un ejemplo posible es una sociedad que aparece en varios objetos de autorización. Asignando valores a los niveles de organización se actualizan a la vez los campos de autorización correspondientes en todas las autorizaciones de la siguiente visualización de árbol. Se accede a una visualización de árbol de todas las autorizaciones propuestas por SAP para las transacciones seleccionadas. Las autorizaciones ya están provistas parcialmente con valores. En aquellas partes donde se observan semáforos amarillos en la visualización de árbol se deben tratar posteriormente de forma manual los valores de autorización. Después de actualizar posteriormente los valores, las autorizaciones son modificadas manualmente. No se sobrescribirán si se incluyen otras transacciones y se tratan de nuevo las autorizaciones. Haciendo clic sobre los semáforos se puede asignar la autorización global para el nivel de jerarquía correspondiente para todos los campos no actualizados. En todos los puntos donde hay semáforos rojos existen los llamados niveles de organización que aún no se han ocupado con valores. Mediante el pulsador Niveles org…. éstos se pueden introducir y modificar. Si se desean más funciones en la visualización de árbol, como, por ejemplo, copiar o resumir autorizaciones, éstas se pueden visualizar mediante la opción de menú Utilidades -> Opciones. Se debe generar un perfil de autorización para las autorizaciones. A tal fin, se debe seleccionar la tecla con el icono Generar- o la opción de menú Autorizaciones -> Generar. Se solicita un nombre para el perfil de autorización establecido. Se propone un nombre válido y que se encuentra en el área de nombres de cliente. Cuando se genere el perfil finalice la visualización de árbol. En el caso de modificaciones de la selección de menú y de una nueva llamada de la visualización de árbol para las autorizaciones se intenta mezclar las autorizaciones de las nuevas transacciones con las autorizaciones existentes. Puede ocurrir que los semáforos vuelvan al color amarillo porque vuelvan a aparecer en la visualización de árbol autorizaciones nuevas no caracterizadas completamente. Éstas se deben prever a su vez con valores o borrarlas si no se desean. Una autorización se puede borrar inactivándola primero, a continuación, se puede borrar. Las autorizaciones generales, como, por ejemplo, la visualización SPOOL y la impresión no se encuentran almacenadas normalmente en las transacciones. Para este fin existen los modelos de autorización que se pueden añadir a los datos existentes. A tal objeto, se debe seleccionar la opción de menú Tratar -> Insertar autorizaciones -> De modelo… y uno de los modelos (por ejemplo, SAP_USER_B autorización base para usuario de aplicación o SAP_PRINT autorización para imprimir). De manera alternativa se puede crear un rol separado para esta autorización general aumentando de esta forma la claridad. Paso 5 Asignar usuarios al rol en la ficha Usuario. Las opciones de menú del rol en la Sesión Manager se visualizan como menú de usuario para los usuarios asignados. Además, para estos usuarios los perfiles de autorización generados se introducen automáticamente en el registro maestro de usuario cuando se efectúa el ajuste de maestro de usuario. Para llevarlo a cabo se debe seleccionar el pulsador Ajuste de usuario en la ficha Usuario y allí seleccionar la opción Ajuste Si no se limita el período de asignaciones y se toma el período propuesto (fecha actual hasta 31.12.9999) no se requiere efectuar ninguna acción. Si se realiza otra limitación de tiempo, entonces es necesario que el report PFCG_TIME_DEPENDENCY se prevea de forma periódica cada día. Este report efectúa una actualización automática de los registros maestros de usuario. Igualmente, es necesaria una previsión del report en la utilización de la gestión de organización. Paso 6 Para transportar el rol a otro sistema se debe registrar en una orden de transporte. A tal fin, se debe seleccionar la opción de menú Rol ->Transportar. Ahora se puede indicar si la asignación de usuario se debe transportar conjuntamente o no. Los perfiles de usuario se transportan conjuntamente si no se ha indicado explícitamente que no se desea ningún transporte de los perfiles. Después del import al sistema destino se requiere efectuar un ajuste completo del maestro de usuario para los roles. Este ajuste se puede lanzar de forma manual o puede ser efectuado automáticamente por el report PFCG_TIME_DEPENDENCY en tanto que este report esté previsto periódicamente en el sistema destino. Atención Es muy importante que los perfiles de autorización no se introduzcan nunca directamente en los registros maestros de usuario como es el caso en los perfiles de autorización creados. Un enlace de perfiles generados para usuarios sólo puede ocurrir si los usuarios se asignan al rol correspondiente y acto seguido se efectúa un ajuste del maestro de usuario. En este ajuste se introducen los perfiles del rol en todos los usuarios del rol. Ejemplo de creación de roles Rol Simple Rol Compuesto Rol Derivado PFCG Activar/Desactivar nombres técnicos La creación de un rol simple mediante la PFCG. En las próximas entradas veremos roles compuestos y derivados. Ejemplo para crear Rol simple Para este ejemplo, crearemos el rol menú, de forma que el sistema obtenga los objetos de autorizaciones correspondientes. Lo primero, iremos a la transacción PFCG, introduciremos un nombre y pulsaremos “Rol Simple”: El sistema nos solicitará información como la descripción y si se quiere, se puedes introducir texto explicativo como aparece a continuación. Se solicitará grabar, pulsaremos si Ahora iremos a la pestaña “Menú”, de forma que crearemos el menú en base a nuestras necesidades. Para esto, podemos usar la organización por carpetas o la inclusión directa de transacciones, en este caso, organizaremos por carpetas: Para crear carpetas utilizar el botón con forma de carpeta Para crear transacciones utilizar el botón que se ve seleccionado en la imagen anterior Una vez asignadas las transacciones que queremos, quedara algo como esto: Una vez hecho esto, SAP de forma automática traerá los objetos de autorización asociado a cada una de las transacciones, de forma que no tendremos que añadir objetos de autorización adicionales, o más bien no deberíamos si todo está correcto. Para ver las autorizaciones, iremos a la pestaña “Autorizaciones”: Asignaremos un nombre al perfil e iremos a modificar los datos de autorización. Aquí veremos todos los objetos de autorizaciones que el sistema nos ha traído por asignar las transacciones al menú del rol: Tendremos que ir ahora, objeto por objeto (pulsando +) configurando nuestras necesidades. Las prioridades son: Semáforos rojos: Quiere decir, que necesita la configuración urgente, si vemos Planificación de personal, los puntos a configurar son los objetos de variante plan, con asignar nuestra variante plan principal, ya el semáforo cambiará amarillo, indicándonos que nos falta más cosas por configurar, pero que está activo: NOTA: Si el semáforo está amarillo, significa que no tiene toda la información necesaria, sin embargo, en caso de que se requiera, dará un error, por no tener los valores necesarios para su correcto funcionamiento. La creación de un rol compuesto mediante la PFCG. En las próximas entradas veremos roles derivados. Ejemplo para crear Rol compuesto Para crear el rol, pulsaremos el botón que aparece en la siguiente imagen: Iremos a la pestaña “Roles” y añadiremos los roles simples/otros roles compuestos que hemos creado, en este ejemplo añadiremos algunos “Z” de pruebas que hemos hecho en este sistema: Cuando aceptemos se nos añadirán los roles a nuestro rol Posteriormente solo necesitaremos guardar. El último tipo de rol, el rol derivado, el cual constará de un proceso «Padre» que es un rol simple, ya explicado en la parte 2 de este tutorial. Bienvenidos a la última parte del tutorial de roles. Rol derivado padre padre: Para este ejemplo, crearemos el rol menú, de forma que el sistema obtenga los objetos de autorizaciones correspondientes. Lo primero, iremos a la transacción PFCG, introduciremos un nombre y pulsaremos “Rol Simple”: El sistema nos solicitará información como la descripción y si quieres puedes introducir texto explicativo como aparece a continuación. Se solicitará grabar, pulsaremos si Ahora iremos a la pestaña “Menú”, de forma que crearemos el menú en base a nuestras necesidades. Para esto, podemos usar la organización por carpetas o la inclusión directa de transacciones, en este caso, organizaremos por carpetas: Para crear carpetas utilizar el botón con forma de carpeta Para crear transacciones utilizar el botón que se ve seleccionado en la imagen anterior Una vez asignadas las transacciones que queremos, quedara algo como esto: Una vez hecho esto, SAP de forma automática traerá los objetos de autorización asociado a cada una de las transacciones, de forma que no tendremos que añadir objetos de autorización adicionales, o más bien no deberíamos si todo está correcto. Para ver las autorizaciones, iremos a la pestaña “Autorizaciones”: Asignaremos un nombre al perfil e iremos a modificar los datos de autorización. Aquí veremos todos los objetos de autorizaciones que el sistema nos ha traído por asignar las transacciones al menú del rol: Tendremos que ir ahora, objeto por objeto (pulsando +) configurando nuestras necesidades. Las prioridades son: Semáforos rojos: Quiere decir, que necesita la configuración urgente, si vemos Planificación de personal, los puntos a configurar son los objetos de variante plan, con asignar nuestra variante plan principal, ya el semáforo cambiará amarillo, indicándonos que nos falta más cosas por configurar, pero que está activo: NOTA: Si el semáforo está amarillo, significa que no tiene toda la información necesaria, sin embargo, en caso de que se requiera, dará un error, por no tener los valores necesarios para su correcto funcionamiento. Creación del Hijo: Seguiremos los mismos pasos que para el padre: 1. Creamos rol: 2. Insertamos la información necesaria: Ahora tenemos que pensar que queremos. ¿Queremos solo las transacciones? ¿solo los objetos de autorización y no las transacciones? o ¿derivar la información de las autorizaciones con la información del padre? Bueno, vamos por partes Primero, vamos a obtener las transacciones del padre, para esto, en el campo “Derivar de rol” añadiremos el nombre del rol padre de la siguiente forma: Al decirle si, automáticamente veremos que la pestaña Menú, se nos pone en verde, porque trae la información que tiene el padre: Ahora, si vamos a autorizaciones y asignamos un perfil, vamos a poder acceder a la modificación de nuestras autorizaciones, sin embargo, vemos que los datos del padre no han sido traídos, solo los objetos de autorización que tenemos asociado a nuestro menú: Entonces ¿Cómo podemos derivar también la información asociada a los objetos de autorización? Para eso, tendremos que guardar el rol hijo y volver al rol padre. Entrando a las autorizaciones del padre veremos ahora, un nuevo icono: Este icono, realizará la transferencia de todos los datos de autorización de dicho rol a los roles derivados, exceptuando los niveles de organización. Al pulsar el icono, nos explicará lo que hará, si aceptamos, generaremos los roles, de forma, que, si volvemos al hijo, veremos que sus autorizaciones están exactamente igual que el padre menos los niveles organizativos: