Truco 14. Análisis de autorizaciones. Traza.


La gestión de autorizaciones en Sap es un tema complejo, sobre todo si queremos restringir el acceso a los usuarios a su ambito de actuación y funciones, evitando la modificación o consulta de datos en módulos para los que no debería de estar autorizado.

En esta entrada del blog no voy a entrar en profundidad en el tema de autorizaciones, lo que requeriria una serie de articulos para poder abordar todos los aspectos a tener en cuenta de una forma profunda.  Simplemente os voy a mencionar algunas transacciones interesantes para el caso de que tengamos problemas de autorizaciones y queramos analizar donde reside el problema.

Objetos de autorización verificados en una transacción.

Con la transacción SU24 podemos ver las autorizaciones asociadas a una transacción y que se verificaran cuando entremos en ella.

En el ejemplo, en la transacción PA20 (consulta de datos maestros de empleados), vemos que se verifican los objetos típicos para acceso a datos de administración de personal (P_ORGIN, P_PCLX, P_PERNR, PLOG).

Ultima verificación de autorizaciones realizada en el usuario actual.

Cuando intentamos acceder a una transacción o intentamos realizar algún proceso sobre algún objeto sobre el que no estamos autorizados (aunque si tengamos acceso a la transacción donde se realiza este), la revisión del objeto de autorización que ha fallado la podemos realizar a traves de la transacción SU53.En la imagen podemos ver el resultado de la transacción, despues de intentar acceder a una transacción de finanzas (la FB50 de contabilizaciones), para la que no estamos autorizados.

En la parte superior aparece el objeto de autorización verificado que no disponemos en nuestro perfil, y en la parte inferior los valores que si tenemos en nuestro perfil para ese objeto de autorización, pero que no son suficientes para poder acceder al objeto.

Es conveniente incluir la transacción SU53 en los perfiles de todos los usuarios para agilizar las tareas de administración (se puede permitir que todos los usuarios del sistema tengan acceso a las transacciones SU53 y SU56 con el parametro de sistema auth/tcodes_not_checked). Solo aparece el último objeto de autorización revisado que ha fallado.

Autorizaciones existentes en el perfil de usuario actual.

Aunque las autorizaciones de las que dispone un usuario pueden ser consultadas desde la transacción SU01 (en la pestaña de Roles o Perfiles), desde aquí no veremos el detalle de objetos de autorización asignados al usuario. Para ello, tenemos la interesante transacción SU56 que nos muestra de forma detallada los valores de autorizaciones asignadas a un usuario que residen en la memoria intermedia del sistema.

Traza de autorizaciones.

Cuando tenemos verificaciones de autorizaciones complejas, el uso de la transacción SU53 puede ser muy incomodo pues el sistema nos avisará de la autorización que falta, la incluiremos en el perfil del usuario, volverá a fallar otro objeto, etc. Así hasta que podamos identificar todo lo que nos falta e incluirlo en los correspondientes roles o perfiles.

Para simplificar esta tarea de identificar las autorizaciones verificadas, podemos utilizar la traza de contexto (transacción STKONTEXTTRACE) o bien la clásica traza de sistema (transacción ST01). En ambas transacciones podemos analizar otros aspectos ademas de las autorizaciones, como las traza SQL, de memoria intermedia, RFC, etc.

En la traza de contexto indicaremos la transacción a analizar, marcaremos el flag trace de autorización y realizaremos las tareas en el sistema como si fuesemos el usuario para el que estamos preparando o revisando los perfiles de autorización.Una vez completada la traza, la revisaremos desde la transacción ST01, desde la opción evaluación. El programa nos mostrará todos los objetos de autorización verificados, con sus correspondientes valores para cada uno de sus campos. Con el resultado podremos preparar un perfil de autorización que incluya todo lo necesario para el trabajo del usuario.La traza también la podremos realizar desde la transacción ST01 directamente, llevando cuidado en marcar el flag Verif. Autorización, e indicar los correspondientes filtros (por ejemplo, un usuario o una transacción), ya que sino la traza se realizará sobre todos los usuarios del sistema, y es un proceso pesado que puede afectar al rendimiento del sistema.

NOTA: Transacciones para el mantenimiento de las autorizaciones.

PFCG Mantenimiento de Roles de Autorizacion (incluidos los menús de Rol que se asocian al usuario). El mantenimiento se realizaba antiguamente con la transacción SU02. El rol incluye los perfiles de autorización, que son una lista de objetos de autorización con valores asignados en sus campos, que son los que determinan que acciones podemos realizar en el sistema.

SU21 Mantenimiento de objetos de autorizacion (para visualizar los estandar o crear nuestros propios objetos de autorizacion para las transacciones de cliente). También se puede acceder desde la SU03.

SU20 Mantenimiento de campos de autorizacion (un objeto de autorizacion se compone de varios campos).

Esta entrada fue publicada en Autorizaciones, Sap Basis. Guarda el enlace permanente.

Una respuesta a Truco 14. Análisis de autorizaciones. Traza.

  1. Pingback: Truco 49. Autorizaciones desde el modulo de organizacion. Roles de usuario con PFCG(I). | Notas y trucos SAP (Bitacora)

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s