Probema autorizaciones: Restringir División

[marmaro]

Buenas tardes compañeros.

Estoy teniendo un problema con un rol de autorización, he diseñado el rol para que mediante el objeto P_ORGIN restringa el acceso a empleados de una división de personal concreta, Ej: la 5000. El caso es que parece hacerlo bien salvo porque hay un empleado de la división 6000 al que si permite el acceso. He probado a restringir por otras divisiones cualquiera y tengo el mismo problema, siempre hay unos pocos empleados de las otras divisiones que "escapan" al filtrado.

¿Alguno tiene una idea de porque puede suceder esto?

Muchas gracias.
Saludos.

[Rv2]

Hola marmaro.

Revisa en los roles que tiene el usuario si tiene algún otro rol que contenga el objeto de autorización P_ORGIN y que se esté filtrando la información por ahí.

Saludos.

[marmaro]

Hola.

El usuario solo tiene ese rol que he hecho.

Saludos.

[colmdelgado]

Debes asegurarte por Rol las unidades organizativas asociadas, esto lo puedes detallar desde la misma interfase que te muestra el detalle de objetos por roles en la opción "Pasar a>Niveles Org"

[marmaro]

Hola.

Gracias por el consejo, el problema es que los valores del campo división dentro del Nivel organizacional, difieren de los valores que aparecen dentro del campo de División de personal.

Gracias.
Saludos.

[Rv2]

Si, en eso tienes razón, los niveles organizaciones no tienen nada que ver con los campos propios del objeto P_ORGIN. Todavia ando mirando qué puede estar pasando, en caso que sepa algo te avisaré.

Sin embargo ´sería interesante que nos adjuntes un pantallazo de cómo tienes configurado el(los) objeto(s) P_ORGIN del rol.

Saludos.

[marmaro]

Hola.

Creo que he descubierto el motivo de porque no esta funcionando el filtrado, es una razon un tanto funcional (SAP-HR), pero voy haber si me explico lo suficientemente bien como para que se me entienda.

El rol da acceso a la transacción PA20, es dentro de esta transacción donde se me ha pedido que restringa el acceso a los empleados de una división concreta. Los datos de la división se almacenan en el infotipo 0001 (Asignación organizativa). Pues bien he cogido el nº de empleado conflictivo que sigo viendo aun perteneciendo a otra división de personal, selecciono el infotipo 0001 y pulso el botón de visualizar, efectivamente aparece que pertenece a la división de personal que no debería verse. Ahora bien, si en vez de darle al botón de Visualizar, se pulsa el botón de Resumén (la montaña), se ve que aparecen distintos registros del IT 0001 de tiempos pasados y en alguno de ellos los datos de la División de personal concuerdan con la División que se debería ver correctamente.

Imagino que desde el punto de vista puramente funcional la cosa se puede resumir en que el empleado en algún momento perteneció a la División de Personal adecuada para mas tarde cambiarse a la que no debería verse.

Lo he revisado con los otros empleados que me dan problemas y el escenario se repite. Luego tiene que ser debido a esto.

Ahora bien, dado que SAP no permite denegar autorizaciones, no se me ocurre como hacer que el rol restringa e ignore esos resgistros del IT 0001 obsoletos.

¿Alguno os habeís encontrado un caso similar?

EDIT: El objeto P_ORGIN esta como sigue:

- AUTHC: M,R
- INFTY: 0001
- PERSA: 5000
- PERSG: *
- PERSK: *
- SUBTY: *
- VDSK1: *

Muchas gracias.
Saludos.

[jmaciel]

Yo tube un caso similar y lo que hice fue repetir el objeto P_ORGIN, tantas veces como divisiones necesite acceder es decir. Tenia el objeto dentro del mismo rol con diferentes valores y solo me permitia ver lo que estaba en el perfil.

P_ORGIN
- AUTHC: M,R
- INFTY: 0001
- PERSA: 5000
- PERSG: ' '
- PERSK: ' '
- SUBTY: ' '
- VDSK1: ' '

P_ORGIN
- AUTHC: M,R
- INFTY: 0001,0002,0003
- PERSA: 6000
- PERSG: ' '
- PERSK: ' '
- SUBTY: ' '
- VDSK1: ' '

Otra cosa, en lugar de usar * usa ' ', para que te salte el error y lo puedas visualizar con la SU53.