BASIS:Heredar objetos de autorizacion

[josue.mendoza30]

Buenos días,

Estimados quisiera consultar con ustedes este caso que me he encontrado al momento de trabajar con algunos objeto de autorización como F_LFA1_GRP en donde en un rol organizativo tengo los valores de compañía y en otro transaccional contengo las actividades que realizara dicho usuario con la transacción XK01, y al momento de entrar envía error aun teniendo los valores de dicho objeto definidos con sus valores, me gustaría saber si este comportamiento alguna vez lo han visto.

Una solución es ponerlo dentro del organizacional junto con las transacciones pero este caso no aplica cuando quieres delimitar por actividad y funciones del usuario, por ejemplo solo puede visualizar y en otro rol puede modificar etc. pero basándose en los datos de compañía definidos en el organizativo, me gustaría ver otro punto de vista o alguna razón por que pasa estos casos.

Saludos

[bruky]

Buenos días josue.mendoza30,

Podrías darnos mas detalles acerca de tu problemática? No he conseguido llegar e entender la problemática exacta.

Si pudieras, adjuntanos algún pantallazo.
Muchas gracias.
Un saludo.

[josue.mendoza30]

Te dejo un video con una explicacion mas clara.



Gracias por tu ayuda

[bruky]

Buenas tardes josue.mendoza30,

Hasta donde yo entendería, a la hora de ejecutar la transacción XK01 (o cualquier otra transacción), SAP chequea que tengas el objeto de autorización F_LFA1_GRP (entre otros) con los dos valores en el mismo objeto de autorización (en este caso, tanto actividad 01 como grupo de cuentas acreedor AC01).

Parece ser que a la hora de ejecutar la transacción, SAP te está encontrando lo siguiente asignado a tu usuario:

- Un Objeto de Autorización F_LFA1_GRP con Actividad: 01
- Otro Objeto de Autorización F_LFA1_GRP con acceso al grupo de cuentas acreedor: AC01

Nunca está encontrando el objeto de autorización con ambos valores en el mismo objeto, por ello te está dando fallo de autorización, y esto te pasará con los demás objetos de autorización el cual estén separados por Actividad y Nivel Organizativo en diferentes roles.

Nota: Otra cosa es que tengas diferentes roles, uno solo con transacciones y otro solo con los objetos de autorización de estos, en este caso SAP si funcionará correctamente, ya que al ejecutar una transaccion SAP chequeará que tienes un rol con los objetos y valores necesarios, pero a mi gusto, sigue siendo una mala praxis.

Nunca he visto una forma de segregación tal que así (diferentes roles para actividades y unidades organizativas), esto esta montado por algo en especial?

Para hacer este tipo de restricciones, lo que deberíais hacer es montar roles Derivados.

- Diferentes roles base con sus transacciones, objetos y valores.

- Roles derivados de estos roles base restringiendo únicamente por los valores organizativos que necesites.

No se si me he explicado bien, igualmente te dejo un par de enlaces que pueden servirte de ayuda, por otro lado, si tienes dudas con la creación de roles derivados comentanoslo y te ayudaremos encantados

Te dejo un par de enlaces de interés:





Con lo que sea comentanos!
Un saludo.

[josue.mendoza30]

Hola Bruky, adjunto los detalles de la segregación para que le puedas dar una mirada y me des tu punto de vista.



Saludos.

[bruky]

Buenos días josue.mendoza30,

Ok, comprobando el documento, te comento:

En el rol: Z: FI-TRANS-X, el campo Grupo de Cuentas Acreedor no parece que esté definido como nivel organizativo (Lo contrario que Sociedad y Centro Logistico), por lo tanto, este campo deberías rellenarlo en este mismo rol y no en el rol de niveles organizativos.

Por otro lado, creo que deberías plantear de forma diferente la segregación de los roles y apuntar mas hacia los roles derivados.

Voy a crearte unos roles de ejemplo para que le heches un ojo, pero en resumen lo que voy a hacer es:

- Crearme un rol base ZFI_TEST_TRANSACCIONES_T al cual, solo le voy a dar acceso a la transacción XK01, XK02 y XK03.
A este mismo rol, voy a darle los accesos que todo los roles derivados tendrán (añadiré el valor: * en los "niveles organizativos" ya que este al ser un rol base, no se le asignará a ningún usuario).

- Crearé tantos roles derivados como Sociedades quieras restringir (estos tendrán accceso a todos los valores de los objetos de autorización del rol base, pero se restringiran únicamente por niveles organizativos: Sociedad).

A los roles derivados los llamaremos:
ZFI_TEST_TRANSACCIONES_2000
ZFI_TEST_TRANSACCIONES_2001
ZFI_TEST_TRANSACCIONES_2002
ZFI_TEST_TRANSACCIONES_2003
ZFI_TEST_TRANSACCIONES_2004
ZFI_TEST_TRANSACCIONES_2005
ZFI_TEST_TRANSACCIONES_2006
ZFI_TEST_TRANSACCIONES_2007

Te adjuntsaré un documento el cual intento explicar como he montado los roles derivados, quizá no me explique muy bien, pero espero que el concepto de roles derivados lo comprendas


Un saludo

[bruky]

Te adjunto un documento "explicativo" con lo que he realizado y los roles de Test que he creado comprimido en un .rar

Si subes los roles, sube los roles a un sistema de desarrrollo y de pruebas (opción upload en la PFCG) y chequealos mientras te ves el documento.

Espero no haberte liado mucho, pero es que no soy muy bueno explicandome, además que la explicación de los roles derivados es algo engorrosa.

Enlace de descarga:


Igualmente si tienes cualquier duda no dudes en comunicárnoslo.

Resumen:
- Creas roles base con las transacciones, objetos de autorizacion y valores.
- Creas roles derivados del rol base y restringes por unidad organizativa que desees.
- Al añadir autorizaciones nuevas en el rol base y generar los roles derivados, estos heredarán las nuevas autorizaciones, pero mantendrán los valores de niveles organizativos que restringimos en los roles derivados.

Espero haberte ayudado.
Un saludo.

[josue.mendoza30]

Buenas tardes,

Bruky totalmente acertada la explicación ya pase los roles a desarrollo y funcionan como debe ser, agradezco inmensamente tu ayuda , doy por concluido el caso.

Saludos.
JM

[bruky]

Perfecto!!!

Con lo que sea nos vas comentando.

Muchas de nadas!
Un saludo.