En el mundo actual, es fundamental que un concepto de autorización sea dinámico y adaptable, para que los estándares de una empresa puedan ser respaldados o protegidos de la mejor manera posible. Por lo tanto, no es improbable que varios roles de SAP deban modificarse a través del generador de perfiles mediante un cambio de proceso o un proceso completamente nuevo. Estos cambios pueden tomar una variedad de formas. Ya sean modificaciones a nivel organizacional, ajustando los valores de los campos de autorización de un determinado objeto de autorización o agregando o eliminando una transacción del menú de roles. Dependiendo de la cantidad de roles que se ajustarán, dicha tarea puede llevar algunas horas, si no días, con actualizaciones a través de la transacción PFCG. Para hacer que estos cambios sean más eficientes en el tiempo, SAP ha desarrollado una herramienta de procesamiento masivo de roles, cuyas funcionalidades me gustaría explicarle a continuación.
El código de transacción que cubre este blog es el PFCGMASSVAL. Esto puede ser importado a su sistema SAP por la Nota de SAP «2177996 – PFCGMASSVAL: Mantenimiento masivo de valores de autorización en roles» (generalmente por su Equipo SAP Basis).
Con esta transacción, SAP le ofrece la posibilidad de realizar cambios masivos de PFCG con las siguientes opciones:
Para poder explicar las funcionalidades individuales de la transacción, me gustaría repasar un ejemplo práctico de la vida cotidiana de la administración de autorizaciones, específicamente, el mantenimiento de roles.
El departamento de compras le ha pedido que ajuste todos los roles individuales y roles derivados asignados a usuarios en el sistema de producción que tienen una autorización general «*» para tipos de documentos de órdenes de compra reemplazándolo con el valor «NB» para una orden de compra normal.
Además, la empresa ha crecido. Se identificó una nueva ubicación en Alemania. Esto se ha ingresado en el sistema SAP bajo la planta «9999» y debe agregarse en todos los roles que incluyen autorizaciones para Alemania.
Se debe determinar de antemano qué roles ABAP se actualizarán. Esto se puede hacer a través de la selección directa de roles, una entrada enmascarada o mediante una búsqueda de «Roles con datos de autorización», en la que puede identificar los roles que se modificarán de acuerdo con sus requisitos.
Los siguientes modos de procesamiento también están disponibles en el formulario de selección:
PROPINA: Siempre se recomienda usar “Ejecutar con simulación previa”, ya que aún tiene la opción de consultar el resumen anterior de los cambios.
En el siguiente paso, se deben definir los cambios a realizar. Dado que los parámetros de selección deberán actualizarse según el tipo de cambio de campo, cada variante de cambio se explica individualmente a continuación.
Utilice esta opción para ajustar los valores de los niveles organizativos contenidos en los roles. Están disponibles las siguientes opciones de modificación:
En el campo de nivel organizacional, se debe seleccionar el campo a editar. Esto también se puede seleccionar mediante la ayuda de entrada F4.
Por último, pero no menos importante, se deben definir los nuevos valores por los cuales se extenderán los roles. Esto se hace a través del botón respectivo y la entrada de los valores deseados. Por lo tanto, para nuestro ejemplo, el valor de datos maestros «9999» debe ingresarse con la acción «Agregar».
Con la ayuda de esta acción, es posible cambiar los valores de un campo a un objeto específico. En nuestro ejemplo, el objeto M_BEST_BSA. Similar a cambiar un nivel organizacional, las siguientes acciones están disponibles:
Para reemplazar el valor «*» con el valor solicitado «NB», la selección debe verse así.
Similar a la acción de cambiar los valores de campo de un objeto individual, también es posible ajustar los valores de campo en todos los objetos mediante la transacción PFCGMASSVAL. Esto puede ser ventajoso, por ejemplo, si desea crear un rol de visualización y solo desea los valores de campo para las actividades de visualización para el campo ACTVT. Otra ventaja aquí son las opciones de configuración adicionales de la transacción, que además aparecen en la máscara cuando se seleccionan cambios en los valores de campo:
Puede utilizar esta configuración para determinar qué instancias de autorización deben modificarse, teniendo en cuenta el valor del campo de actividad y el estado de actualización del propio objeto de autorización. También se le ofrecerá la opción de evitar que el objeto de autorización cambie al estado «Modificado». Esto es aconsejable si mantiene sus roles en el contexto de verificaciones de autorización SU24 de SAP y no desea perder la lista de referencias para valores de campo por transacciones.
Al igual que en el mantenimiento de objetos de autorización en el contexto SU24, es posible agregar o eliminar instancias de autorización manual a través de PFCGMASSVAL. Esto puede ser útil en situaciones en las que necesita mantener un concepto de rol de valor para ciertos objetos de autorización y necesita expandir o reducir el alcance de los roles. Como de costumbre, se debe seleccionar el objeto afectado, incluidos los valores.
Tan pronto como se complete su selección de cambios, se puede ejecutar la simulación. Dependiendo de la selección anterior, puede verificar los cambios, seleccionar los roles que se ajustarán y hacer que el sistema realice los cambios.
Debido al cambio de los perfiles de autorización, el último paso es regenerar el perfil de cada rol. También puede iniciar esto a través de PFCGMASSVAL, que completa las actualizaciones de los roles.
En resumen, el uso de PFCGMASSVAL puede ahorrar una cantidad significativa de tiempo utilizando la funcionalidad de mantenimiento masivo. En un período de tiempo muy corto, ciertos valores de autorización se pueden actualizar en una gran cantidad de roles, lo que hace que le lleve menos tiempo mantener los roles.
Como probablemente haya notado, PFCGMASSVAL, lamentablemente, no ofrece la capacidad de ampliar el menú de roles de forma masiva mediante un código de transacción o de desactivar instancias de objetos de autorización de los roles de forma masiva.
XAMS puede ayudarlo activamente con los módulos Role Designer y Role Replicator.
¿Necesitas apoyo en el área de Seguridad SAP? Entonces Xiting está a su lado como proveedor de soluciones de 360 grados. Además de SAP Authorization Management (Auth Management), también cubrimos las áreas de SAP Fiori, SAP S/4HANA, SAP HANA Security, GRC y muchas más. También ofrecemos seminarios web continuos sobre varios temas especiales y de seguridad de SAP para garantizar su cumplimiento a largo plazo. También ofrecemos algunas opciones de personalización para responder individualmente a los desafíos de los clientes.
Erwin es un exadministrador de SAP Basis que se unió a Xiting en 2017. Además del soporte del lado del cliente y la ejecución de proyectos de rediseño mediante el uso de la suite de administración de autorizaciones de Xiting (XAMS), es responsable de capacitar a los nuevos colegas.
Calle Eloy Gonzalo, 27
Madrid, Madrid.
Código Postal 28010
Paseo de la Reforma 26
Colonia Juárez, Cuauhtémoc
Ciudad de México 06600
Real Cariari
Autopista General Cañas,
San José, SJ 40104
Av. Jorge Basadre 349
San Isidro
Lima, LIM 15073