Estimados, estamos por implementar y no me dejan dar permiso SAP_ALL en desarrollo, me podrian indicar por favor cuales son los roles que deberia asignar para las siguientes personas. Muchas gracias

Desarrolladores Abap
Consultores FI-Newgl
Consultores FI-AA
Consultores FI-AP
Consultores FI-AR
Consultores CO
Consultores TR
CLM
Portal

Tenia una planilla con estos roles para iniciar y no la puedo encontrar.-

Muchisimas gracias

Buenos días navellaneda,

Que extraño que en Desarrollo no os permitan que los usuarios Consultores tengan SAP_ALL, no comprendo que riesgo puede existir.

Igualmente, dos opciones:

- Mala opción: Si el cliente solo se fija en que el usuario no tenga perfil SAP_ALL, siempre puedes crearte un rol Z con acceso a todo el sistema, con ello los empleados no tendran el perfil SAP_ALL, pero tendran un rol con acceso a todo.

- La opción por la que yo opto (porque entiendo que estos roles se aplicarán obviamente a Calidad y Producción) sería la siguiente:

Yo crearía los roles captando las transacciones (menu del rol), vía menú standar de SAP, por ejemplo, para un rol ZIT_FINANZAS_AP por ejemplo, yo le daría acceso al nodo estandar de Finanzas relacionado con Cuentas a Pagar y al nodo de Sistemas de Información de Finanzas relacionado con Cuentas a pagar, y así con cada módulo, dando * a las autorizaciones de cada rol (excepto las relacionadas con transacciones: S_TCODE, etc.)

Una vez que tengas los roles de cada funcional mas o menos definido, creado y asignado al consultor, arreglaría los errores de autorización (que pudieran salirle) directamente en el rol que corresponda, pero entiendo que no saldrían muchos errores.

El "problema" quizá viniera con el rol de los Desarrolladores, ya que habría que buscar bien en el menu standar de SAP si existen nodos relacionados para los Desarrolladores (SE37, SE38, SM30, SE11, etc.), y si no añadir las transacciones una a una, a este rol no daria acceso a Debug.

Nota: Para los desarrolladores yo me crearía un rol especifo para dar acceso a Debugging , ya que en muchos clientes, no se permite el Debug en Calidad (y menos en Producción).

Referente a Portal, no puedo ayudarte, es algo que nunca he tocado.

Espero haberte podido ayudar.
Un saludo.

Comparto la opinión con BRUKY.

Pero a mi modo de ver, yo optaría por conversar con el responsable de sistemas de desarrollo a ver cómo fundamenta no dar SAP_ALL a consultores expertos en un módulo de "desarrollo". ¬¬

¿Cuales son sus fundamentos? :eek:

Totalmente deacuerdo con SidV!!!

Hasta donde yo creo, no existe riesgo alguno que un usuario Consultor tenga SAP_ALL/SAP_NEW en Desarrollo.

Como bien dice Sid, preguntales y que te confirmen, ya que si realmente "existe un riesgo" nos gustaría conocerlo ;)

Gracias por tu aclaración SidV!!!!!
Saludos.

Totalmente deacuerdo con SidV!!!

Hasta donde yo creo, no existe riesgo alguno que un usuario Consultor tenga SAP_ALL/SAP_NEW en Desarrollo.

Como bien dice Sid, preguntales y que te confirmen, ya que si realmente "existe un riesgo" nos gustaría conocerlo ;)

Gracias por tu aclaración SidV!!!!!
Saludos.


El riesgo siempre existe. SAP_ALL / SAP_NEW son perfiles con acceso a todo el sistema. En caso de tener un SAP_ALL en desarrollo, tienes la posibilidad de saltar sistemas e ingresar via RFC (Que siempre tienen conexiones abiertas con usuarios amplios a Productivo) Con esto puedes ingresar a PRD y hacer lo que quieras. El riesgo siempre está. Por lo cual, por politicas de seguridad/recomendaciones de SAP y buenas practicas, es necesario restringir estos accesos en todos los mandantes.

Buenas tardes fitado,

Gracias por tu aclaración, la verdad que en ese momento no se me hubiera ocurrido el acceso remoto desde la SM59.

Saludos.