Roles Simples/Compuestos
 

Cuales son las ventajas de tener administrado por roles compuestos?
Cual es la mejor manera de tener organizados los usuarios para una agil administracion

Hola LeaPellegrino: las ventajas de tener roles compuestos, es la poder realizar diferentes combinaciones de roles simples.
Lo mejor serìa no tener transacciones repetidas en mas de un rol y tener bien en claro el manejo de segregaciòn de funciones.

Saludos

hola, Leapellegrino.
Tambien podes armar los menus de usuario mas prolijos, agrupando por temas, trx o modulos, esto depende de como vos lo armes.
Ademas si armas un modelo de posicion por area en la empresa, podes armar un rol compuesto que agrupe todos los roles y cuando creas un usuario solo asignas el rol compuesto y listo.
Estoy a tu disposicion.
Gustavo

Yo te recomendaria que tengas organizado todo por roles compuestos por un tema de orden,además que para cada posición de tu empresa ya tengas armado que permisos debe tener asi cada vez que ingrese o salga alguna persona es mucho más rápido la asignación de permisos, y además con eso evitas que te salga el error " usuario con demasiados roles"

roles compuestos
 

El tema de los roles compuestos es un poco tedioso, no se de que manera maneja el tema de los usuarios, yo te recomendaria la CUA, por alli puedes manejar la administracion de los usuarios y los mandantes de manera mas rapida, ahora el manejo de roles tanto compuestos como genericos y derivados depende mucho de como los funcionales de los distintos modulos te entreguen los datos y a ellos les parezca mejor la administracion de roles.


slds

Mira, yo he trabajado con ambas formas, Simple y Compuestos. Si tenes bien claro el diseño de los GA en todo el sistema y como estan asignados, los GA Compuestos son una maravilla, pero si no tenes mucho conociemiento de la seguridad de la compañia, lo mas probable es que tengas problemas. Yo te sugiero que hagas un buen diseño de GA Simples y facilites la administración.

Otro aspecto que debes tener en cuenta es, que en general no se documenta mucho acerca de la seguridad, y por lo tanto, por mas que vos lo tengas super claron en tu organizacion, el dia que migres hacia otra compañia el que venga atras se va a volver loco.

Creo que te pasaria lo mismo si vos agarras un esquema de seguridad con GA compuestos que no conoces y que esta funcionando pero sin documentación.

Son elecciones y formas de trabajar. En mi caso, yo documento todo, pero asi y todo, sigo eligiendo la opcion de GA Simples.

Saludos.

Buenas tardes compañeros,

antes de desechar el tema de los roles compuestos, os hago una pregunta:

¿EXISTE LA POSIBILIDAD de crear (y que funcione) un rol compuesto que contenga dos roles simples, el primero de ellos dando autorización para (por ejemplo) la transacción IW21 [dentro del objeto I_QMEL; pero sin asignar ningún tipo de Aviso], y el segundo dando autorización para una case concreta de Avisos?





Por representarlo gráficamente:

Perfil Simple #1
Objeto I_QMEL: transacción IW21 [ ____________ ]

Perfil Simple #2
Objeto I_QMEL: [ ____________ ] clase de Aviso X

Perfil Compuesto = Perfil Simple #1 + Perfil Simple #2

De modo que "los dos objetos se superpusiesen", quedando un I_QMEL IW21+AvisosX

¿?



Mil gracias de antemano por cualquier respuesta, aunque sea para confirmarme que no funciona :)

Buenos días,

Si un mismo usuario tiene dos roles con un objeto de autorización en común, por ejemplo: M_BEST_BSA y en cada rol tienes diferentes valores, este objeto se "fusiona", es decir:

Cuando ejecutas una transacción en concreto y requiere de un objeto de autorización con un valor concreto, SAP, internamente, buscará entre los perfiles generados del usuario si este tiene el objeto de autorización requerido y el valor, indistintamente de que el objeto de autorización (con el valor requerido) está en un rol diferente al que está la transacción que se ejecutó.

En resumen y hasta donde yo se, los chequeos de autorización se realizan en todos los perfiles del usuario en cuestión, sin tener en cuenta que la transacción este en un rol y el objeto que se necesita en otro.


Espeor haberte podido ayudar.
Un saludo.

Buenos días Bruky,

ante todo, muchísimas gracias por tu respuesta y tu atención.

En cuanto al ejemplo que citas, mi duda sería:

Supongamos un "Rol Uno" que tenga el objeto de autorización M_BEST_BSA con valor "01" (por decir uno) para ACTVT y valor " " (vacío) para BSART.
Y supongamos un "Rol Dos" que tenga el objeto de autorización M_BEST_BSA con valor " " (vacío) para ACTVT y valor "AB" (por decir uno) para BSART.

Si una transacción requiere que se tenga el objeto de autorización M_BEST_BSA con ACTVT "01" y BSART "AB", ¿bastaría que le asignase a ese usuario los roles "Rol Uno" y "Rol Dos"?

Mi experiencia me dice que no, que no superpone roles en el sentido de "completar" objetos de autorización.
Que si requiere M_BEST_BSA con ACTVT "01" y BSART "AB", no te queda otra que crear un "Rol Tres" que tenga M_BEST_BSA con ACTVT "01" y BSART "AB"...

Buenos días LastDanz,

Muy buena duda, la verdad es que ese caso es bastante interesante.

Nunca he tenido ese tipo de duda, pero igualmente yo creo que como bien dices, los valores no se fusionan (me expresé mal en el anterior post).

Yo creo que cuando SAP hace el chequeo de los objetos de autorización, chequea los objetos por "paquetes", es decir, primero chequea un objeto de autorización y sus valores y así sucesivamente, por lo que si SAP requiere Actividad 01 y BSART AB, nunca encontrará este. ya que ninguno de tus roles tiene el objeto de autorización con los dos valores requieridos (en el mismo objeto).

Así que si, yo creo que habría que crear un nuevo rol con el objeto de autorización y sus valores.

Igualmente todo es mirarlo, podrias probar a hacer la prueba con la situación que nos diste?

Tengo una duda, realmente la situación que comentas se te está dando? Podrías especificarnos la definición que llevaste a cabo en estos roles? Quizá exista alguna forma mejor para solventar esta situación.


Referente a mi postr anterior:
Otra cosa es que tengas un rol con el objeto con valores vacíos y otro rol con el objeto y los valores requeridos, con lo que en este caso, SAP si te dejará seguir ejecutando la transacción.


Quedamos a la espera que nos digas con cualquier cosa :)
Un saludo.