Nei sistemi SAP sviluppati in linguaggio ABAP è possibile definire un oggetto autorizzativo.
Ma cosa è un oggetto autorizzativo e come deve essere definito e da chi?
In breve, è una funzionalità che ti permette di decidere chi può gestire “il cosa” è possibile fare ed il dove è possibile farlo, su quale struttura di business.
Ma proviamo ad utilizzare una metafora per arrivarci spendendo qualche parola in più.
Immaginiamo di avere tanti rubinetti a disposizione e dover decidere quali di questi sia necessario aprire o chiudere per svolgere una determinata azione.
Ecco questo può essere un primo aspetto importante ovvero gli oggetti autorizzativi possono essere visti come dei rubinetti da aprire o chiudere a seconda si voglia segregare qualcosa a sistema.
Ad esempio, voglio poter fare una richiesta di acquisto solo per la divisione italiana e non quella tedesca. Ecco, esisterà un oggetto autorizzativo che SAP ha messo a disposizione che mi permetterà di effettuare questa segregazione tecnica dei dati a sistema.
Ne consegue, poi lo vedremo meglio a seguito, che alcuni utenti potranno vedere dei dati solo dell’Italia altri solo della Germania. Purtroppo, non esistono oggetti autorizzativi per segregare qualsiasi cosa. Anche se ne esistono diverse migliaia, sono moltissimi. Nelle release ECC o S/4HANA sono più di 3000 oggetti autorizzativi definiti dalla SAP e questo dipende anche da quali moduli o add-on sono poi installati.
Tecnicamente un oggetto autorizzativo è creato utilizzando linguaggio di programmazione ABAP attraverso l'istruzione AUTHORITY-CHECK.
Questo è un aspetto fondamentale del modello autorizzativo SAP. In quanto se non sono stati previsti degli oggetti autorizzativi, di fatto non sarà possibile effettuare determinate segregazioni.
Questo è particolarmente importante per gli sviluppi custom ovvero quelli svolti da ogni cliente in aggiunta allo standard (quanto messo a disposizione da SAP).
L’oggetto autorizzativo è formato da campi (fino a 10). Molti oggetti ne contengono almeno uno chiamato attività. Questo campo permette di dire cosa posso fare in termini di, semplificando, creazione modifica o visualizza.
Altri campi sono ad esempio la società, la divisione le organizzazioni commerciali e così via per i principali moduli del sistema SAP. In sostanza attraverso un oggetto autorizzativo posso quini gestire “il cosa” è possibile fare ed il dove è possibile farlo.
Esiste una specifica transazioni per costruire gli oggetti autorizzativi chiamata SU21 "Maintain Authorization Objects"
Attraverso il pulsante della "pagina bianca" è possibile creare un nuovo oggetto autorizzativo, chiaramente dovrà essere creato nello spazio nomi cliente; quindi, dovrà iniziare con la lettera Z oppure Y.
Sempre attraverso la medesima icona è anche possibile creare una nuova classe di oggetti, che semplicemente rappresenta un contenitore di oggetti autorizzativi che condividono la medesima area di applicazione.
Ad esempio, se dovessi creare diversi oggetti autorizzativi custom per un processo specifico potrei pensare di creare una classe specifica che mi permetterà poi di raggrupparli meglio e vederli poi meglio durante l'utilizzo della transazione PFCG Profile Generator.
Una volta proseguito nella definizione è quindi possibile definire
Nel caso in cui l'oggetto autorizzativo contenta il campo attività (ovvero cosa sarà possibile fare e controllare con quell'oggetto) è possibile definirne le attività ammesse (ed è utile farlo). Nella tabella TACT, infatti, è possibile vedere quali sono tutte le attività possibili. Le principali sono le seguenti (ma ne esistono più di 200):
Così come è importante definire la documentazione dell'oggetto autorizzativo (direttamente in SAP) attraverso l'apposito pulsante "Create Object Documentation" per descrivere come ragiona l'oggetto autorizzativo ed anche dove e perché è stato usato oppure il riferimento alla documentazione "cartacea" per ulteriori approfondimenti.
Solitamente i ruoli sono i seguenti: