In SAP esiste/eva un limite sul numero di profili assegnabili all’utente. Storicamente questo limite di 300 e poi 312 è stato mantenuto per porre un limite appunto al proliferare delle autorizzazioni sulle utenze.
Esiste ancora questo limite?
Un profilo è un contenitore di autorizzazioni. Un profilo può contenere fino a 150 autorizzazioni, nelle ultime release 170 vedi anche nota OSS 410993 - Maximum number for profiles and authorizations
Tramite la transazione SU02 è possibile vedere il contenuto dei profili. Anche se la transazione permette la modifica è sconsigliabile mantenere i profili SAP tramite questa transazione.
La gestione dei profili in SAP deve avvenire tramite la transazione PFCG (Profile Generator). Ovvero andando a generare automaticamente i profili utilizzando i ruoli.
Esistono due tipologie di profili in SAP. Singoli e composti. I profili singoli sono dei contenitori di autorizzazioni. I profili composti sono dei contenitori di profili singoli.
Uno dei profili più conosciuti è il profilo SAP_ALL. È un profilo collettivo che contiene n profili singoli in quali, a loro volta, contengono autorizzazioni massime (asterisco).
Dalla release SAP_BASIS 7.50 SP00 di SAP, come descritto nella nota OSS 2293683 - FAQ | Classic user and authorization management, il precedente limite di 312 profili assegnabili ad un utente è stato superato.
Ora non ci sono limiti sul numero di profili (e quindi ruoli) attribuibili ad un utente. Nell’immagine sotto è possibile vedere che in tabella UST04 (tabella che contiene il legame utenti e profili) il numero di profili assegnato all’utente TEST_AG è 663!
Come suggerito da SAP, questa rimozione del limite non deve portare ad aumentare senza limiti il numero di profili assegnabili agli utenti in SAP.
Uno degli obiettivi di un buon concetto autorizzativo è quello di limitare il più possibile i ruoli definiti ed attribuibili agli utenti nel proprio sistema.