Il ruolo di base è un contenitore al cui interno sono inserite alcune delle autorizzazioni che tutti gli utenti dovrebbero avere.
Si tratta di un insieme di utility, non critiche ed utili in alcuni momenti. Come conviene progettarlo e cosa dovrebbe contenere?
Il ruolo di base dovrebbe contenere esclusivamente autorizzazioni non critiche e nessuna attività di business.
Ecco quali sono le attività che dovrebbero avere tutti gli utenti SAP:
Il ruolo di base non dovrebbe contenere la possibilità di pianificare job periodici (se previsto dalla release) così come non dovrebbe contenere oggetti critici esempio:
È fondamentale inoltre per garantire la sicurezza applicativa SAP, evitare di rilasciare autorizzazioni che permetterebbero ad un utente di accedere a dati sensibili o di business.
Questo ruolo infatti potrebbe essere assegnato anche ad utenti esterni che devono accedere comunque al sistema SAP.
Tramite la transazione OMET (Settings for Function Authorizations) è possibile configurare alcuni comportamenti del processo acquisti. Ad esempio che durante la creazione di OdA sia necessariamente da inserire il riferimento all'RdA.
Questa configurazione viene attivata se l'utente ha il parametro "EFB Function Authorization: Purchase Order" valorizzato come da configurazione della transazione OMET.
Un utente in questo caso potrebbe rimuoversi il valore/parametro e bypassare il controllo.
Attenzione le modifiche alla tabella dei parametri utente: USR05 non sono tracciate di default.
Meglio creare un ruolo ed assegnarlo a tutti oppure inserire nei ruoli di business le attività citate sopra?
L’ideale sarebbe creare un ruolo ad hoc da assegnare a tutte le utenze. Ripetere le medesime autorizzazioni nei vari ruoli collettivi comporta:
È possibile assegnare automaticamente un ruolo base alla creazione di ogni nuova richiesta. Questo ruolo può essere auto-approvato, senza iterazione alcuna quindi.
Devi impostare o rivedere il tuo modello autorizzativo SAP, approfondisci qui!
È possibile assegnare i ruoli in maniera diretta o indiretta. I ruoli assegnati in maniera diretta sono quelli attribuiti tramite la transazione SU01 oppure PFCG. Mente i ruoli attribuiti in maniera indiretta sono:
I questo ultimo caso, meglio creare una posizione con tutti gli utenti assegnati al ruolo di base oppure assegnare ad ogni posizione organizzativa il ruolo base in aggiunta agli altri?
Per evitare problemi di performance e semplificare la gestione, anche se le attribuzioni sono indirette (tramite struttura organizzativa) conviene assegnare il ruolo base direttamente agli utenti SAP.