Nel gergo comune degli addetti ai lavori possono essere usati come sinonimi, ma in realtà non lo sono.
Per cogliere di cosa si tratti dobbiamo partire dal passato. Infatti nelle prime release dei sistemi SAP, non esistevano i ruoli ma solo i profili.
Sono più in generale degli oggetti che permetto di attribuire delle abilitazioni alle utenze che utilizzano il sistema SAP. Tramite questi oggetti è possibile quindi permettere agli utenti di utilizzare il sistema.
Il concetto di ruolo è stato introdotto più recentemente, rispetto al profilo o profilo di autorizzazione.
Ma proviamo a dare una definizione e poi approfondire:
Forse non è ancora chiarissimo.
Dicevamo che in passato per poter attribuire delle abilitazioni alle utenze esistevano solamente i profili. Vero.
Per poter abilitare un utente ad eseguire, ad esempio, una richiesta di acquisto oppure un ordine bisognava identificare tutti gli oggetti autorizzativi necessari a far funzionare questi aspetti di processo.
Tutti questi oggetti dovevano essere appunto inseriti in un profilo e quest'ultimo assegnato poi all'utente o utenti.
Era un lavoro molto lungo e laborioso, anche perché chi conosce i più di 3000 oggetti autorizzativi definiti in un sistema SAP? Spesso si andava per tentativi e prove.
I ruoli, quindi, servono a semplificare la gestione delle abilitazioni SAP. Ovvero introdurre il paradigma RBAC (Role Based Access Control).
In che modo?
Se prima tramite i profili (vedi transazione SU02 sotto) dovevo io, come security manager, conoscere tutti gli oggetti da abilitare, oggi, tramite i ruoli posso dichiarare cosa dovrà svolgere in termini transazionali una persona ed il sistema farà, più o meno, il resto.
Ovvero il ruolo (attraverso la transazione PFCG - Profile generator) mi permetterà di recuperare tutte le informazioni necessarie (dal punto di vista delle abilitazioni) per poter permettere all'utente, una volta ricevuto il ruolo, di poter lavorare.
Attenzione profili e ruoli non vanno utilizzati assieme. I profili sono quindi un retaggio del passato (ancora attivo nel sistema) ma "nascosto" attraverso la gestione dei ruoli. Quindi non devono essere usati. Si utilizzano solo i ruoli!
Sì, è proprio così. Anche se dipende da come li si struttura. A volte utilizziamo la metafora dei mattoncini della lego.
Immagina di avere a disposizione centinaia di pezzi di svariate forme e colori. A parità di pezzi ognuno di noi può realizzare qualcosa di diverso. Chi realizza delle opere d'arte e chi ci prova (magari avvicinandosi, più o meno).
Approfondisci qui cosa significa SAP Security.
Nella parte autorizzativa, più in generale di SAP è proprio così. Chiunque può facilmente far funzionare le cose, provando a definire un authorization concept.
Ma un conto è farle funzionare, un altro è farle funzionare come dovrebbero e soprattutto gestirle nel corso del tempo in modo appropriato.
È comune, infatti, trovare situazioni di modelli autorizzativi definiti all'inizio del progetto e poi stratificati, modificati senza molta logica a più mani nel corso del tempo, fino ad arrivare al punto di dover rivedere tutto.
Non sei sicuro che il tuo modello sia gestito in maniera corretta?