Verificación de la caducidad de un rol como de la duplicidad del mismo


Dentro del proceso de asignación de roles a un usuario, solemos cometer varios errores que a simple vista parece no tener ninguna repercusión pero que si lo miramos desde el punto de vista técnico y en detalle, generan una serie de eventos que suelen afectar varios elementos, entre los que se encuentran, comprometer recursos de memoria del sistema SAP, duplicidad en la asignación de roles, con fecha de caducidad diferentes, tareas de gestión que se vuelven bastante engorrosas y más cuando o se acerca la auditoria o se identifica el pecado, mediante el uso de las herramientas que los entes de auditoria suelen realizar.
Lo cierto es que en últimas son sobrecostos en el que incurrimos a la hora de administrar un sistema SAP en el ámbito de los roles de seguridad y es por eso que daré algunos tips para que podamos resolverlo de una manera más ágil.
Antes de mencionarlos, debo recordar algunos conceptos:

·      Entre más roles tenga asignado un usuario son más los recursos de memoria que ocuparan, quitándole el recurso y/o espacio de memoria muy valiosos para que se pueda mover con mayor libertad y de una manera más rápida, ágil y eficiente, pues estos roles son cargados a memoria cuando el usuario se autentica.
·     Un role siempre tiene uno o varios perfiles asignados, que si se suman pueden llegar a superar el límite, que se encuentra restringido por el valor de 312 perfiles y que te lo advertirá cuando intentes asignar un nuevo role y que no queda de otra que retirar otro role para poder asignar el que el usuario necesita. La causa principal de este mensaje puede ser o que haya roles asignados con fecha de caducidad en el pasado y no hayan sido retirados o tenga roles asignados vigentes que en verdad no necesita.
·     Cuando se asigna un role por lo general quedan en estado rojo, pues si es muy cauto se puede resolver en la PFCG, pero por el afán muchas veces no se ajustan y en la mayoría de los casos las autorizaciones no son tomadas ni asignadas al usuario. Para que pueda aplicar la autorización el rol debe quedar en estado verde.
Para una buena gestión debemos ejecutar y/o programar algunos reportes que nos ayudaran resolver este tipo de inconvenientes:

·       PRGN_COMPRESS_TIMES, reporte que te ayuda a eliminar los roles que están duplicados y que su fecha de caducidad o vigencia ya haya expirado, Dependiendo de la necesidad puede programarse o ejecutarse manualmente a demanda. También se puede ejeuctar directamente en la PFCG (using the menu option "Utilities" -> "Optimize User Assignment") and you select "Remove Validity Periods That Have Already Expired".
·     PFCG_TIME_DEPENDENCY, reporte que te permite ajustar el maestro de usuarios, con los roles y perfiles asignados y que algunas veces no quedan asignados ni ajustados cuando se asignan, es decir quedan en estado rojo. Este reporte se puede programar diario en horario nocturno.
Observaciones:

·         Para un mejor uso de los recursos, es importante que el usuario solo tenga lo necesario y lo que realmente requiere, pues una cosa es lo que el usuario desea y otra cosa lo que en verdad necesita, en la práctica son dos cosas muy distintas. Ahora, es mucho más eficiente si es desarrollado o manejado desde el módulo de HR, aunque la conozco por definición mas no porque la haya desarrollado, por cuanto cuando se mueve el usuario de cargo, se pueden ajustar los roles, diferente a lo que ocurre cuando se maneja de la forma convencional, asignación manual en la que muchas veces el usuario pasa de aun área  a otra sin que se le hayan retirado los roles, teniendo como consecuencia los puntos mencionados al inicio de este documento.
      ·        Algunas veces se quedan algunos perfiles asignados que por alguna razón no desaparecen cuando se quita el role, muchas veces o la mayoría de las veces se resuelve reseteando el buffer del usuario a través de la su56.
  ·         Cuando los roles se gestionan a través del CUA pueden tener otro manejo y/o comportamiento y mas cuando se asignan, a través de esta via. Los errores y/o inconvenientes pueden ser otros y pueden obedecer a otras circunstancias cuando se utiliza este método.
  ·         Existen unos reportes que te ayudan a identificar el estado de tus roles y que a continuación detallo.

 Transacción SUIM: Mediante esta transacción se puede visualizar por usuario o grupo de usuarios los roles que tiene activos y los que tiene con fecha de caducidad expirada.






El siguiente reporte te ayudara a identificar roles que fueron asignados múltiples veces, con el fin de tener un panorama y un estado en el que se encuentra lo relacionado a la gestión de roles. Nota 1591201 reporte RSUSR_CHECK_ROLE_ASSIGNMENTS.
Adicionalmente, aunque esta instrucción solo aplica cada usuario y se debe realizar en cada sesión de SAPgui, es muy útil a la hora de poder resolver de manera inmediata y por cada usuario al que se le asigne un role, el estado del mismo, a saber: PFCG, go to Utilities > Settings. On the Settings: Role maintenance dialog box, select the option Automatic User Master Adjustment when Saving Role. La consecuencia, que puede ser manejable viendo los beneficios, es que el role puede demorar un poco mas del tiempo cuando se guarda.


Comentarios

Entradas populares de este blog

Ventajas de activar el log de auditoria SM20 de una manera más eficiente

“Sequential read” tiene un contexto diferente a lectura secuencial en el ámbito de SAP SM50.