Verificación de la caducidad de un rol como de la duplicidad del mismo

-

Dentro del proceso de asignación de roles a un usuario, solemos cometer varios errores que a simple vista parece no tener ninguna repercusión pero que si lo miramos desde el punto de vista técnico y en detalle, generan una serie de eventos que suelen afectar varios elementos, entre los que se encuentran, comprometer recursos de memoria del sistema SAP, duplicidad en la asignación de roles, con fecha de caducidad diferentes, tareas de gestión que se vuelven bastante engorrosas y más cuando o se acerca la auditoria o se identifica el pecado, mediante el uso de las herramientas que los entes de auditoria suelen realizar.
Lo cierto es que en últimas son sobrecostos en el que incurrimos a la hora de administrar un sistema SAP en el ámbito de los roles de seguridad y es por eso que daré algunos tips para que podamos resolverlo de una manera más ágil.
Antes de mencionarlos, debo recordar algunos conceptos:
·      Entre más roles tenga asignado un usuario son más los recursos de memoria que ocuparan, quitándole el recurso y/o espacio de memoria muy valiosos para que se pueda mover con mayor libertad y de una manera más rápida, ágil y eficiente, pues estos roles son cargados a memoria cuando el usuario se autentica.
·     Un role siempre tiene uno o varios perfiles asignados, que si se suman pueden llegar a superar el límite, que se encuentra restringido por el valor de 312 perfiles y que te lo advertirá cuando intentes asignar un nuevo role y que no queda de otra que retirar otro role para poder asignar el que el usuario necesita. La causa principal de este mensaje puede ser o que haya roles asignados con fecha de caducidad en el pasado y no hayan sido retirados o tenga roles asignados vigentes que en verdad no necesita.
·     Cuando se asigna un role por lo general quedan en estado rojo, pues si es muy cauto se puede resolver en la PFCG, pero por el afán muchas veces no se ajustan y en la mayoría de los casos las autorizaciones no son tomadas ni asignadas al usuario. Para que pueda aplicar la autorización el rol debe quedar en estado verde.
Para una buena gestión debemos ejecutar y/o programar algunos reportes que nos ayudaran resolver este tipo de inconvenientes:

·       PRGN_COMPRESS_TIMES, reporte que te ayuda a eliminar los roles que están duplicados y que su fecha de caducidad o vigencia ya haya expirado, Dependiendo de la necesidad puede programarse o ejecutarse manualmente a demanda. También se puede ejeuctar directamente en la PFCG (using the menu option "Utilities" -> "Optimize User Assignment") and you select "Remove Validity Periods That Have Already Expired".
·     PFCG_TIME_DEPENDENCY, reporte que te permite ajustar el maestro de usuarios, con los roles y perfiles asignados y que algunas veces no quedan asignados ni ajustados cuando se asignan, es decir quedan en estado rojo. Este reporte se puede programar diario en horario nocturno.
Observaciones:

·         Para un mejor uso de los recursos, es importante que el usuario solo tenga lo necesario y lo que realmente requiere, pues una cosa es lo que el usuario desea y otra cosa lo que en verdad necesita, en la práctica son dos cosas muy distintas. Ahora, es mucho más eficiente si es desarrollado o manejado desde el módulo de HR, aunque la conozco por definición mas no porque la haya desarrollado, por cuanto cuando se mueve el usuario de cargo, se pueden ajustar los roles, diferente a lo que ocurre cuando se maneja de la forma convencional, asignación manual en la que muchas veces el usuario pasa de aun área  a otra sin que se le hayan retirado los roles, teniendo como consecuencia los puntos mencionados al inicio de este documento.
      ·        Algunas veces se quedan algunos perfiles asignados que por alguna razón no desaparecen cuando se quita el role, muchas veces o la mayoría de las veces se resuelve reseteando el buffer del usuario a través de la su56.
  ·         Cuando los roles se gestionan a través del CUA pueden tener otro manejo y/o comportamiento y mas cuando se asignan, a través de esta via. Los errores y/o inconvenientes pueden ser otros y pueden obedecer a otras circunstancias cuando se utiliza este método.
  ·         Existen unos reportes que te ayudan a identificar el estado de tus roles y que a continuación detallo.

 Transacción SUIM: Mediante esta transacción se puede visualizar por usuario o grupo de usuarios los roles que tiene activos y los que tiene con fecha de caducidad expirada.
El siguiente reporte te ayudara a identificar roles que fueron asignados múltiples veces, con el fin de tener un panorama y un estado en el que se encuentra lo relacionado a la gestión de roles. Nota 1591201 reporte RSUSR_CHECK_ROLE_ASSIGNMENTS.
Adicionalmente, aunque esta instrucción solo aplica cada usuario y se debe realizar en cada sesión de SAPgui, es muy útil a la hora de poder resolver de manera inmediata y por cada usuario al que se le asigne un role, el estado del mismo, a saber: PFCG, go to Utilities > Settings. On the Settings: Role maintenance dialog box, select the option Automatic User Master Adjustment when Saving Role. La consecuencia, que puede ser manejable viendo los beneficios, es que el role puede demorar un poco mas del tiempo cuando se guarda.


Comentarios

Publicar un comentario

Entradas populares de este blog

Ventajas de activar el log de auditoria SM20 de una manera más eficiente

-
Imagen
Una de las formas de mantener un sistema bajo un control absoluto desde el punto de vista de acceso hacia el sistema junto con otras variables, es a través del log de auditoria, donde dependiendo de lo que requieras auditar o mejor de lo que el ente de auditoria te exija habilitar debes tener en cuenta y claro, ya que la forma como opera pues dependiendo de cómo lo actives y dependiendo del volumen de usuarios y el acceso simultaneo podrías llegar afectar el rendimiento del sistema. A lo largo de mi experiencia he visto que este log lo activan de manera inadecuada pues habilitan todos los eventos que en realidad lo que hacen es cargar el sistema de información innecesaria y lo peor es que casi nunca consultan. De lo que llevo con SAP, lo único valioso que he podido identificar es el acceso hacia las transacciones, aunque también podrían ser valiosos, los accesos de logon y de logoff. El punto no está en lo que brinda sino en la forma como opera, y en este ámbito nos enco
Leer más

“Sequential read” tiene un contexto diferente a lectura secuencial en el ámbito de SAP SM50.

-
Imagen
  Muchas veces cuando monitoreamos el sistema SAP ERP y sobre todo los work process (que es en donde se procesan las peticiones que hace el usuario) a través de la transacción sm50 o en su defecto en la sm66, observamos que en la columna action, algunas veces se refleja el texto “sequential read”, tal y como se observa en la imagen siguiente: En múltiples ocasiones nos sorprendemos y caemos en lo que lo que en el ámbito de base de datos se denomina lectura secuencial, que para quienes hemos trabajados en base de datos o estudiamos en la universidad, nos enseñaron que es uno de los métodos más ineficaces e ineficientes para construir consultas. La verdad desde el punto de vista técnico, resulta ser un término muy engañoso, ya que por lo general suele ser comparado con este método ineficaz. Quiero aclarar que no obedece a lo mismo, aunque el mensaje así lo pareciese. Este método “sequential read” cuando aparece en la sm50, se refiere a todos los demás accesos a la b
Leer más