Você está na página 1de 115

Manual de Control de Accesos www.gaussr3.

com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 1
NDICE

NDICE........................................................................................................................................................ 1
CONTROL DE ACCESOS......................................................................................................................... 3
COMPONENTES DE CONTROL DE ACCESOS..................................................................................... 3
OBJ ETOS Y CAMPOS DE AUTORIZACION...................................................................................... 3
PASO 1 ! Campos de Autorizacin................................................................................................... 4
PASO 2 ! Objeto de autorizacin...................................................................................................... 6
A TENER EN CUENTA. .............................................................................................................. 11
AUTORIZACIONES............................................................................................................................. 11
PERFILES............................................................................................................................................. 17
PERFIL SIMPLE............................................................................................................................... 19
Insercin de autorizaciones a mano............................................................................................... 21
Utilizando el botn de Insertando autorizacin.......................................................................... 22
Utilizando el botn Insertar objeto............................................................................................. 24
Funcionalidades comunes en los tres tipos de asignaciones.......................................................... 26
Aadir ms de un objeto de autorizacin................................................................................... 26
Modificar los valores de un objeto............................................................................................. 27
Crear una autorizacin desde un perfil....................................................................................... 28
Cosas a tener en cuenta.............................................................................................................. 29
PERFIL COMPUESTO..................................................................................................................... 29
Mtodo directo............................................................................................................................... 31
Insercin mediante el botn Insertar perfil.................................................................................... 32
Otras cosas..................................................................................................................................... 34
GENERADOR DE PERFILES.............................................................................................................. 34
GRUPO DE ACTIVIDADES SIMPLE............................................................................................. 36
Pestaa Men................................................................................................................................. 38
Pestaa Autorizaciones .................................................................................................................. 49
Pestaa Usuarios............................................................................................................................ 61
Asignar Usuario Botn de Selec. ............................................................................................ 61
Asignar Usuarios De manera directa....................................................................................... 63
Asignacin de usuarios Mediante Matchcode o Ayuda para bsqueda.................................. 63
Ajuste de usuario........................................................................................................................ 65
GRUPO DE ACTIVIDADES COMPUESTO................................................................................... 67
Pestaa de Grupos de actividades.................................................................................................. 68
TRANSPORTE DE GRUPOS DE ACTIVIDAD............................................................................. 71
CONFIGURAR EL GENERADOR DE PERFILES......................................................................... 73
Activar el generador de perfiles..................................................................................................... 73
Auth/no_check_in_some_cases =Y .................................................................................................. 73
Establecer la copia inicial de las tabas de configuracin del generadorde perfiles........................ 73
Mantener el mbito de verificaciones de objeto de autorizacin en transacciones........................ 74
Generar el men empresa............................................................................................................... 75
A tener en cuenta........................................................................................................................... 75
USUARIO.............................................................................................................................................. 75
Crear / modificar o Visualizar usuario............................................................................................... 76
Pestaa direccin........................................................................................................................... 77
Pestaa Datos Logon...................................................................................................................... 78
Pestaa Valores fijos...................................................................................................................... 80
Pestaa Parmetros........................................................................................................................ 82
Pestaa de Gr. Actividades............................................................................................................ 83
Pestaa de Perfiles......................................................................................................................... 87
Pestaa Grupos.............................................................................................................................. 89
Copiar un usuario............................................................................................................................... 90
Bloquear / desbloquear un usuario..................................................................................................... 91
Cambiar la contrasea........................................................................................................................ 91
GRUPOS DE USUARIOS.................................................................................................................... 92
UTILIDADES DE CONTROL DE ACCESOS........................................................................................ 94
ACTUALIZACIONES EN MASA ....................................................................................................... 94
SISTEMAS DE INFORMACIN....................................................................................................... 102
VISUALIZACION DE VERIFICACION DE AUTORIZACION...................................................... 105
Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 2
AUTORIZACIONES DE USUARIO.................................................................................................. 109
CONTROL DE ACCESOS A NIVEL DE PROGRAMACION............................................................. 110
TABLAS DE CONTROL DE ACCESOS............................................................................................... 111
TABLAS DE USUARIOS................................................................................................................... 112
TABLA DE GRUPO DE ACTIVIDADES......................................................................................... 112
TABLAS DE PERFILES..................................................................................................................... 112
TABLA DE AUTORIZACIONES...................................................................................................... 114
TABLA DE OBJ ETOS Y CAMPOS................................................................................................... 115
Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 3
CONTROL DE ACCESOS

Control de accesos forma parte del mdulo de componentes bsicos. Y a primera vista nos pueda parecer
que es un mdulo pequeo y sin importancia, no mas lejos de la realidad. Control de accesos es un
mdulo bsico, porque define que usuarios tienen acceso al sistema y dentro del sistema a que lugar
puede acceder y dentro de esos lugares a que informacin de ellos tienen acceso.

Desde control de accesos podemos controlar al acceso a cualquier parte del sistema, desde la ejecucin de
programas hasta la parametrizacin. Si hay algo que Control de Accesos no controle se puede hacer
nuevos objetos de autorizacin (se ver ms adelante lo que significa) para controlar lo incontrolable.

Este manual se basa en la versin 4.6B la diferencia ms radical respecto a otras versiones es el
Generador de perfiles. Pero las transacciones son las mismas que versiones anteriores, pero los textos y la
localizacin de dichas transacciones puede variar ligeramente.

Despus de ver de manera simplificada que es Control de Accesos vayamos a ver que partes tienen.

COMPONENTES DE CONTROL DE ACCESOS

A grandes rasgos podramos decir que control de accesos se divide en las siguientes partes: Usuario,
perfiles (simples o compuestos), grupos de actividad, autorizaciones y objetos de autorizacin.

" Usuario ! Un usuario es aquel que trabaja dentro del sistema. A los sitios del sistema a los que
puede acceder depende de los perfiles y/o grupos de actividad que tenga asignados.
" Grupos de actividad ! Indica que transaccin(es) se pueden acceder.
" Perfiles simples / compuestos! Similar a los grupos de actividades y tambin definen las tareas a las
que se puede acceder en el sistema. Los perfiles compuestos, como su nombre dice, contienen uno o
ms perfiles simples.
" Autorizaciones ! Las autorizaciones forman parte de los perfiles y contienen valores a los que se
puede acceder.
" Objetos y campos de autorizacin ! Es el nivel ms bajo de control de accesos, forma parte de las
autorizaciones.
" Grupos de usuarios ! Es un nivel organizativo que permite organizar los usuarios de una manera
estructurada.

Ahora veamos una a una cada parte de control de Accesos.

OBJETOS Y CAMPOS DE AUTORIZACION

Es la parte ms bsica de control de accesos. Es la parte donde se definen a que campos donde
posteriormente se pondrn los valores a lo que un usuario podr entrar.

Muchos manuales tratan los objetos y campos de manera independiente, pero para m es mejor explicarlo
de una manera conjunta porque los dos van unidos de la mano.

Un objeto de autorizacin esta formado por campo(s) tal como se muestra en la siguiente figura:
Objeto







Un ejemplo de cmo se validara un objeto en un programa sera este:

Authority-check object 'S_USER_AUT'
Campo1
Campo2
Campon
Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 4
Id 'OBJ ECT' dummy
Id 'AUTH' dummy
Id ACTVT field '03'.

Donde el objeto que verificamos es S_USER_AUT y los campos donde comprobamos los valores a los
que tiene acceso el usuario son OBJ ECT, AUTH y ACTVT. En el apartado La programacin de Control
de Accesos veremos como controlar los accesos dentro de los programas.

Un objeto de autorizacin puede tener hasta diez campos de autorizacin, pero no es habitual que un
objeto tenga ms de cinco campos de autorizacin.

Como ejemplo crearemos un objeto de autorizacin con dos campos uno ser el de actividad (que
operacin puede hacer el usuario, como por ejemplo, crear, borrar, visualizar, etc.) y otra un campo
creado por nosotros. Este ejemplo lo haremos en dos pasos: primero crearemos el campo de autorizacin
y segundo crearemos el objeto con los campos de autorizacin.

PASO 1 ! Campos de Autorizacin

Primero hay que crear el campo (el campo de actividad ya esta creado en el sistema, como muchos otros)
para ello nos iremos a la transaccin SU20 - Campos de autorizacin o por el men inicial de SAP
Herramientas!Workbench ABAP!Desarrollo!Otras Herramientas!Objetos de autorizacin!SU20
Campos la pantalla que nos saldr es la siguiente:


Figura 1.

Para crear el campo para nuestro objeto tenemos que pulsar en la hoja en blanco cuando lo pulsemos
nos saldr la siguiente pantalla:

Botn de seleccin de campo
Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 5


En esta pantalla tenemos los siguientes campos:

" Nombre del campo ! Nombre que le daremos al campo, no hay que decir que es obligatorio poner
uno. Como ejemplo le he puesto ZIVAN.
" Elementos de datos ! Un elementos de datos sirve para definir los atributos de un campo. Podemos
ver los elementos de datos que hay en el sistema en la transaccin SE11, que es el Data Dictionary.
Para el ejemplo le he puesto el elemento de datos XUBNAME que es el elemento de datos que se
utiliza para los campos de nombre de usuario, un ejemplo lo tenis en el campo BNAME de la tabla
USR21 (Asignacin nombre usuario - clave direccin).
" El campo Tabla verif. Para F4 ! Sirve para indicar que tabla queremos que saque los datos cuando
se pulse F4 o la ayuda para bsqueda en el campo.
" El checkbox Existen valores ! Es un indicador para la limitacin del mbito de valores de un
dominio mediante la entrada de valores fijos.
" El Table-Control que pone Utilizar en objetos de autorizacin ! Nos muestra en que objeto y la
clase del objeto donde se utiliza esta campo, como estamos creando un campo nuevo no nos aparece
nada.

Una vez tengamos los datos introducidos pulsaremos ENTER con ello el sistema coger los datos y nos
dir si son correctos o no. Para grabar el campo que hemos creado pulsaremos sobre el diskette o botn de
grabar y seguidamente nos pedir una orden de transporte. Como estamos haciendo una prueba lo
grabaremos como objeto local y volveremos a la pantalla de campos de autorizacin (Vase Figura 1).

Nuestro campo quedara de la siguiente manera:


Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 6

El otro campo que vamos a utilizar, el de Actividad, ya esta creado en el sistema, como otros tantos que
podemos ver en la Figura 1. Podemos buscar cualquier campo travs de los prismticos o botn de
bsqueda .

PASO 2 ! Objeto de autorizacin

Creado el campo de autorizacin ahora nos toca crear el objeto de autorizacin. Para crear los objetos de
autorizacin tenemos que ir a la transaccin SU21 Objetos de autorizacin o por el men inicial de SAP
sera Herramientas!Workbench ABAP!Desarrollo!Otras Herramientas!Objetos de
autorizacin!SU21 - Objetos. La pantalla que nos saldra sera la siguiente:


Figura 2.

En esta pantalla tenemos las clases de objetos. Los objetos se dividen en clases para una mejor
organizacin, porque si todos los objetos estuvieran en una misma pantalla nos moriramos buscando el
objeto que deseamos. En la parte superior los botones ms importantes son los siguiente:

" Crear ! Crea una clase de objetos propia.
" Modificar ! Modifica el texto de una clase.
" Borrar !Borra una clase de objeto.
" Visualizar ! Visualiza una clase de objeto.
" Asignacin de CdT ! Esta opcin no la he utilizado nunca, pero me parece que permite asignar o
insertar una transaccin a una clase de objeto.
" Generar posteriormente SAP_ALL ! Esta opcin genera el perfil SAP_ALL con todos los objetos
de todas las clases de autorizacin.

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 7
Para realizar las pruebas nos crearemos una clase de objeto, a la que yo he llamado ZPRU. Para crear una
clase nueva pulsamos en crear (el icono de la hoja en blanco) y nos saldr la siguiente ventana:




Los campos a rellenar son los siguientes:

" Clase de objeto ! El nombre que le daremos a la clase. Este campo no se puede modificar cuando
modifiquemos una clase de objeto.
" Texto ! Descripcin de la clase
" Autor ! Campo no modificable y te dice el usuario que ha creado (cuando modificamos) o creara
(cuando estemos creando) la clase de objeto.

Como he dicho la clase que crear ser ZPRU y la descripcin ser ZPRUEBA. Una vez hallamos escrito
los datos pulsaremos sobre el icono del diskette para crear la clase. Recordar que las clases de objetos no
se transportan y las que se creen en un sistema las tenemos que replicar en el resto de sistemas.

Una vez creado haremos doble-clic sobre la clase y nos iremos a la siguiente pantalla:


Fig. 4.
Como la clase de objetos es nueva no nos saldr ningn objeto. El significado de los botones son los
mismos que en la pantalla anterior de clase de objetos, claro esta, cuando pulsemos el botn de crear nos
creara un objeto y no una clase. Aclarado esto vamos a crear nuestro primer objeto.

Al objeto le daremos el original nombre de ZIVAN, y la ventana o pantalla que nos saldr cuando
pulsemos el botn de crear ser el siguiente:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 8

Fig. 4

En el frame de mbitos de autorizacin pondremos los campos que va a tener el objeto, en este caso yo
ya he puesto los Actvt (Actividad) y ZIVAN (Nombre de usuario), este ltimo campo lo he creado en el
Paso 1.

El significado de los botones es el siguiente:

" Registrar documentacin para objeto ! Es donde escribiremos la documentacin del objeto. Si
pulsamos sobre el botn lo primero que nos pedir es que clase de desarrollo que asignaremos a la
documentacin, como es una prueba lo asignaremos como objeto local. La pantalla para escribir la
documentacin sera la siguiente:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 9



Para grabar la documentacin que pongamos solo tendremos que pulsar el icono del diskette.

" Actividades permitidas ! Este botn solo aparece cuando pongamos el campo de Actividad ( campo
Actvt). Cuando pulsemos el botn aparte de pedirnos en que clase de desarrollo (recordar que al ser
una prueba tenemos que grabarlo como objeto local para que no se transporte) nos saldr la siguiente
pantalla:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 10



En esta pantalla definiremos que actividades podrn tener el objeto de autorizacin cuando creemos la
autorizacin para dicho objeto.

La actividad permite controlar que es lo que se puede hacer en un determinado objeto. Por ejemplo en el
objeto que controla el acceso a las sociedades FI o CO, podremos indicar que actividad, o sea, si un
usuario puede ver, modificar o crear una sociedad. No todos los objetos del sistema tienen el campo de
actividad, y por ello, no es obligatorio ponerlo. Tambin tenemos que pensar que debemos indicar unas
actividades acordes a nuestro objeto.

Las lista de actividades estndar esta en la tabla TACT pero esta tabla podemos insertar actividades
especificas que necesitemos, para insertalas podemos utilizar la SM30 (Sistema ! Servicios ! Actualizar
tablas ! Actual.ampl.tablas) . La tabla que nos relaciona las actividades de los objetos de autorizacin es
la TACTZ.

Nosotros vamos a escoger las actividades 01 (Aadir o generar), 02 (Modificar) y 03 (Visualizar) y
despus daremos sobre el botn de tomar que es botn del diskette y las actividades sern tomadas y
volveremos a la pantalla de Crear objeto de autorizacin (Vase Figura 4).

" Actualizar campos ! Este botn nos llevarn a la transaccin SU20 - Campos de autorizacin), o
sea, a la pantalla del Paso 1.

Una vez tengamos los datos introducidos le daremos sobre el botn de grabar (el que sale con un icono de
diskette) y se nos grabara el objeto pero no nos saldr de la ventana, para ello tendremos que darle al
botn de cancelar (icono de la X). Cuando le demos a grabar puede (no siempre sale) que nos salga una
pantalla de informacin que nos diga que hay que indicar actividades permitidas, este semi-error (no es
Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 11
error pero no nos graba el objeto) no s porque ocurre pero cuando volvamos a introducir las actividades
de nuevo y cuando volvamos a grabar ya no nos dar error.

Cuando salgamos a la pantalla de objetos (Vase Figura 3) no saldr lo siguiente:




En la 4.6B no me ha aparecido esta pantalla a la primera (problemas de esta versin que falla ms que una
escopeta de feria). Pero volviendo a ejecutar la SU21 - Lista clases de objetos y yendo a la clase ZPRU he
visto el objeto que haba creado.

Tengo que avisar que los nombre de los objetos no se pueden repetir aunque estn asignados a clases de
objetos diferentes.

A TENER EN CUENTA.

Hay una serie de consideraciones que tenemos que tener en cuenta a la hora de crear y borrar objetos y
campos de autorizacin, las consideraciones son las siguientes:

" Cuando creamos los objetos tenemos que tener en cuenta que los nombres son nicos aunque estn
en clases de objetos distintas.
" Un campo de autorizacin puede estar ms de un objeto
" No podemos borrar un campo de autorizacin, si esta asignada a un objeto de autorizacin.
" Lo mismo para un objeto, un objeto no se puede borrar s esta en una autorizacin.
" Un objeto de autorizacin puede estar en varias autorizaciones a la vez.


AUTORIZACIONES

Diramos que una autorizacin es el lugar donde ponemos los valores a que puede acceder un usuario. Un
objeto en si no realiza ninguna funcin a menos que le demos valores. De un objeto pueden derivar tantas
autorizaciones como valores diferentes asignemos a sus campos.

La transaccin para crear autorizaciones es la SU03 Tratar autorizaciones manualmente. Por el men
inicial de SAP sera Herramientas ! Gestin ! Actualizacin de usuarios ! Actualizacin manual !
SU03 Tratar Autorizaciones manualmente. La pantalla que nos aparecera sera la siguiente:


Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 12


Como vemos la pantalla es idntica a la transaccin SU21 Objetos de autorizacin, salvo que esta no
tiene los botones ni de crear, modificar o borrar. El significado de los dos botones de arriba es el
siguiente:

" Listar Autorizaciones ! Lista las autorizaciones de la clase de objetos escogida, es lo mismo que
hacer doble-clic sobre cualquier clase de objeto.
" Tratar grupo de actividades ! Este botn nos va a la transaccin PFCG que es la transaccin del
Generador del grupo de actividades.

Como prueba entraremos en la clase de objeto que hemos creado anteriormente (recordar que era ZPRU).
Y nos tiene que salir la siguiente pantalla:


Fig. 4

El nico objeto que aparece es el que hemos creado nosotros con anterioridad. El significado de los
campos es el siguiente:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 13
" El botn verde ! Sirve para ver las autorizaciones creadas para ese objeto. Es lo mismo hacer
doble-clic sobre cualquier objeto para ver sus autorizaciones.
" Visualizar campos ! Nos visualiza los campos que tiene un objeto si seleccionamos nuestro objeto y
despus le damos a este botn la ventana que nos sale es la siguiente:



Pulsando al botn Back volveremos a la pantalla anterior (Vase Fig. 4).

" Documentacin ! Permite documentar el objeto.
" Transporte !Pone el objeto en una orden de transporte para poderlo enviar a productivo.

Como nosotros queremos hacer una autorizacin tendremos que dar doble-clic al objeto ZIVAN e iremos a
esta otra pantalla:



En esta pantalla aparecern todas las autorizaciones que estn creadas con el objeto ZIVAN. Un objeto
puede tener tantas autorizaciones como queramos.

Como la mayora de los botones ya los he explicado (los botones de crear, modificar, borrar,
documentacin y transportar) con anterioridad y visualmente se entiende su funcionamiento, explicar el
resto de botones:

" Activar ! Activa una autorizacin. Hasta que una autorizacin no se activa SAP la ignora.
Aunque este dentro de un perfil. SAP la ignora hasta que no la activemos.
Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 14
" Copiar ! Copia una autorizacin en otra. La autorizacin copiada no esta activa.
" Texto Breve ! Sirve para cambiar la descripcin de una autorizacin.
" Referencia de utilizacin ! Con esta utilidad nos permite saber en que perfiles y en que usuarios
se utiliza una determinada autorizacin.

Lo que vamos hacer ahora es crear una autorizacin para nuestro objeto y le daremos un valor a dicha
autorizacin. Para ello pulsaremos sobre el botn de crear y nos saldr la siguiente ventana:



" Autorizacin ! Es el nombre de la autorizacin y es de 12 caracteres. Por supuesto, es un campo
obligatorio.
" Texto ! La descripcin de la autorizacin.

A nuestra autorizacin la llamaremos zauth_prueba y la descripcin podis ponerle lo que vosotros
queris. Una vez tengis los datos introducidos podis pulsar Enter o al botn y os iris a la siguiente
ventana:


Fig. 5.

Como la autorizacin la creamos sobre la base del objeto ZIVAN, SAP nos coje los campos de dicho
objeto. El significado de los botones es el siguiente:

" Activar ! Activa la autorizacin. SAP solo coje las autorizaciones activas ignorando las
desactivadas.
" Actual. Valores ! Nos permite modificar los valores de un campo de la autorizacin. Es lo mismo
que hacer doble-clic sobre el nombre de cualquier campo.

Lo que vamos hacer es darle una serie de valores a nuestra autorizacin, los valores que le daremos son
los siguientes:

" Actividad ! Le daremos la actividad 02 que es la de modificar.
Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 15
" Nombre de usuario segn maestro de usuarios ! A este campo le daremos el valor de nuestro
usuario de SAP, es mi caso le pondr el FEX00144 que es mi usuario de SAP.
Para poner el valor al campo de actividad haremos doble-clic sobre el o un clic para seleccionarlo y
despus pulsaremos el botn Actual. Valores, la ventana que nos saldr es la siguiente:



En esta ventana podis poner intervalos de valores y patrones, por ejemplo, puede dar acceso a las
actividades que empiezan por 2 poniendo lo siguiente: 2*
Eso s, si en un campo solo se puede poner dos caracteres (Como en el campo de actividad), SAP
controlara que solo pongamos dos caracteres, aunque el campo que aparezca en pantalla sea ms ancho.

Una vez puesto el valor que queramos, bueno, para el ejemplo tendremos que poner 02 pulsaremos
Enter o al botn y volveremos a la pantalla de Actualizar Objeto (Vase figura 5). Despus haremos
doble-clic sobre el nombre de usuario y pondremos nuestro usuario de SAP. Al final en la pantalla de
Actualizar Objeto (Vase figura 5) nos tiene que aparecer lo siguiente:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 16


Una vez tenemos los datos introducidos solo nos queda activar la autorizacin, aunque tambin la
podemos grabar sin activar pulsando sobre el botn de grabar . Si pulsamos sobre el botn de activar
autorizacin (recordar que es el icono de la cerilla) nos aparecer la siguiente pantalla:



Esta pantalla nos informara de los valores que haba antes en los campos y los que hay ahora. Este paso es
simplemente informativo ya que ni se graba la autorizacin ni se activa, para activar y grabar la
autorizacin (siempre que se activa cualquier cosa en SAP se graba de manera automtica) tenemos que
volver a pulsar sobre el icono de activar y nos volver a la pantalla de Actualizar Objeto (Vase figura 5).

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 17

Fig. 6.

Daros cuenta que en donde pone Modif. No indica que usuario, a que hora y que da ha modificado el
perfil, y tambin nos indica en que estado esta la autorizacin (grabada o no grabada, activa o no activa).
Si comparis la figura 5 y la 6, veris que en la figura 4 la autorizacin no estaba ni grabada ni activa, y
en la figura 6 la autorizacin esta grabada y activa. Recordar que SAP solo toma aquellas autorizaciones
que estn activas, si no lo estn las ignorara.

Una vez tenemos creado la autorizacin tenemos que asignarla a un perfil para poderla utilizar.

PERFILES

El perfil agrupa las autorizaciones, y es el que proporciona a los usuarios grupos de autorizaciones que
definen una tarea o funcin. Como las autorizaciones los perfiles tambin se tienen que activar, y tener en
cuenta que si hay una autorizacin que no esta activa el perfil no se activara.

Los perfiles pueden ser de dos tipos: Simples y Compuestos.

" Simples ! Son aquellos que contienen autorizaciones.
" Compuestos ! Esta compuesto por perfiles simples o compuestos, no se le puede insertar
autorizaciones.


La transaccin para crear perfiles es la SU02 Tratar perfiles manualmente. Por el men inicial de SAP
sera Herramientas ! Gestin ! Actualizacin de usuarios ! Actualizacin manual ! SU02 Tratar
Perfiles manualmente. La pantalla que nos aparecera sera la siguiente:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 18

Fig. 7

En esta pantalla SAP nos recordara que utilicemos el generador de perfiles en vez de esta transaccin para
llevar el mantenimiento de perfiles. Se hace agradece los detalles por parte de SAP que nos avise, pero
hay veces que es ms sencillo utilizar esta transaccin crear un perfil a medida.

Con el botn que pone A generador de perfiles nos ir a la transaccin PFCG, esta transaccin las
veremos ms profundamente ms adelante. La parte que nos interesa es el recuadro que pone Tratar
manualmente los perfiles de autorizacin, en este recuadro tenemos lo siguiente:

" Perfil ! Lugar donde pondremos el perfil o el patrn del perfil a buscar.
" Slo activos ! Si esta marcado busca aquellos perfiles que estn activos.
" Actualizadas ! Si esta marcado visualiza nicamente versiones de actualizacin de perfiles o bien
de autorizaciones.
" Crear rea de trabajo para perfiles ! Busca los perfiles cuyo criterio coincida con el que hemos
introducido. Pulsar este botn y pulsar Enter es lo mismo.

Nosotros vamos a crear el perfil ZPROF_PRUEBA, para ello lo escribiremos y pulsaremos Enter y nos
aparecer la siguiente pantalla:


Fig. 8

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 19
Como vemos la lista nos aparecer vaca porque el perfil ZPROF_PRUEBA no existe, y por lo tanto no ha
encontrado nada.
Como la funcionalidad de la mayora de botones ya ha sido explicada, explicar que hacen los dos
botones de transportes que aparecen.

" Transporte individual ! Transporta nicamente el perfil que hayamos seleccionado.
" Transporte ! Permite transportar ms de un perfil a la vez. Si pulsamos este botn nos saldr la
siguiente ventana:




En esta pantalla nos salen todos los perfiles que hay en el sistema y para transportar los perfiles que
deseemos solo tenemos que buscarlos y marcarlos. Una vez hemos marcados los perfiles a transportar
pulsaremos el siguiente botn: e inmediatamente despus nos pedir orden de transporte para los
perfiles.


Nosotros primero haremos un perfil simple y a continuacin un perfil compuesto donde insertaremos el
simple que hayamos creado primero.

PERFIL SIMPLE

Para crear un perfil tenemos que pulsar el icono de crear y nos saldr la siguiente ventana:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 20


Al crear uno nuevo perfil siempre nos saldr esta pantalla, cuyo significado de los campos es el siguiente:

" Perfil ! Nombre del perfil. Este es un campo obligatorio.
" Texto ! Descripcin del texto. Este campos es obligatorio.
" Tipo de perfil ! Podemos escoger entre crear un perfil simple o compuesto. Nosotros escogermos
crear un perfil simple.

Cuando hayamos pues el nombre y descripcin pulsaremos Enter y nos saldr la siguiente pantalla:


Fig. 9.

Tal como explique antes, las autorizaciones se basan en objetos de autorizacin es por ello que para
introducir una autorizacin primero hay que introducir a que objeto pertenece. Como la mayora de los
botones ya conocemos su funcionamiento, explicar como se introducen las autorizaciones al perfil.

Para introducir una autorizacin tenemos tres maneras diferentes de hacerlo, que son las siguientes:
Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 21

Nota: Es aconsejable (aunque en este caso no lo hemos hecho) poner siempre el mismo nombre a las
autorizaciones como a los perfiles, para cuando busquemos por las tablas o por la SUIM sepamos nos
sea ms fcil encontrar lo que busquemos.
Insercin de autorizaciones a mano

Es la manera ms rpida si nos sabemos los objetos y sus respectivas autorizaciones. Lo primero que
tenemos que hacer es poner el objeto en el campo Objeto (en nuestro caso introduciremos los objetos que
hemos creado con anterioridad) y dar Enter y veremos como el campo Autorizacin se pone en blanco,
como en la siguiente imagen:



En el campo Autorizacin escribiremos la autorizacin que hayamos creado para el objeto ZIVAN. Como
recordareis nosotros hemos creado la autorizacin ZAUTH_PRUEBA, cuando la pongamos y demos Enter
el sistema ya nos coger la autorizacin.

El sistema para activar el perfil es la misma que utilizamos para activar la autorizacin. Primero pulsamos
el botn de activar (el icono que sale una cerilla) y nos saldr la pantalla que nos informa los cambios que
ha sufrido el perfil desde la ltima modificacin, la pantalla es la siguiente:



La nica diferencia respecto a las autorizaciones, es que aqu si que se graba el perfil. Para activarlo
definitivamente tenemos que volver a pulsar el botn de activar.

Este es un mtodo de hacerlo, muy rpido pero hay que acordarse de cada objeto y su autorizacin. Como
vamos a probar otras maneras de hacerlo tenemos que borrar el objeto y autorizacin que hemos puesto,
Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 22
para ello hacemos clic sobre el objeto o autorizacin, tanto da, y pulsaremos el botn para borrar la
lnea seleccionada. Cuando lo hagis que el campo de autorizacin estar de nuevo en gris.
Utilizando el botn de Insertando autorizacin

Este mtodo junto con el siguiente que explicar se suele utilizar para crear perfiles mediante Batch-
Input. Este mtodo tiene la ventaja respecto a los dos mtodos restantes es que ya nos inserta objeto y
autorizacin a la vez, en los otros primero insertamos el objeto y despus la autorizacin.

Para utilizar este mtodo tenemos que pulsar sobre el siguiente botn:



Una vez lo pulsemos nos saldr una pantalla muy familiar:



En esta pantalla tenemos que seleccionar la clase de objeto de la cual queramos insertar el objeto con su
respectiva autorizacin. La podemos seleccionar haciendo doble-clic o hace clic y pulsar sobre el botn
Lista de Autorizaciones. Nosotros seleccionaremos la clase de objeto (es la ZPRU) que hemos creado
anteriormente y cuando lo hagamos nos saldr la siguiente pantalla:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 23

En esta pantalla nos aparecer todos los objetos con todas sus autorizaciones. Como vemos en nuestro
caso solo aparece el texto de nuestro objeto (no sale el nombre tcnico, que sera ZIVAN) y la autorizacin
que esta creada para ese objeto. Tenis que pensar que cuando haya muchos objetos y autorizaciones nos
va a ser muy difcil encontrar la que deseemos, es por ello que este mtodo se suele utilizar cuando una
clase de objeto tienes pocos objeto y/o pocas autorizaciones.

Si queremos saber los valores que tiene nuestra autorizacin, en este caso, o cualquier otra autorizacin
solo tenemos que dar un clic a la lnea que queramos y luego pulsar el botn Cantidad de valores. Como
prueba seleccionares la nica lnea que hay y pulsaremos el botn y nos aparece esta ventana:





Para coger el objeto con su respectiva autorizacin lo podemos hacer de dos formas: Una haciendo doble
clic sobre el objeto y autorizacin que nos interese y la segunda es marcarlo (hacer clic sobre este campo
) y luego pulsar Enter o dar al botn . Y volveremos a la Figura 9 con nuestra autorizacin
insertada, como en la siguiente imagen:


Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 24


No lo he dicho, pero podemos seleccionar los perfiles que queramos e insertarlos. Solo hay una
limitacin, un perfil solo pueden contener 300 autorizaciones como mximo.

Antes de explicar el siguiente mtodo volveremos a borrar la autorizacin que hemos puesto.

Utilizando el botn Insertar objeto

Esta opcin es la que utilizo cuando quiere crear un perfil mediante Batch-Input, la diferencias respecto al
mtodo anterior se basa en que esta solo inserta el objeto y nosotros tenemos que insertar manualmente la
autorizacin. Este no es problema si segus el consejo que os he dado con anterioridad que es que las
autorizaciones y perfiles tengan el mismo nombre.

Cuando le demos al botn de Insertar Objeto nos saldr la pantalla de clase de objetos que es la
siguiente:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 25


En esta pantalla entraremos en nuestra clase de objeto (recordar que es ZPRU) y entraremos en la pantalla
de listado de objetos por clase de objeto que es la siguiente:




En esta pantalla marcaremos los objetos que queramos insertar (pulsando ) y para pasarlos a la pantalla
de perfiles solo tenemos que pulsar Enter o . Podemos insertarlos directamente a la pantalla de perfiles
haciendo doble clic sobre el objeto que nos interesa. Una vez echo esto nos tiene que salir en la pantalla
de perfiles lo siguiente

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 26



Lo nico que nos faltara por hacer ahora es insertar la autorizacin y activar el perfil para que SAP lo
reconozca y lo podamos asignar a un usuario.

Funcionalidades comunes en los tres tipos de asignaciones

Hay funcionalidades comunes en los tres tipos de asignaciones que las explicar en un nico apartado.
Las funcionalidades que explicar son las siguientes:

" Aadir ms de un objeto de autorizacin
" Modificar los valores de una autorizacin.
" Crear una autorizacin desde un perfil.

Aadir ms de un objeto de autorizacin

En un perfil podemos repetir objetos de autorizacin pero con diferentes autorizaciones. Si tenemos
insertado el objeto ZIVAN con una autorizacin o sin autorizacin podemos ver un ejemplo claro,
escribiremos el objeto, ZIVAN, manualmente (tal como he explicado en el primer mtodo). Y en la
pantalla nos aparecer lo siguiente:



Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 27
Como vemos en la imagen en la columna de autorizacin nos aparecen dos campos, uno de ellos vaci,
que pertenecen al objeto ZIVAN. Recordar que el campo aparecer vaci tanto para el primer como tercer
mtodo explicado, para el segundo nos aparecer la autorizacin tal como he explicado en el segundo
mtodo.

Para quitar una autorizacin utilizaremos el mismo sistema que el explicado anteriormente. Haremos clic
sobre la autorizacin que nos interese y pulsaremos el icono de quitar autorizacin .

Tambin podemos inserta una autorizacin sin necesidad de escoger un objeto de autorizacin
previamente, para ello solo necesitemos que este insertado un objeto con su respectiva autorizacin como
en la siguiente imagen:



Seguidamente escribiremos encima de ZAUTH_PRUEBA la nueva autorizacin que la podemos llamar
ZAUH_PRUEB1, una vez escrita pulsamos Enter y no saldr lo siguiente:




Como vemos cualquier mtodo es vlido para insertar una nueva autorizacin a un objeto existente.

Modificar los valores de un objeto

Para modificar los valores de una autorizacin no tenemos que ir necesariamente por la transaccin SU03
(Actualizacin de Autorizaciones). Si no que tambin lo podemos hacer directamente cuando creemos o
modifiquemos el perfil.

Nosotros vamos a modificar la autorizacin que hemos puesto y aadiremos al campo de Actividad el
valor 03. Para hacer esto haremos doble-clic sobre la autorizacin que hemos insertado anteriormente
(si no tenis insertada ninguna autorizacin podis utilizar algunos de los tres mtodos utilizados para
hacerlo) y nos saldr la siguiente ventana:



Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 28
Esta pantalla es la misma que sale cuando se crea, modifica o visualiza los valores de una autorizacin
cuando vamos por la transaccin SU03 (Actualizacin de autorizaciones). Por lo tanto, la funcionalidad es
la misma que la explicada en el apartado Autorizaciones. Para modificar el campo Actividad hacemos
doble-clic sobre dicho campo y nos saldr la ventana de valores y pondremos el valor 03, la pantalla ha
de quedar de la siguiente manera.



No hay que olvidarse de activar la autorizacin para que el perfil pueda activarse.

Crear una autorizacin desde un perfil

Aparte de modificar los valores de autorizacin, tambin podemos crear una autorizacin desde la
pantalla de perfiles. La autorizacin la crearemos en el objeto que hayamos seleccionado anteriormente
mediante los mtodos 1 y 3 (el segundo mtodo no sirve debido a que inserta un objeto y autorizacin ya
existentes). Como ejemplo crearemos una nueva autorizacin que la llamaremos igual que el perfil
(ZPROF_PRUEBA) y la crearemos en el objeto ZIVAN. Cuando pongamos la autorizacin SAP nos dir
que no existe pero nos la dejara, seguidamente daremos doble-clic sobre la nueva autorizacin (o sobre el
objeto da lo mismo). Y nos saldr la siguiente ventana:



En esta pantalla se nos pide que insertemos la descripcin o texto breve de la autorizacin. Una vez
puesto el texto pulsis Enter o el botn e iremos a esta otra pantalla:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 29


Recordareis que esta pantalla ya la hemos visto cuando he explicado como se creaba las autorizaciones.
En esta pantalla solo tendramos que poner los valores que queramos y activarla tal como os he explicado
en el apartado anterior.

Cosas a tener en cuenta.

Hay que tener las siguientes consideraciones a la hora de crear un perfil:

" Si una autorizacin no esta activa no podremos activar el perfil hasta que no activemos la
autorizacin o la quitemos del perfil.
" Es muy aconsejable poner una nomenclatura comn tanto al perfil como a la autorizacin, para que
cuando busquemos en tablas o en informes (a travs de la SUIM) sepamos relacionar autorizacin
con perfil y viceversa con suma facilidad.
" Para insertar un perfil en un usuario el perfil ha de estar activo.



Una vez que hemos mil y una perreras al perfil ZPROF_PRUEBA , podemos ver como queda el listado
de perfiles que hemos visto antes en la Figura 8 pero ahora nos saldr el perfil que hemos creado.


PERFIL COMPUESTO

Los perfiles compuestos se crean de la misma manera que los simples, salvo, que en la pantalla de
creacin tenemos que escoger que el perfil ser de tipo de compuesto. Como prueba podemos crear el
perfil ZCOMP_PRUEBA, recordar que los perfiles se crean en la pantalla que aparece en la Figura 8. En
la pantalla de creacin tendremos lo siguiente:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 30



Como he comentado al principio la nica diferencia en la creacin de un perfil simple y uno compuesto es
que en esta pantalla tenemos que seleccionar como Tipo de perfil el Compuesto.

Una vez hayamos puesto el nombre del perfil y su descripcin pulsaremos Enter y nos saldr la siguiente
pantalla:



Como vemos la pantalla es muy similar a la de insertar autorizacin, pero con menos posibilidades que la
anterior. Los botones nuevos que aparecen en la pantalla son los siguientes:

" ! Con este botn nos permite insertar un perfil nuevo al perfil compuesto.
" ! Con este botn iremos directamente a la pantalla que aparece en la Figura 9,
donde podremos modificar los datos del perfil y los valores de las autorizaciones.

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 31
Para insertar un perfil tenemos dos mtodos: El mtodo directo que es poner el nombre del perfil y dar
Enter o el mtodo a travs del botn Insertar Perfil.

Mtodo directo

El mtodo directo es insertar directamente el perfil en el siguiente recuadro:



Una vez puesto el perfil daremos Enter y despus de un ratito SAP nos pondr la descripcin del perfil,
siempre y cuando el perfil exista. Como ejemplo insertaremos el perfil simple que hemos creado con
anterioridad (es el perfil ZPROF_PRUEBA), lo pondremos en el recuadro que esta en blanco daremos
Enter y nos tiene que salir lo siguiente:



En este caso hemos insertado un perfil simple, pero tambin podemos insertar perfil compuestos. Es
decir, a un perfil compuestos podemos insertarle ms perfiles compuestos. Recodar que solo podemos
poner alrededor de 170 perfiles simples o compuestos a un perfil compuesto.

Para activar el perfil seguiremos los mismos pasos que hemos realizado tanto para activar autorizaciones
y perfiles, pulsaremos el icono de activar (no pongo la imagen, porque a estas alturas ya tenis que saber
que icono es) y nos saldr las diferencias entre los perfiles que tena antes nuestro perfil compuestos y los
que tiene ahora, en concreto nos saldr esta pantalla:



Recordar que este paso nicamente verifica la consistencia del Help-Desk y graba el perfil. A
continuacin le damos de nuevo al botn de activar y el perfil compuesto nos quedar activado.

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 32
Insercin mediante el botn Insertar perfil

Pulsando el botn de Insertar perfil nos muestra un listado con todos los perfiles disponibles y solo
tenemos que seleccionar el perfil o perfiles que nos interese para insertarlo. Cuando le demos al botn nos
saldr la siguiente pantalla:



Como vemos en esta lista salen todos los perfiles activos que hay en el sistema. Si queremos ver el
contenido solo tenemos que hacer clic sobre el perfil que nos interese y dar sobre el botn de Visualizar
perfil, por ejemplo si hacemos esto con el perfil &_SAP_ALL nos saldr la siguiente pantalla:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 33



Esta pantalla es un listado con todos los objetos y sus respectivas autorizaciones.

Volviendo a la pantalla anterior, para escoger los perfiles solo tenemos que hacer clic sobre el recuadro en
blanco que aparece a la izquierda del perfil ( ) y despus dar Enter. Como ejemplo seleccionaremos el
de antes perfil (&_SAP_ALL) y cuando demos Enter veremos que volvemos a la pantalla principal con el
perfil insertado, tal como aparece en la siguiente imagen:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 34


Como vemos el perfil se inserta automticamente.

Otras cosas

En los perfiles simples vimos que haciendo doble clic sobre una autorizacin u objeto nos bamos
directamente a la pantalla de modificacin de la autorizacin. Pues bien en los perfiles compuestos
haciendo doble-clic sobre un perfil simple o haciendo clic sobre el perfil y luego pulsamos el botn de
Actualizar perfil iremos a la pantalla de modificacin de un perfil simple (vista en el apartado de Perfil
Simples) y si hacemos doble-clic sobre un perfil compuesto y luego pulsamos el botn de Actualizar
perfil pues nos iremos a la pantalla de modificacin de perfiles compuesto (tal como hemos visto antes).
GENERADOR DE PERFILES

A partir de la versin 4.6x el generador de perfiles se convierte en una herramienta imprescindible para
SAP y aconseja que no se utilice la transaccin SU02 Actualizacin de perfiles, salvo, para casos muy
excepcionales.

En versiones posteriores, SAP no trataba correctamente los mens de mbito para insertar las
transacciones al grupo de actividades, ya que por cada grupo de actividades haba que ir a la transaccin
SSM1 Generar men estndar de SAP y men de Empresa a activar el men de mbito que bamos a
utilizar. A partir de la 4.6x podemos indicar en el grupo de actividad que men de mbito o mens se
quiere utilizar en un grupo de actividad.

En estos momentos os preguntareis que es un men de mbito, pues un men de mbito es lo siguiente:

" Es una transaccin que llama a otras transacciones o funciones. La diferencia entre sta y una interfaz
normal de usuario es que un men de mbito es una interfaz de usuario que no est relacionada con
ningn programa de dilogo ni ninguna pantalla de Screen Painter.
Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 35

En resumen que un tpico men de mbito es este:



Personalmente en la 4.6x el Generador de perfiles es muy sencillo solo tiene un poco de complicacin
cuando ajustemos las autorizaciones del perfil.

Los grupos de actividades en el fondo estn compuestos por perfiles simples y su vez los perfiles estn
compuestos por autorizaciones, etc. Esto lo veremos cuando creemos un perfil compuesto.

Para ir al generador de perfiles tenemos que utilizar la transaccin PFCG Grupos de Actividades o por
men sera: Herramientas ! Gestin ! Actualizacin de usuarios ! Grupos de actividad. La pantalla
que nos aparecer ser la siguiente:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 36

Figura 10.

En esta pantalla tenemos los siguientes botones:

" ! Copia un grupo de actividades en un nuevo grupo de actividades.
" ! Borrar un grupo de actividades.
" ! Transporta un grupo de actividades y nos permite transportar los usuarios que estn asignados
al grupo de actividades.
" ! Nos carga la ayuda sobre los grupos de actividades
" ! Nos carga la ayuda sobre los procedimientos de los grupos de actividad.

En el recuadro de Vistas tenemos lo siguiente:

" Actualizacin bsica ! Como su nombre crearemos un grupo de actividades con las vistas de
autorizaciones, mens y usuarios. Es la vista que ms utilizaremos.
" Vista global ! En esta vista se utiliza cuando queremos crear grupos de actividades para Workflow
y gestin de organizacin. Esta opcin no la he utilizado y no podr explicar como funciona.

En el recuadro Tipo sirve para indicar si el grupo de actividades va a ser compuesto (de grupos de
actividades) o simple. Para hacer un grupo de actividades compuesto escogeremos la opcin Grupo de
actividades colectivo y para hacer uno simple escogeremos la opcin Grupo de actividades.

GRUPO DE ACTIVIDADES SIMPLE

Para crear un grupo de actividades tenemos que ponerle primero un nombre (por ejemplo:
ZGA_PRUEBA), despus poner marcar los radiobuttons: Actualizacin bsica y Grupo actividades (por
defecto ya estn marcados) y despus pulsar el botn de crear o pulsar o F5, la pantalla que no saldra
sera la siguiente:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 37

Figura 11.

En esta pantalla tenemos lo siguiente:

" Descripcin ! La descripcin que tendr el grupo de actividades, es obligatorio poner una.
" Pestaa Descripcin ! Es la pestaa que por defecto nos sale cuando entramos a modificar,
visualizar o crear un grupo de actividades y es donde nos da la informacin varia sobre el grupo de
actividades, y tambin nos permite dar una descripcin del grupo de actividades de una manera
extensa.
" Pestaa Men ! En esta pestaa indicaremos a que transacciones se tendr acceso desde el grupo de
actividades.
" Pestaa Autorizaciones ! En esta pantalla podremos modificar o borrar un objeto de autorizacin.
Tambin podremos insertar objetos de autorizacin nuevo.
" Pestaa Usuarios ! En esta pantalla indicaremos que usuarios queramos que tengan el grupo de
actividad y tambin podremos quitar el grupo de actividades

Si las pestaas estn en color rojo ( ) quiere decir que hay algo que este mal (transaccin no se existe,
autorizaciones mal ajustadas o usuarios mal ajustados) y el grupo de actividades no funcionara
correctamente. Cuando la pestaa este en verde ( ) querr decir que esta bien.

Las tres pestaas estn relacionados entre s, y tenemos que seguir un orden para crear correctamente el
grupo de actividades, este orden es el mismo que el orden de las pestaas, o sea, primero indicaremos las
transacciones (pestaa Men) y segundo generaremos los perfiles basndonos en las autorizaciones
(Pestaa Autorizaciones). Si queremos hacer las asignacin del grupo de actividades a los usuarios, la
pestaa Usuarios ser el tercer y ltimo paso.

Os preguntareis que si en la pestaa de Men ponemos las transacciones que valores se pondrn en la
pestaa de Autorizaciones. Los valores de la pestaa Autorizaciones los pone directamente SAP, me
explico, cuando insertamos una transaccin SAP lee los objetos de autorizacin (con sus valores) que
tenga el programa que esta asociado a la transaccin y cuando vayamos a la carpeta de Autorizaciones
veremos los objetos ledos. Un aviso, si el programa que tiene asociado a la transaccin tiene una
instruccin (como call transaction o submit)que llama a otra transaccin o programa SAP no incluir los
Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 38
objetos de autorizacin de la transaccin llamada, esto hay que tenerlo en cuenta porque entonces
tendremos que insertar la transaccin llamada para que SAP lea sus objetos de autorizacin o poner a
mano los objetos de autorizacin de la transaccin llamada, esa decisin depende de lo siguiente:

" Si queremos que el usuario no vea la transaccin en su men de usuario tendremos que insertar
manualmente los objetos de la transaccin llamada en el grupo de actividades.
" Si no importa que el usuario vea la transaccin directamente en su men de usuario entonces
insertaremos la transaccin para que SAP nos lea sus objeto.

Ahora veremos de una manera ms detallada las tres pestaas (Men, Autorizaciones y Usuarios), antes
de verlas le pondremos una descripcin breve al grupo de actividades y lo grabaremos (sino lo grabamos
cuando le demos a una de las tres pestaas nos pedir s lo que queremos grabar a lo que diremos que s).
Observaremos que no nos pide orden de transporte, eso es debido, a que un grupo de actividad se asigna a
una orden de transporte en la pantalla principal (vase figura 10).

Pestaa Men


Figura 12.

El trozo en blanco (donde esta la carpeta: Men grupo de actividades) es donde estarn las transacciones.

El significado de los botones ms importantes (solo explicar aquellos que se suelen utilizar
habitualmente) es el siguiente:

" ! Crea una carpeta donde se podr insertar transacciones o un men de mbito (con sus
transacciones) en ella. Para crear una nueva, pulsaremos dicho icono y nos saldr la siguiente
ventana:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 39


En Nombre de carpeta pondremos el nombre que queramos, por ejemplo como prueba podemos poner
Transacciones de Controlling y luego pulsaremos Enter y nos aparecer la siguientes:



Todas las carpetas o transacciones que insertemos nos quedarn siempre por debajo de la carpeta
principal (esta carpeta no la podremos ni renombrar ni mucho menos borrar).

Si queremos insertar otra carpeta que este al mismo nivel que Transacciones de Controlling
seleccionaremos previamente la carpeta principal y luego pulsaremos sobre el botn de crear carpeta. Si
lo queremos es hacer una carpeta que cuelgue de Transacciones de Controlling seleccionaremos la
carpeta de Transacciones de Controlling y luego sobre la carpeta de crear

" ! Modifica el texto de una carpeta que hayamos insertado con anterioridad. La carpeta
principal (la que pone Men de grupo de actividades) no la podemos renombrar.
" ! Desplaza haca arriba o haca bajo la carpeta seleccionada.
" ! Inserta una transaccin al grupo de actividades, si no seleccionamos
ninguna carpeta la insertara debajo de la carpeta principal, sino, se inserta en la carpeta que hayamos
seleccionado. Como prueba insertaremos la transaccin SU03 Actualizacin de autorizaciones,
para ello pulsaremos el botn de Aadir transaccin y nos saldr la siguiente ventana:



Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 40
En esta pantalla es donde introduciremos las transacciones que queramos a insertar y para que SAP las
coja pulsaremos Enter. Como ejemplo poner la transaccin SU03 y luego pulsar Enter os aparecer la
siguiente:



Los botones de abajo nos permite aadir o quitar transacciones o seleccionar o deseleccionar
transacciones. Cuando hayamos insertado las transacciones que consideremos oportuna pulsaremos sobre
el botn Asignar transacciones ( ) y volveremos a la pantalla de la pestaa de
Men (Vase figura 12) y nos aparecer lo siguiente:



Como no tena ninguna carpeta seleccionada la transaccin me la ha creado en el mismo nivel que la
carpeta de Transacciones de Controlling.

" ! Con este botn podemos insertar un report abap, query, transaccin con
variante, ReportWriter, etc. La pantalla que nos saldra sera la siguiente:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 41


En la parte superior de la venta tenemos los diferentes informes que podemos insertar, dependiendo del
tipo de informe escogido la pantalla centrar nos cambiara. Esta pantalla por defecto no nos muestra un
trozo de pantalla que la veremos pulsando el botn de expandir ( ), el trozo de pantalla que nos
aparecera sera el siguiente:



SAP asigna una transaccin al informe que insertemos, si queremos que SAP lo haga automticamente
solo tendremos que dejar activo los dos checkbox. Si queremos cambiar la transaccin o la descripcin
solo tenemos que desmarcar el checkbox que queramos.

" ! En un grupo de actividades tambin podemos filtrar a que direcciones
web podemos acceder. Si le damos al botn nos saldr la siguiente ventana:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 42


Si seleccionamos Direccin Web o fichero y pulsamos Enter o el botn de continuar nos saldr la
siguiente ventana donde indicaremos la direccin web:



Si seleccionamos Enlace Knowledge Warehouse nos saldr esta otra ventana:



" ! Permite borrar un nodo (carpeta o transaccin) o borra todos los nodos que
tenga puesto el grupo de actividades. Para borrar un nodo solo tenemos que seleccionarlo y pulsar la
papelera.
" ! Este men (ms los siguientes que explicar) es la forma
correcta de insertar transacciones en un grupo de actividades, l porque, lo veris enseguida. Con este
botn podremos insertar las transacciones de un rbol estndar de SAP o de todo el rbol o una
transaccin en concreto. Insertemos la transaccin que insertemos siempre nos insertara el rbol.
Como ejemplo insertaremos la transaccin SU01 Actualizacin de usuarios, que esta situada en el
men Herramientas ! Gestin ! Actualizacin de Usuarios ! Usuarios, para ello pulsaremos el
botn y nos aparecer la siguiente ventana:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 43


Como vemos nos aparece el men principal estndar de SAP, para insertar la SU01 desplegamos los
men que he dicho anteriormente y seleccionamos la transaccin que pone Usuarios (el nombre tcnico
de la transaccin os lo pone a la derecha del todo, si no os aparece pulsar el icono para que nos
aparezca), el rbol nos quedar de la siguiente forma:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 44


Con tan solo seleccionar una transaccin el resto de mens superiores se seleccionen, una vez hayamos
seleccionado la transaccin o transacciones (podemos escoger tantas transacciones que queramos) o si
queremos podemos seleccionar una rama del rbol y todo lo que tenga por debajo se seleccionara (podis
probar en seleccionar el rbol de Gestin y veris lo que ocurre) pulsaremos sobre el icono de Tomar y
volveremos a la pantalla de la figura 12, que quedara de la siguiente manera:



Si desplegamos el rbol veremos la transaccin que hemos insertado. Si insertamos ahora el men entero
de Herramientas (como comentes antes solo tenemos que seleccionar Herramientas y SAP ya nos
seleccionado todas las subramas y transacciones que estn por debajo) y lo tomamos nos quedara esta
pantalla:


Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 45


Como vemos SAP nos ha puesto dos mens iguales, esto es un problema porque cada vez que vayamos a
insertar cualquier transaccin del rbol de Herramientas (o de cualquier otro rbol) SAP siempre nos lo
va a duplicar. El rbol que este ms abajo ser el ltimo que hayamos insertado, en caso de las
transacciones es al revs la transaccin ms reciente esta arriba del todo.

" ! Con este botn nos permite insertar las transacciones de un
grupo de actividades determinado. Si pulsamos el botn nos saldr lo siguiente:



Para buscar el grupo de actividades que nos interesara solo tendramos que buscarlos o aplicar un filtro.
Para seleccionar el grupo de actividades solo tenemos que haber doble clic y SAP nos lo cogera. Para
probar seleccionaremos el grupo de actividades SAP_BC_AUTH_PROFILE_ADMIN_AG (Nota: Si un
grupo de actividades no tiene mens asociados SAP no nos permitir insertarlo) y nos saldr esta otra
ventana:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 46


Si desplegamos el men nos saldr lo siguiente:



Yo ya he seleccionado el men principal y automticamente SAP me ha activado lo que hay por debajo.
El funcionamiento es siempre el mismo como hemos podido comprobar ahora (con los grupos de
actividades), antes (con los mens de SAP) y despus con los mens de mbito. Si tomamos (mediante el
botn que pone Tomar) lo que hemos seleccionado nos quedara lo siguiente en la Figura 12:



He desplegado el nodo para que veis lo que SAP inserta en el interior.
Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 47
" ! Ya hemos dicho anteriormente que los mens de mbito
permiten acceder a transacciones. El tratamiento de los mens de mbito es el mismo que el de men
de SAP (explicado anteriormente) pero anteriormente tenemos que indicar que mens de mbito
tenemos que utilizar. La gran diferencia entra las versiones 4.6x y superiores respecto a versiones
anteriores, es que en esta versin podemos incluir en un mismo grupo de actividades tantos mens de
mbito como queramos y a la vez utilizar el men de SAP. En versiones anteriores solo se poda
utilizar un men de mbito o men de SAP. Si le damos al botn nos saldra la siguiente ventana:



En esta pantalla seleccionaremos el men de mbito a utilizar, yo he puesto uno que tengo creado que es
el ZXXE (como se hace un men ser motivo de otro manual) y al dar Enter me saldr lo siguiente:



En mi caso solo me sale una a seleccionar, pero eso depende de los criterios de bsqueda que hayamos
puesto. Una vez seleccionado nos saldr el siguiente aviso de SAP:



Este aviso es debido a que SAP tambin coge todas las ramificaciones que tenga el men de mbito que
hemos seleccionado, si por ejemplo un men de mbito tiene otro men de mbito y este a su vez tiene
otro men de mbito SAP hara las ramificaciones de los tres mens de mbitos. Como yo he cdigo el
Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 48
men principal me va a tardar un rato para que muestre el rbol completo. El rbol que en mi caso
quedara sera el siguiente:



Como vemos es la misma pantalla (salvo el rbol que es diferente) y las opciones son las mismas que en
la misma que hemos visto en la opcin de Men de SAP. Como esto ya lo he explicado no lo volver
hacer ahora.

Porque cuando he explicado el botn de Men de SAP he dicho que la mejor forma de insertar
transacciones era mediante estos tres botones mtodo, pues simplemente, porque el usuario en el Men de
Usuario ver la misma organizacin que tengamos en los mens del grupo de actividades. Si tenemos los
mens bien organizados mediante estos tres botones, el usuario ver las transacciones en su
correspondiente rbol y todo bien organizado. Si la transacciones las insertamos a pelo, el usuario ver
una lista interminable de transacciones. Tengo que decir que aunque hay SAP no fusiona los mens en
uno solo (recordar lo que pasaba con el men herramientas) en el grupo de actividades si que lo hace en el
men de usuario.

" ! Este botn sirve para visualizar los nombre tcnicos de las transacciones que hayamos
escogido. Antes habris comprobado que al insertar as transacciones no nos sala los nombre
tcnicos. Si volvemos a insertar la transaccin SU01, hacerlo a travs del botn de Men de SAP sin
tener la opcin de nombres tcnicos activada nos saldr lo siguiente:



Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 49
Si pulsamos sobre los nombre tcnicos nos quedar:



Como vemos de esta manera se entiende mejor.


El resto de botones poseen otras funcionalidades como buscar, traduccin, desplazar nodo, etc. esas
funcionalidades la podis probar vosotros.

Os habris dado cuenta que cuando hemos insertado una transaccin la pestaa de Men ha cambiado de
color y del rojo ha pasado al verde.

El siguiente punto es ver la pestaa de Autorizaciones, pero antes borraremos todo lo que tengamos en el
Men de grupo de actividades (mediante la papelera donde pone Todos) e iremos al men de SAP e
insertaremos la carpeta que pone Actualizacin de usuarios, el Men de grupo de actividades quedar de
la siguiente manera:



Una vez hecho este pinchemos en la pestaa de Autorizaciones.

Pestaa Autorizaciones

En esta pestaa tenemos la oportunidad de modificar los objetos de autorizaciones con sus respectivos
valores que el grupo de actividades chequeara. Como explique antes, siempre que se inserta una
transaccin SAP lee los objetos de autorizacin junto a sus valores que la transaccin verifica y se los va
guardando. Siempre que hay que ajustar los perfiles cuando se inserta una varias transacciones porque
SAP no es capaz de hacer todos los ajustes y siempre hay que ayudarlo, y ajusto los objetos podemos
reducir l numero de autorizaciones necesarias porque podemos hacer fusiones de ellas.

La pantalla que muestra la pestaa es la siguiente:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 50

Figura 13

En esta pantalla se nos informa del nombre del perfil que tiene asociado un grupo de actividades, cuando
se ha modificado y quien lo ha modificado y los ms importante dos nicos botones para modificar las
autorizaciones:

! Es el botn ms importante para ajustar perfiles (el siguiente que veremos es para hacer el
mantenimiento). Este botn se tiene que utilizar siempre para hacer los ajustes cuando insertemos o
borremos alguna transaccin al grupo de actividades, digo siempre, porque se encarga de hacer un pre-
ajuste entre los objetos de autorizaciones existentes y los nuevos que se van a insertar. El tipo de ajuste
nos saldr siempre que modifiquemos un perfil, en nuestro caso no saldr debido a que es un perfil nuevo,
los tipos de ajustes son los siguientes:



Borrar perfil y autorizaciones y crear de nuevo ! Esta opcin borrara todos los objetos de
autorizacin que tenga puesto o que hayamos puesto a mano y pone los objetos de autorizaciones
basndose en los objetos de autorizaciones que chequea las transacciones que tenga el grupo de
actividades. Si hemos puesto a mano un objeto de autorizacin se borrara y lo volveremos a tener que
poner.
Tratar versin antigua ! Ignora los nuevos objetos de autorizaciones de las transacciones que
hayamos insertado o eliminado y gestiona los objetos de autorizacin que ya tena.
Leer versin anterior y ajustar con los datos nuevos ! Su nombre ya lo dice y no hace falta ms
explicacin. No hay que decir que es esta la opcin (ya sale por defecto) que tenemos que seleccionar
siempre que insertemos o borremos transacciones.
Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 51
" ! Permite modificar los objetos de autorizacin manualmente. Si hemos aadido o quitado una
transaccin y despus le damos a este botn no har el pre-ajuste que nos hara si pulsramos el
botn anterior. Como he dicho y vuelvo a repetir siempre que aadamos una transaccin tenemos que
pulsar el botn que he explicado anteriormente, este se utiliza cuando queremos insertar, modificar o
quitar un objeto manualmente y antes no hemos aadido o borrado ninguna transaccin.

Despus de esto vayamos a realizar el ajuste del grupo de actividades para ello pulsaremos el botn de
Modo de experto para generar perfiles ( ) y nos saldr la siguiente ventana:




Esta ventana nos aparecer siempre que SAP no sepa que valores poner a un determinado objeto, en este
caso solo nos aparecer un campo pero podemos encontrarnos ms de uno y de dos. La solucin rpida es
darle autorizacin global (mediante el botn: , en concreto con este
botn le damos el valor * a todos los campos que nos aparezca en esta ventana ) o darle un valor o
valores acorde con la funcionalidad que va a tener el perfil. Para no complicarnos la vida le daremos
autorizacin global y despus pulsaremos el botn de grabar o el diskette que aparece en la parte inferior
izquierda, cuando lo hagamos nos iremos a la pantalla principal de los objetos de autorizacin que ser la
siguiente:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 52

Figura 14.

En esta pantalla inicialmente nos saldrn las clases de objetos, pero yo he expandido una rama de la clase
BC_A Base Gestin para que veis como es.

Los iconos ms relevantes que nos aparecen en el men son los siguientes:

" ! Es el botn que genera l o perfiles del grupo de actividades, este botn es ultimo paso despus
de haber ajustado y tocado los objetos de autorizacin.
" ! Borra definitivamente las autorizaciones inactivas.
" ! Inserta uno varios objetos de autorizacin de una lista que nos presenta SAP. La lista
que SAP nos presentara sera la siguiente:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 53


Yo he en esta pantalla he expandido la rama de objetos que no estn asignados a ninguna clase para que
veis como sera. Como vemos tambin nos muestra los campos que tiene los objetos de autorizacin.
Para seleccionar el objeto solo tenemos que hacer clic en el siguiente icono: y el icono se cambiara a
, todos los objetos marcados tendrn este ltimo icono. Para que SAP nos los ponga en el grupo de
actividades solo tenemos que pulsar el botn que Insertar Seleccionada o F6.

" ! Permite inserta objetos manualmente, en este caso tenemos que sabernos el objeto
que vamos a insertar. La pantalla que nos saldra sera la siguiente:



En esta ventana insertaremos los objetos de autorizacin que queramos.


Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 54
" ! Expande aquellas ramas o objetos de autorizacin que sus campos no tengan valores.
Son aquellos cuyo semforo esta en amarillo o rojo.
" ! Expande aquellas ramas o objetos de autorizacin que han sido modificados por
nosotros.
" ! Expande aquellas ramas que han sido actualizadas por nosotros.
" ! Permite modificar los valores de los niveles organizativos. La pantalla que nos sale
es la misma que nos ha salido al entrar la pantalla de modificar autorizaciones (Vase Figura 14.), o
sea, esta:



" ! Si pulsamos este botn nos saldr una ventana con la leyenda con el significado de los colores
e iconos que salen en la pantalla debajo del men.

El rbol que nos aparece en el rea de trabajo tiene 4 niveles que son los siguientes:

1. En el primer nivel se nos mostrarn las clases de objetos que tiene el grupo de actividad, a la derecha
del todo nos dir el nombre tcnico de la clase de objeto (en el ejemplo de abajo la clase es AAAB).
Un ejemplo sera este:



2. El segundo corresponde a los diferentes objetos de autorizacin que pueda tener una clase de objeto.
Como en la case de objeto, a la derecha de la descripcin nos saldr el nombre tcnico del objeto. Un
ejemplo sera:



3. El tercer nivel corresponde a la autorizacin o autorizaciones del objeto de autorizacin. A la derecha
de la descripcin de la autorizacin nos aparece el nombre tcnico de la autorizacin. Un ejemplo
sera:



Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 55
4. Cuarto y ltimo nivel, nos muestra el campo o campos con sus valores de la autorizacin, a la
derecha de la descripcin del campo nos saldr el nombre tcnico del campo. Un ejemplo sera:



Podemos observar que cada nivel tiene su propio color identificativo. Una vez explicado esto pasemos a
explicar los iconos y mensajes que nos aparecen en el rea de trabajo.

En la zona superior de la pantalla donde SAP nos muestra el rbol con los objetos de autorizacin, hay
dos textos informativos de los cuales el de la izquierda es el ms interesante. En nuestro caso nos
aparecera el siguiente:



Este texto nos dice l numero de objetos de autorizacin que no han sido modificados, y tienen que
modificarse para que las autorizaciones del grupo de actividades estn correctas. Estos objetos lo
podemos identificar porque tiene el semforo en amarillo o rojo, el significado de los distintos semforos
lo explicar ms adelante.

En la estructura del rbol nos aparecen una serie de iconos algunos informativos (como los semforos) y
otros de accin. Primero explicar los distintos significados de los semforos:

" ! Cuando esta verde quiere decir que el objeto de autorizacin es correcto.
" ! Cuando esta amarillo significada que hay campos en los objetos de autorizacin que no
tiene valores y tenemos que por algn valor para que el semforo pase a verde.
" ! Cuando esta rojo quiere que nos hemos indicado ningn valor en la pantalla de Niveles
organizativos que la hemos visto anteriormente.

El resto de iconos son estos:
" ! Con este botn desactivamos un objeto de autorizacin con todas sus autorizacin o una
autorizacin. Si lo hacemos en una autorizacin como la siguiente:





Si le damos al botn de desactivar nos ocurrir lo siguiente:



Como vemos se ha desactivado tanto la autorizacin como el objeto, esto es debido a que la autorizacin
nicamente tiene un objeto y por lo tanto se desactiva todo.

" ! Este botn aparece cuando hay una autorizacin u objeto de autorizacin desactivado, y
permite volver ha activar una autorizacin u objeto de autorizacin. Si lo pulsamos en la
autorizacin que acabamos de desactivar, veremos que volver a su estado normal.
" ! Este botn puede aparecer en tres sitios diferentes: en los campos de la autorizacin, en los
objetos de autorizacin y en las autorizaciones procedentes de una copia. En los objetos de
autorizacin solo aparece cuando el objeto esta inactivo y sirve para borrar definitivamente el objeto
Autorizacin a desactivar.
Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 56
de autorizacin del grupo de actividades. Cuando aparece en los campos de la autorizacin nos borra
los valores que tenga puesto el campo. Y por ltimo, cuando aparece en una autorizacin que es una
copia de otro objeto de autorizacin permite borrar la autorizacin con todos sus campos y valores.
" ! Este botn nos dice que transaccin(es) del grupo de actividades utiliza el objeto de
autorizacin seleccionado. Si pulsamos este icono en el objeto de autorizacin S_USER_AGR
(Gestin autorizaciones: Verificacin para grupos actividades) veremos que nos aparece:



Como en la ventana que nos aparece nos dice la transaccin, mbito de autorizaciones y mbito de
valores.

" ! Este botn permite fusionar dos o ms autorizaciones de un mismo objeto de autorizacin. La
fusin slo se permite cuando los semforos de las autorizaciones estn en verde, o sea que tengan
valores puestos los campos de autorizacin. Un ejemplo lo encontramos en el objeto S_USER_VAL
(Gestin autorizaciones: Valores campo en grupos actividades) que tiene dos autorizaciones:



" ! Copia un objeto de autorizacin. Por ejemplo si vamos a la imagen anterior y le damos al
icono de copiar del primero objeto de autorizacin (el que esta con semforos en verde) nos ocurrir
esto:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 57


Como vemos la autorizacin resultante se identifica porque tiene el icono de la papelera, o sea, el de
borrar. Y es que las autorizaciones copiadas no permite desactivarse pero si borrarse. Aqu tenis una
oportunidad de ver como se fusionan dos autorizaciones y podris que solo se fusionan dos y no las tres,
porque recordar que solo se fusionan las autorizaciones que tienen el semforo en verde.

" ! Este icono reemplaza los valores que hayamos puesto o que ya estn y los sustituye por un
asterisco. Cuando este icono esta amarillo significa que el campo no tiene valor y aparece una mano,
cuando pasamos el cursor por encima del icono, si hay valor no aparece la mano pero pulsando sobre
el icono aparece un asterisco en el valor del campo. Cuando un campo tiene un valor el icono pasa de
estar amarillo (si lo esta) a verde.
" ! Este icono permite insertar el valor que queramos a un campo de la autorizacin. Si pulsamos
sobre este icono del campo Nombre campo nos saldr la siguiente ventana:




Hay un asterisco en el primer campo y es debido a que he pulsado el icono del asterisco y no he borrado
el valor. La ventana vara dependiendo si es un campo de tipo actividad o un campo normal, si es un
campo de tipo Actividad entonces nos saldr que actividad deseamos ponerle, estas actividades se definen
cuando se crea el objeto de autorizacin (acordaros cuando creemos el objeto de autorizacin ZIVAN).
Como ejemplo insertaremos el objeto creado por nosotros al principio de este manual, en la pantalla os
tiene que quedar lo siguiente:
Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 58


Ahora si le damos al icono del lpiz que esta en el campo Actividad nos saldr esta otra ventana:



En esta ventana solo podemos escoger las actividades que hayamos definido para el objeto de
autorizacin cuando lo creemos al principio de este manual.

Si un objeto tiene muchos tipo de actividades y queremos marcarlas todas, podemos pulsar el botn de
Autorizacin global, si pulsamos dicho botn la pantalla nos cambiar a lo siguiente:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 59



Para volver a la pantalla anterior solo tenemos que volver a pulsar el botn Anular autorizacin global.

Para que un grupo de actividades se pueda generar todos los semforos del grupo de actividades han de
quedar en verde, si algn objeto, clase de objeto o autorizacin que tiene un semforo rojo o amarillo
SAP nos impedir activarlo. Normalmente cuando un campo esta sin valores (el semforo esta en
amarillo) quiere decir que ese campo no se verifica en la transaccin y podemos ponerle un asterisco sin
ningn tipo de problema. Si el semforo esta en rojo quiere decir que tenemos que poner un valor a un
objeto de autorizacin organizativo, en nuestro caso el campo sera el siguiente:



Nosotros debemos sustituir el nombre tcnico del campo (PLVAR), que siempre esta precedido del signo
dlar ($), por el valor que deseamos controlar.

Antes de activar el grupo de actividades tendremos poner asterisco a todos los campos que estn amarillos
y/o rojos y si queremos quitaremos (si lo hemos puesto) el objeto ZIVAN que hemos utilizado antes para
ver como funcionan los valores en los campos de Actividad.

Una vez que demos los valores a los campos (al ser una prueba le damos el valor * a aquellos campos
que no tengan valor) la pantalla nos tiene que quedar de la siguiente manera:




Despus de ponerlo todo en verde hay que hacer dos pasos que no son obligatorios pero s muy
recomendables para el correcto mantenimiento del grupo de actividades:

" Agrupar autorizaciones ! Esto ya lo he explicado antes, y permite fusionar las autorizaciones del
todo grupo de actividades y no solo de una autorizacin en concreto como he explicado antes.
Haciendo la fusin disminuimos l numero de autorizaciones haciendo que el grupo de actividades
sea ms manejable y de paso no superamos el lmite de autorizaciones que tiene SAP en 2500
autorizaciones (se puede aumentar el lmite).
Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 60
" Reorganizar ! A medida que se van modificando el grupo de actividades se van modificando o
aadiendo nuevos perfiles y/o autorizaciones (lo ms reciente tienen el contador ms alto) y los
autorizaciones y/o perfiles ms antiguo SAP no los borra. Si reorganizamos SAP volver a crear
perfiles y/o autorizaciones como si estuvisemos creando el grupo de actividades de cero con ello se
borran los perfiles y/o autorizaciones que no se utilizan. Gracias a esto conseguimos eliminar datos
superfluos haciendo que el sistema tenga menos datos.



Por ltimo nos quedara activar el grupo de actividades, para ello pulsaremos el icono y nos saldr la
siguiente ventana:



Esta pantalla nos aparece siempre que creemos un grupo de actividades nuevo y en esta ventana se nos
pide nombre y descripcin del perfil que se creara con las autorizaciones que hayamos puesto en el grupo
de actividades. Por defecto SAP ya nos da una descripcin y nombre de perfil por lo que s pulsamos
Enter el perfil se nos creara, pero, la experiencia me ha enseado que es mejor poner el mismo nombre o
parecido al perfil. l porque es sencillo, cuando vayamos a buscar por tablas o por la SUIM (Sistema de
Informacin de Control de Accesos) relacionaremos rpidamente los grupos de actividades con sus
respectivos perfiles y autorizaciones. Por lo tanto la ventana quedara de la siguiente forma:



Os habris dado cuenta que la longitud del perfil es diez caracteres cuando la longitud real es de doce.
Esto pasa porque SAP a los perfiles del grupo de actividades le pone el signo _ cuando la anchura del
perfil es de nueve o menos caracteres y si es de 10 ya no le pone el signo. En el caso de las autorizaciones
pasa lo mismo pero aparte del signo _ a la derecha le pone un contador de dos dgitos empezando por
00.

Una vez puesto el perfil pulsaremos Enter o el botn verde y SAP nos mostrara este mensaje en la barra
inferior:



Un grupo de actividades puede tener ms de un perfil dependiendo del numero de autorizaciones que se
tengan que crear.

Con todo esto ya tendramos creado el grupo de actividades y solo tendramos que transportarlo a
Produccin o asignarlo a un usuario.

Yo siempre aconsejo que los grupos de actividades se creen en Desarrollo y se transporte al resto de
sistemas, y sea en los sistemas de destino que se asigne los grupos de actividades a los usuarios. Si
Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 61
queremos asignar o quitar la asignacin de grupos de actividades tendremos que ir a la pestaa de
Usuarios.


Pestaa Usuarios

En la pestaa podremos asignar o quitar el grupo de actividades de un usuario o usuarios determinados,
tambin podremos indicar cuando queremos que un grupo de actividades esta activo en un determinado
usuarios. La pantalla que nos aparece es la siguiente:



Podemos observar que las pestaa de Usuario esta en color rojo, eso significa que el grupo de actividades
no esta asignado a ningn usuario. Para indicarle al grupo de actividades que usuarios va a tener tenemos
tres formas diferentes que son las siguientes:
Asignar Usuario Botn de Selec.

En este mtodo utilizaremos el botn Con este botn veremos los usuarios del
sistema y podremos coger el que nos interese, si lo pulsamos nos saldr una ventana como esta:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 62


Para seleccionar los usuarios solo tenemos que hacer clic sobre el que nos interese y despus pulsar el
botn de Aceptar ( ). Los usuarios que seleccionemos cambiaran de color, un ejemplo sera este:



Usuarios seleccionados
Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 63
Cuando le disemos el botn de Aceptar se nos insertara los usuarios.

Asignar Usuarios De manera directa

En este mtodo escribiremos directamente el usuario en el campo que pone Identificacin usu. y
pulsaremos Enter, por ejemplo, si yo pongo mi usuario y le doy Enter la pantalla quedara de la siguiente
manera:



Como vemos SAP te pone el nombre del usuario y su fecha de validez, por defecto, el grupo de
actividades es vlido desde el 15/05/2001 hasta el 31/12/9999. La fecha de validez son modificables y
podemos poner que al usuario se le active del grupo de actividades para de aqu dos das o que solo tenga
el perfil activo un mes.

Podemos observar que la pestaa de Usuario esta en amarillo eso quiere decir que el grupo de usuarios
tiene asignado al menos un usuario pero hace falta un ajuste de usuario (que se realiza pulsando el botn
que tiene el mismo nombre) para el correcto funcionamiento del grupo de actividades dentro del usuario o
usuarios, el ajuste lo explicaremos despus del tercer punto de cmo asignar un usuario.

Asignacin de usuarios Mediante Matchcode o Ayuda para bsqueda

Esta asignacin se efecta pulsando el Matchcode o Ayuda para bsqueda que aparece en el campo que
pone Identificacin usu, cuando pulsemos la Ayuda para bsqueda nos aparecer lo siguiente:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 64


En esta ventana indicaremos los criterios de seleccin que utilizaremos para buscar los usuarios. La lista
que nos aparece es como esta:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 65


En esta ventana haramos doble clic en el usuarios que nos interese.
Ajuste de usuario

Una vez hayamos puesto los usuarios que nos interese que tengan ese grupo de actividades tenemos que
hacer un ajuste de usuario. Un ajuste de usuario solo se puede hacer cuando la pestaa de Autorizaciones
esta en verde y cuando el botn de Ajuste de Usuario esta en rojo . Cuando
pulsemos el botn nos saldr lo siguiente:


Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 66

En esta pantalla tenemos los siguientes botones:

" ! Este botn lo he utilizado muy poco ya que el que ms he utilizado
y utilizo es el que pone Ajuste Completo. Este botn te permite hacer un ajuste personalizado, si lo
pulsamos nos saldr lo siguiente:



Este es un mensaje simplemente informativo y cuando pulsemos Enter:



En esta pantalla nos saldrn los usuarios que tienen el grupo de actividades que estamos tratando.
Podremos marcar los usuarios que queramos que se efectu el ajuste, por defecto estn marcados todos
los usuarios. Una vez manipulado los usuarios solo tenemos que hacer el ajuste pulsando el botn
.

Esta opcin de ajuste no la utilizo porque siempre que ajustar un grupo de actividades lo deseas ajustar
para todos los usuarios y no para unos cuantos.

" ! Este botn nos muestra una ventana con una explicacin sobre el ajuste en los
grupos de actividades.

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 67
" ! Es la opcin que siempre utilizo y es la que te ajusta el grupo de actividades
con los usuarios que hayamos asignado. Cuando pulsemos SAP nos har el ajuste de manera
automtica y nos volver a la pestaa de Usuarios como en la siguiente imagen:




Como vemos todo esta en verde, esto quiere decir que el grupo de actividades esta perfecto para trabajar
con l.

En el sistema de Productivo es bsico que las tres pestaas estn en color verde para que no haya
problemas de funcionamiento en el grupo de actividades. En el sistema de Desarrollo la pestaa de
Usuarios puede estar en rojo ya que muchos grupos de actividades se hacen para que lo contengan
usuarios finales (que solo estn creados en Productivo) y no para administradores.

GRUPO DE ACTIVIDADES COMPUESTO

Crear un grupo de actividades compuesto es casi exactamente igual que crear uno simple salvo que
tenemos que en el tipo de grupo de actividades tenemos que escoger que es de tipo Grupo de actividades
Colectivo. Yo como prueba voy a crear el ZGA_COMPUESTO y la pantalla que nos saldr cuando
pulsemos el botn Crear ser la siguiente:


Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 68



La pantalla es idntica a la que hemos visto antes solo cambia en que la pestaa de Autorizaciones ha sido
sustituida por la Grupo de Actividades. Como la funcionalidad de las pestaas de Descripcin, Men y
Usuario es la misma que explicado en los grupos de actividades simple por lo tanto no lo volver a
explicarlas de nuevo y solo explicar la pestaa de Grupos de Actividades.

Al grupo de actividades le he puesto la descripcin Grupo de Actividad Compuesto.

Pestaa de Grupos de actividades

En esta pestaa insertamos los Grupos de actividades que formaran parte de nuestro Grupo de actividades
compuesto. La pantalla que nos saldr es la siguiente:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 69


El funcionamiento es muy sencillo para insertar un grupo de actividad o varios grupos de actividades
tenemos que pulsar el siguiente botn y nos aparecer la siguiente ventana:



Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 70
En esta pantalla solo tendramos que hacer clic sobre el recuadro que aparece a la izquierda de los grupos
de actividades ( ) y para coger los grupos de actividades seleccionados solo tenemos que pulsar el
botn de Tomar o pulsar Enter.

Si lo que queremos es tomar un grupo de actividades en concreto entonces tendremos que filtrar por el
nombre que queramos mediante este botn . Por ejemplo, ahora vamos a insertar el grupo de
actividades que hemos creado anteriormente (el ZGA_PRUEBA) para ello pulsaremos el botn de filtro y
nos saldr la siguiente ventana:



En el campo Gr. Actividades escribiremos *zga_prueba* tambin poda haber puesto zga_prueba,
pero es la costumbre. Una vez puesto esto le daremos al Enter y nos aparecer esta otra ventana:



Como vemos en esta pantalla saldrn los grupos de actividades que cumplan los criterios de seleccin que
hayamos puesto. Seleccionaremos el grupo de actividad y le pulsaremos Enter y en la pestaa de Grupos
de Actividades nos aparecer lo siguiente:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 71



Como vemos la insercin y borrado de grupos de actividades simples o compuestos en un grupo de
actividades compuesto es coser y cantar.

TRANSPORTE DE GRUPOS DE ACTIVIDAD

El transporte se realiza desde el men principal del grupo de actividades (Vase figura 10) y se realiza
mediante este botn . Ahora vamos a simular que transportarnos el grupo de actividades compuesto
que hemos creado (ZGA_COMPUESTO) y para ello en la pantalla principal del grupo de actividades tiene
que haber lo siguiente:



Una vez puesto nuestro grupo de actividades compuesto pulsaremos el botn de transportar y nos saldr
lo siguiente:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 72


Esta ventana informativa solo aparece cuando transportamos los grupos de actividades compuesto y nos
dicen que va a transportar los grupos de actividades que cuelgan de nuestro grupo de actividades
compuesto. Cuando le demos Enter nos saldr esta otra pantalla:




Esta es otra ventana informativa donde se nos explica el funcionamiento de los transportes de grupos de
actividades. Le volvemos a dar Enter y nos saldr la siguiente pantalla:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 73


Esta pantalla SAP nos informa si queremos transportar la asignacin de usuarios, normalmente no se
suele activar porque un transporte de grupos de actividades se efecta siempre en el sistema de
Desarrollo y la asignacin de usuarios se suele realizar en el sistema de Productivo.

Cuando pulsemos Enter de nuevo se nos pedir la orden de transporte donde s incluir el grupo de
actividades. La pantalla es la siguiente:



Aqu solo tendramos que asignar el grupo de actividades a la orden de transporte existente o crear una
nueva.

CONFIGURAR EL GENERADOR DE PERFILES

Antes de arrancar por primera vez el generador de perfiles hay que hacer una serie de pasos para trabajar
con el generador.

Activar el generador de perfiles

Para activar el generador de perfiles tenemos que activar el siguiente parmetro del sistema o instanca:

Auth/no_check_in_some_cases = Y

Si este valor no vale Y no podremos ver la pestaa de autorizacin cuando estemos en un grupo de
actividades.

Establecer la copia inicial de las tabas de configuracin del generadorde perfiles

Para transferir las transacciones de SAP y los objetos de autorizacin desde las tablas del sistema USOBT
y USOBX a las tablas del cliente USOBT_C y USOBX_C tenemos que ejecutar la transaccin SU25
Generador de perfiles: Upgrade e instalacin inicial cuya pantalla es esta:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 74


Si estamos en una instalacin inicial solamente tendremos que pulsar el botn que pone Completar tabla
de cliente de modo inicial.

Si estamos en un cambio de release entonces tendremos que utilizar las opciones que estn en el frame
tratamiento posterior de parametrizacin despus de un upgrade o release superior.

Para transportar las tablas a productivo o al resto de sistemas que tenga nuestra instalacin utilizaremos la
opcin de Transporte de tablas de cliente.

Despus de ejecutar los pasos en la SU25 podremos llevar el mantenimiento desde la SU24 Actualizar
asignaciones de objetos de autorizacin a transaccines. A la SU24 se puede hacer desde la SU25.

Recordar que en la tabla USOBT esta la relacin entre las transacciones y los objetos de autorizacin.

Mantener el mbito de verificaciones de objeto de autorizacin en transacciones

Este paso, que no es obligatorio, se realiza desde la SU24. En esta transaccin llevaremos el
mantenimiento de las tablas USOBX_C (Transacciones y objetos de autorizacin) y USOBT_C (valores
propuestos para objetos de autorizacin).

Este paso se puede utiliar para mantener nuestras propias verificaciones de autorizacin, as como para
asignar objetos de autorizacin de SAP a nuestras transacciones. Tambin se puede mantener la
asignacin para una nica transaccin, y reforzar o suprimir la verificacin de autorizacin para cualquier
transaccin. Adems es posible mantener asignaciones de campo para las transacciones. En cualquier
caso siempre existe la posibilidad de comparar estos parmetros con los parmetros estndar de SAP.

La finalidad de esta transaccin es la de poder mantener el mbito de autorizacin en transacciones
mediante:

" La asignacin de los objetos de autorizacin que son relevantes ara una transaccin.
Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 75
" La asignacin de los valores predefinidos y los valores por defecto a nivel organizativo para los
campos del objeto de autorizacin.

Generar el men empresa.

Este paso solo se tiene que hacer en versiones anterior a la 4.6B. En este paso tenemos que ejecutar la
transaccin SSM1 Generar men estndar de SAP y men de empresa. Es ms, en la 4.6B cuando
ejecutemos la transaccin nos saldr lo siguiente:




Con la SSM1 generaremos los men estndar de SAP y despus el men de empresa. Se puede decidir
cul ser el primer men y escoger el rbol de informes por defecto.

No pongo la pantalla (porque en la 4.6b no aparece y no os la puedo poner) pero os dir que opciones hay
que tocar. En la opcin 2b (Generar men empresa) lo usuarios para modificar o generar el men de
empresa, al prinicipio pondremos en los campos Men Inicial el valor S000 y en el campo rbol inicial
el valor SAP1 despus activaremos el men de empresa con la opcin 2c.(Activar men empresa).

El men generado lo usaremos para las funciones de mantenimiento del grupo de actividad como un base
para seleccionar aplicacin y transacciones.

A tener en cuenta

Cuando migramos de un release a otro, por ejemplo de la versin 3.1x a la 4.6b, SAP migra tambin los
grupos de actividades. Y los migra poniendole una cadena al principio del grupo de actividades. Por
ejemplo yo tengo un grupo de actividades en la 3.1H que era: ZFS:MT:01 y al migrarlo se convirtio en
T_50001769_ZFS:MT:01.

USUARIO

Como hemos comentado antes, un usuario es aquel que entra en SAP R/3 para realizar una determinada(s)
tareas en el sistema. Dentro de un usuario podemos definir tantos parmetros tcnicos y parmetros
informativos:

" Parmetros tcnicos ! Estos parmetros son los que definen a que lugares de SAP van a poder
acceder el usuario (mediante los perfiles y/o grupos de actividad), que impresora utilizara por defecto
el usuario, el men de mbito que le saldr cuando el usuario entre en el sistema, contrasea para
entrar en SAP, grupo de usuario al cual pertenece, parmetros relacionados con la parametrizacin,
tipo de usuario, etc
" Parmetros informativos ! Estos parmetros es el cambio ms destacado en las versiones 4.x donde
se puede informar cualquier aspecto del usuario, desde el lugar trabajo con todas sus opciones:
direccin, telfono, departamento, funcin. Hasta aspecto personales donde vive, titulo acadmico,
pas, etc.

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 76
La transaccin para acceder al mantenimiento de usuarios es la transaccin SU01 o desde el men
principal Herramientas ! Gestin ! Actualizacin de Usuarios ! Usuarios. En el mismo men de
Actualizacin de Usuarios tenemos la transaccin SU01D, que hace lo mismo que su homloga pero solo
permite visualizar usuarios. La pantalla principal es la siguiente:


Figura 15.

En esta pantalla solo tenemos que poner el usuario que queramos tratar y desde la barra de mens o la de
iconos escoger la forma de tratamiento. El significado de los iconos de la barra de herramientas (de
izquierda a derecha) es el siguiente:

" Crear ! Permite crear un usuario. El usuario no tiene existe.
" Modificar ! Modifica un usuario existente en el sistema.
" Visualizar ! Visualiza un usuario existente.
" Borrar ! Borra un usuario existente incluido su usuario office.
" Copiar ! Permite copiar un usuario en otro.
" Bloquear/desbloquear ! Permite bloquear un usuario o desbloquearlo si esta bloqueado.
" Cambio Contrasea ! Permite cambiar la contrasea de un usuario.

Estas opciones son las operaciones que utilizaremos ms a menudo y que se explicaran en el apartado
llamado Operaciones bsicas de Usuarios.

Si navegamos por los mens veremos que tenemos:

Usuario ! Tenemos las mismas opciones que en la barra de Herramientas.
Info ! Esta pantalla nos va a la transaccin de Sistema de Informacin o ms comnmente llamada
SUIM . Esta es una poderosa herramienta que nos permite hacer mltiples bsquedas. La veremos en el
apartado Sistemas de Informacin.
Entorno ! En este men la nica opcin que he utilizado es la de Modificacin en masa. Esta opcin nos
permite aadir o quitar perfil(es) a un grupo de usuarios que cumplan una cierta condicin. La veremos
en el apartado Modificaciones masiva.

Crear / modificar o Visualizar usuario

En este apartado explicar solo como crear un usuario ya que las pantallas son las mismas tanto para
modificar o visualizar.

Para crear un usuario tenemos que poner el nombre de usuario en la pantalla principal de la transaccin
SU01 (Vase Figura 15) y pulsar el botn de crear , cuando lo hagamos nos saldr la siguiente ventana:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 77

Figura 16.

Esta es la pantalla que nos aparecer cuando creemos un usuario por primera vez y vemos que hay siete
pestaas que la veremos individualmente una a una.

En la parte superior tenemos el botn Datos de Rendimiento que activa la medicin del rendimiento de
un usuario:



En esta pantalla configuraremos los datos relevantes a la medicin del usuario. Este apartado no se como
funciona por lo que no le dedicar ms tiempo.

Para grabar el usuario solo tenemos que pulsar el icono de grabar . Aviso que cuando grabemos el
usuario nos volver a la pantalla principal (Vase figura 10).

Pestaa direccin

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 78
En la pestaa de Direccin escribiremos los datos personales del usuario, tenemos una cantidad de
campos importante y donde podemos fichar al usuarios con todos sus posibles datos. Hay campos que
no aparecen, fijaros en este botn que aparece en el recuadro que pone Persona si lo pulsamos
veremos que nos aparecen nuevos campos en el frame de Persona, el frame ahora quedara de la siguiente
manera:



Si volvemos a pulsar el icono los campos nuevos que nos han aparecido volvern a esconderse.

Hay una serie de campos en el recuadro de Comunicacin que no nos aparecen por el tamao de la
pantalla, los campos que no nos aparecen son los siguientes:



El nico campo obligatorio en toda esta pantalla es el Nombre. En el campo Edicin nos saldr el campo
Nombre y Apellidos juntos.

El resto de botones como Otras comunicaciones, Asignar otras direcciones empresa, etc. permiten
insertar ms datos del usuario.

Los datos propios pueden ser modificados por el usuario a travs del men Sistema ! Valores
prefijados! Datos propios.

Pestaa Datos Logon

En esta pestaa indicaremos la clave del usuario, grupo de usuario, men inicial, tipo de usuarios, etc.
La pantalla que nos saldra sera la siguiente:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 79



El Centro de coste lo he puesto como un pegote pero era el nico campo que faltaba por ver. El
significado de los recuadros es el siguiente:

" Clave de accesos ! Son los nicos campos obligatorios de la pestaa Datos Logon. La clave ha de
cumplir las siguientes reglas:

" No puede contener la palabra PASS.
" No puede ser inferior a tres caracteres. Esto se puede configurar cambiando el perfil del
sistema login/min_password_lng, si lo hacemos por aqu debemos acordarnos de cambiar el
fichero DEFAULT.PFL para que el cambio tenga efecto en cada instancia del sistema SAP.
" Los tres primeros caracteres no pueden estar en el cdigo de usuario(Ejemplo s mi cdigo
de usuario es ZPEPEAPO, la clave no se puede iniciar por EPE o ZPE o EAP, etc.)
" La clave no puede ser igual a las cinco ltimas claves introducidas.
" La contrasea no puede contener un espacio en sus tres primero caracteres.
" La contrasea no puede tener como primer carcter el signo ? o !.

Tambin podemos poner en la tabla USR40 las palabras de las contraseas que no queramos que el
usuario escriba.

La clave que se suele poner a los usuarios nuevos es INIT, eso es lo que recomiendo SAP y que en todas
las implantaciones se suele hacer. Si lo que queremos es que SAP nos d una clave aleatoriamente solo
tendremos que pulsar el botn para que nos la asigne. Este botn cuando entre por primera vez en la
4.6B no estaba y han sido en parches posteriores que ha aparecido este botn.

" Grupo de usuarios para verificacin de autorizacin ! Un usuario puede pertenecer a un grupo de
usuario, nicamente a uno. Con ello conseguimos tener los usuarios agrupados, por ejemplo,
imaginemos que una empresa tiene varias filiales y queremos que en cada filial haya un
administrador de accesos que mantenga los usuarios que pertenezcan a su filial. Para conseguir esto
creamos tantos grupos de usuarios como filiales tenga la empresa y asignamos a cada usuario un
Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 80
grupo de usuario dependiendo de la filial a la que pertenezca, con esto conseguimos que los usuarios
de la filial 1 solo puedan ser gestionadas por el administrador de dicha filial, por supuesto que habra
que crear grupos de actividades limitando el acceso a los administradores al grupo de usuarios al que
pertenezcan. Los grupos de usuarios de usuarios se crean en la transaccin SUGR Actualizar
grupos de usuarios.
" Periodo de validez ! Ha un usuario podemos darle un periodo de validez, por ejemplo, podemos
crear un usuario que solo puede trabajar a partir de un da determinado y hasta un cierto da. Esto es
til cuando creamos usuarios temporales. Si no podemos nada el usuario tendr validez desde la
fecha de creacin hasta el 31/12/9999.
" Otros Datos ! Datos informativos complementarios, podemos poner el centro de coste y nmero de
liquidacin a que pertenecen.
" Tipo de usuario ! Un usuario puede ser de diferentes tipos que son:

" M. Int o Dilogo ! Estos son usuarios normales y corrientes que puede entrar de manera
normal al sistema.
" BDC ! Son usuarios que se utilizan para la ejecucin de Batch-Input. Estos usuarios no
pueden entrar de manera on-line al sistema. Los valores fijos del perfil del sistema no
influyen en ellos.
" Proc. Fondo ! Son usuarios que se utilizan para la ejecucin de jobs en fondo. Estos
usuarios no pueden entrar de manera on-line al sistema. Los valores fijos del perfil del
sistema no influyen en ellos.
" CPIC ! Son usuarios que se utilizan para la ejecucin de interfases CPIC. Estos usuarios no
pueden entrar de manera on-line al sistema. Los valores fijos del perfil del sistema no
influyen en ellos.

Una vez entrada en la pestaa de Datos Logon no podemos salir de ella hasta que no pongamos una clave
de acceso, sino esta puesta.

Pestaa Valores fijos

En esta pestaa configuraremos los aspectos visuales del usuario, aspecto como porque impresora va a
imprimir, que men de mbito le saldr, etc. La pantalla es la siguiente:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 81




El significado de los campos es el siguiente:

" Men in. ! En este campo indicaremos que men de mbito le aparecer al usuario cuando entre en
el sistema. Por ejemplo, si queremos que al entrar en el men personal de la empresa, pues este sera
el lugar. Si lo dejamos en blanco entraremos en el men estndar de SAP.
" Idioma trabajo ! Si queremos que el usuario entre en un idioma diferente al que esta instalada SAP,
entonces aqu pondremos el idioma que queramos. Pulsando sobre el Matchcode o la Ayuda para
bsqueda del campo nos aparecer los idiomas instalados. Si dejamos este campo en blanco SAP
entrar en men que se haya configurado por defecto en los perfiles del sistema.
" Control SPOOL ! En este recuadro indicaremos en que impresora queremos que imprima el
usuario, si pulsamos sobre el Matchcode o la Ayuda para bsqueda del campo tendremos las
impresoras instaladas en el sistema. Podemos indicar como queramos que al usuario le salga la
impresin: Salida inmediata ! Si esta marcado los datos s imprimirn de manera inmediata sin
necesidad de ir al SPOOL y Borras tras salida ! Si esta marcado el SPOOL se guardara de manera
indefinida hasta que lo borremos ha mano.
" Huso horario personal ! En este campo indicaremos sobre la base de que horario queremos que se
nos visualice la hora. Pulsando sobre el Matchcode o la Ayuda para bsqueda del campo nos saldrn
los diferentes horarios existentes.
" Representacin decimal ! Indicaremos como queremos que el usuario vea los decimales.
" Formato fecha ! Indicaremos como el usuario va a ver los campos de tipo fecha en pantalla.
" CATT (Computer Aided Test Tool) ! Si se ha activado el 'Indicador de verificacin' para el usuario
el sistema fijar un indicador al lanzarse un proceso CATT. Este indicador ser almacenado con
clave de idioma y en funcin de la variante de proceso lanzada. Adems se actualizar el historial de
la asignacin indicadores de verificacin.

Todos estos parmetros personales pueden ser modificados por el usuario a travs del men Sistema !
Valores prefijados! Datos propios.
Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 82

Pestaa Parmetros

Los parmetros que se pueden establecer en esta pantalla concuerdan con algunos campos de SAP. Al
establecer valores por defecto usando estos parmetros ofrece como ventaja que cada vez que el usuario
entra en pantalla que contiene cualquiera de estos campos, el valor se introduce automticamente,
tambin tenemos la posibilidad de controlar ciertas autorizaciones, como por ejemplo, que se visualice el
precio o en los pedidos. Estos parmetros pueden ser modificados por el usuario a travs del men
Sistema ! Valores prefijados! Datos propios. La pantalla que nos aparece es la siguiente:



En esta pantalla tenemos dos campos:

" Parmetros ! Se refiere al ID del parmetro, que se puede encontrar usando la informacin tcnica
del campo. Tambin podemos encontrar una lista de los parmetros que hay en el sistema pulsando
F4 sobre el campo o sobre el Matchcode o la Ayuda para bsqueda. Si lo hacemos nos saldra esta
pantalla:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 83


" Valor ! Valor que deseemos asignar por defecto siempre que en una pantalla de SAP.

Pestaa de Gr. Actividades

Esta es la pestaa donde indicaremos a que partes del sistema el usuario tendr acceso, o sea, es donde
insertaremos los Grupos de actividades al usuario. La imagen que nos saldr es la siguiente:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 84


En esta pantalla tenemos tres campos:

" Grupo actividades ! Nombre del grupo de actividades. Tenemos dos formas de insertar el Grupo de
actividades de manera directa y buscar el Grupo de actividades.

De manera directa ! En esta manera solo tenemos que escribir el grupo de actividades que
queramos y pulsar Enter. En nuestro caso escribiremos el Grupo de actividades compuesto que
hemos creado anteriormente (el ZGA_COMPUESTO) y pulsaremos Enter y nos tiene que quedar
los siguiente:



Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 85
Cuando insertamos un Grupos de Actividades compuesto SAP nos inserta (en color azul y sin la
posibilidad de cambiar la fecha de validez) tambin los Grupos de Actividades que cuelguen de l.
Los Grupos de actividad que estn en azul los podremos borrar pero SAP los volver a poner.

Siempre que insertemos un Grupo de actividades SAP nos pone en la pestaa de Perfiles los perfiles
que cuelgan del Grupo de actividades, si vamos a la pestaa de Perfiles nos aparecer lo siguiente:



En la pestaa de Perfiles vemos que nos ha puesto el perfil del grupo de actividades simple y no del
compuesto, porque un Grupo de actividades compuesto no tiene perfiles. Los perfiles que
pertenecen a un grupo de actividades tiene el simbolito y adems estn protegidos para que no
puedan ser modificados, aunque se pueden borrar pero SAP volver a ponerlo de nuevo.


Cuando quitemos un grupo de actividades compuesto automticamente quita los grupos de
actividades que tenga y los perfiles si el compuesto tiene Grupo de actividades simple. Por ejemplo
si seleccionamos el Grupo de actividad ZGA_COMPUESTO y pulsamos el icono veremos que
SAP nos elimina todo lo que tengamos.

Mediante el Matchcode o Ayuda para bsqueda ! Cuando pulsemos el botn de Matchcode o
Ayuda para bsqueda nos saldr la siguiente ventana:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 86


En esta pantalla buscaramos el grupo de actividades que nos interese y haciendo doble-clic lo
insertaramos. Como buscar uno a uno es muy pesado podemos utilizar el filtro (lo del filtro os debe
de sonar cuando explique la asignacin de usuario en los grupos de actividades). Para acceder al
filtro tenemos que pulsar el botn y nos saldr la siguiente ventana:



Nosotros vamos a buscar el Grupo de actividades simple que hemos creado antes, pero vamos hacer
que nos busque los grupos de actividades que empiecen por ZGA_, para ello escribiremos en el
campo Gr. Actividades el texto ZGA_* y pulsaremos Enter y nos aparecer lo siguiente:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 87


En esta ventana nos aparecen los dos Grupos de actividades que hemos creado anteriormente, si
hacemos doble clic sobre la lnea del Grupo de Actividad ZGA_PRUEBA en la pestaa de Grupos
de actividades nos aparecer lo siguiente:



Hasta que no pulsemos Enter SAP no coger el Grupo de Actividad que hayamos seleccionado.

" Vlido de ! Fecha en la cual el perfil se le activara al usuario y podr acceder a las transacciones
que tenga el Grupo de actividades. Si lo dejamos en blanco SAP le pondr la fecha en que insertemos
el Grupo de Actividad.
" Validez a ! Fecha en la cual el perfil dejara de estar activo en el usuario y por lo tanto ya no podr
acceder a las transacciones contenidas en dicho Grupo de actividades. Si dejamos en blanco el campo
la fecha ser la del 31/12/9999.
Pestaa de Perfiles

En esta pestaa insertaremos los perfiles que queramos que tenga el usuario. La pantalla de perfiles es la
siguiente:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 88


En esta pantalla los perfiles se ponen de manera directa porque no existe la posibilidad de hacerlo
mediante el Matchcode o Ayuda para bsqueda, si pulsando el Matchcode nos saldr los proyectos de
Customizing una cosa que no tiene nada que ver con los perfiles.

Si insertamos el perfil ZPROF_PRUEBA que es el perfil que hemos creado antes y despus pulsamos
Enter nos quedar lo siguiente:



Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 89
Si insertamos el compuesto que hemos creado anteriormente que es el ZCOMP_PRUEBA nos saldr lo
siguiente:



Observamos que el icono nos permite diferenciar entre un perfil compuesto de uno simple.

Pestaa Grupos

Antes en la pestaa de Datos logon observamos que haba un campo de Grupo de Usuario y que he
explicado que se utiliza para organizar los usuarios. Pues bien, esta pestaa se utiliza para una transaccin
nueva en las versiones 4.6x (eso creo) que es la SUUM Global User Manager en esta transaccin nos
permite manejar los usuarios de una manera grfica. Esta transaccin no la he podido probar pero
prometo hacer para un futuro. La ventana de esta pestaa es la siguiente:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 90


En esta pantalla iramos poniendo los Grupos de usuarios que queramos que pertenezca el usuario.

Copiar un usuario

Para copiar un usuario utilizaremos el icono que aparece en la pantalla principal del mantenimiento de
usuarios (Vase Figura 10) , cuando pulsemos el icono nos saldr la siguiente ventana:



De un usuario podemos copiarlo todo exceptuando los datos que salen en la Pestaa Datos Logon, ya que
estos datos son nicos para cada usuario y cada vez que copiamos un usuario tenemos que asignarle una
clave de acceso. Por defecto SAP no marca el Checkbox de Direccin y esto es debido a que en teora este
usuario resultante no tendr ni el mismo nombre, telfono, e-mail, etc. que el usuario original.

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 91
Para confirmar definitivamente la copia tendremos que pulsar de nuevo sobre el icono . Cuando
pulsemos este icono nos ira a la pantalla que aparece en la Figura 16.

Bloquear / desbloquear un usuario

Cuando un usuario esta bloqueado e intenta entrar en el sistema le saldr un mensaje de que el usuario
esta bloqueado. Un usuario se puede bloquear por los siguientes motivos:

" La utilizacin errnea de una funcin del sistema.
" Introducir tres veces mal la clave de acceso.
" Cuando ha habido doce intentos fallidos de conexin al sistema.
" Pulsando el botn de bloqueo que esta en la SU01

El botn de bloquear / desbloquear usuario es el siguiente: . Por ejemplo para bloquear nuestro usuario
de prueba solo tendramos que pulsar el botn de bloquear y nos saldra lo siguiente:



SAP nos informa que el usuario no esta bloqueado y para bloquearlo tendremos que pulsar de nuevo
sobre el candado . Si lo pulsamos nos saldr un mensaje informativo dicindonos que: El usuario
ZPRUEBA ha sido bloqueado.

Para desbloquearlo pulsamos de nuevo sobre el candado que aparece en la figura 10 y nos saldr esta otra
ventana:



SAP siempre nos informara que los usuarios han sido bloqueados por el responsable del sistema porque
en principio solo l puede hacerlo. Si pulsamos sobre el candado abierto ( ) SAP nos mostrara un
mensaje informativo que nos dir lo siguiente:



Cambiar la contrasea

Para cambiar la contrasea a un usuario solo tenemos que pulsar el botn y nos aparece la siguiente
ventana:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 92


En esta ventana escribiremos la contrasea nueva del usuario, si no sabemos que poner podemos pulsar el
botn para que SAP nos genere una clave aleatoria. Si cambiamos la clave a travs de este botn
SAP obligara al usuario que la cambie cuando entre de nuevo al sistema.


GRUPOS DE USUARIOS

Al crear un usuario hemos explicado que los usuarios se pueden agrupar en grupos de usuarios. Estos
grupos de usuarios se crean en la transaccin SUGR Actualizar grupos usuarios o desde el men de
SAP Herramientas ! Gestin ! Actualizacin de Usuarios ! SUGR - Actualizar grupos de usuarios.
La pantalla que nos aparecer es la siguiente:



En esta pantalla llevaremos la gestin de los grupos de usuarios. Para crear un grupo de usuarios nuevos
tendremos que escribir el grupo donde pone Grupo de Usuario y pulsar el botn de crear , si queremos
modificar un grupo de usuario pulsaremos el botn de modificar , si queremos visualizar el grupo de
usuario pulsaremos el botn y lo que queremos es borrarlo pulsaremos este otro .

Ahora vamos a crear el grupo de usuario ZPRUEBA, as que ponis dicho grupo en el campo Grupo
usuarios y luego pulsis el botn de crear y nos aparecer la siguiente pantalla:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 93


En esta pantalla el texto del grupo de usuarios no es obligatorio pero es recomendable poner una
descripcin. Desde esta pantalla podemos indicar a que usuarios queremos que tenga el grupo de usuario
que estemos creando o modificando. En la parte inferior hay una barra de botones que no se ve pero que
es la siguiente:



Con estos botones nos permite realizar tareas a la hora de asignar usuarios al Grupo de usuario que
estemos creando.

Ahora vamos a asignar el usuario que hemos creado antes (ZPRUEBA) a nuestro grupo de usuario. Para
ello escribiremos en el campo Usuario el valor ZPRUEBA y luego pulsaremos Enter y la pantalla nos
quedara de la siguiente forma:


Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 94
Una vez hayamos asignado nuestro usuario al Grupo de usuarios solo tendremos que grabar el Grupo para
crear el grupo y crear la asignacin Grupo con usuario o usuarios. Para grabar pulsaremos el botn y
nos volver a la pantalla principal dicindonos que el Grupo de usuarios ha sido creado, en caso que lo
estemos creando, o el Grupo de usuarios ha sido modificado, en caso de que lo estemos modificando.

Para ver el resultado de la asignacin solo tenemos que ir al usuario ZPRUEBA, mediante la transaccin
SU01, y mirar la pestaa de Grupos y tendremos lo siguiente:



Como vemos la asignacin se ha efectuado. Os podis haber pensado que la asignacin se hubiese
efectuado en el campo de Grupo de usuario en la pestaa de Datos logon, pues no es as, porque ese
campo es solo para hacer verificaciones de autorizacin cuando se va a modificar un usuario, borrar,
etc.

UTILIDADES DE CONTROL DE ACCESOS

En este apartado veremos una serie de transacciones tiles que nos ayudaran en el mantenimiento de los
usuarios, estas utilidades son:

" Actualizacin en masa ! Fantstica utilidad que permite modificar ciertos datos (datos como
Parmetros, perfiles, grupos de actividad, grupos de usuario, datos de direccin y datos de logon) de
un usuario o varios usuarios sin necesidad de tener que acceder usuario por usuario.
" Sistemas de informacin ! Son una serie de informes donde podremos buscar todos sobre perfiles,
autorizaciones, transacciones, etc. y tambin podremos hacer bsquedas cruzadas, por ejemplo,
que usuarios tienen un determinado perfil, etc.
" Visualizacin de verificacin de autorizacin ! Utilidad que nos permitir saber que objeto y valor o
valores nos hace falta cuando el sistema nos d un error de autorizacin.
" Autorizaciones de un usuario ! Con la transaccin SU56 SAP nos dice a que objeto y autorizacin
tenemos acceso y conque valores.

Veamos una a una estas utilidades.

ACTUALIZACIONES EN MASA

Esta utilidad en las versiones 3.x borraba las tablas maestras de Control de Accesos en versiones 4.x esta
utilidad ha cambiado radicalmente como veremos ahora.

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 95
A esta utilidad se accede a travs de la transaccin SU10 Actualizacin en masa usuario o desde el
men de SAP Herramientas ! Gestin ! Actualizacin de Usuarios ! SU10 Actualizacin en masa
usuario. La pantalla que nos saldr es la siguiente:


Figura1 16.

El funcin de esta pantalla es la siguiente los usuarios que vamos a crear, modificar, borrar, bloquear,
desbloquear se pondrn en el campo que pone Usuario una vez puesto se tendr que seleccionar
(Tenemos que seleccionar los usuarios que vayamos a tratar si no lo estn SAP los ignorara) el usuario y
pulsar uno de los botones de tratamiento. Para seleccionar un usuario lo haremos con el botn que esta a
la izquierda del campo Usuario ( ) o si hay muchos usuarios podemos seleccionar todos con el botn
. Y despus escoger la forma de tratamiento que ms nos interese.

Si deseamos modificar o borrar un usuario o varios usuarios que cumplan un determinado criterio de
seleccin ya sea ha nivel de datos de direccin o ha nivel de datos de autorizacin tenemos los siguientes
botones:

" ! Con este botn nos buscara los usuarios que
cumplan los criterios de seleccin en el mbito de datos de direccin, si pulsamos el botn tendremos
lo siguiente:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 96


Estos son los campos con los que haremos la bsqueda de los usuarios. Como prueba escribiremos en el
campo de Apellido o Usuario el valor ZPRUEBA y pulsaremos el botn de ejecutar o F8 y nos saldr
esta otra ventana:



En esta pantalla nos saldran los usuarios que cumplen los criterios de seleccin que hemos puesto en la
pantalla anterior. Para que SAP nos lo coja lo tenemos que seleccionar pulsando el recuadro que aparece a
la izquierda del cdigo de usuario y despus pulsar el botn que pone Tomar. Si lo hacemos en la pantalla
principal (Vase Figura 16) nos saldr lo siguiente:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 97

Figura 17.

Como vemos el usuario ha sido tomado y para tratarlo lo tendramos que seleccionar.

" Datos de autorizacin ! Este botn tiene la misma funcionalidad que el botn de direccin pero
buscaremos que contengan un(os) determinado(s) perfiles o grupos de actividad. Si pulsamos el
botn de Datos de autorizacin no saldr lo siguiente:



El resto de campo que no se ven son los siguientes:
Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 98



Observamos que la cantidad de posibilidades de bsqueda es tremenda, pero nosotros solo vamos a
buscar los usuarios que tengan en grupo de actividades ZGA_PRUEBA. Para ello en el campo de que
pone Grupo activ./concepto busque escribiremos nuestro Grupo de actividades y pulsaremos el botn de
Ejecutar la pantalla resultante ser la siguiente:



Como vemos la pantalla resultante es la misma que hemos visto en los Datos de Direccin, por ello la
funcionalidad es la misma. Lo que haremos a continuacin es marcar nuestro usuario y lo tomaremos y la
pantalla que nos quedar igual que en la figura 17.

Ahora tenemos todos los usuarios que tienen el grupo de actividades ZGA_PRUEBA, ya s que solo
aparece un msero usuario y adems es l nuestro de prueba pero como ejemplo de cmo funciona la
SU01 tenemos suficiente. Lo que haremos a continuacin es escoger el usuario que tenemos y la pantalla
nos quedar de la siguiente manera:



Y a continuacin pulsaremos el botn de modificar y nos iremos a la siguiente pantalla:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 99


Los campos y pestaas son las mismas que vimos cuando explique como crear un usuario. Lo nico que
cambia es en la pestaa de Direccin que solo podremos modificar el campo Asignar otras direcciones
Empresa.

Os habris preguntado para que servir este campo . Este campo hasta que no este marcado SAP
ignora el valor del campo al cual este relacionado, si esta marcado pondr a los usuarios que hemos
seleccionado antes el valor que le hayamos puesto al campo que este relacionado.

Como a nosotros nos interesa cambiar el grupo de actividades, entonces nos iremos a la pestaa Gr.
Actividades y tendremos lo siguiente:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 100


Esta pantalla funciona de la misma que las pestaa de Perfiles y Grupos, por lo tanto solo explicar como
funciona en la pestaa de Grupos de Actividades.

En la parte superior tenemos dos radiobuttons que son:

" Aadir usuarios ! Si este radiobutton esta activo se insertan a los usuarios seleccionados los Grupos
de Actividad que pongamos en la parte inferior de la pantalla o en l table control.
" Retirar usuarios ! Si este radiobutton esta activo se quita a los usuarios seleccionados los Grupos de
Actividad que pongamos en la parte inferior de la pantalla o en l table control.

Si no sabemos como se llama un grupo de actividades podemos buscarlo a travs del Matchode o Ayuda
para bsqueda del campo Grupo de actividades de la misma que lo hicimos cuando insertbamos un
Grupo de actividades en el usuario.

En nuestro caso queremos sustituir el grupo de actividades ZGA_PRUEBA por ZGA_COMPUESTO, para
hacer esto tenemos que hacer dos pasos: Primero quitar el ZGA_PRUEBA y segundo poner el
ZGA_COMPUESTO. Para ello escribiremos el grupo de actividades ZGA_PRUEBA y seleccionaremos el
radiobutton de Retirar usuarios, la pantalla nos quedara de la siguiente manera:


Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 101


En la pestaa de Perfiles nos mostrara el perfil que pertenece a nuestro grupo de actividades. Por
supuesto que si en la pestaa de Grupo de actividades seleccionamos la opcin Retirar usuarios en la
pestaa de Perfiles no podremos seleccionar la opcin de Aadir, si lo hacemos SAP nos informara de
ello.

Cuando pulsemos Enter para tomar el grupo de actividades nos mostrara un mensaje informativo que
pulsando de nuevo Enter nos desaparecer la pantalla. Ahora para aplicar los cambios tenemos que pulsar
el botn de grabar y nos saldr la siguiente ventana informativa:



Esta ventana nos informara en cuantos usuarios se va realizar la modificacin y si realmente deseamos
modificar pulsaremos el botn del S y nos mostrara otra ventana informativa:



En esta ventana nos dir los usuarios modificados y nos pregunta si queremos que nos saque un log, por
supuesto, que diremos que si para que nos informe los usuarios modificados. Cuando pulsemos el botn
de Con log nos saldr la siguiente ventana:
Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 102



En este log nos dir en que mandante, sistema, usuario, fecha, hora y usuarios que han sido modificados.
Si queremos saber los cdigos de usuarios modificados pulsaremos el icono de expandir y nos
aparecer esta pantalla:



Ahora ya tenemos el grupo de actividades ZPRUEBA quitado del usuario ZPRUEBA, podis mirar el
usuarios y comprobareis que lo ha quitado.
Ahora queremos insertar el grupo de actividades compuesto ZGA_COMPUESTO para ello volveremos
haciendo pulsando F3 o el botn de volver y volveremos a la pantalla principal y haremos los mismos
pasos que antes salvo que en vez de quitar, pondremos y el grupo de actividades ser el
ZGA_COMPUESTO en vez del ZGA_PRUEBA. Y al fina el usuario ZPRUEBA tendr el perfil compuesto
ZGA_COMPUESTO. Hacerlo vosotros mismos y veris que fcil es.

Hacer esto para un usuario es una tontera pero imaginaros que tenis que hacer lo mismo para 50
usuarios o ms, la diferencia se nota.

SISTEMAS DE INFORMACIN

Esta utilidad es la que ha sufrido una remodelacin importante respecto a versiones 3.x, y nos permite
hacer informes o buscar datos sobre cualquier cosa de Control de Accesos. La transaccin para acceder es
la SUIM Sistemas de informacin, por men esta transaccin no esta colgaba sino que en el men
tendremos lo siguiente:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 103


Por el men tenemos todos los posibles informes, pero yo siempre accedo por la transaccin SUIM que
nos mostrar la siguiente pantalla:



Las opciones que nos muestra la SUIM es tan grande que necesitaramos otro manual como este para
explicar su funcionamiento, la mejor forma es ir mirndosela poco a poco e ir probando las diferente
opciones.

Hay que destacar la opcin de Documentos de modificacin nos permite saber que se ha tocado de un
usuario, perfil o grupo de actividad. La opcin que ms utilizo es la de Usuario que me dice todo lo que
Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 104
se le ha hecho al usuario. Si le hacemos doble-clic sobre el usuario en el apartado de Documentos de
modificacin nos saldr la siguiente pantalla:



Como vemos la cantidad de opciones aqu tambin es grande, pero lo fcil es poner en el campo Usuarios
nuestro usuario en mi caso pondr el FEX00144 y luego pulsamos Enter y nos saldr lo siguiente:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 105


La gran diferencia de esta pantalla en esta versin en anteriores (como antes en la 3.x) es que ahora si
pasamos el cursor por encima de un perfil o grupo de actividades el cursor cambiara a una mano y si
hacemos clic nos iremos a los documentos de modificacin de dicho perfiles o grupo de actividad. Y
estamos en un perfil podremos ver los documentos de modificacin de las autorizaciones que lo
componen.

Visualizacin de verificacin de autorizacin

VISUALIZACION DE VERIFICACION DE AUTORIZACION

Esta utilidad nos informa de que objeto y valor necesitamos para acceder a la parte del sistema que
previamente nos ha mostrado un mensaje (ya sea en la barra de mensajes o contextual) de falta de
autorizacin (al entrar a una transaccin, centro de coste, sociedad, etc.). Veamos un ejemplo, yo he
ejecutado la transaccin SM50 Resumen de procesos y el sistema me ha sacado el siguiente mensaje:



Si a continuacin ejecutamos la transaccin SU53 Visualizar verificacin de autorizacin por el men
podemos acceder por Sistema ! Utilidades ! Visual. Verif. Autoriz. Nos saldr la siguiente pantalla:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 106


Lo importante es la parte de arriba es decir la que nos dice esto:


Figura 18.

Esta parte nos dice el objeto y el valor que necesitamos para tener acceso a la transaccin SM50, como
ayuda nos dice a que clase de objeto pertenece el objeto de autorizacin. Para saber en que perfil o grupo
de actividad esta la transaccin o cualquier otra utilizaremos la SUIM. Veamos como se hara:

Primero tenemos que ir a la SUIM y desglosar el men de Grupo de actividades como en la siguiente
imagen:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 107


a continuacin pulsaremos sobre la opcin Objeto de autorizacin y nos saldr esta otra pantalla:



En todas las opciones de la SUIM o en casi todas la pantalla de seleccin siempre aparece los campos
principales y nunca muestra todos los campos para realizar la bsqueda. En este caso solo muestra un
campo, pues bien s pulsas sobre este botn os aparece la siguiente pantalla:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 108


Esta imagen es un solo trozo de opciones de bsqueda, como ves hemos pasado de una opcin de
bsqueda a ms de veinte. El botn que hemos pulsado aparece en todas las opciones de bsqueda de la
SUIM. Ahora en el campo Transaccin escribiremos la SM50 y pulsaremos el botn de ejecutar y no
saldr lo siguiente:



Lo siguiente sera escoger uno de los cuatro y ponerlo al usuario. En la bsqueda nos saldrn tanto los
estndar como los hechos a medida. Antes de ponerlo al tumtum es bueno analizar que funcionalidad
tiene cada grupo de actividad y que funcionalidad va a tener el usuario para determinar que grupo de
actividad le insertaremos.





Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 109


En la parte inferior de la pantalla de Visualizar valores de autorizacin (Vase Figura 18) SAP nos
informara de los perfiles que tienen el mismo objeto que se nos pide en la parte superior.

Cuando el sistema no nos da ningn mensaje de falta de autorizacin en la transaccin SU53 nos saldr lo
siguiente:



Cosas a tener en cuenta:

" Muchas veces no tenemos autorizacin al entrar a determinados sitios, como por ejemplo, en los
informes si no tenemos acceso a una determinada sociedad, centro de coste, etc. El sistema no dir
que no existen datos en vez de darnos un error. Tenerlo en cuenta cuando pase eso, para hallar lo que
pasa no hay manera mejor de hace debugging.
" Muchas veces nos puede decir que no tenemos autorizacin e ir a la SU53 y darnos un objeto de
autorizacin que no tiene nada que ver con el error que nos da. Eso pasa SAP porque hace
comprobaciones de autorizaciones continuamente (casi en cada paso que hacemos) y despus de
darnos el error puede que no tengamos acceso a otro sitio pero no nos diga nada.



AUTORIZACIONES DE USUARIO

Esta otra utilidad nos dice a que objeto y autorizaciones tenemos acceso y l numero de autorizaciones
que tenemos. La transaccin es la SU56 Autorizaciones del usuario. Si la ejecuta para mi usuario saldr
lo siguiente:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 110


Al final de todo sale el nmero de autorizaciones que tengo, en mi caso saldra lo siguiente:



En esta pantalla me sale el nmero de autorizaciones que tengo, que es 2.693. Y abajo me informa de
cuantas autorizaciones admite el sistema, que es 3500.


CONTROL DE ACCESOS A NIVEL DE PROGRAMACION

En este apartado que instruccin se utiliza para verificar en un programa un objeto de autorizacin, y
veremos un ejemplo sencillo de cmo ponerlo en prctica.

La instruccin es AUTHORITY-CHECK, esta es la instruccin que usa SAP habitualmente para verificar
las autorizacin aunque tambin me he encontrado funciones que hacen el mismo cometido (estas
funciones suelen contenido la cadena AUTHORITY). La sintaxis de la funcin sera la siguiente:

AUTHORITY-CHECK OBJ ECT <objeto>
ID <campo1> {FIELD <valor1>DUMMY
ID <campo2> {FIELD <valorn>DUMMY

ID <campon> {FIELD <valorn>DUMMY

" <objeto>! Es el nombre del objeto de autorizacin que hay que comprobar.
Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 111
" Un objeto de autorizacin esta compuesto de autorizacin, todos ellos deben estar especificados a
continuacin de las clusulas ID (<campo1>, <campo2>, ., <campon>)
" <valor1>, <valor2>, ., <valorn>son los valores de autorizacin que hay que comprobar. <valorx>
puede ser un literal o una variable. El sistema busca en el perfil del usuario el objeto especificado en
la sentencia, y comprueba si el usuario tiene autorizacin para todos los campos del objeto.
" Se puede saltar la comprobacin de un determinado campo sustituyendo la clusula FIELD por
DUMMY.
" Si el sistema nos devuelve SY-SUBRC = 0 entonces el usuario esta autorizado, si devuelve un valor
diferente de 4, quiere decir, que el usuario no esta autorizado.

Un ejemplo de su utilizacin sera el siguiente:

En mis programas de control de accesos suele poner en el evento de iniciacin un AUTHORITY-CHECK
para comprar si el usuario tiene acceso a las autorizaciones. El cdigo que pongo es el siguiente:



El mensaje de error que saldra si el usuario no tiene autorizacin sera No tiene autorizacin para
ejecutar el programa &, donde el ampersan ser sustituido por el nombre del programa.

En este caso solo comprueba que el usuario tiene la actividad 03 (la de visualizar) en el objeto
S_USER_AUT.

Otro ejemplo sera como comprobar si el usuario tiene acceso o no a crear un centro:

AUTHORITY-CHECK OBJ ECT M_EINF_WRK
ID WERKS FIELD 0002
ID ACTVT FIELD 01.

Los AUTHORITY-CHECK hacen la comprobacin lgica AND, es decir, SAP hara la siguiente
comprobacin: El usuario tiene autorizacin para campo WERKS con el valor 0002 y para el campo
ACTVT con el valor 01 en el objeto M_EINF_WRK?, Si la tiene SY-SUBRC = 0 sino valdr un valor
diferente a 0. Si queremos hacer un comprobacin de tipo OR tendramos que hacer diferentes
AUTHORITY-CHECK.

Lo complicado de todo esto es hallar el objeto correcto para cada caso.

TABLAS DE CONTROL DE ACCESOS

Aparte de saber como se crean las cosas hay que saber donde se guardan, porque muchas veces es ms
rpido acceder directamente a las tablas para hallar la informacin que ir por la SUIM, aunque en esta
ltima la informacin la saca correctamente y podemos navegar por ella.

Dividir las tablas de Usuarios, Grupos de actividad, perfiles, autorizaciones y objetos. En cada apartado
mostrar las ms importantes.

Un consejo sobre las tablas de accesos en SAP, aquellas tablas que empiezan por USR* son tablas
maestras y muchas de ellas (como las perfiles por usuario, autorizaciones, etc.) tiene un campo especial
de 3750 caracteres donde se almacena toda la informacin. Por ejemplo hay tablas que en un solo registro
tiene todos los perfiles de un usuario. Estas tipo de tablas solo son tratables mediante programas y no se
Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 112
puede visualizar a travs de las transacciones SE16 o SM30, pero por suerte SAP tiene tablas secundarias
(empiezan por UST* donde s se puede visualizar la informacin cmodamente, s estas tablas
secundarias se borrasen no pasara nada, no pasara nada mientras su maestra estuviese intacta).

TABLAS DE USUARIOS

Las tablas ms importantes son las siguientes:

" USR02 ! Datos de logon del usuario.
" USR04 ! Perfiles que tiene el usuario. Hay un campo que contiene todos los perfiles del usuario.
" USR21 ! Asignacin de cdigo de usuario y clave de usuario y de direccin.
" ADCP ! Direccin del usuario
" ADRP ! Nombre, apellidos, etc. del usuario
" UST04 ! Perfiles que tiene un usuario. Hay un registro por cada perfil del usuario.

Las tablas que empiezan por AD* corresponden a los datos personales del usuario (direccin, telfono,
etc.). En versiones 3.x para buscar el nombre del usuario utilizbamos la tabla USR03 esta tabla a partir
de la 4.x se mantiene para mantener la compatibilidad con programas antiguos pero ya no se actualiza.
Para buscar el nombre del usuario tenemos que dar un poco de vuelta para ello os pego un mini-programa
que de un usuario saca su nombre:



Este ejemplo nos saca pero es perfectamente vlido para sacar la informacin de cualquier tabla que
empiece por AD*.

Fijaros en un detalle que las tablas USR04 y UST04 son exactamente lo mismo, nos muestran los perfiles
de los usuarios, pero ir a mirar los datos de una u de otra y comprobareis lo que os comente al principio.

TABLA DE GRUPO DE ACTIVIDADES

Las tablas ms importantes del grupo de actividades son las siguientes:

" AGR_DEFINE ! Atributos de un grupo de actividades
" AGR_PROF ! Perfiles que tiene un grupo de actividades.
" AGR_TCODES ! Transacciones que tiene un grupo de actividades.
" AGR_USERS ! Usuarios que tiene un determinado grupo de actividades.

Las tablas de los grupos de actividades siempre empiezan por AGR*.
TABLAS DE PERFILES

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 113
Las tablas de perfiles ms importantes son las siguientes:

" USR10 ! Tabla donde contiene los objetos y autorizaciones de un perfil simple y los perfiles
simples o compuesto de un perfil de un compuesto. Esta tabla contiene el campo donde almacena
todo, ya que esta un la tabla maestra de perfiles.
" UST10S ! Tabla secundaria de la USR10 donde nos dice los objetos y autorizaciones de un perfil
simple.
" UST10C ! Tabla secundaria de la USR10 donde nos dice los perfiles simples que tiene un perfil
compuesto.
" USR11 ! Descripcin de los perfiles

Fijaros que la tabla maestra de perfiles USR10 tiene dos tablas secundarias (UST10S y UST10C) donde
veremos la informacin correctamente.

Os pongo un programa donde de un perfil compuesto nos dice que perfiles simple tiene y de un perfil
simple nos dice que objeto y autorizaciones tiene, este programa os servir para ver como funciona la
tabla USR10:

report zdesg_prof.
************************************************************************
* REPORT: ZDESG_PROF: Programa que desglosa un perfil. Si es compuesto
* te muestra sus perfiles simples. Si es un simple te muestra sus
* autorizaciones.
************************************************************************
* AUTOR: Ivan Rodrigo
************************************************************************

************************************************************************
* TABLAS DE DICCIONARIO
************************************************************************
tables: usr10.
************************************************************************
* VARIABLES
************************************************************************
data: nraut type i,
off type i,
compuesto(1) type c value 'C',
simple(1) type c value 'S',
generado_auto(1) type c value 'G',
proflng like sy-fdpos value 12,
authlng like sy-fdpos value 12,
objlng like sy-fdpos value 10.

************************************************************************
* PANTALLA DE SELECCION
************************************************************************
parameters: perfil like usr10-profn obligatory.

************************************************************************
* COMPROBACIN DE DATOS
************************************************************************
at selection-screen.
* Busco si el perfil existe
select single * from usr10 where profn = perfil.
check sy-subrc ne 0.
write:/ 'El perfil no existe'.

************************************************************************
* SELECCION DE DATOS
************************************************************************
start-of-selection.
* Miro el tipo de perfil que me han pasado
case usr10-typ.
* El perfil es simple o perfil generado con el generador de perfiles
when simple or generado_auto.
write:/ 'El perfil simple', perfil, ' esta compuesto de:'.
skip.
perform desglosar_simples.
* El perfil es compuesto
Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 114
when compuesto.
write:/ 'El perfil simple', perfil, ' esta compuesto de:'.
skip.
perform desglosar_compuesto.
endcase.

************************************************************************
* PROCEDIMIENTOS
************************************************************************
*&---------------------------------------------------------------------*
*& Form DESGLOSAR_SIMPLES
*&---------------------------------------------------------------------*
* text
*----------------------------------------------------------------------*
form desglosar_simples.
* Inicio donde cogere los datos. Vale 2 porque la primera posicin me
* indica si los datos estn creados (valdr 'C') o modificados ('M').
* El valor de la primera posicin es de uso interno de SAP
off = 2.
* Para saber cuantas autorizaciones tiene un perfil, hay que
* dividir el campo USR10-NRAUT entre 22. (10+12, 10 de objeto y 12 de
* autorizacin)
nraut = usr10-nraut / 22.
* Un perfil simple no puede tener ms de 170 autorizaciones
if nraut > 170. nraut = 0. endif.
* Para hallar, las autorizaciones del perfil, he pasar tantas veces como
* valga nraut.
do nraut times.
* Cogo el objeto.
write:/ 'Objeto ', usr10-auths+off(objlng).
* Sumo a off, la longitud del objeto
off = off + objlng.
* Cogo la autorizacin
write: 'Autorizacin ', usr10-auths+off(authlng).
* Sumo a off la longitud de la autorizacin para coger el siguiente
* objeto
off = off + authlng.
enddo.


endform. " DESGLOSAR_SIMPLES

*&---------------------------------------------------------------------*
*& Form DESGLOSAR_COMPUESTO
*&---------------------------------------------------------------------*
* text
*----------------------------------------------------------------------*
form desglosar_compuesto.
* Inicio donde cogere los datos
off = 2.
* Para saber cuantos perfiles tiene un perfil compuesto he de dividir
* el campo USR10-NRAUT entre 12.
nraut = usr10-nraut / 12.
* Un perfil compuesto no puede tener ms de 300 perfiles simples
if nraut > 300. nraut = 0. endif.
* Para hallar, los perfiles simples de uno compuesto he de pasar tantas
* veces como valga nraut
do nraut times.
* Cogo el perfil simple.
write:/ 'Perfil ', usr10-auths+off(proflng).
* Sumo a off, la longitud del objeto
off = off + proflng.
enddo.
endform. " DESGLOSAR_COMPUESTO


TABLA DE AUTORIZACIONES

La tabla de autorizaciones ms importantes son:

Manual de Control de Accesos www.gaussr3.com
Realizado por Ivan Rodrigo (irodrigob@mentamail.net) 115
" USR12 ! Tabla maestra donde te muestra los campos y sus valores de un objeto y autorizacin.
" UST12 ! Tabla secundara donde te muestra los campos y sus valores de un objeto y autorizacin.
" USR13 ! Descripcin de un objeto y autorizacin.

TABLA DE OBJETOS Y CAMPOS

Las tablas ms importantes relacionadas con los objetos y campos son las siguientes:

" TOBJ ! Objeto de autorizacin y su respectivos campos.
" TOBJ T ! Descripcin de un objeto de autorizacin.
" TACT ! Tabla de actividades existentes en el sistema.
" TACTZ ! Relacin de objetos de autorizacin y actividades.