Génération automatique autorisation par entités organisationnelles

Gestion des accès sous SAP

Génération automatique autorisation par entités organisationnelles

Messagede JHG » 03 Novembre 2010, 11:25

Bonjour,

A la base une hypothèse simple, imaginons que je souhaite donner les droits de modification (par la transaction KS02) d'un centre de coûts par utilisateur: Utilisateur A / Centre de coûts 1; Utilisateur B / Centre de coûts 2; etc...

Question 1:
- Dans ma compréhension, je suis obligé d'avoir un profil et un rôle simple par centre de coûts / utilisateur, est ce exact?

Question 2:
- Imaginons que j'ai 2000 utilisateurs pour 2000 centres de coûts, comment générer en masse tous les profils nécessaires?

Merci pour cet éclaircissement,

JHG
JHG
Posteur débutant
Posteur débutant
 
Messages: 8
Inscription: 08 Novembre 2009, 16:25

Re: Génération automatique autorisation par entités organisationnelles

Messagede aurelie » 04 Novembre 2010, 11:52

Bonjour,

J'ai étudié ces questions en parallèle avec ce qui a été mis en place sur le projet sur lequel je suis en ce moment, et voici mes réponses à tes questions:

Question1 :

Pour limiter le domaine d’action des utilisateurs à un nombre limité de centres de coûts, il est en effet possible de le faire en créant un rôle simple par centre de coût.

Cependant, il est également possible « d’alléger » ces rôles de la manière suivante (notamment s’il y a de nombreux centres de coût à gérer).
Créer un profil/rôle général, de gestion des centres de coûts (Appelons-le Z_GESTION_CC) ; comprenant les habilitations et accès aux codes transactions nécessaires aux utilisateurs (dont entre autre l’accès à KS02).

Lorsque ce profil Z_GESTION_CC seul sera affecté à l’utilisateur, celui-ci aura accès à tous les centres de coût existants.

En parallèle, il est possible de créer des rôles simples, qui ne portent que les objets autorisations « classes d’objet spécifique », et qui limitent ainsi les droits à un centre de coût donné.
C’est ce rôle simple qu’il faudra décliner autant de fois que de centres de coût existant. (Dans cet exemple, il faudra créer 2 000 rôles).
Ces rôles iront par exemple de Z_GESTION_CC_0001 à Z_GESTION_CC_2000.

Le paramétrage de ces rôles « limitants » se fait de la manière suivante :
Dans la transaction PFCG, créer un rôle portant uniquement les objets d'autorisation "classe d'objet spécifique" (ZZZ)

Tout d'abord créer le rôle

Image

Ajouter ensuite les objets d'autorisation spécifique (ZZZ)
Ces objets sont à paramétrer préalablement via la transaction SU21, nous verrons plus bas comment effectuer ce paramétrage.

Image

Image

Indiquer le centre de coût autorisé (pour le rôle Z_GESTION_CC_0001, le centre de coût 0001 ;) ...)

Image

L'ajout des objets d'autorisation dans la classe d'objet spécifique doit être paramétré. Cela se fait via la transaction SU21, de la manière suivante:

Image

Une fois toutes ces étapes effectuées (et les 2000 rôles créés... ;)) L'affectation des rôles aux utilisateurs doit se faire de la manière suivante:

Si l’on souhaite donner à un utilisateur l’accès uniquement au centre de coût 1952, les rôles à affecter à son user seront les suivants :
Z_GESTION_CC
Z_GESTION_CC_1952

De même, si l’on souhaite lui donner accès à 3 centre de coûts (0001, 1952 et 2000 par exemple), les rôles à affecter seront les suivants :
Z_GESTION_CC
Z_GESTION_CC_1952
Z_GESTION_CC_0001
Z_GESTION_CC_2000

Et ainsi de suite, en fonction du nombre de centre de couts sur lesquels on souhaite habiliter l’utilisateur.

Question2:

Pour la création en masse, avec la solution présentée ci-dessus, une fois le paramétrage SU21 effectué (une seule fois), c'est un rôle assez simple qu'il reste à créer 2000 fois.
Je pense donc que cette création en masse doit pouvoir s'effectuer via l'outil LSMW. Je regarde plus en détail comment effectuer cette création, et si je trouve un outil standard SAP, et je reviens vers toi rapidement!

Bonne journée!
Aurélie.
Avatar de l’utilisateur
aurelie
Posteur débutant
Posteur débutant
 
Messages: 8
Inscription: 12 Février 2010, 14:19

Re: Génération automatique autorisation par entités organisationnelles

Messagede JHG » 04 Novembre 2010, 14:13

Super, nous avons les même conclusions sur l'utilisation d'un rôle simple par centre de coûts, je pense que l'objet d'autorisation spécifique n'est pas indispensable (dans le sens, où il y a des objets d'autorisation standard), mais ok sur le principe: excellent.

Sur la création en masse, c'est vraiment l'objet de ma question, je regarde également et je posterai une réponse si je trouve.

Merci à toi,

JH
JHG
Posteur débutant
Posteur débutant
 
Messages: 8
Inscription: 08 Novembre 2009, 16:25

Re: Génération automatique autorisation par entités organisationnelles

Messagede aurelie » 04 Novembre 2010, 17:38

Re-bonjour!

Après une rapide recherche, je n'ai pas trouvé d'outils standard permettant la création de rôles en masse.

Par contre, j'ai vérifié, cette création en masse peut bien se faire via LSMW, dans le cas d'une création de rôle simple auquel on ne ferait qu'affecter un objet d'autorisation (dans le cas du centre de coût, j'ai regardé, et en effet il existe un objet standard ;) ).

Ce serait une bonne solution "one shot" si tu as juste tes 2000 rôles simples à créer en une fois.

Cela fonctionnera donc si tu cherches à créer tes 2000 rôles une bonne fois, mais pas si tu cherche une solution plus "durable" et moins spécifique (créations de différents rôles avec différents objets d'autorisation).

Si tu penses que le LSMW peut résoudre ton problème, je peux t'envoyer les printscreen des champs à mapper etc...

Aurélie.
Avatar de l’utilisateur
aurelie
Posteur débutant
Posteur débutant
 
Messages: 8
Inscription: 12 Février 2010, 14:19

Re: Génération automatique autorisation par entités organisationnelles

Messagede JHG » 10 Novembre 2010, 18:24

Bonjour,

Juste pour info, je pense qu'il existe des programme de génération automatique des profils pour les centres de coûts, à partir de la zone User de la fiche de centre de coûts, le programme FPB_GENERATE_PROFILE_CCMD doit pouvoir aider.

Pas testé, mais à creuser.

JH
JHG
Posteur débutant
Posteur débutant
 
Messages: 8
Inscription: 08 Novembre 2009, 16:25

Re: Génération automatique autorisation par entités organisationnelles

Messagede jlegal » 15 Novembre 2010, 17:56

hello,

il y a plusieurs méthodes pour gerer les données orga dans les roles:

-les rôles organisationnels: consiste a découper la partie transactionnelle de la partie organisationnelle du role. La partie transactionnelle est commune a l'ensemble des utilisateurs, l'autre habilite selon la donnée orga, dans ton cas le centre de cout=>cf solution présentée par aurélie.
avantage: volumétrie des ordres de transport

-la dérivation des rôles: un role template dérivé sur n familles orga (option "rôle dérivé" dans SAP).
avantage: beaucoup plus simple pour la maintenance et pour la SOD

Concernant ta seconde question, je pense qu'elle nécessite quelques précisions:
-Si tu cherches a creer les 2000 roles, un SECATT ou un LSMW devrait faire l'affaire
-Si tu cherches a générer les profils au sens SAP du terme, la transaction SUPC est ton amie..

A noter: un rôle par centre de coût avec 2000 CC dans ton référentiel me parait un peu excessif.. Il est important de définir le juste niveau de détail lors de la conception des rôles(impact lourd sur la maintenance quotidienne des roles). A noter: tu peux regrouper tes CC via des hiérarchies.

J'espere que cela t'aideras,
Julien
Avatar de l’utilisateur
jlegal
Administrateur
Administrateur
 
Messages: 68
Inscription: 02 Juillet 2009, 22:56


Retourner vers Roles et autorisations

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités