Truco 50.

Autorizaciones desde el Modulo de

Organizacion. PPOCW y PPOMW (y II).
Publicado el 24 marzo, 2013 por Roberto Espinosa

4 Votes

Una vez creados todos los roles de autorizacin necesarios para la gestin de los
procesos de usuario en Sap (puede ser uno de los temas que mas tiempo nos pueda
llevar por su complejidad), procederemos a crear la estructura del
organigrama dentro del mdulo de organizacin. Bsicamente, el
organigrama es una estructura jerrquica con diferentes tipos de componentes
vinculados entre si en forma de rbol. Los elementos que vamos a usar para poblar
este rbol con nuestra estructura organizativa y de autorizaciones son los siguientes
(los que a nosotros nos afectan para la gestin de autorizaciones):

Unidad Organizativa: corresponde con la estructura de departamentos

dentro de la empresa u organizacin. En nuestro ejemplo, las hemos
marcado en Rojo. Podrian corresponder a las divisiones de una empresa,
direcciones, departamentos, areas funcionales, etc. Las unidades
organizativas utilizan la sigla O (las siglas son el cdigo que identifica
a cada uno de los tipo de objeto que vamos a poder utilizar en la
definicin de la estructura).

Posicin: corresponde a los diferentes puestos de trabajo dentro de nuestra

organizacin (puede corresponder a posiciones funcionales, por tipo de
trabajo o tareas). En nuestro ejemplo, las hemos marcado en Azul. Las
posiciones utilizan la sigla S.

Empleado: podriamos asignar empleados del mdulo de RRHH de Sap a

las posiciones y despues desde el infotipo 0105 asociarle un usuario al que
derivar las autorizaciones. En nuestro ejemplo no lo vamos a utilizar, pero
que sepais que tambin existe esa posibilidad. Los empleados utilizan la
sigla P (Persona).

Usuario: codigos de usuario de los creados en el sistema (transaccin

SU01). En nuestro ejemplo, en color Naranja. Se usa la sigla US.

Rol: cdigos de los roles de autorizacin que hemos creado en el sistema

(transaccin PFCG). En nuestro ejemplo, en color Verde. Se usa la sigla AG.

El paso final, una vez creado el organigrama y asignados los diferentes elementos
necesarios en el es la explosin de la autorizacines a partir del arbol y las
relaciones de vinculacin establecidas entre los diferentes objetos que
lo forman. Esta tarea se realiza a travs de la transaccin PFUD (report
RHAUTUPD_NEW). Este proceso se puede lanzar manualmente o bien
automatizar a travs de un job que har el trabajo por nosotros.
A continuacin vamos a ver de forma detallada el proceso de creacin del
organigrama, la explosin de las autorizaciones desde el arbol al maestro de
usuarios y finalmente la parametrizacin necesaria para poder utilizar esta
funcionalidad.

Creacion de nuestro organigrama.

Con la transaccin PPOCW crearemos la unidad organizativa raiz y las
diferentes unidades organizativas y posiciones que forman nuestro
organigrama. Este organigrama podra estar construido desde el punto de vista de
la Recursos Humanos (si vamos a utilizar la asignacin de empleados) o desde el
punto de vista de uso funcional de Sap (si vamos a utilizar la asignacin de
usuarios). Puede darse el caso de que ambas vistas coincidan y utilizemos un
nico arbol.

La primera vez que entramos en la transaccin, se crea la unidad organizativa raiz,

que es la base desde la que colgarn el resto de elementos.

A continuacin, podremos ir creando el resto de elementos que cuelgan de

la raiz (igualmente desde la transaccin PPOCW o desde la PPOMW).
Para crear nuevas unidades organizativas o posiciones, seleccionaremos el lugar del
que queremos que dependan y seleccionaremos el botn Crear. El sistema nos
preguntar el tipo de elemento a crear: Unidad organizativa o Posicin.
Le indicaremos una sigla (nombre corto), una descripcin, pudiendo indicar
tambin otros aspectos como un Texto largo, informacin de imputacin del
modulo de Controlling o Tareas asignadas a la posicion (el mdulo de organizacin
tambin nos permite la definicion de tareas y su vinculacion a los objetos, pero no
vamos a entrar en esta funcionalidad).

Siguiendo el mismo procedimiento completaremos todo el organigrama con la

informacin de los diferentes departamentos, areas, direcciones, as como los
diferentes puestos de trabajo que los conforman. Una vez completada la
estructura, procederemos a la asignacin de los roles de autorizacin
en las diferentes unidades organizativas y posiciones. Es importante saber que
podemos asignar los roles en cualquier unidad organizativa o posicin,
y que las autorizaciones se heredan hacia abajo. Si, como en nuestro
ejemplo, indicamos unas autorizaciones en el nivel del Departamento de Cuentas a
Cobrar y de este departamento cuelga una posicion con otra asignacin de roles de
autorizacion, el usuario que ocupe esa posicin recibira tanto los roles de la unidad
organizativa como de la posicin. Esto nos permite definir autorizaciones genricas
para el departamento y otras especificas por posicion (mas especializadas o
restringidas). Los mismo para autorizaciones generales que pueden indicarse en la
posicin raiz para que sean heredadas por todos los usuarios (tipo autorizaciones
generales de uso de funciones bsicas).
Para asignar los roles, seleccionaremos el boton Asignar y a continuacin
seleccionaremos el tipo de objeto Rol (sigla AG). Sap nos permitir buscar

entre los diferentes Roles simples o compuestos que tengamos definidos en nuestro
sistema y asignarlos a la Unidad organizativa o posicin en la que nos encontremos
posicionados (permite seleccin multiple al hacer la asignacin, lo que es una gran
ventaja).

El ultimo paso sera, siguiendo el mismo procedimiento de asignacin, llenar las

diferentes posiciones con los usuarios que van a desarrollar cada una
de las funciones descritas. Para ello, siguiendo el mismo procedimiento,
pulsaremos el botn Asignar, seleccionaremos el tipo de objeto US (Usuario en
este caso) e indicaremos los cdigos de usuario Sap incluidos en la posicin (varios
usuarios podr ocupar una misma posicin, y Sap permite la seleccin multiple en
la asignacin).
NOTA IMPORTANTE: cuando estemos realizando tanto la creacion de las
unidades organizativas, posiciones, asi como la asignacin de roles y usuarios, es
importante haber indicado una fecha de inicio para las vinculaciones (todos los
objetos se relacionan entre si con una fecha de validez inicio/fin, con el objetivo de
permitir cambios a futuro en la estructura, que sera variable). Para ello, pulsaremos
tal y como vemos en la imagen el botn Fecha y periodo previsin e indicaremos
la fecha inicial para la validez de las vinculaciones que vayamos realizando en la
estructura.

De una forma visual hemos construido la estructura de nuestra empresa,

llenandola desde un punto de vista de las autorizaciones. De forma grfica tenemos
toda la estructura del sistema dibujada, y podemos saber donde cuelga cada
usuario y que autorizaciones tiene concedidas, de una forma ms legible que viendo
su ficha de usuario con la SU01. Adems, tenemos disponibles funciones de
bsqueda potentes que nos permiten localizar los diferentes elementos dentro del
rbol.

Explosin del organigrama hacia los datos maestros de

usuario.

La explosin del organigrama (roles) hacia el maestro de usuarios se realiza a

travs de la transaccin PFUD (que utiliza el report estandar
RHAUTUPD_NEW). La explosin la realizaremos en dos pasos:
1) Generaremos los roles en el maestro de usuario derivandolos de la
asignacin organizativa: para ello, en la transaccin PFUD seleccionaremos
la opcin Comparacion Gestion Organizacion HR.

El programa lee la estructura del organigrama, busca los roles que hayamos
indicado en los criterios de seleccion (Z* corresponderian a nuestra definicin de
Roles) dentro del arbol, los relaciona con los usuarios asignados a las unidades
organizativas o posiciones, y los asigna dentro del maestro de usuarios. Para hacer
este proceso se utilizan las vias de evaluacin, que han de estar correctamente
configuradas como veremos ms adelante.

Con este primera ejecucion de la transaccin hemos pasado de tener el usuario sin
roles en sus datos maestros a estar asignados los roles correspondientes, aunque,
es importante, sin activar (tal y como observamos en la imagen).
2) Para completar la activacin de los roles asignados, volveremos a ejecutar la
transaccin PFUD, pero seleccionando en esta ocasin las opciones
Comparacin de perfil y Comparacion de roles compuestos.

Esta segunda ejecucin recorre los roles (ya sin ser relevantes los datos del
organigrama), busca los usuarios que lo tienen asignado y activa los roles en los
datos maestros del usuario. Tras esta segunda ejecucin, los roles ya aparecen
activos en el usuario, estan disponibles para que el usuario pueda trabajar en el
sistema con las funciones descritas.

La ejecucin de estos dos procesos se puede planificar en forma de job

(2/3 veces al da) para que el ajuste se haga de forma automatica. De esta forma, la
asignacin de los usuarios en el organigrama estar activa pasadas unas pocas
horas de forma automtica (aunque siempre tendremos la opcin de forzar la
actualizacin con una ejecucin a demanda de la transaccion PFUD). La misma
transaccin PFUD permite la generacin de los jobs.

Parametrizacin necesaria para activar la funcionalidad.

Definir una Variante de Plan Activa: en la transaccion OOPV

crearemos la variante y la activaremos. En la transaccion OOAP la
asignaremos al grupo PLOGI.

Tabla PRGN_CUST: El flag de Customizing HR_ORG_ACTIVE se habra

de activar con el valor YES: este valor activa la gestion de modulo de
organizacin para la gestion de roles de autorizacin (se realiza con
la transaccin SM30 o SM31).

Via de evaluacin US_ACTGR: ajuste de la vias de evaluacion

US_ACTGR (table T77AW) a travs de la transaccin OOAW. La via de
evaluacin es la parametrizacion que permite la lectura de la asignacin de
los roles en el arbol organizativo y a partir de ah derivar los usuarios a los
que asignar los roles en su maestro de usuarios. Basicamente, determinamos
la forma en que el programa de evaluacin, partiendo de las posiciones o
unidades organizativas que tienen asignados los roles, recorre hacia arriba el
rbol hasta encontrar los cdigos de los usuarios a los que asignar los roles.

Nota importante: para que funcione la herencia de roles de unas

unidades organizativas a otras que dependan de ellas ha de estar
creada la linea 101 de la imagen (no viene en la configuracin estandar). Sin

ella no funciona la herencia (solo la herencia de primer nivel, de unidad

organizativa superior a posicion, y de ah al usuario).

Links y documentacin adicional.

Ayuda

de

Sap

sobre

la

funcionalidad:

http://help.sap.com/saphelp_nw70ehp2/helpdata/en/92/e7623c28695c63e
10000000a11405a/content.htm.

Manual de usuario: Indirect Role Assignment Using HR-ORG[1]. En este

documento de forma detallada la funcionalidad, conceptos adicionales, asi
como la distribucin entre diferentes sistemas.

Entrada del SCN donde se explica la configuracin necesaria para

permitir herencia de roles de unidad organizativa hacia abajo (de
unidad organizativa superior a inferior) en las vias de evaluacin:
https://scn.sap.com/thread/1899175.