Вернемся на Землю и поговорим о проблемах насущных. Наследование ролей полномочий в транзакции PFCG очень удобная штука, когда у нас большое предприятие, широкая география, и на местах есть люди, которые отвечают за какой-то вполне конкретный функционал. Если этот функционал одинаковый, то разумно создать шаблонную роль, которая наследуется в дочерние роли с указанием конкретного значения объекта полномочий. Например, центральная роль ведения кадровых данных является шаблонной, в ней не указывается раздел персонала. А в наследуемых с суффиксом _XXXX, где XXXX — код раздела персонала, — указывается конкретное значение раздела персонала. При необходимости добавить новый инфотип в роль меняется только шаблонная роль, нажимается волшебная кнопочка, и все дочерние роли автоматические актуализируются с учетом нового инфотипа. Просто и удобно.
На практике это выглядит вот так.
Создаем шаблонную роль ZPARENT_XXXX с доступом ко всем инфотипам.
Создаем дочернюю роль с доступом только для раздела персонала 3101 и указываем, что эта роль дочерняя.
Как мы видим, при первом создании ничего не наследуется.
Для копирования объектов полномочий из шаблонной роли нажимаем на кнопочку «Скопировать данные». Далее меняем раздел персонала на 3101.
Сохраняем, генерируем профиль. Все хорошо. Теперь посмотрим как работает наследование. В родительской роли добавим доступ к транзакции PA30.
И попросим систему унаследовать это изменение. Меню «Полномочия — Адаптировать производные».
Открываем дочернюю роль и видим изменение.
ВАЖНО. Шаблонные роли никогда не должны присваиваться пользователям!!!
2 комментария
Calm
Для полноты картины можно дополнить про небольшую особенность переноса производных ролей. Их же надо пачкой переносить при изменении исходной. Для этого в меню PFCG есть соответствующие пунктики про массовую обработку ролей..
Denis Ryazanov
Если внесли изменения в полномочия родительской роли, спустить изменения в дочерние роли можно по пункту меню «Полномочия — Адаптировать производные».
Если внесли изменения во множество родительских ролей, способа массово спустить изменения в дочерние роли я не нашел. После того, как несколько раз прокликал адаптацию для 5-ти родительских ролей, нашел ФМ SUPRN_TRANSFER_AUTH_DATA.
ФМ адаптирует дочерние (производные) роли и генерирует им профили.
CALL FUNCTION ‘SUPRN_TRANSFER_AUTH_DATA’
EXPORTING
top_activity_group = global_act_objid
generate_profiles = lf_prof_gen.
top_activity_group — роль
generate_profiles — метка необходимости генерации профиля.