Grant,
Si es lo que estoy pensando, los roles habilitadores o roles de valor se utilizan para proporcionar autorización además del rol que contiene el contenido transaccional.
Esto puede tomar varias formas, siendo una común un rol que contiene un solo objeto de autorización que se utiliza para extender la autorización cuando no se desea una copia y modificación del rol original. No es raro ver esto para el objeto F_BKPF_BUP (mantenimiento de período de contabilización). Esto se agrega a la UMR de un usuario que puede tener el mismo acceso que un montón de otras personas pero necesita este acceso adicional.
Otra situación donde se utiliza es cuando se separa el acceso transaccional y de autorización.
El acceso a las transacciones se crea en 1 rol, y todos los objetos de autorización que se consideran relevantes para la restricción se inactivan. Estos se agregan manualmente a un rol habilitador/valor y se crean variantes para las permutaciones requeridas de las restricciones.
El último requiere cierta mutilación severa del concepto de autorización, especialmente en torno al uso de SU24 para mantener el enlace nominal entre la transacción y el objeto de autorización. Utilizando este segundo método, es muy fácil eliminar una transacción del rol del menú y dejar los objetos de autorización relevantes en el rol habilitador.
Todo el mundo parece tener opiniones sobre el concepto de habilitador, personalmente no me gusta, he visto demasiadas implementaciones desastrosas usándolo. También es difícil de revisar utilizando herramientas estándar.
