Roles, Profiles dan PFCG di SAP

Ini adalah sebuah overview mengenai sistem authorization di SAP. Ketika seorang user (mencoba) melakukan suatu hal di sistem SAP, misalnya membuka transaksi screen ber-kode tertentu, sistem akan memeriksa apakah user tersebut memiliki authorization object tertentu. Jika authorization object tersebut dimiliki, maka diperiksa juga apakah nilai field-fieldnya match atau tidak dengan properti dari operasi yang akan dilakukan. Sebuah authorization object berisi beberapa field, field ini dapat diisi * (wildcard), multiple value ataupun single value, dan logika matching ini disesuaikan dengan jenis value yang diisi. Field diisi * berarti match dengan semua operasi. Field berisi multiple value berarti match jika properti operasi sama dengan salah satu value yang ada.
Role merupakan kumpulan dari Menu dan Authorization Object. Ada pemisahan yang agak kurang natural antara Role dan Profile, di mana Profile yang dimiliki user-lah yang dicek oleh sistem authorization di SAP. Ketika Role disave, ia harus digenerate menjadi Profile. Baik Role dan Profile diasosiasikan dengan user.
Di mana peran PFCG? PFCG menggenerate Profile dari Role. Tetapi lebih penting lagi, ia menggenerate Authorization Object yang diperlukan dari Menu yang telah dipilih ke dalam Role. Dari authorization object yg disuggest oleh PFCG, admin dapat mengubah isi field, menonaktifkan authorization object, atau bahkan menambahkan authorization object baru.