Infotyp-Berechtigungen im HCM – Teil 2

Lesezeit ca. 3 Minuten

Im ersten Artikel der Reihe haben wir einen Überblick über das Thema „Infotyp-Berechtigungen“ gegeben. Außerdem haben wir beschrieben, wo Sie in Ihrem System nachsehen können, wie die Berechtigungen konfiguriert sind. Im zweiten Teil möchten wir etwas ins Detail gehen und die Allgemeine Berechtigungsprüfung vorstellen.

Die Allgemeine Berechtigungsprüfung ist der einfachste Fall der Infotyp-Berechtigungen. Wenn das System den Zugriff auf Daten einer Personalnummer prüft, vergleicht es Felder aus der Organisatorischen Zuordnung der Personalnummer mit den Berechtigungsobjekten des Benutzers.

Berechtigungsobjekte der Allgemeinen Berechtigungsprüfung

Grundsätzlich stehen drei verschiedene Berechtigungsobjekte zur Verfügung. Alle Objekte können Berechtigungen je nach Infotyp, Subtyp und Berechtigungslevel (lesen / schreiben usw.) unterscheiden:

P_ORGIN mit Feldern zur organisatorischen Zuordnung des Mitarbeiters. Dazu zählen der Personalbereich, die Mitarbeitergruppe, der Mitarbeiterkreis und der Organisationsschlüssel (0001-VDSK1). Da der Organisationsschlüssel flexibel zu belegen ist, können Sie hier verschiedene selbstdefinierte Sachverhalte abbilden, z.B. die Kostenstelle.

P_ORGXX mit der Zuordnung zu Sachbearbeitern. Hier können Sie die Sachbearbeitergruppe sowie die Sachbearbeiterfelder für Personal, Abrechnung oder Zeitwirtschaft verwenden.

Das dritte Berechtigungsobjekt kann (muss) von jedem Kunden selbst ausgeprägt werden (diese Variante wird manchmal als „P_NNNNN“ bezeichnet, obwohl das konkrete Objekt bei jedem Kunden anders heißen wird). Die Felder „Infotyp“, „Subtyp“ und das Berechtigungslevel sind auf jeden Fall erforderlich. Bei den übrigen (bis zu 7) Feldern können Sie alle Felder aus dem Infotyp „Organisatorische Zuordnung“ wählen. Interessant ist hier z.B. die Kostenstelle.

Zusätzlich kann beim kundeneneigenen Objekt der Transaktionscode geprüft werden – so können Sie die Berechtigungen je nach Transaktion anpassen. Häufig wird in einer Anwendung ein bestimmter Infotyp benötigt um einzelne Felder anzuzeigen (z.B. der Infotyp 0008 in einer Auswertung von Tarifgruppen). Dieser Infotyp soll aber dann nicht in Gänze in der PA20 zur Verfügung stehen. Mit dem Transaktionscode als Teil der Prüfung können Sie dieses Problem lösen. Für Reports die auf der logischen Datenbank PNP / PNPCE beruhen, ist das auch mit dem Berechtigungsobjekt P_ABAP möglich. Die Lösung mit dem Transaktionscode im kundeneneigenen Berechtigungsobjekt funktioniert aber bei jeglichen Transaktionen.

Wo ist der Haken?

Mit den Standardfeldern aus dem Infotyp „Organisatorische Zuordnung“ können Sie Berechtigungen ganz gut eingrenzen. Außerdem können Sie über das kundeneigene Berechtigungsobjekt selbst entwickelte Felder im Infotyp 0001 prüfen. Hier ist jede beliebige Systematik möglich.

Leider geht diese Flexibilität in diesem Fall auf Kosten der Einfachheit. Wenn wir die Berechtigungen über Felder im Infotyp 0001 abbilden bringt das an verschiedenen Stellen Probleme mit sich

 

Ausblick

Die Strukturelle Berechtigungen und die Kontextabhängige Berechtigungen können bei geschicktem Aufbau die oben genannten Probleme vermeiden. Dazu nutzen Sie zum einen das Organisationsmanagement, zum anderen erlauben sie generische Regeln für die Berechtigungen. Das klassische Beispiele ist hier die Regel „Berechtige bitte alle Mitarbeiter einer Führungskraft“. Diese Festlegung ist unabhängig davon, in welcher Organisationseinheit ein Benutzer sitzt.

Im nächsten Artikel gehen wir auf diese beiden Konzept näher ein. Wenn Sie Fragen zu dem Thema haben oder Wünsche auf welche Punkte wir näher eingehen sollen, können Sie uns gerne kontaktieren.

Vorherige Artikel dieser Reihe