Lesezeit ca. 3 Minuten
Im ersten Artikel der Reihe haben wir einen Überblick über das Thema „Infotyp-Berechtigungen“ gegeben. Außerdem haben wir beschrieben, wo Sie in Ihrem System nachsehen können, wie die Berechtigungen konfiguriert sind. Im zweiten Teil möchten wir etwas ins Detail gehen und die Allgemeine Berechtigungsprüfung vorstellen.
Die Allgemeine Berechtigungsprüfung ist der einfachste Fall der Infotyp-Berechtigungen. Wenn das System den Zugriff auf Daten einer Personalnummer prüft, vergleicht es Felder aus der Organisatorischen Zuordnung der Personalnummer mit den Berechtigungsobjekten des Benutzers.
Berechtigungsobjekte der Allgemeinen Berechtigungsprüfung
Grundsätzlich stehen drei verschiedene Berechtigungsobjekte zur Verfügung. Alle Objekte können Berechtigungen je nach Infotyp, Subtyp und Berechtigungslevel (lesen / schreiben usw.) unterscheiden:
P_ORGIN mit Feldern zur organisatorischen Zuordnung des Mitarbeiters. Dazu zählen der Personalbereich, die Mitarbeitergruppe, der Mitarbeiterkreis und der Organisationsschlüssel (0001-VDSK1). Da der Organisationsschlüssel flexibel zu belegen ist, können Sie hier verschiedene selbstdefinierte Sachverhalte abbilden, z.B. die Kostenstelle.
Allgemeine Berechtigungsprüfung durch P_ORGIN
P_ORGXX mit der Zuordnung zu Sachbearbeitern. Hier können Sie die Sachbearbeitergruppe sowie die Sachbearbeiterfelder für Personal, Abrechnung oder Zeitwirtschaft verwenden.
Allgemeine Berechtigungsprüfung durch P_ORGXX
Das dritte Berechtigungsobjekt kann (muss) von jedem Kunden selbst ausgeprägt werden (diese Variante wird manchmal als „P_NNNNN“ bezeichnet, obwohl das konkrete Objekt bei jedem Kunden anders heißen wird). Die Felder „Infotyp“, „Subtyp“ und das Berechtigungslevel sind auf jeden Fall erforderlich. Bei den übrigen (bis zu 7) Feldern können Sie alle Felder aus dem Infotyp „Organisatorische Zuordnung“ wählen. Interessant ist hier z.B. die Kostenstelle.
Zusätzlich kann beim kundeneneigenen Objekt der Transaktionscode geprüft werden – so können Sie die Berechtigungen je nach Transaktion anpassen. Häufig wird in einer Anwendung ein bestimmter Infotyp benötigt um einzelne Felder anzuzeigen (z.B. der Infotyp 0008 in einer Auswertung von Tarifgruppen). Dieser Infotyp soll aber dann nicht in Gänze in der PA20 zur Verfügung stehen. Mit dem Transaktionscode als Teil der Prüfung können Sie dieses Problem lösen. Für Reports die auf der logischen Datenbank PNP / PNPCE beruhen, ist das auch mit dem Berechtigungsobjekt P_ABAP möglich. Die Lösung mit dem Transaktionscode im kundeneneigenen Berechtigungsobjekt funktioniert aber bei jeglichen Transaktionen.
Allgemeine Berechtigungsprüfung durch P_NNNNN
Wo ist der Haken?
Mit den Standardfeldern aus dem Infotyp „Organisatorische Zuordnung“ können Sie Berechtigungen ganz gut eingrenzen. Außerdem können Sie über das kundeneigene Berechtigungsobjekt selbst entwickelte Felder im Infotyp 0001 prüfen. Hier ist jede beliebige Systematik möglich.
Leider geht diese Flexibilität in diesem Fall auf Kosten der Einfachheit. Wenn wir die Berechtigungen über Felder im Infotyp 0001 abbilden bringt das an verschiedenen Stellen Probleme mit sich
Viele Rollen erforderlich
Angenommen, die Berechtigungen sind nach Arbeitsgruppen (einem kundeneigenen Feld in Infotypen 0001) aufgebaut, dann brauchen Sie für jede Arbeitsgruppe eine eigene Rolle.
Rollen abhängig von der Organisation
Jedes mal, wenn neue Arbeitsgruppen (aus dem Beispiel oben) hinzukommen, müssen die Berechtigungsrollen angepasst werden. Wenn Arbeitsgruppen wegfallen, werden Rollen obsolet.
Rolle wechselt bei Versetzungen
Wenn ein Benutzer von einer Arbeitsgruppe zur nächsten wechselt, muss er trotz gleicher Tätigkeit eine andere Rolle erhalten. Und, was fast noch wichtiger ist, die alte Rolle muss ihm entzogen werden.
Mehr Datensätze im IT0001
Wenn Felder verwendet werden, die nicht im Standard vorkommen (wie in unserem Beispiel) gibt es noch mehr Änderungen im Infotypen 0001. Das führt dazu, dass sich die Anzahl der Datensätze noch weiter erhöht.
Ausblick
Die Strukturelle Berechtigungen und die Kontextabhängige Berechtigungen können bei geschicktem Aufbau die oben genannten Probleme vermeiden. Dazu nutzen Sie zum einen das Organisationsmanagement, zum anderen erlauben sie generische Regeln für die Berechtigungen. Das klassische Beispiele ist hier die Regel „Berechtige bitte alle Mitarbeiter einer Führungskraft“. Diese Festlegung ist unabhängig davon, in welcher Organisationseinheit ein Benutzer sitzt.
Im nächsten Artikel gehen wir auf diese beiden Konzept näher ein. Wenn Sie Fragen zu dem Thema haben oder Wünsche auf welche Punkte wir näher eingehen sollen, können Sie uns gerne kontaktieren.
