Berechtigungen im SAP

Sie überlegen, kontextabhängige HR-Berechtigungen einzuführen. Die notwendige Umstellung sämtlicher Rollen auf einmal schreckt Sie aber ab? Dann können wir ihnen vielleicht einen Weg zeigen, wie Sie diese Umstellung schrittweise und ohne „Big Bang“ hinter sich bekommen. 

Das Konzept und die Vorteile von kontextabhängigen Berechtigungen haben wir einem eigenen Artikel beschrieben. Für deren Einsatz ist ein eigenes Berechtigungsobjekt notwendig. Und sobald Sie die Kontextberechtigungen per Hauptschalter aktivieren, muss dieses Berechtigungsobjekt in allen Rollen vorhanden sein. Sämtliche Rollen die dann noch nicht umgestellt sind, verlieren nach der Aktivierung schlagartig ihre Funktion.

Viel besser ist es, wenn diese Umstellung langsam, Schritt für Schritt, Rolle für Rolle durchgeführt werden kann. Das entzerrt den Arbeitsaufwand im Projekt. Und auch das Risiko bei der Produktivsetzung verringert sich. In den nächsten Abschnitten zeigen wir Ihnen, wie so eine schrittweise Umstellung gehen kann.

Automatische Kopie der Objekte

Die Anpassung aller Rollen im System ist ein riesiger Aufwand, wenn er per Hand durchgeführt wird. Es ist aber möglich, diesen Aufwand zu automatisieren, z.B. durch einen kundeneigenen Report. So ein Report kann alle betroffenen Berechtigungsobjekte ermitteln und ein entsprechendes kontextabhängiges Berechtigungsobjekt in die Rollen einfügen. Es bleibt allerdings noch das Problem, dass die neuen Berechtigungsobjekte mit sinnvollen Inhalten gefüllt werden müssen. 

Berechtigungsobjekt ohne Kontext
Berechtigungsobjekt ohne Kontext

Generisches Berechtigungsprofil

Bei der kontextabhängigen Berechtigungsprüfung enthält jedes Berechtigungsobjekt ein Feld PROFL („Berechtigungsprofil“) das, kurzgefasst, auf ein Customizing verweist, mit dem Personalnummern ausgewählt werden. Berechtigung wird nur erteilt, wenn eine geprüfte Personalnummer sowohl über das Berechtigungsprofil als auch über alle anderen Berechtigungsfelder (z.B. Personalbereich, Mitarbeitergruppe usw.) zugelassen wird. 

Wenn nun ein Profil eingetragen wird, welches sämtliche Personalnummern im System enthält, verhält sich das System genauso wie vor Einführung der kontextabhängigen Berechtigungen: Es kommt nur auf die übrigen Felder der Berechtigungsobjekte an, die ja in bestehenden Systemen bereits ausgeprägt sind.

Berechtigungsobjekt mit Kontext für alle Personalnummern
Berechtigungsobjekt mit Kontext für alle Personalnummern
Profil für alle Personalnummern
Profil für alle Personalnummern

Etwas Vorsicht ist dabei in Bezug auf die strukturelle Berechtigungen für OM-Objekte notwendig. Sie sollten vorher klären, ob hier bereits Profile zugeordnet sind, um Probleme im OM zu vermeiden.

Rein technische Produktivsetzung

Wenn (Schritt 1) in allen Rollen die kontextabhängigen Berechtigungsobjekte ergänzt worden sind und (Schritt 2) in diesen Objekten als Berechtigungsprofil sämtliche Personen zugelassen werden, dann kann die kontextabhängige Berechtigungsprüfung eingeschaltet werden und es ändert sich … (Trommelwirbel) … genau gar nichts. Alle Berechtigungsprüfungen funktionieren genauso wie vorher. Das klingt jetzt unspektakulär, ist aber in Wirklichkeit enorm hilfreich. Denn jetzt kann man für einzelne Rollen Berechtigungsprofile ausprägen und die Vorteile der kontextabhängigen Berechtigungen einführen, ohne das ganze System zu zerschießen. 

Reorganisation der Rollen

Die Ausgangsfrage war ja: „Wie kann ich von kontextabhängigen Berechtigungen profitieren, ohne unendlich viel Arbeit investieren zu müssen?“. Genau an diesem Punkt sind wir jetzt: Mit wenig Aufwand ist das System bereit für die nächsten Schritte. Rolle für Rolle – beginnend mit den größten Problemkindern – können die Möglichkeiten der kontextabhängigen Berechtigungen genutzt werden. 

Eine Neustrukturierung aller Rollen im System – am besten mit dem Ergebnis „eine Funktion = eine Rolle“ –  ist natürlich immer noch ein erheblicher Aufwand. Bei länger laufenden Installationen mit „gewachsener Berechtigungslandschaft“ wird sich dieser Aufwand aber eindeutig lohnen. Und mit dem beschriebenen Verfahren können Sie diesen Aufwand auch leisten, ohne dass alle verfügbaren Ressourcen in einem einzelnen Großprojekt gebunden werden. 

Gibt es evtl. ein Thema, was Sie „brennend“ interessiert und worüber wir unbedingt schreiben sollten?

Dann schicken Sie uns Ihre Idee gerne per Mail über das folgende Kontaktformular! Vielen Dank im Voraus!