Ein Mitarbeiter, mehrere Verantwortlichkeiten in unterschiedlichen Unternehmensbereichen? Über kontextsensitive Berechtigungen bilden Sie das ab, ohne dass die Mitarbeiter für jeden Verantwortungsbereich einen separaten SAP-User brauchen. Wie Sie kontextsensitive Berechtigungen nutzen, welche Objekte Sie benötigen und worauf Sie achten müssen, erklären wir heute.
Es ist ein typisches Beispiel: Eine Mitarbeiterin der HR-Abteilung ist für die Arbeitszeiterfassung des ganzen Unternehmens verantwortlich. Gleichzeitig braucht sie als Teamleiterin Zugriff auf die Gehaltsdaten ihrer Teammitglieder, soll aber aus Datenschutzgründen die aller anderen Mitarbeiter im Unternehmen natürlich nicht sehen können.
Mit „normalen“ und selbst mit strukturellen Berechtigungen stoßen Sie hier an Ihre Grenzen. Die Berechtigungen würden sich addieren. Das heißt, würden Sie der Mitarbeiterin Zugriff auf die Gehaltsdaten ihres Teams und auf die Arbeitszeitdaten aller anderen Mitarbeiter gewähren, könnte die Mitarbeiterin am Ende die Gehaltsdaten aller Angestellten einsehen. Um das zu lösen, müssten Sie der Mitarbeiterin zwei User zuweisen, um die Aufgaben zu trennen. Doch das ist nicht nur fehleranfällig, sondern im Arbeitsalltag auch sehr umständlich. Hier kommen kontextsensitive Berechtigungen ins Spiel.
Kontextabhängige Berechtigungen: Voraussetzungen und Vorgehen
Kontextabhängige Berechtigungen erlauben Ihnen, Rollen differenzierter auszuprägen. Doch das funktioniert nur, wenn Sie:
- ein gut gepflegtes Orgmanagement haben und
- bereits mit strukturellen Profilen arbeiten.
Sind diese Voraussetzungen erfüllt, müssen Sie:
- in den relevanten Rollen die herkömmlichen Berechtigungsobjekte durch kontextabhängige Objekte ersetzen,
- in den jeweiligen Berechtigungshauptschaltern die gewöhnlichen Objekte deaktivieren und die kontextabhängigen aktivieren,
- allen Usern strukturelle Berechtigungsprofile zuweisen (falls noch nicht geschehen) und diese in den Rollen in die kontextsensitiven Objekte einbauen.
Kontextsensitive Berechtigungsobjekte
Kontextabhängige Berechtigungsobjekte erkennen Sie an der Endung „CON“. Sie ersetzen mit ihnen die entsprechenden Objekte ohne diese Endung. Dabei handelt es sich um folgende Objekte (und die dazu gehörenden Berechtigungshauptschalter):
| Nicht-kontextsensitives Objekt | Kontextsensitives Objekt | Hauptschalter für Kontextberechtigungen |
| P_ORGIN | P_ORGINCON | AUTSW INCON |
| P_ORGXX | P_ORGXXCON | AUTSW XXCON |
| P_NNNNN | P_NNNNNCON | AUTSW NNCON |
Kontextsensitive und nicht-kontextsensitive Objekte unterscheiden sich nur in einem einzigen Feld: Die CON-Objekte verfügen zusätzlich über das Feld Berechtigungsprofil. Darüber hinaus erlauben alle oben genannten Objekte die Ausprägung der Felder:
- Berechtigungslevel
- Infotyp
- Personalbereich
- Mitarbeitergruppe
- Mitarbeiterkreis
- Subtyp
- Organisationsschlüssel
Das Feld Berechtigungsprofil nutzen
Im Feld Berechtigungsprofil tragen Sie die jeweiligen strukturellen Profile ein. Wichtig ist, dass Sie diese Profile auch den jeweiligen Usern zuordnen. Das geht entweder über die Transaktion OOSB oder über das Business AdIN (BADI) HRBAS00_GET_PROFL.
Achtung: Im Standard gibt es keine vorgegebene Ordnung für die strukturellen Profile. Das kann schnell unübersichtlich werden. Sorgen Sie also dafür, die Profile möglichst eindeutig zu benennen. Über die Profile vergeben Sie die Berechtigung in Abhängigkeit zur Orgeinheit, also beispielweise einer Abteilung, eines Teams usw.
Gut zu wissen: Über kontextsensitive Berechtigungsobjekte berechtigen Sie immer auf Infotypen oder Subtypen. Sie können damit keine Berechtigungen zum Beispiel nach Transaktionen ausprägen.
Für unser Beispiel könnte die Mitarbeiterin zwei Berechtigungsprofile haben: ZB_EIGEN für die ihr eigenes Team und Z_GESAMT für das ganze Unternehmen. Um die Berechtigungen für beide Verantwortungsbereiche zu differenzieren, prägen Sie in der Rolle das Objekt P_ORGINCON zweimal aus.
Die erste Variante erlaubt der Teamleiterin, sich die Gehaltsdaten (Infotyp 0008) ihres eigenen Teams anzusehen. Die zweite Ausprägung berechtigt sie, bestimmte Arbeitszeitdaten (Infotypen 2001 – 2004) aller Mitarbeiter im Unternehmen zu bearbeiten. Ungewollte Überschneidungen sind damit ausgeschlossen.
Berechtigungshauptschalter für kontextsensitive Berechtigungen aktivieren
Wollen Sie im SAP HCM von strukturellen auf kontextsensitive Berechtigungen umstellen, empfiehlt es sich, zunächst alle Rollen mit kontextsensitiven Objekten auszustatten und die Feldwerte aus den herkömmlichen Objekten zu übertragen.
Lassen Sie die herkömmlichen Objekte noch in den Rollen. Sollte es bei der Umstellung auf kontextsensitive Berechtigungen zu einem Fehler kommen, können Sie so schnell auf die alte Version wechseln und Ihre Mitarbeiter bleiben arbeitsfähig.
Um kontextsensitive Berechtigungsobjekte zu aktivieren, gehen Sie über die Transaktion OOAC zur Übersicht der Berechtigungshauptschalter im HR-System.
Suchen Sie hier die jeweiligen Hauptschalter zu Ihren Objekten und setzen Sie diese auf den Wert „1“. Speichern Sie die Auswahl. Damit sind die kontextsensitiven Berechtigungsobjekte aktiviert. Vergessen Sie nicht, die Berechtigungshauptschalter für die herkömmlichen Objekte auf „0“ zu setzen, um diese zu deaktivieren.
Ein Kommentar zu “SAP HCM: Kontextsensitive Berechtigungen”