SAP HCM: Strukturelle Berechtigungen

Sie wollen im HR-Bereich Berechtigungen vergeben, die auch dann noch funktionieren, wenn eine Abteilung wächst oder sich Strukturen im Unternehmen ändern? Strukturelle Berechtigungen können hier das Mittel der Wahl sein – wenn Ihre Mitarbeiter in einem Verantwortungsbereich ausschließlich eine einzige Funktion innehaben. Worauf Sie achten müssen und wie strukturelle Berechtigungen funktionieren, erklären wir hier.

Nehmen wir an, Sie arbeiten für ein mittelständisches Unternehmen. Die Strukturen sind vergleichsweise einfach, doch das Unternehmen wächst kontinuierlich und die Unternehmensorganisation verändert sich deshalb immer wieder. Mit allgemeinen Berechtigungen kommen Sie nicht mehr weiter, weil die stets von Hand nachgepflegt werden müssen, wenn sich die Struktur von Abteilungen oder Teams ändert. Sie entscheiden sich für strukturelle Berechtigungen.

Die kommen aber nicht nur in der Personaladministration zum Einsatz, sondern auch für:

  • Anzeige und Pflege von Objekten des Organisationsmanagements
  • Anzeige und Pflegen aller HCM-Objekten, die aus HRP-Tabellen angelegt sind

Wichtig: Strukturelle Berechtigungen funktionieren nur im Zusammenspiel mit den allgemeinen Berechtigungen. Um Berechtigungen zu erteilen, muss die Prüfung in den strukturellen und den allgemeinen Berechtigungen positiv sein.

Um strukturelle Berechtigungen zu nutzen, müssen Sie strukturelle Profile anlegen (Transaktion OOSP).

Profile werden – wie Rollen – zunächst userunabhängig angelegt und den Usern anschließend zugewiesen. Achten Sie darauf, möglichst eindeutige Namen für Ihre eigenen Profile zu vergeben.

Mit Doppelklick auf das Profil (Achtung, die Zeile muss ausgewählt sein!), öffnen Sie die Pflegeparameter des Profils und können das Profil ausprägen:

  • Planvariante
  • Objekttyp (in der Regel interne HCM-Objekte, etwa P (Person) oder AP (Bewerber))
  • Objekt-ID (kennzeichnet das Wurzelobjekt)
  • Pflege (erlaubt Pflege des Objekts, wenn das in der Tabelle T77FC so vorgesehen und die Pflege auch über die allgemeinen Berechtigungen erlaubt ist)
  • Auswertungsweg
  • Statusvektor (1 = aktiv, 2 = geplant, 3 = beantragt, 4 = genehmigt, 5 = abgelehnt)
  • Tiefe (Anzahl der berechtigten Ebenen unterhalb des Wurzelobjekts, 0 oder Leerzeichen umfasst alle Ebenen)
  • Vorzeichen (kehrt die Richtung für die Tiefe um, die Zahl der berechtigten Ebenen wird also nicht mehr vom Wurzelobjekt aus abwärts gezählt, sondern von der letzten Ebene aufsteigend zum Wurzelobjekt)
  • Zeitraum (legt fest, ob der User direkt zum Stichtag oder nur in einem Zeitraum (etwa Monat oder Jahr) um den Stichtag berechtigt sein muss: D = Stichtag, M = laufender Monat, Y = laufendes Jahr, P = Vergangenheit, F = Zukunft)
  • Funktionsbaustein

Um die Berechtigungen zu definieren, die über ein strukturelles Profil vergeben werden, sind die wichtigsten Felder der Auswertungsweg und die Objekt-ID bzw. der Funktionsbaustein.

Auswertungswege bestimmen die Berechtigungsprüfung

Strukturelle Berechtigungen folgen vorher festgelegten Auswertungswegen, zum Beispiel dem Weg O-O-S. O steht dabei für Organisationseinheiten wie Abteilungen oder Teams, S sind die Planstellen im Unternehmen. Alternativ kann der Weg zum Beispiel auch O-S-P lauten, dann sind zusätzlich zu den Planstellen auch die Personen umfasst, die diese Planstellen besetzen. Jede Organisationseinheit, Planstelle und Person ist ein Objekt mit einer eignen Objekt-ID.

Je nachdem, was Sie berechtigen möchten, wählen Sie eins der Objekte als Wurzelobjekt für Ihren Auswertungsweg. Die ID des Wurzelobjekts tragen Sie in das strukturelle Profil ein. Alle anderen Objekte, die innerhalb des Auswertungsweges unter dem Wurzelobjekt folgen, sind damit automatisch ebenfalls berechtigt.

Ein Beispiel: In Ihrem Unternehmen gibt es den Vertrieb als Abteilung und darin 5 Teams. Sie wollen nun ein Berechtigungsprofil anlegen, mit dem der Abteilungsleiter die organisatorische Zuordnung (Infotyp 0001) aller Vertriebsmitarbeiter sehen kann. Des Weiteren brauchen Sie ein Profil, mit dem die Teamleiter die Gehaltsdaten der Mitarbeiter einsehen können. Allerdings soll das nur für das jeweils eigene Team möglich sein.

Sie entscheiden sich für den Auswertungsweg O-O-S. Für das Abteilungsleiter-Profil wird die Abteilung Vertrieb (O1) zum Wurzelobjekt. Berechtigt sind damit alle Teams und Planstellen unterhalb der Abteilung (graue Felder):

Für das Teamleiter-Profil werden die Teams (O2 – O5) zu Wurzelobjekten und die darunterliegenden Planstellen werden mitberechtigt (beispielhaft für Team 2 graue Felder):

Das Problem hierbei: Sie müssen für jeden Teamleiter ein eigenes Profil anlegen, weil jeder von Ihnen ein anderes Wurzelobjekt für seine Berechtigungen braucht. Je nachdem, wie groß Ihr Unternehmen ist und wie weit Sie die Berechtigungen ausdifferenzieren müssen, kann das zu einer unüberschaubaren Menge an Profilen führen.

Funktionsbausteine statt Objekt-ID nutzen

Um das zu vermeiden, können Sie – statt der individuellen Objekt-ID – mit Funktionsbausteinen arbeiten. Funktionsbausteine lesen die Position eines Users innerhalb der Organisationsstruktur aus und legen so dynamisch das benötigte Wurzelobjekt fest. Aber Achtung: Das funktioniert nur, wenn Sie über ein wirklich lückenlos gepflegtes Org-Management verfügen!

Dabei können Sie kundeneigene Funktionsbausteine programmieren oder auf die Standards zurückgreifen, die SAP bereits mitliefert.

In unserem Beispiel der Vertrieb-Teamleiter zum Beispiel funktioniert der Standard-Funktionsbaustein RH_GET_MANAGER_ASSIGNMENT. Sie legen also nur ein Berechtigungsprofil für alle Teamleiter an und tragen statt der Objekt-ID eines Wurzelobjekts den Funktionsbaustein ein. Der liest nun aus, welche Planstelle der User besetzt, dem das Profil zugewiesen ist, und welcher Orgeinheit im Unternehmen diese Planstelle als Leiter zugewiesen ist. (Wichtig: Wenn Sie die Planstellen-Zuweisung nicht ordentlich gepflegt haben, die Teamleiter also nicht als Leiter im Orgmanagement auftauchen, funktioniert der Funktionsbaustein nicht!) Die Organisationseinheit zieht der Funktionsbaustein automatisch als Wurzelobjekt heran und prüft daran entlang des hinterlegten Auswertungsweges die Berechtigungen. Auf diese Weise brauchen Sie also nur ein Profil für alle Team- und Abteilungsleiter und gewährleisten trotzdem, dass jeder nur Zugriff auf Gehaltsdaten seines eigenen Teams bekommt.

Strukturelle Profile dem Nutzer zuweisen

Strukturelle Profile weisen Sie den Usern über die Transaktion OOSB zu. Geben Sie hier die Profilnamen ein und definieren Sie den Gültigkeitszeitraum.

Über das Ausschlusskennzeichen können Sie die Berechtigung umdrehen: Ist es aktiviert, legen Sie mit Ihren Einträgen fest, welche Objekte (aus den Profilen) der User NICHT sehen darf.

Die Zuordnung der Profile zu Usern wird in der Tabelle T77UA erfasst. Ist einem Nutzer darin kein Profil zugeordnet, erfolgt die Berechtigungsprüfung automatisch auf den User SAP*.

Standardmäßig hat der User SAP* das strukturelle Profil ALL, also volle strukturelle Berechtigung für alle Objekttypen. Alternativ können Sie in der Tabelle T77UA den Eintrag für den User SAP* löschen. In diesem Fall erhalten User, denen kein strukturelles Profil zugeordnet ist, auch keinerlei strukturelle Berechtigungen. Denselben Effekt erreichen Sie, wenn sie ein leeres Profil – also etwa ein Profil ausschließlich mit Objekten, die bei Ihnen nicht genutzt werden – anlegen und dem User SAP* zuweisen.

Strukturelle Berechtigungen in der Personaladministration

Wollen Sie die strukturellen Berechtigungen auch in der Personaladministration, also für Objekte vom Typ P nutzen, müssen ein paar Voraussetzungen erfüllt sein:

  • Das Organisationsmanagement muss 100 % korrekt gepflegt sein.
  • Der Berechtigungshauptschalter ORGPD in der Gruppe AUTSW (Transaktion OOAC) muss aktiviert sein (Wert zwischen 1 und 4)
  • Der Auswertungsweg muss den Objekttyp P enthalten
  • Was über die strukturellen Profile berechtigt werden soll, muss auch über die allgemeinen Berechtigungen erlaubt sein. Nur wenn beide Prüfungen erfolgreich sind, erhält der User Zugriff auf die geforderten Daten.

Wenn diese Voraussetzungen erfüllt sind, vereinfacht der Einsatz struktureller Berechtigungen auch in der Personaladministration die Arbeit. Sie können sich damit zum Beispiel die Pflege des Feldes „Organisationsschlüssel“ im Objekt P_ORGIN und die Nutzung der Sachbearbeiter-Kennzeichnung im Objekt P_ORGXX sparen und brauchen so auch weniger Rollen.

Ein Kommentar zu “SAP HCM: Strukturelle Berechtigungen

Kommentare sind geschlossen.