SAP Berechtigungen – Überblick HCM Berechtigungskonzepte
Inhaltsverzeichnis
Warum SAP Berechtigungen so interessant sind
- Ein Wirtschaftsprüfer erklärt Ihnen, dass Ihr Berechtigungskonzept nicht passt oder nicht ausreichend dokumentiert ist
- Sie möchten Ihre Berechtigungen anhand Ihres Organisationsmanagement ausrichten
- Sie können keine Aussage darüber treffen, welche Personen welche Daten eigentlich einsehen können
- Sie sind nicht in der Lage, eine Aussage darüber zu treffen, wer Zugriff auf personenbezogene Daten besitzt und in welcher Ausprägung
- Aufgrund neuer fachlicher Anforderungen wie z. B. bei der Einführung von ESS/MSS können Mitarbeitende im Backend nun mehr Daten einsehen, als Sie eigentlich dürfen sollten und Sie sind nicht mehr konform
Egal welcher Grund es ist, schnell heißt es, dass ein neues Berechtigungskonzept her muss. Das ist aber nicht immer der Fall. Und falls doch, ist die Frage, welches Berechtigungskonzept im SAP HCM das richtige ist. Schließlich gibt es im SAP HCM Bereich drei Möglichkeiten, ein Berechtigungskonzept umzusetzen.
Die drei SAP Berechtigungskonzepte
Im SAP HCM existieren gleich drei unterschiedliche Arten, ein Berechtigungskonzept im System umzusetzen:
- Allgemeine Berechtigungen
- Strukturelle Berechtigungen
- Kontextabhängige Berechtigungen
Was sich hinter diesen verbirgt erläutere ich Ihnen im Folgenden:
Allgemeine Berechtigungen
Die allgemeinen Berechtigungen sind ganz normale Berechtigungsobjekte im SAP HCM, die den Zugriff auf PA-/PD-Infotypen (Tabellen PAnnnn / HRPnnnn), Cluster für die eigene Person oder für andere Personen regelt. Typische Berechtigungsobjekte sind dabei “P_PERNR”, “P_ORGIN”, “P_ORGXX”, “PLOG” und “P_PCLX”.
Die allgemeinen SAP Berechtigungen werden am häufigsten eingesetzt und für vieles reichen diese auch aus. Zum Beispiel, wenn ausschließlich die Personalabteilung Zugriff auf das SAP HCM System hat. Kommen aber weitere User auf das System und man möchte diesen Zugriff nur auf einen eingeschränkten Personalbestand erlauben, muss man sich im Fall der allgemeinen Berechtigungen mit dem Organisationsschlüssel des Infotypen 1 (VSDK1) auseinandersetzen, welcher hart in die Berechtigungsrollen eingepflegt werden muss.
Wenn jetzt ESS/MSS oder der Manager Desktop usw. ins Spiel kommt, bedeutet dies aber eine Vielzahl von Berechtigungsrollen, nämlich für jeden Manager eine eigene. Dies macht die Wartung und Pflege sehr aufwändig und Ihr Berechtigungskonzept wird undurchsichtig, was wiederum den viel zitierten Wirtschaftsprüfer auf den Plan ruft.
Strukturelle Berechtigungen
Die strukturellen Berechtigungen arbeiten mit dem SAP HCM Organisationsmanagement (OM). Sie definieren in erster Linie auf Basis von Auswertungswegen im Org-Baum, wer, aber nicht was gesehen werden darf. Daher sind die strukturellen Berechtigungen nur zusammen mit den allgemeinen Berechtigungen einzusetzen.
Die Ermittlung funktioniert über ein sogenanntes Berechtigungsprofil. In diesem werden mithilfe der Auswertungswege definiert, wie auf dem Org-Baum zu suchen ist. Es können auch Funktionsbausteine hinterlegt werden, womit unter beliebigen Kriterien Objekte aus dem Organisationsmanagement ermittelt werden können. Dies macht die strukturellen Berechtigungen sehr flexibel.
Strukturelle Berechtigungslücken
Einen Nachteil bringen die strukturellen Berechtigungen aber mit sich, den ich anhand folgendes Beispiels erklären möchte:
Abb. 1: Nachteile der strukturellen Berechtigungen.
Die geschilderten Problemstellungen können sich mit strukturellen Berechtigungen ergeben. Abhilfe schaffen nur die im Folgenden beschriebenen kontextabhängigen Berechtigungen.
Kontextabhängige Berechtigungen
Die kontextabhängigen Berechtigungen vereinen die allgemeinen und strukturellen Berechtigungen miteinander und vermeiden solche Situationen wie im oben genannten Beispiel. Diese Berechtigungen sind so fein auseinander steuerbar, dass eine Funktionstrennung lückenlos ermöglicht werden kann.
Im Grunde werden bei den kontextabhängigen Berechtigungen die Berechtigungsobjekte durch strukturelle Berechtigungsprofile ergänzt.
Abb. 2: Die Berechtigungsobjekte werden durch strukturelle Berechtigungsprofile ergänzt.
Dies führt dazu, dass Berechtigungen nicht mehr allgemein sondern nur noch für die Objekte des Berechtigungsprofil vergeben werden. Durch den Einsatz der kontextabhängigen Berechtigungen werden also die bekannten Berechtigungsobjekte P_ORGIN durch P_ORGINCON und P_ORGXX durch P_ORGXXCON ersetzt. In den neuen Berechtigungsobjekten ist dann ein Parameter für das Berechtigungsprofil enthalten.
Vor- und Nachteile der drei SAP Berechtigungskonzepte
Einen Überblick über die Vor- sowie Nachteile der verschiedenen Berechtigungskonzepte habe ich Ihnen in der folgenden Grafik zusammengefasst:
Abb. 3: Vor- und Nachteile der drei SAP Berechtigungskonzepte im Überblick.
Fazit
Mit den unterschiedlichen SAP Berechtigungskonzepten können Sie unterschiedliche Szenarien abbilden. Dabei ist mit den Konzepten die Datensicherheit garantiert, da Sie festhalten, welche Person welche Art von Zugriff auf bestimmte Daten hat. Wenn Sie sich nun fragen, wie Sie SAP Berechtigungen im HCM-Umfeld auf Ihren Entwicklungs- und Qualitätssicherungssystemen richtig testen, dann schauen Sie sich unseren Personalnummernkopierer einmal an.
Websession: SAP Berechtigungen
Sollten Sie Fragen zu uns und unserer Arbeit oder konkret zu Umstellungsprojekten haben, dann vereinbaren Sie eine kostenlose Websession mit uns.
FAQ
Was sind SAP Berechtigungen?
Mit SAP Berechtigungen halten Sie fest, welche Personen wann welche Art von Zugriff auf welche personenbezogene Daten haben kann. Das Thema Berechtigungen ist daher ein wichtiges Thema für die Personalabteilung.
Welche Arten von SAP Berechtigungen gibt es?
SAP Berechtigungen werden in drei unterschiedliche Berechtigungskonzepte unterteilt:
- Allgemeine Berechtigungen (ganz normale Berechtigungsobjekte)
- Strukturelle Berechtigungen (Teil des Organisationsmanagements)
- Kontextabhängige Berechtigungen (vereinen allgemeine und strukturelle Berechtigungen)
