- 28. September 2016

Automatisierte Vergabe von HCM Berechtigungen


Zu diesem Thema gibt es jetzt auch ein E-Book. Laden Sie hier unser E-Book zum Thema SAP HCM Berechtigungen herunter.

Benutzeranlege- und Berechtigungsvergabe für  Benutzer automatisieren, geht das? Wenn beispielsweise Employee- / Manager-Self-Services (ESS/MSS) eingeführt werden, schnellt die Anzahl der Benutzer auf einem SAP HCM System in die Höhe. Schnell sind es tausende von Benutzern die zur Verwendung von HCM Berechtigungen freigeschaltet werden müssen. Dies ist nichts einmaliges!

Jeden Tag tritt ein neuer Mitarbeiter ein, der berechtigt werden muss oder verlässt das Unternehmen. Jeden Monat wird ein Mitarbeiter befördert und zur Führungskraft. Vertretungen bei Urlauben oder Krankheiten, wo ein Vertreter Zugriff auf die Genehmigungsprozesse oder Mitarbeiterdaten erhalten muss, sind keine Seltenheit.

Wenn es nur das SAP HCM System wäre!

Wenn Sie ein SAP NetWeaver Portal im Einsatz haben oder ein SAP Gateway Server für mobile Fiori Apps, dann müssen Sie auf den anderen Maschinen die entsprechenden HCM Berechtigungen zudem anpassen. Ggf. ist sogar jemand anders in Ihrem Unternehmen dafür zuständig. So entsteht also noch mehr Aufwand.

Kurz gesagt; haben Sie mehr als 5.000 ESS/MSS Benutzer, können Sie sich zumindest jemanden Teilzeit einstellen, der sich um die ESS/MSS Berechtigungen kümmert. Die Personalabteilung spart bei der Reduzierung der operativen Kosten, die IT zahlt für die Administration der Benutzer und HCM Berechtigungen drauf. Glückwunsch, die Kosten wurden erfolgreich umverteilt!

Die typischen Berechtigungsprobleme bei der Einführung von ESS/MSS im SAP HCM

  • Jeder Mitarbeiter braucht eine ESS Berechtigung, jeder Manager eine MSS und weitere Rollen weitere Berechtigungen
  • Zu den Berechtigungen müssen oft strukturelle Profile gepflegt werden.
  • Zugriff auf weitere System z.B. SAP NetWeaver Portal oder SAP NetWeaver Gateway muss eingestellt werden.
  • Dauerhafte Benutzer- und Berechtigungspflege bei Versetzungen, Vertretungen, Eintritt oder Austritt.
  • Das entziehen von obsolet gewordenen Berechtigungen. Wer einmal für etwas berechtigt ist, bleibt es auch, obwohl es evt. keinen Sinn mehr macht.

RBAC hat ausgedient, es lebe ARAC!

Wofür stehen diese Begriffe?

  • RBAC: „Role based access control“ und meint, Berechtigungszugriff gesteuert über Rollen, so alt wie SAP selbst ist dieses Prinzip. Quasi Ihr derzeitiges Berechtigungsparadigma.
  • ARAC: „Attribute based access control“ und meint, Berechtigungszugriff anhand von kombinierten Attributen welche die Rolle / Situation des Benutzers beschreiben. Dieses Verfahren wird von SAP nicht wirklich unterstützt.

ARAC ist feiner als RBAC, denn es ist individueller an der Situation des Benutzers ausgerichtet, in der er sich befindet und spezifischer in der Berechtigungsfindung.

ARAC ist modern, und am modernsten ist dieses Paradigma, wenn es durch KI gesteuert automatisiert durchgeführt wird.

ESS/MSS Berechtigungen automatisiert vergeben!

ESS/MSS mit 15.000 Mitarbeitern Benutzer- und Berechtigungstechnisch administrieren – kein Problem!

Wir haben eine Lösung entwickelt, dass die IT bei der Benutzer- und Berechtigungspflege entlastet und vollständig automatisiert.

Automatisierte ESS/MSS Berechtigungs- und Usermanagement AddOn

Die Lösung besteht aus zwei Komponenten:

  1. Personalmaßnahmen gesteuertes Benutzermanagement

Eingebettet in die PA40 Personalmaßnahmen bei den Prozessen:

  • Einstellung: Anlegen eines Benutzers, Vergabe der Berechtigung, Hinterlegung aller Stammdaten zum Benutzer im Benutzerstamm, Einrichtung der Lizenz
  • Wiedereinstellung: Reaktivierung eines Benutzers
  • Austritt: Abgrenzung des Benutzers zum Austrittsdatum
  1. Überwachungsprogramm für die HCM Berechtigungen

Auf Basis einer Customizingtabelle in dieser die Attributkombination zur Berechtigungsvergabe, die zu vergebenen Berechtigungsrollen, strukturelle Profile und ggf. LDAP Gruppen gepflegt sind, findet mithilfe eines Programms eine Überwachung aus Sicht der Attribute und aus Sicht des Benutzerstamms statt.

  • Attribute: Es werden alle Personalnummern auf die die Attributkombination zutrifft geprüft, ob diese die Berechtigungen haben. Falls nicht wird diese automatisch erteilt. Dies kann z.B. eine Kombination aus einer Organisationsmanagement Abfrage z.B. nach Leiter und einem Infotypfeld z.B. „Infotyp 50 – Zeitausweisnummer“ sein.
  • Benutzerstamm: Es werden alle Benutzer mit der Berechtigungsrolle ermittelt, dazu die Personalnummern und geprüft ob die Attribute für diese Personalnummern zutreffen. Falls dies nicht der Fall ist wird die Berechtigungsrolle entzogen. Als Beispiel: Es werden alle Benutzer ermittelt mit der MSS-Rolle und geprüft ob diese Benutzer / Personalnummern, auf einer Leiterplanstelle sitzen (Attribut Leiterplanstelle).

zum Addon

Automatisches Usermanagement für HCM Berechtigungen

Automatisierte Berechtigungsvergabe im HCM

Beispielszenario zur automatisierten Berechtigungsvergabe mithilfe des AddOns

In dem folgenden Schaubild ist ein Beispielszenario skizziert. Ein Mitarbeiter wird über eine Versetzungsmaßnahme (Transaktion PA40) zur Führungskraft. Unser Überwachungsprogramm das periodisch läuft stellt diese Attributänderung beim Mitarbeiter fest. Es prüft, ob der Mitarbeiter bereits eine Vorgesetzten Rolle und strukturelle Profile (laut Customizing definiert) erhalten hat. Dies ist noch nicht der Fall! Das Programm vergibt dem Benutzer zur Personalnummer die entsprechenden Berechtigungsrollen, richtet das strukturelle Profil ein damit der Mitarbeiter Zugriff auf die Manager-Self-Services erhält und seine Arbeit als Führungskraft nachgehen kann.

Beitrag_Usermanagement-02

Vorteile des AddOns

  • Berechtigungsvergabe findet automatisiert und periodisch auf Basis von Attributen eines Benutzers / Mitarbeiters (ARAC)
  • Automatische Überwachung der vergebenen Berechtigungen
  • Revisionssicher durch ausführliches protokollieren der Änderungen
  • Auf Basis von Maßnahmen werden Benutzer angelegt bzw. abgegrenzt
  • Kein Papierprozess in Ihrem Unternehmen ist notwendig, der die Berechtigungsvergabe beantragt und protokolliert.
  • Kein Mitarbeiter muss manuell Berechtigungen vergeben oder Benutzer einrichten.
  • Einsparung von administrativen IT Aufwänden und damit Kosten
Download Whitepaper: Automatisiertes Berechtigungs- und Usermanagement
SAP Consultant Alexander Graf

ABER: „SAP bietet doch schon eine indirekte Berechtigungszuordnung auf Basis des Organisationsmanagements?“

Das stimmt, Sie können an Objekten aus dem Organisationsmanagement SAP PFCG Berechtigungen anhängen die sogar vererbt werden. Sie könnten z.B. die ESS Rolle an eine Organisationseinheit hängen und alle Mitarbeiter der Organisationseinheit haben die ESS Berechtigung. Aber komplizierter wird es beim Thema MSS Rolle. Die müssen Sie schon Planstellenbezogen vergeben. Und was passiert wenn die Planstelle verändert wird (abgegrenzt)? Das gleiche wenn Sie einen Zeitbeauftragten, Assistent / Sekretär mit HCM Berechtigungen ausstatten wollen.

Vorteile des AddOn gegenüber SAP Standards indirekte Berechtigungszuordnung

Vorteile des AddOns sind:

  • Sie müssen nicht auf Planstellenebene Berechtigungsrollen pflegen
  • Es findet eine gegenseitige Überwachung aus Mitarbeiterstammdaten aber auch aus Rollensicht statt.
  • Es ist Revisionssicher, da automatisierte Änderungen protokolliert werden
  • Sie können wenn sich Attributkombinationen ändern die Vergabe von HCM Berechtigungen neuer / alter Rollen schneller durchführen, anstatt dann das halbe Organisationsmanagement anzupassen.

Wollen Sie mehr wissen?

Kontaktieren Sie mich per E-Mail info@activate-hr.de oder nutzen Sie unsere unverbindliche Telefonberatung, um Ihre Fragen zu klären. Ich nehme mir gerne Zeit Sie!

Telefonberatung vereinbaren

Mein Name ist Alexander Graf und ich berate Sie gerne in Personalprozessen im SAP HCM und SuccessFactors Umfeld sowie in der Digitalisierungsstrategie und strategischen Themen im HR.Ich freue mich über jede interessante Frage Ihrerseits. Kontaktieren Sie mich gerne!

Sie haben Fragen? Kontaktieren Sie mich!





Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.