PA – HR/ HCM Berechtigungen

Im Hinweis 2054808 – HR-Berechtigungen: Sammelhinweis mit Fragen und Antworten hat SAP einige wichtige Informationen zur Berechtigungsprüfung im HR zusammengefasst. Die dabei gewählte Darstellung, zuerst alle Fragen und dann alle Antworten, finde ich schwierig zu lesen und habe deshalb die wichtigsten Aussagen zusammengefasst. Nähere Erläuterungen zu fast allen Punkten, insbesondere zum Ablauf und der Vorgehensweise bei der Fehlersuche liefert auch die SAP Hilfe – Link am Ende des Artikels.

Ablauf
Welche Prüfungen werden durchgeführt?
Das kann in der Tabelle T77S0 mit der Transaktion OOAC – Berechtigungshauptschalter – eingestellt werden. Die Schalterstellung 1 ist an, 0 ist aus.

Wie werden die Prüfungen nacheinander durchgeführt?
Die Prüfungen werden additiv durchgeführt, das bedeutet um berechtigt zu sein müssen alle Berechtigungsprüfungen positiv ausfallen. Zumnächst wird – wenn aktiv – die Prüfung auf P_PERNR – die eigene Personalnummer ausgeführt. Hier ist eine Besonderheit zu beachten: ist die Prüfung erfolgreich erfolgen keine weiteren Prüfungen. Dann erfolgt wenn P_ORGPD aktiviert ist die strukturelle Prüfung über die Daten des Organisationsmanagements. Ist diese Berechtigungsprüfung positiv verlaufen werden die Berechtigungsobjekte P_ORGIN, P_ORGXX und P_NNNN geprüft – oder bei Verwendung der Kontextlösung die Entsprechungen P_…CON. Daraufhin erfolgt eine zeitliche Prüfung, d.h. liegt die Berechtigung sowohl für die Person als auch für den Infotyp im gewünschten Zeitraum vor. Wie die Prüfung auf den Infotyp erfolgt wird in Tabelle T582A Feld VALDT (Zugriffsberechtigung) gesteuert. Zum Abschluss wird noch das Prüfverfahren – so aktiviert – geprüft.

In PA20/ PA30 erscheinen im Header keine Daten aber bei den Infotypen grüne Haken
Der Header hat eine separate Berechtigungsprüfung. Es kann durchaus sein dass in der Vergangenheit liegende Infotypsätze noch als berechtigt erkannt werden, für den Header aber keine Berechtigung mehr besteht da hier immer mit dem Systemdatum geprüft wird. Eine Anzeige wenigstens des Namens kann dadurch erreicht werden dass statt P0001-ENAME die Felder Vor- und Nachname aus Infotyp 0002 verwendet werden.

Fehleranalyse
Ist der Berechtigungstrace ein geeignetes Mittel um die Berechtigungen einzurichten?
Nein. Bedingt durch den internen Ablauf – Prüfung Maximalberechtigung (*) – Prüfung Minimalberechtigung SPACE und dann erst Prüfung konkrete Werte – werden die fehlenden Berechtigungen nicht korrekt angezeigt. Eine Ergänzung nach Maximalausprägung wird wahrscheinlich zu zu weit gefassten Berechtigungen führen.

Was wäre dann eine geeignete Vorgehensweise um Fehler in der Berechtigungsprüfung zu finden?
Kopieren Sie den Benutzer und vergeben Sie Entwicklerberechtigungen etwa S.A_DEVELOP. Setzen Sie einen Breakpoint in der Methode CHECK_AUTHORIZATION der Klasse CL_HRPAD00AUTH_CHECK_STD. Die Variable IS_AUTHORIZED gibt Auskunft über den Ausgang der Prüfung, die Tabelle AUTHORIZATION_PERIODS_TAB der Methode GET_PA_AUTHORIZATION_PERIODS gibt Aukunft über die Zuständigkeitszeiträume.

Zeitliche Prüfung
Wie lange hat ein Sachbearbeiter Zugriff auf die Stammdaten?
Im Standard ist es so dass wenn in der Vergangenheit Anzeigeberechtigung bestand diese auch in der Gegenwart weiterbesteht. Das Verhalten kann über das BADI HRPAD00AUTH_CHECK übersteuert werden.
Sobald eine Zuordnung in der Zukunft existiert wird auch die Leseberechtigung bereits für den aktuellen Zeitraum eingeräumt. Die Schreibberechtigung wird hingegen zeitraumsgenau geprüft.

Welche Bedeutung hat die Toleranzzeit AUTSW ADAYS?
Diese verlängert die Schreibberechtigung des alten Administrators um die eingegebene Anzahl von Tagen.

P_PERNR
Kann man unterschiedliche Ausprägungen für P_PERNR (Eigene Daten) für ESS und SAP GUI vergeben? Was überwiegt, ausgeschlossene Berechtigung (E) oder eingeschlossene Berechtigung bei gleichzeitiger Vergabe?
Nein, das muss über eine kundeneigene Berechtigungsprüfung implementiert werden. E schlägt I.

P_ABAP
Muss für das Ausführen von HR-Reports P_ABAP vergeben werden?
Nein, P_ABAP muss nur in Ausnahmefällen vergeben werden um Performance zu gewinnen oder unkritische Reports ohne Stammdatenprüfung verfügbar zu machen. Die Ausprägung * oder 2 schaltet diese komplett aus, die Ausprägung 1 prüft Infotyp und z.B. Orgschlüssel in P_ORGIN separat. Was bedeutet das? Hier kommt die Ausprägung ‚ ‚ ins Spiel.

P_ORGIN/ P_ORGINCON
Kann P_ORGIN um weitere Felder erweitert werden? Kann das kundeneigene Berechtigungsobjekt P_NNNN mehr als 10 Felder enthalten?
Nein, da die Anweisung AUTHORITY-CHECK dieses nicht abfrägt. P_NNNN kann nur maximal 10 Felder aufnehmen.

Wie kann man den Teilbereich für die Berechtigungsprüfung verwenden?
Man kann ihn in den Orgschlüssel aufnehmen wobei zu beachten ist dass bei der Vergabe die Maskierung mit * nur am Schluss möglich ist, also DE011000* aber nicht *1000*.

Der Hinweis enthält noch weitere Anmerkungen speziell zu strukturellen Berechtigungen, diese werden Inhalt eines separaten Beitrags.

Für alle die es genauer wissen wollen: Berechtigungen in SAP ERP HCM: Konzeption, Implementierung, Betrieb von Martin Esch et al.

oder auch unter help.sap.com – ERP Central Component – Personalwirtschaft – HR Werkzeuge

Die aktuelleste Verson in der SAP Hilfe: http://help.sap.com/erp2005_ehp_07/helpdata/de/23/0ecd5341dd7314e10000000a174cb4/content.htm?current_toc=/de/c7/04dd5321e8424de10000000a174cb4/plain.htm

Die Ablaufdiagramme sind teilweise nur unter Version 4.7 vorhanden: http://help.sap.com/saphelp_47x200/helpdata/de/97/27973b3ea3eb0fe10000000a114084/content.htm?current_toc=/de/9b/27973b3ea3eb0fe10000000a114084/plain.htm

Wollen Sie ab sofort per Mail über neue Beiträge informiert werden? Dann tragen Sie sich in unsere Mailingliste ein. Dieser Service ist für Sie natürlich kostenlos.

Wollen Sie ab sofort kostenlos per Mail über neue Beiträge informiert werden? Dann tragen Sie sich in unsere Mailingliste ein.