berechtigungen in sap erp hcm - readingsample · 2018. 3. 22. · sap press berechtigungen in sap...
TRANSCRIPT
SAP PRESS
Berechtigungen in SAP ERP HCM
Konzeption, Implementierung, Betrieb
Bearbeitet vonMartin Esch, Anja Marxsen, Joost Klüßendorf
2., aktualisierte und erweiterte Auflage 2012. Buch. 428 S. HardcoverISBN 978 3 8362 1826 9
Format (B x L): 16 x 24 cm
Wirtschaft > Betriebswirtschaft: Theorie & Allgemeines > Wirtschaftsinformatik, SAP,IT-Management
schnell und portofrei erhältlich bei
Die Online-Fachbuchhandlung beck-shop.de ist spezialisiert auf Fachbücher, insbesondere Recht, Steuern und Wirtschaft.Im Sortiment finden Sie alle Medien (Bücher, Zeitschriften, CDs, eBooks, etc.) aller Verlage. Ergänzt wird das Programmdurch Services wie Neuerscheinungsdienst oder Zusammenstellungen von Büchern zu Sonderpreisen. Der Shop führt mehr
als 8 Millionen Produkte.
Bonn � Boston
Martin Esch, Anja Junold, Joost Klüßendorf
Berechtigungen in SAP ERP HCM
Konzeption, Implementierung, Betrieb
®
Auf einen Blick
1 Prozessorientiertes Berechtigungskonzept ................ 25
2 Allgemeine Berechtigungsprüfung .............................. 45
3 Strukturelle Berechtigungsprüfung ............................ 133
4 Kontextabhängige Berechtigungsprüfung ................. 167
5 Berechtigungsrollen in den HCM-Komponenten ....... 179
6 Implementieren eines Berechtigungskonzepts .......... 271
7 Auswertungen zum Berechtigungswesen ................... 297
8 Berechtigungen in der Programmierung ..................... 317
9 Fehlersuche ................................................................... 335
10 Ausgewählte Problemfelder mit Lösungswegen ........ 361
A Transaktionen für die Berechtigungsverwaltung ....... 401
B Berechtigungsobjekte des HCM-Systems .................. 403
C Berechtigungsschalter .................................................. 405
D Business Add-ins .......................................................... 407
E Transaktionen und PFKEY in LSO/Veranstaltungsmanagement ............................... 409
F Glossar ........................................................................... 411
G Literaturempfehlungen ................................................ 415
H Die Autoren ................................................................... 419
7
Inhalt
Vorwort zur 2. Auflage ............................................................. 15
Einleitung ................................................................................. 17
1 Prozessorientiertes Berechtigungskonzept ............ 25
1.1 Anforderungen an ein Berechtigungskonzept .......... 261.1.1 Interessengruppen ..................................... 261.1.2 Inhaltliche Anforderungen ......................... 28
1.2 Prozessanalyse ........................................................ 301.3 Rollendefinition ...................................................... 381.4 Namenskonventionen ............................................. 391.5 Kritische Erfolgsfaktoren ......................................... 42
2 Allgemeine Berechtigungsprüfung .......................... 45
2.1 Elemente ................................................................ 452.2 Rollenpflege ........................................................... 47
2.2.1 Rollenzuordnung ....................................... 522.2.2 Sammelrollen ............................................. 582.2.3 Referenzrollen ........................................... 602.2.4 Aufbau von Benutzermenüs ....................... 66
2.3 Berechtigungsobjekte ............................................. 672.3.1 Transaktionsberechtigungen ...................... 682.3.2 Infotypberechtigungen in der
Personaladministration .............................. 712.3.3 Weitere Berechtigungsobjekte für
Stamm- und Zeitdaten ............................... 762.3.4 HR: Cluster – Cluster-Berechtigungsobjekt
(Berechtigungsobjekt P_PCLX) ................... 802.3.5 Personalplanung
(Berechtigungsobjekt PLOG) ...................... 822.4 Erforderliche Systemberechtigungen ....................... 85
2.4.1 Prüfung beim Aufrufen von Reports (Berechtigungsobjekt S_PROGRAM) .......... 85
2.4.2 Zugriff auf InfoSets und Querys .................. 902.4.3 Tabellenpflege ........................................... 922.4.4 Customizing-Berechtigungen im
Einführungsleitfaden (IMG) ........................ 95
Inhalt
8
2.4.5 Batch-Input-Berechtigungen ....................... 962.4.6 Berechtigung zum Download und Upload ... 972.4.7 Work Items und Vertreterregelung ............ 982.4.8 Nummernkreispflege .................................. 992.4.9 HCM-spezifische Berechtigungen für
Systemadministratoren ............................... 1002.5 Customizing des Profilgenerators ............................. 1012.6 Zuständigkeitszeiträume und Zeitlogik ..................... 1072.7 Prüfverfahren (Infotyp 0130) ................................... 111
2.7.1 Notwendigkeit und Wirkungsweise ............ 1122.7.2 Customizing ............................................... 1142.7.3 Berechtigungsvergabe ................................. 1152.7.4 Maschinelles Schreiben des Infotyps
»Prüfverfahren« .......................................... 1162.8 Erweiterungen ......................................................... 117
2.8.1 Berechtigungsobjekt P_NNNNN ................. 1172.8.2 Kundeneigenes Berechtigungsobjekt .......... 1202.8.3 BAdI für die allgemeine
Berechtigungsprüfung ................................. 1212.8.4 User-Exits für die Download-Berechtigung ... 130
2.9 Kritische Erfolgsfaktoren .......................................... 132
3 Strukturelle Berechtigungsprüfung ........................ 133
3.1 Strukturelle Berechtigungsprüfung im Organisationsmanagement ...................................... 134
3.2 Pflege der strukturellen Profile ................................ 1363.3 Funktionsbausteine ................................................. 139
3.3.1 Beispiel »Manager« ..................................... 1393.3.2 Beispiel »Zeitbeauftragte« ........................... 140
3.4 Übertragung auf andere Strukturen in SAP ERP HCM ......................................................... 142
3.5 Nutzung in der Personaladministration .................... 1443.6 Zuordnung der strukturellen Profile zum Benutzer ... 1463.7 Zuständigkeitszeiträume und Zeitlogik ..................... 1483.8 Strukturelle Berechtigungsprüfung bei nicht
integrierten Personen .............................................. 1533.9 Performanceoptimierung ......................................... 1553.10 Erweiterungen ......................................................... 159
3.10.1 BAdI HRBAS00_STRUAUTH für die strukturelle Berechtigung ............................ 159
Inhalt
9
3.10.2 BAdI HRBAS00_RHBAUS00für den Report RHBAUS00 ..................................... 162
3.10.3 Strukturelle Berechtigung im Reisemanagement ...................................... 163
3.11 Kritische Erfolgsfaktoren ......................................... 165
4 Kontextabhängige Berechtigungsprüfung ............. 167
4.1 Wirkungsweise ....................................................... 1674.2 Einrichtung und Pflege ............................................ 1724.3 Mögliche Schwächen der Kontextberechtigungen ... 1754.4 Weitere kontextabhängige Berechtigungsobjekte .... 1774.5 Kritische Erfolgsfaktoren ......................................... 178
5 Berechtigungsrollen in den HCM-Komponenten ... 179
5.1 SAP-Rollen ............................................................. 1795.2 Abrechnung und Folgeaktivitäten ........................... 180
5.2.1 Berechtigungen zur Steuerung der Abrechnung und ihrer Folgeaktivitäten ...... 182
5.2.2 Berechtigungen im Bescheinigungswesen ... 1855.2.3 Berechtigungen zur Pflege und Anzeige
von Formularen ......................................... 1875.2.4 Berechtigungen für Steuerprüfer ................ 1885.2.5 Berechtigung zum Löschen von
Abrechnungsergebnissen ........................... 1885.3 Betriebliche Altersversorgung/Pensionskasse ........... 1885.4 Beurteilungssystem ................................................. 1925.5 Budgetplanung und -bewirtschaftung
(öffentlicher Dienst) ................................................ 1955.6 Cross Application Time Sheet ................................. 1985.7 E-Recruiting ............................................................ 201
5.7.1 SAP-Rollen ................................................ 2015.7.2 Berechtigungsobjekte ................................ 2045.7.3 Benutzertypen ........................................... 210
5.8 HCM Prozesse und Formulare (HR Administrative Services) ................................... 212
5.9 Management globaler Mitarbeiter .......................... 2165.10 Manager’s Desktop ................................................. 2175.11 Organisationsmanagement ..................................... 2185.12 Performance Management ...................................... 220
Inhalt
10
5.13 Personaladministration ........................................... 2275.14 Personalbeschaffung (klassisch) ................................ 2305.15 Personaleinsatzplanung .......................................... 2345.16 Personalentwicklung ............................................... 2385.17 Personalinformationssystem/Reporting .................... 244
5.17.1 Logische Datenbanken ............................... 2445.17.2 SAP-Reports ohne logische Datenbank ....... 2455.17.3 Berechtigungsobjekt P_ABAP ..................... 2475.17.4 Auswertungsgrundlagen ............................. 249
5.18 Personalkostenplanung ............................................ 2495.19 Personalzeitwirtschaft .............................................. 2535.20 Self-Services ............................................................ 2555.21 Travel Management ................................................. 2595.22 Veranstaltungsmanagement und SAP Learning
Solution .................................................................. 2645.22.1 Überblick über die Berechtigungsobjekte .... 2645.22.2 Wichtige Standardrollen ............................. 269
5.23 Fazit ........................................................................ 270
6 Implementieren eines Berechtigungskonzepts ....... 271
6.1 Vorbereitungen im System ...................................... 2726.1.1 Zentrale Benutzerverwaltung ...................... 2726.1.2 Berechtigungsadministratoren .................... 2756.1.3 Erstinstallation des Profilgenerators ............ 2806.1.4 Organisationsebenen anlegen ..................... 284
6.2 Rollen anlegen und testen ....................................... 2846.3 Transport ................................................................. 2866.4 Dokumentation und Änderungen im
laufenden Betrieb .................................................... 2886.5 Redesign ................................................................. 289
6.5.1 Umstellung auf Referenzrolle ...................... 2926.5.2 Umstellung auf strukturelle
Berechtigungsprüfung ................................. 2936.5.3 Umstellung auf kontextabhängige
Berechtigungsprüfung ................................. 2936.5.4 Ablösung kundeneigener
Berechtigungsprüfungen ............................. 2946.6 Kritische Erfolgsfaktoren .......................................... 294
Inhalt
11
7 Auswertungen zum Berechtigungswesen ............... 297
7.1 Analyse von Benutzern mit kritischen Berechtigungen ....................................................... 2987.1.1 Beispiel »Benutzer mit
Entwicklerberechtigung« ............................ 2987.1.2 Beispiel »Berechtigungsnachweis« .............. 3017.1.3 Weitere Anregungen zum Report
»Kritische Berechtigungen« ........................ 3037.2 HR-Berechtigungs-Workbench: Überblick und
Berechtigungsanalyse je Benutzer ........................... 3047.3 Überblick über alle Berechtigungsobjekte
eines Benutzers ....................................................... 3067.4 Report »Rollen nach komplexen
Selektionskriterien« ................................................. 3087.5 Zuordnung von Einzelrollen zu Sammelrollen .......... 3117.6 Weitere SAP-Standardauswertungen ....................... 3127.7 Add-on-Produkte zur Analyse von
HCM-Berechtigungen ............................................. 3137.8 Fazit ....................................................................... 316
8 Berechtigungen in der Programmierung ................. 317
8.1 Berechtigungen ohne logische Datenbanken ........... 3178.1.1 SAP-Funktionsbausteine mit
Berechtigungsprüfung ................................ 3188.1.2 Berechtigungsprüfung mit
SAP-Funktionsbausteinen ausschalten ........ 3198.1.3 SAP-Routinen zur Berechtigungsprüfung .... 3228.1.4 Berechtigungsprüfung direkt im Coding ..... 323
8.2 Umgang der logischen Datenbanken mit fehlenden Berechtigungen ...................................... 325
8.3 Unternehmensspezifische logische Datenbank mit eigener Berechtigungsprüfung .......................... 327
8.4 Berechtigungen für Programmierer ......................... 3298.5 Download aus Reports ............................................ 3318.6 Kritische Erfolgsfaktoren ......................................... 333
Inhalt
12
9 Fehlersuche ............................................................. 335
9.1 Fehlersuche in der allgemeinen Berechtigung .......... 3359.1.1 Berechtigungsfehleranalyse mit der
Transaktion SU53 ....................................... 3359.1.2 Berechtigungstrace ..................................... 3379.1.3 Manuelle Fehlersuche ................................. 340
9.2 Fehlersuche in der strukturellen Berechtigung ......... 3439.2.1 Beispiel: Veranstaltungstypen können
nicht bearbeitet werden ............................. 3439.2.2 Beispiel: Qualifikationen können für
bestimmte Benutzer nicht gepflegt werden ....................................................... 344
9.3 Fehlersuche in der kontextabhängigen Berechtigung ........................................................... 345
9.4 Debugging der Berechtigungsprüfung ...................... 3469.4.1 Debugging: Prüfung von Berechtigungen
auf Infotypen der Personaladministration .... 3479.4.2 Debugging: Prüfung von Berechtigungen
auf Objekte der Personalplanung und auf weitere Objekte .................................... 355
9.5 Fazit und kritische Erfolgsfaktoren ........................... 359
10 Ausgewählte Problemfelder mit Lösungswegen .... 361
10.1 Berechtigungen aus dem Organisationsmanagement (Schaeffler KG) ........................................................ 361
10.2 Starten von Reports per Kundenprogramm (ThyssenKrupp IT Services GmbH und Kunden) ....... 366
10.3 Minimierung der Rollenanzahl und dezentrale Zuordnung (B. Braun) .............................................. 370
10.4 Schlanke Berechtigung für Reiseassistenten (SMA Solar Technology AG) .................................... 37510.4.1 Implementierung des Reisemanagements
in SAP NetWeaver Portal ........................... 37610.4.2 Zuständige Assistenz für die Beschaffung
der Reisemittel finden ................................ 37610.4.3 Weitere Funktionen der kundeneigenen
Verknüpfung .............................................. 37810.5 Bestimmte Felder in Infotypen ausblenden .............. 383
Inhalt
13
10.6 Unterstützung des Arbeitsablaufs beim Vier-Augen-Prinzip ................................................. 38610.6.1 E-Mail-Versand mithilfe dynamischer
Maßnahmen .............................................. 38610.6.2 Prüfreport für das Genehmigen von
Änderungen ............................................... 38810.7 Berechtigungsrelevante Schalter in Querys .............. 38910.8 Transaktionsvarianten ............................................. 39110.9 Fazit ....................................................................... 396
Anhang ............................................................................ 399
A Transaktionen für die Berechtigungsverwaltung ................. 401B Berechtigungsobjekte des HCM-Systems ........................... 403C Berechtigungsschalter ....................................................... 405D Business Add-ins ............................................................... 407E Transaktionen und PFKEY in
LSO/Veranstaltungsmanagement ....................................... 409F Glossar .............................................................................. 411G Literaturempfehlungen ...................................................... 415H Die Autoren ...................................................................... 419
Index ....................................................................................... 421
17
Worum geht es in diesem Buch? Für wen ist es geschrieben? Wie ist das Buch aufgebaut, und wie können Sie es am besten lesen und verstehen? Diese Fragen klären wir in der Einleitung.
Einleitung
Dieses Buch handelt von einem Stiefkind mit Namen Berechtigungen. Wie Aschenputtel im Märchen fristet dieses Thema eine Existenz im Schatten der meisten Projekte für die Einführung und Weiterent-wicklung des SAP-Systems. SAP ERP Human Capital Management(HCM) bildet dabei (noch) keine Ausnahme. Mit diesem Buch möch-ten wir daher die Wissenslücken schließen, die die Beschäftigung mit diesem Thema oft so schwierig gestalten.
Der Personalwirtschaftsbereich eignet sich sehr gut für eine erste Be-schäftigung mit Berechtigungen, da das Personalwesen eine besondersausgeprägte Wahrnehmung für die Frage nach den Berechtigungen hat. Die hier gespeicherten Daten sind aus Sicht des Datenschutzes besonders kritisch, da sie die Persönlichkeitsrechte der Mitarbeiter betreffen, die es besonders zu schützen gilt. Und gerade bei diesen Daten achten der einzelne Mitarbeiter und seine Vertretungsorgane oft auch selbst stärker auf möglichen Missbrauch.
In diesem Buch konzentrieren wir uns zum einen auf die Anwendung des allgemeinen Berechtigungskonzepts auf das HCM-System und zum anderen auf drei Berechtigungswerkzeuge, die es nur in SAP ERP HCM gibt:
� die strukturelle Berechtigungsprüfung (Kapitel 3)
Erforderliches Vorwissen für das Verständnis des Buches
Die Kenntnis der grundlegenden SAP-Berechtigungskonzepte und Werk-zeuge setzen wir in unserem Buch ebenso voraus wie Grundlagenwissen zu SAP ERP HCM. Weiterführende Literaturhinweise zu diesen Themen finden Sie im Anhang.
18
Einleitung
� die kontextabhängige Berechtigungsprüfung (Kapitel 4)
� die Prüfverfahren (siehe Abschnitt 2.7, »Prüfverfahren (Infotyp 0130)«)
Zweite Auflage Für die vorliegende zweite Auflage des Buches wurden alle Erläute-rungen und sämtliche Bildschirmabgriffe auf den Releasestand SAP ERP 6.0, Erweiterungspaket 4 (EHP4) aktualisiert. Zudem wurde die Darstellung um Erweiterungen, die sich seit der Vorauflage ergeben haben, sowie auch um neue Themen und Aspekte ergänzt, die in die vorhandene Darstellung integriert wurden.
Zielgruppen des Buches
Folgende Zielgruppen werden in diesem Buch wertvolle Informatio-nen finden:
� BerechtigungsadministratorenHier sprechen wir zum einen die Personen an, die die Berechti-gungsrollen aufbauen. Sie erhalten detailliertes Handwerkszeug und Kenntnisse, um die vorhandenen Werkzeuge optimal für ihr Unternehmen nutzen zu können.
Wer lediglich die Zuordnung der Rollen zu den Benutzern durch-führt, profitiert an vielen Stellen von dem Hintergrundwissen, das dieses Buch zur Verfügung stellt.
� Projektleiter und Mitglieder des ProjektteamsFür sie ist es wichtig, auf Basis guter Grundkenntnisse das Thema Berechtigungen während der gesamten Projektlaufzeit angemes-sen im Blick zu halten. Wer im Umfeld von SAP ERP HCM heute z. B. nichts über strukturelle Berechtigungen weiß, läuft schnell Gefahr, beim Aufbau von Anwendungen gravierende Fehler zu machen.
Besonders interessant für diese Zielgruppe ist der prozessorien-tierte Ansatz dieses Buches. Wer Berechtigungen auf diese Weise anpackt, gewinnt Wissen, das auch anderen Aufgaben im Projekt zugute kommt.
� Programmierer im HCM-BereichProgrammierern haben wir ein eigenes Kapitel gewidmet (Kapitel 8,»Berechtigungen in der Programmierung«). Denn wir halten auch
19
Einleitung
bei dieser Zielgruppe gutes Grundlagenwissen über die Berechti-gungen für unverzichtbar. Auch die Abschnitte zum Debugging im Kapitel über die Fehlersuche könnten sie interessieren.
� Entscheider in Personal- oder IT-AbteilungenAuch wenn dieses Buch teilweise sehr stark in die Tiefe geht, geben insbesondere die ersten Kapitel sowie Kapitel 6, »Imple-mentieren eines Berechtigungskonzepts«, einen guten Überblick. Hier finden Entscheider auch zahlreiche Anregungen für den Nut-zen, den die dargestellten Berechtigungswerkzeuge bieten (siehe auch unsere Anregungen für eilige Leser im Abschnitt »Arbeiten mit dem Buch« am Ende dieser Einleitung).
� Datenschutzbeauftragte/DatenschutzexpertenDa in vielen Unternehmen die meisten Daten in SAP-Systemen gespeichert sind und dabei die Personendaten als besonders schüt-zenswert gelten, hilft die Kenntnis der Werkzeuge und der Fallstri-cke von Berechtigungen in SAP ERP HCM jedem, der professionell mit Datenschutz zu tun hat.
Aufbau des Buches
Die ersten sechs Kapitel dieses Buches widmen sich umfassend und detailliert dem Thema »Berechtigungen in SAP ERP HCM« im enge-ren Sinn: Ausgehend von den Anforderungen, die an ein Berechti-gungskonzept zu stellen sind, über die technischen Werkzeuge zur Umsetzung dieser Anforderungen bis zu Kapitel 6, das Umsetzung und Redesign in den Blick nimmt. Die Kapitel 7 bis 10 widmen sich darüber hinaus dann noch verschiedenen Problemstellungen, die in der praktischen Arbeit mit Berechtigungen häufig auftreten, und natürlich den entsprechenden Lösungswegen.
Die Kapitel im Einzelnen:
� Kapitel 1: Prozessorientiertes BerechtigungskonzeptDer prozessorientierte Ansatz erhält zunehmend den Stellenwert, den er verdient. Gerade für ein Berechtigungskonzept hat ein sol-ches Vorgehen unübersehbare Vorteile. Das Kapitel untersucht die Anforderungen, die an ein Berechtigungskonzept gestellt werden müssen, und beschreibt ein prozessorientiertes Vorgehen, um ein solches Konzept zu erstellen.
20
Einleitung
� Kapitel 2: Allgemeine BerechtigungsprüfungNach einer kurzen Einführung in das allgemeine Berechtigungs-konzept erläutern wir schrittweise die wichtigsten Berechtigungs-objekte des HCM-Systems einschließlich verschiedener Sonder-fälle sowie der Erweiterungsmöglichkeiten des Standards. Das Kapitel behandelt vollständig alle zentralen Elemente der allge-meinen Berechtigungsprüfung.
� Kapitel 3: Strukturelle BerechtigungsprüfungDie auf dem Organisationsmanagement basierende strukturelle Berechtigungsprüfung ist mittlerweile aus den meisten HCM-Installationen nicht mehr wegzudenken. Wir stellen den Standard und dessen Erweiterungsmöglichkeiten ausführlich dar.
� Kapitel 4: Kontextabhängige BerechtigungsprüfungEin Kapitel für Fortgeschrittene. Hier kommen strukturelle und allgemeine Berechtigungsprüfung zusammen, um in der kon-textabhängigen Berechtigungsprüfung ein Werkzeug bereitzustel-len, auf das vor allem bei Unternehmen mit dezentraler Daten-pflege kaum verzichtet werden kann. Das Kapitel enthält auch einen Abschnitt zum Redesign von Berechtigungen.
� Kapitel 5: Berechtigungsrollen in den HCM-KomponentenNachdem in den Kapiteln 2 bis 4 das Hauptaugenmerk auf den zentralen Komponenten des HCM-Systems lag, insbesondere den Stammdaten und dem Organisationsmanagement, beschäftigt sich dieses Kapitel mit den vielen Teilkomponenten des HCM-Systems von A wie Abrechnung bis V wie Veranstaltungsmanagement/Learning Solution. Das Kapitel ist technisch orientiert und beschreibt für jede Teilkomponente die benötigten Berechtigungs-objekte sowie Aspekte des Customizings, die mit Berechtigungen zu tun haben.
� Kapitel 6: Implementieren eines BerechtigungskonzeptsIn diesem Kapitel zeigen wir Ihnen, welche Vorbereitungen im HCM-System für die Implementierung eines Berechtigungskon-zepts erforderlich sind, wie Sie bei der Implementierung vorgehen und was Sie beim Redesign eines Berechtigungskonzepts beachten sollten.
� Kapitel 7: Auswertungen zum BerechtigungswesenWenn die Berechtigungen einmal aufgebaut sind, ist es interessant und wichtig, die Reports der Berechtigungsverwaltung zu kennen
21
Einleitung
und damit umgehen zu können, um sich in der Vielzahl der Berechtigungsrollen zurechtzufinden. In diesem Kapitel stellen wir Ihnen eine Auswahl der gebräuchlichsten Auswertungen näher vor.
� Kapitel 8: Berechtigungen in der ProgrammierungHier geht es in erster Linie darum, Programmierern das Hand-werkszeug zu geben, um in kundeneigenen Reports oder Anwen-dungen korrekte Berechtigungsprüfungen durchzuführen. Dane-ben beschäftigen wir uns auch mit den Berechtigungen für Pro-grammierer.
� Kapitel 9: FehlersucheDas beste Konzept und die sorgfältigste Implementierung schüt-zen nicht vor Fehlern. Wie Sie sie finden können und welche Werkzeuge Sie dabei unterstützen, erfahren Sie in diesem Kapitel. Das Kapitel enthält auch einen umfangreichen Abschnitt zum Debugging bei der Fehlersuche.
� Kapitel 10: Ausgewählte Problemfelder mit LösungswegenHier haben wir eine Reihe von speziellen Problemen, meist aus realen Kundenprojekten, gesammelt und ihre Lösungswege beschrieben. Sie finden hier z. B. einen Bericht über eine Kunden-lösung für das Reisemanagement.
AnhangIm Anhang dieses Buches stellen wir Ihnen weiterführende Informa-tionen und ein kleines Nachschlagewerk zur Verfügung:
� Anhang A zeigt alle Transaktionen im Umfeld der Berechtigungs-administration.
� Anhang B enthält alle Berechtigungsobjekte des HCM-Systems mit Referenz auf den jeweiligen Abschnitt.
� Anhang C führt alle Berechtigungsschalter mit Referenz auf den jeweiligen Abschnitt auf.
� Anhang D zeigt die Business Add-ins des HCM-Systems mit Refe-renz auf den jeweiligen Abschnitt.
� Anhang E enthält wichtige Inhalte für Erweiterungen bei den Berechtigungen im Veranstaltungsmanagement/LSO in der System-variablen SY-PFKEY .
� Anhang F enthält ein Glossar mit den wichtigsten Begriffen aus dem Berechtigungswesen in SAP ERP HCM.
22
Einleitung
� Anhang G bietet Ihnen schließlich weiterführende Literaturemp-fehlungen.
Arbeiten mit dem Buch
Vorschlag für eilige Leser
Wem es genügt, zunächst nur das unbedingt Notwendige zu erfahren und alles andere bei Bedarf später nachzulesen, dem sei folgender Pfad durch das Buch vorgeschlagen:
� Kapitel 1, »Prozessorientiertes Berechtigungskonzept«
� Kapitel 2, »Allgemeine Berechtigungsprüfung«
� Abschnitt 2.1, »Elemente«
� Abschnitt 2.2, »Rollenpflege«
� Abschnitt 2.3, »Berechtigungsobjekte«
� Kapitel 3, »Strukturelle Berechtigungsprüfung«
� Abschnitt 3.1, »Strukturelle Berechtigungsprüfung im Organisationsmanagement«
� Abschnitt 3.2, »Pflege der strukturellen Profile«
� Abschnitt 3.3, »Funktionsbausteine«
� Abschnitt 3.4, »Übertragung auf andere Strukturen in SAP ERP HCM«
� Abschnitt 3.5, »Nutzung in der Personaladministration«
� Abschnitt 3.6, »Zuordnung der strukturellen Profile zum Benutzer«
� Kapitel 4, »Kontextabhängige Berechtigungsprüfung«, Abschnitt 4.1, »Wirkungsweise«
� Kapitel 6, »Implementieren eines Berechtigungskonzepts«
Sie können die Kapitel natürlich auch in beliebiger Reihenfolge lesen. Zahlreiche Verweise helfen Ihnen dabei, eventuell fehlende Voraus-setzungen an den entsprechenden Stellen nachzulesen.
Kostenloser HR-Newsletter
Als Leser dieses Buches können Sie den kostenlosen HR-Newsletter der Autoren abonnieren. Dieser enthält unter anderem auch aktuelle Tipps zu Berechtigungen in SAP ERP HCM. Schicken Sie einfach eine E-Mail mit dem Betreff Abo/Buch an [email protected].
23
Einleitung
Spezielle SymboleWir verwenden mehrere Orientierungshilfen, die Ihnen die Arbeit mit diesem Buch erleichtern sollen. In grauen Informationskästen sind Inhalte zu finden, die wissenswert und hilfreich sind, aber etwas abseits der eigentlichen Erläuterung stehen. Damit Sie diese Informa-tionen besser einordnen können, haben wir die Kästen mit Symbolen gekennzeichnet:
AchtungMit diesem Symbol warnen wir Sie vor häufig gemachten Fehlern oder Problemen, die auftreten können.
Tipp/HinweisMit diesem Symbol werden Tipps markiert, die Ihnen die Arbeit erleichtern werden, und Hinweise, die Ihnen z. B. dabei helfen, wei-terführende Informationen zu dem besprochenen Thema zu finden.
BeispielAnhand von Beispielen aus unserer Beratungspraxis erläutern und vertiefen wir das besprochene Thema.
67
Berechtigungsobjekte 2.3
� Schalter CONDENSE_MENUDieser Schalter fasst identische Menübereiche zusammen, z. B. werden gleichnamige Ordner zusammengefasst. SAP-Hinweis 357693 gibt Beispiele für die Wirkungsweise dieses Schalters. Wenn Sie die Redundanzvermeidung wünschen, müssen Sie die-sen Schalter auf YES setzen.
� Schalter SORT_USER_MENUSteht dieser Schalter auf YES, werden die Menüeinträge gemäß den Menütexten sortiert. Der Schalter wirkt nur, wenn auch der Schalter CONDENSE_MENU aktiv ist.
� Schalter DELETE_DOUBLE_TCODESUm doppelte Transaktionen im Benutzermenü zu vermeiden, muss dieser Schalter auf YES gesetzt werden.
2.3 Berechtigungsobjekte
Keine übergeord-nete Systematik
Berechtigungsobjekte stellen das zentrale Element der Berechtigun-gen dar. Leider gibt es keine übergeordnete Systematik der Berechti-gungsobjekte oder der Stellen in den SAP-Transaktionen, wo die Objekte geprüft werden. Je nach Anwendung variieren die zu schüt-zenden Sachverhalte und müssen deshalb auf spezifische Weise geprüft werden.
Umso wichtiger ist es, die Berechtigungsobjekte eines Sachgebiets genau zu kennen. Dieser Aufgabe stellen wir uns nun. Dabei beschränken wir uns an dieser Stelle auf die sieben wichtigsten Objekte von SAP ERP HCM, die wir ausführlich erklären möchten. Die Beschreibung der restlichen Objekte erfolgt im Kontext des jeweiligen HCM-Teilgebiets in Kapitel 5, »Berechtigungsrollen in den HCM-Komponenten«.
Überblick und Dokumentation mit Transaktion SU21
Einen Überblick und die detaillierte Dokumentation zu den Berech-tigungsobjekten und ihren Feldern finden Sie in der Transaktion SU21 (Pflege der Berechtigungsobjekte). Abbildung 2.19 zeigt das Resultat der Transaktion: Sie sehen die HCM-Berechtigungsobjekte
Übersicht über die Schalter zum Anzeigen der Einträge
Eine ausführliche Erläuterung der Schalter zum Anzeigen der Einträge im Benutzermenü finden Sie auch im SAP-Hinweis 1246860.
68
Allgemeine Berechtigungsprüfung2
mit ihrem technischen Namen (Spalte Klass/Objekt) und einem beschreibenden Text.
Abbildung 2.19 Überblick über die Berechtigungsobjekte mit Transaktion SU21
Klicken Sie auf eines der Berechtigungsobjekte, und Sie erhalten über den Button Dokumentation zum Objekt anzeigen die Erläuterung zum Berechtigungsobjekt.
Die sieben wichtigsten Berechtigungsobjekte von SAP ERP HCM stel-len wir Ihnen in den folgenden Abschnitten vor.
2.3.1 Transaktionsberechtigungen
Transaktionsberechtigungen sind das einfachste und wirkungsvollste Werkzeug der Berechtigungsprüfung. Wenn Sie einem Benutzer z. B. keine der Transaktionen des Organisationsmanagements erlauben, sind diese Daten für ihn vollständig unzugänglich. Im Folgenden zei-gen wir Ihnen, wie die Transaktionsberechtigungen im Zusammen-spiel von System- und HCM-Berechtigung funktionieren.
Pflege über Transaktion PFCG
Sie pflegen die Transaktionsberechtigungen in der Regel über die Registerkarte Menü in der Rollenpflege (Transaktion PFCG). In Abbildung 2.20 sehen Sie ein Beispiel dazu.
69
Berechtigungsobjekte 2.3
Abbildung 2.20 Pflege der Transaktionsberechtigungen über das Rollenmenü
Jeder Eintrag einer Transaktion an dieser Stelle wird in eine Berech-tigung des Systemberechtigungsobjekts S_TCODE (Transaktions-code-Prüfung bei Transaktionsstart) übersetzt. In Abbildung 2.21sehen Sie die Einträge in S_TCODE für die Transaktionen aus Abbil-dung 2.20. Sie sehen dort auch, dass die so erzeugten Einträge auf der Registerkarte Berechtigungen nicht änderbar sind.
Abbildung 2.21 Einträge im Systemberechtigungsobjekt S_TCODE
Direkte Pflege von Objekt S_TCODE
Um die Bearbeitung jeder einzelnen Transaktion über die Rollen-pflege zu vermeiden, kann das Berechtigungsobjekt S_TCODE auch
70
Allgemeine Berechtigungsprüfung2
manuell über den Button Manuell in die Profile übernommen und ohne den Umweg über das Menü gepflegt werden. Hier ist dann auch die Verwendung des Platzhalters »*« möglich, z. B. erlaubt »ZPT*« alle Transaktionen, die mit ZPT beginnen. Dies kann die Pflege der Trans-aktionsberechtigungen vereinfachen, nimmt Ihnen aber die Vorteile einer übersichtlichen Menüaufteilung für die Rollen.
HCM mit zusätz-licher Transakti-
onsprüfung über P_TCODE
Über die bisher besprochene Transaktionsberechtigung mit dem Objekt S_TCODE hinaus wird in vielen HCM-Transaktionen beim Transaktionsstart zusätzlich das Objekt P_TCODE (HR: Transaktions-code) geprüft und vom Profilgenerator vorgeschlagen (siehe Abbil-dung 2.22). Dies mag überflüssig erscheinen, eröffnet aber bei der Pflege der Berechtigungen die Möglichkeit eines Vier-Augen-Prin-zips: Das Objekt S_TCODE wird nur von den Verantwortlichen für die Systemberechtigungen gepflegt, das Objekt P_TCODE von den HCM-Berechtigungsverantwortlichen.
Abbildung 2.22 Viele Transaktionen in HCM benötigen zusätzlich das Berechti-gungsobjekt P_TCODE
Ein großer Teil der Transaktionen in SAP ERP HCM verlangt die Berechtigung über beide Objekte. Dies gilt grundsätzlich für Sys-temtransaktionen wie z. B. das Löschen von Personalnummern (Transaktion PU00) oder die Pflege von Schemata und Rechenregeln (Transaktionen PE01/PE02). Darüber hinaus prüfen aber auch Transaktionen wie z. B. die Einzelerfassung im Bescheinigungswe-sen (Transaktion PM11) oder die Personaleinsatzplanung (Transak-tion PP61) das Vorhandensein der HCM-Transaktionsberechtigung. Somit ist es in der Praxis meist einfacher, das HCM-Transaktionsob-jekt grundsätzlich aufzunehmen, anstatt in jedem Einzelfall zu prü-fen, ob es wirklich erforderlich ist.
71
Berechtigungsobjekte 2.3
Das Berechtigungsobjekt P_TCODE enthält – wie auch das Objekt S_TCODE – nur ein einziges Feld, nämlich den Transaktionscode. Auch hier kann der Platzhalter »*« verwendet werden.
2.3.2 Infotypberechtigungen in der Personaladministration
Objekt P_ORGINDas wohl bekannteste Berechtigungsobjekt in SAP ERP HCM ist das Objekt P_ORGIN (HR: Stammdaten). Dieses Objekt prüft die Berech-tigung bei allen Zugriffen auf Infotypen der Administration und der Zeitwirtschaft, also technisch beim Zugriff auf die Tabellen mit Präfix PA. In Abbildung 2.23 sehen Sie die Felder des Berechtigungsobjekts P_ORGIN.
Abbildung 2.23 Beispiel für Berechtigungsobjekt P_ORGIN
Feld »Berech-tigungslevel«
Das Feld Berechtigungslevel kann die folgenden Ausprägungen haben:
� M (Lesen bei Eingabehilfen)
� R (Lesen)
� S (gesperrtes Schreiben und Entsperren, sofern der letzte Ände-rer des Satzes nicht der aktuelle Benutzer ist)
� E (gesperrtes Schreiben)
� D (Ändern des Sperrkennzeichens)
� W (Schreiben)
Übersicht über alle Transaktionen
Eine Liste aller Transaktionen, die die HCM-Transaktionsberechtigung prüfen, erhalten Sie folgendermaßen: Rufen Sie aus der Transaktions-pflege (Transaktion SE93) über Hilfsmittel � Suchen das Repository-Infor-mationssystem auf. Geben Sie unter Transaktion »P*« ein und unter Berechtigungsobjekt »P_TCODE«.
72
Allgemeine Berechtigungsprüfung2
Sie können die zugelassenen Aktionen einzeln in das Feld eintragen oder, wie in Abbildung 2.22, per »*« alle möglichen Aktionen berech-tigen.
Felder »Infotyp« und »Subtyp«
Unter Infotyp und Subtyp tragen Sie alle Infotypen und Subtypen der Personaladministration und Zeitwirtschaft ein, für die die Aktio-nen gemäß Berechtigungslevel zugelassen sind. Im Beispiel (siehe Abbildung 2.23) sind alle Aktionen für die Infotypen 0000, 0001, 0002, 0007 und 0008 mit allen Subtypen zugelassen.
Übrige Felder aus Infotyp 0001
Die Felder Personalbereich, Mitarbeitergruppe, Mitarbeiterkreisund Organisationsschlüssel beziehen sich auf den Infotyp 0001 (Organisatorische Zuordnung) der Personalnummer, auf die der Zugriff erfolgt. In Abbildung 2.23 sind für die aufgeführten Infoty-pen alle Personen des Personalbereichs 1000 ohne weitere Ein-schränkungen zugänglich.
Vier-Augen-Prinzip
Mithilfe der Optionen des Feldes Berechtigungslevel können Sie z. B. fol-gendes Vier-Augen-Prinzip bei der Pflege beliebiger Infotypen implemen-tieren:
� Benutzer A hat Berechtigungslevel E. Infotypsätze, die er angelegt hat, müssen von einem anderen Benutzer entsperrt werden.
� Benutzer B hat Berechtigungslevel S. Auch er kann nur gesperrte Sätze schreiben, kann aber gesperrte Sätze entsperren, sofern sie nicht von ihm selbst angelegt wurden.
Beachten Sie, dass in der Zeitauswertung und Abrechnung nur entsperrte Sätze berücksichtigt werden.
Näheres zum Vier-Augen-Prinzip finden Sie in der Rollenpflege (Transak-tion PFCG) auf der Registerkarte Berechtigungen � Button Berechtigungs-daten ändern � Berechtigungsobjekt aufklappen. Wenn Sie dort mit dem Cursor auf dem Feld Berechtigungslevel die (F1)-Taste drücken, erhalten Sie die Felddokumentation. Dort klicken Sie auf den markierten Link Vier-Augen-Prinzip.
Feld »Subtyp«
Wenn Sie im Feld Subtyp Einschränkungen vornehmen, also nicht »*« ver-wenden, müssen Sie darauf achten, den Eintrag » « (Leerzeichen) mit zu berechtigen. Sonst kann es passieren, dass bei Infotypen ohne Subtyp keine Berechtigung vorhanden ist.
73
Berechtigungsobjekte 2.3
Erweiterung des Beispiels
Was wäre nun zu tun, wenn der Mitarbeiter abweichend vom gezeig-ten Beispiel auf den Infotyp 0008 (Basisbezüge) nur lesend und nur auf außertariflich bezahlte Mitarbeiter zugreifen dürfte? Hierfür muss die Berechtigung aufgeteilt werden in zwei Berechtigungen desselben Objekts. Dies ist in Abbildung 2.24 dargestellt.
Abbildung 2.24 Besondere Berechtigung für Infotyp 0008
Der Infotyp 0008 wurde aus der ersten Berechtigung entfernt. Eine zweite Berechtigung wurde mit einem rein lesenden Berechtigungs-level und zusätzlich einer Einschränkung der zugelassenen Mitarbei-terkreise aufgebaut.
Zusätzliche Erweiterung des Beispiels
Nun möge den Mitarbeitern, für die diese Berechtigungen gelten, außerdem noch der lesende Zugriff auf einen anderen Personalbe-reich gestattet sein. Abbildung 2.25 zeigt, dass hierfür eine dritte Ausprägung des Objekts P_ORGIN angelegt werden muss.
Eintrag » « (Leerzeichen) in ein- oder mehrstelligem Feld
Angenommen, es besteht die Anforderung, dass Mitarbeiter in der Perso-naladministration nur Zugriff auf bestimmte Mitarbeitergruppen oder -kreise haben sollen. Wenn diese Mitarbeiter auch Einstellungsmaßnah-men durchführen sollen, verlangt das Berechtigungsobjekt P_ORGIN für die Infotypen 0000 und 0001 den Wert » « (Leerzeichen) in den Feldern Mitarbeitergruppe, Mitarbeiterkreis sowie Personalbereich und Perso-nalteilbereich.
In mehrstelligen Feldern kann ein » « (Leerzeichen) mit »` `« (Hochkomma, Leerzeichen, Hochkomma) eingegeben werden. Im einstelligen Feld Mit-arbeitergruppe oder im zweistelligen Feld Mitarbeiterkreis wird ein einfa-ches Hochkomma vom SAP-System als Leerzeichen interpretiert.
74
Allgemeine Berechtigungsprüfung2
Abbildung 2.25 Leseberechtigung für Personalbereich 3000
ODER-Verknüp-fung zwischen den
Berechtigungen
Versucht ein Benutzer mit den Berechtigungen aus obigem Beispiel einen Zugriff (z. B. das Anlegen eines Satzes in Infotyp 0007 für Per-sonalbereich 1000, Mitarbeiterkreis AS), sucht das System eine Berechtigung, die dies erlaubt. Der Zugriff muss in mindestens einer der Ausprägungen des Objekts P_ORGIN zugelassen sein. Da die erste Berechtigung alle Pflegeaktionen auf Infotyp 0007 im Personal-bereich 1000 zulässt, wird der Zugriff gewährt.
Übersichtlichkeit bei mehreren Berechtigungen
Es kann vorkommen, dass Berechtigungen sich überschneiden, sodass mehrere Berechtigungen einen Zugriff erlauben. Dies beeinträchtigt das Systemverhalten zwar nicht, kann aber zu Unübersichtlichkeit führen und dadurch die Pflege der Berechtigungen erschweren. In der Regel emp-fiehlt es sich also, innerhalb einer Rolle eine Berechtigung nur einmal zu vergeben.
Ein weiteres Problem bei der Strukturierung der Berechtigungen des Objekts stellt das Feld Subtyp dar. Prinzipiell ist es möglich, innerhalb einer Berechtigung Infotypen mit und ohne Subtyp zusammenzufassen, wie dies im Beispiel aus Abbildung 2.26 zu sehen ist.
75
Berechtigungsobjekte 2.3
»Geheimwaffe« Organisations-schlüssel
Der besondere Charme des Feldes Organisationsschlüssel aus Infotyp 0001 ist, dass Sie damit sämtliche Felder des Infotyps 0001 für die Berechtigungen nutzen können. Per Customizing können Sie den 14-stelligen Organisationsschlüssel beliebig füllen, z. B. mit dem Personalteilbereich oder der Kostenstelle oder einer Kombination von Feldern. Der IMG-Pfad hierfür lautet Personalmanagement �
Dabei müssen Sie allerdings immer einen Subtyp » « (Leerzeichen) eintra-gen, damit Infotypen ohne Subtyp auch berechtigt werden. Übersichtli-cher mag es für Sie sein, Berechtigungen für Infotypen mit Subtyp von Berechtigungen für Infotypen ohne Subtyp zu trennen (schauen Sie sich den gleichen Sachverhalt in Abbildung 2.27 an). Für die Berechtigungs-prüfung spielt es keine Rolle, welche Form Sie wählen.
Abbildung 2.26 Arbeit mit Subtypen: Variante 1
Abbildung 2.27 Arbeit mit Subtypen: Variante 2
Diese Überlegungen gelten im Übrigen auch für andere Berechtigungsob-jekte mit Subtypen (wobei Sie beim Objekt PLOG – siehe Abschnitt 2.3.5 – auf den Eintrag » « (Leerzeichen) verzichten können).
76
Allgemeine Berechtigungsprüfung2
Personaladministration � Organisatorische Daten � Organisato-rische Zuordnung � Organisationsschlüssel aufbauen. In den Berechtigungen des Objekts P_ORGIN könnten Sie dann im Feld Organisationsschlüssel z. B. die Kostenstellen 20000 bis 29999 zulassen.
Aktivierung/ Deaktivierung
Das Berechtigungsobjekt P_ORGIN wird von SAP als aktiv ausgelie-fert. Um dies durch ein anderes Berechtigungsobjekt (z. B. das Objekt P_ORGXX, siehe Abschnitt 2.3.3, »Weitere Berechtigungsobjekte für Stamm- und Zeitdaten«) zu ersetzen, müssen Sie es im IMG in der Pflege der Berechtigungshauptschalter deaktivieren: Personalma-nagement � Personaladministration � Werkzeuge � Berechti-gungsverwaltung � Berechtigungshauptschalter bearbeiten �
Berechtigungshauptschalter pflegen. Dort setzen Sie den Schalter AUTSW ORGIN von »1« auf »0«.
2.3.3 Weitere Berechtigungsobjekte für Stamm- und Zeitdaten
Ergänzend oder alternativ zum Berechtigungsobjekt P_ORGIN exis-tieren weitere Berechtigungsobjekte, die zum Zugriff auf die Infoty-pen berechtigen.
HR: Stammdaten – erweiterte Prüfung (Berechtigungsobjekt P_ORGXX)
Sachbearbeiter-felder Infotyp 0001
Das Objekt P_ORGXX kann alternativ oder ergänzend zum Berechti-gungsobjekt P_ORGIN (HR: Stammdaten) eingesetzt werden. Es weitet die für Berechtigungen nutzbaren Felder des Infotyps 0001 (Organisatorische Zuordnung) auf die Sachbearbeiterfelder (siehe Abbildung 2.28) aus.
Kostenstelle in einer Berechtigung verwenden
Das Feld Organisationsschlüssel ist die einzige Möglichkeit im Standard, die Kostenstelle innerhalb der Berechtigungen zu verwenden. Die struk-turelle Berechtigung (siehe Kapitel 3, »Strukturelle Berechtigungsprü-fung«) verarbeitet die Kostenstelle nämlich nicht.
Eine weitere Möglichkeit wäre die Aufnahme der Kostenstelle des Info-typs 0001 in das Berechtigungsobjekt P_NNNNN (siehe Abschnitt 2.8.1, »Berechtigungsobjekt P_NNNNN«).
188
Berechtigungsrollen in den HCM-Komponenten5
5.2.4 Berechtigungen für Steuerprüfer
Transaktion TPC6 SAP liefert für Steuerprüfer in Deutschland die Rolle SAP_AUDITOR_TAX_HR (HR-DE Steuerprüfung § 147 AO (Muster)) aus. Diese enthält einige Vorlagen insbesondere für Systemberechtigungen. Darunter befindet sich auch die wichtige Transaktion TPC6 (Zeiträume für Berechtigungsprüfung ändern). Mit dieser Transaktion können Sie eine Tabelle pflegen, die die Zugriffe des Steuerprüfers in bestimmten Reports (z. B. Lohnkonto) auf definierte Zeiträume einschränkt. Beachten Sie hierzu auch den SAP-Hinweis 966641 (Steuerprüfung Online-Zugriff: Berechtigungsprüfung). Dabei geht es insbesondere um Berechtigungen des Steuerprüfers für Personen, die nicht wäh-rend des gesamten Zeitraums der Prüfung dem für die Prüfung zuge-lassenen Personalteilbereich zugeordnet waren.
Weitere HR-Rollen, die mit Prüfvorgängen im Rahmen von Audits zu tun haben, sind folgende:
� SAP_AUDITOR_BA_HR (AIS Human Resources)
� SAP_AUDITOR_BA_HR_A (AIS Human Resources (Berechtigungen))
5.2.5 Berechtigung zum Löschen von Abrechnungs-ergebnissen
Transaktion PU01 Die Transaktion PU01 (Aktuelles Abrechnungsergebnis löschen) erlaubt das Löschen des aktuellen Abrechnungsergebnisses für ein-zelne Personalnummern im Cluster Rx (x steht für die Ländergrup-pierung) der Tabelle PCL2. Nach erfolgreichem Löschen wird das vorangegangene Abrechnungsergebnis als aktuelles Abrechnungser-gebnis zur Verfügung gestellt.
Mit dem BAdI HR_PY_AUTH_PU01 können hierfür kundeneigene Berechtigungsprüfungen implementiert werden.
5.3 Betriebliche Altersversorgung/Pensionskasse
Für die betriebliche Altersversorgung in Deutschland (BAV) liefert SAP die beiden Rollen SAP_HR_PA_PF_DE_PENSION-ADM (Sach-bearbeiter Betriebliche Altersversorgung Deutschland) und SAP_HR_PA_PF_DE_PENSION-PROC (Prozesssachbearbeiter Betrieb-liche Altersversorgung Deutschl.) aus. Letztere bietet die bessere Grundlage, deswegen behandeln wir sie hier (siehe Abbildung 5.6).
189
Betriebliche Altersversorgung/Pensionskasse 5.3
Abbildung 5.6 SAP-Rolle »Prozesssachbearbeiter Betriebliche Altersversorgung Deutschl.«
Berechtigungs-objekte der Rolle
Die Rolle SAP_HR_PA_PF_DE_PENSION-PROC enthält folgende Berechtigungsobjekte:
� S_TABU_DIS (Tabellenpflege über Standardtools wie z. B. SM30)Die Berechtigung zur Tabellenpflege wird benötigt, weil die Daten der BAV nur zum Teil in Infotypen gespeichert sind und zum anderen Teil in sogenannten transparenten Tabellen. Diese Tabel-len können – je nach Versorgungsordnung – folgende sein:
� P01CAD (Verwaltungsdaten BAV-Tabellen)
� P01CBE (Beiträge BAV)
� P01CBF (Fiktive Beiträge BAV)
� P01CBT (Überweisungssätze Beitragsrückerstattung)
� P01CCV (Kumulierte Anwartschaften BAV)
� P01CEE (Effektive Einkommen BAV)
190
Berechtigungsrollen in den HCM-Komponenten5
� P01CEF (Fiktive Einkommen BAV)
� P01CET (Fehlerhafte Aktionen BAV)
� P01CGP (Besitzstände BAV)
� P01CIX (Anspruchsindex)
� P01CKA (Kapitalisierte Anwartschaften BAV)
� P01CRP (Rückerstattungsbeträge BAV)
� P01CSL (Sozialleistungen BAV)
� P01CSO (Sonderinformationen)
� P01CST (Statusinformationen BAV)
� P01CUA (Unverfallbare Anwartschaften BAV)
� P01CVD (Versicherungsmathematik BAV Daten)
� P01CVH (Versicherungsmathematik BAV Kopf-Sätze)
� P01CVR (Versicherungsmathematik BAV Rentendaten)
� P01CVU (Vermögensüberträge BAV)
Leserechte auf diese Tabellen werden benötigt, wenn z. B. der Rentenermittler ausgeführt wird, Schreibrechte bei Nutzung der Transaktion P01A_TO02 (Pflege BAV-Daten).
� S_PROGRAM (ABAP: Programmablaufprüfungen)Sobald Programme der BAV nicht über eigene Transaktionen, son-dern über die Transaktion SA38 gestartet werden sollen, muss die Systemberechtigung S_PROGRAM vergeben werden. Hierfür müs-sen Sie die Berechtigungsgruppen richtig einstellen, da sie in vie-len SAP-Reports nicht gepflegt sind. Wie Sie das tun, erfahren Sie in Abschnitt 2.4.1.
Die Berechtigungsgruppen in der SAP-Rolle aus Abbildung 5.6sind dabei leider keine große Hilfe: P_BAVUR0 bezieht sich auf obsolete Programme, P_ BAVUD0 ist lediglich dem Programm RPUWDAD0 (Pflege HR-BAV Datenbanken) und P_BAVUD5 nur dem Programm RPUWDAD5 (Bearbeitung Beitragsrückerstattun-gen) zugeordnet.
Berechtigungsgruppen PFDE und PA
Nur Tabelle P01CVU hat die Berechtigungsgruppe PFDE, die auch in der Rolle steht, alle anderen Tabellen haben die Berechtigungsgruppe PA. Dies kann wichtig sein, wenn Sie die Tabellenpflege über das Berechtigungsobjekt S_TABU_DIS schützen wollen (siehe Abschnitt 2.4.3, »Tabellenpflege«).
191
Betriebliche Altersversorgung/Pensionskasse 5.3
� P_ABAP (HR: Reporting)Das Berechtigungsobjekt P_ABAP verweist auf die immer beste-hende Notwendigkeit, die Performance von Reports zu optimie-ren. Dies wird in dieser Rolle sehr pauschal für die logische Daten-bank PNP durchgeführt, wodurch die Berechtigungsprüfung in den meisten Standardreports einerseits optimiert, andererseits aber auch weniger konsequent eingesetzt würde. Mehr zu den Optionen dieses Berechtigungsobjekts erfahren Sie in Abschnitt 5.17.3, »Berechtigungsobjekt P_ABAP«.
� StammdatenDie hier ausgelieferten Infotypberechtigungen liefern eine brauch-bare Grundlage, die jedoch um den in der BAV unverzichtbaren Infotyp 0323 (Versorgungsordnung BAV) ergänzt werden muss.
� ClusterFür Bescheinigungen wird Cluster DB (BAV-/Rentenbescheini-gung) anstelle des nicht mehr vorhandenen Clusters DA benötigt. Die Cluster CU und RD verweisen auf das notwendige Lesen von Lohnarten der BAV aus den Abrechnungs-Clustern.
Im Menü der Rolle fehlen einige Transaktionen, die Sie in der SAP-Rolle SAP_HR_PA_PF_DE_PENSION-ADM finden, z. B. die Rentener-mittlung (Transaktion P01A_RE01). Darüber hinaus müssen Sie gege-benenfalls die Transaktion P01A_FO03F (Batch-Input zur Beitrags-rückerstattung) hinzufügen sowie die Transaktionen P01A_VM01 bis P01A_VM06 für den Datenexport, sofern es sich bei den Benutzern um Komponentenbetreuer oder Systemadministratoren handelt.
Obsolete Transaktionen
Obsolet sind in beiden Rollen die folgenden Transaktionen:
� P01A_RE03 (Anzeige BAV-Fehlermeldungen)
� P01A_RE04 (Löschen BAV-Fehlermeldungen)
� P01A_TO03 (Ändern Renten-/Rückstellungsstatus (Infotyp 0203))
� P01A_TO04 (Liste BAV-Daten)
� PC00_M01_UWCU10 (Customizing-Tool: Kopieren/Löschen Ansprüche)
� PC00_M01_UWEDDA (Übernahme externe Daten in die BAV-DB)
� PC00_M01_UWUPDB (Bearbeiten Rentenbescheinigungselemente in DB/Sammeltabelle CSTIT)
192
Berechtigungsrollen in den HCM-Komponenten5
Diese Transaktionen werden entweder technisch nicht mehr benö-tigt, oder sie wurden durch andere Transaktionen ersetzt.
Pensionskasse Schweiz
Für die Altersversorgung in der Schweiz gibt es eine Pensionskasse. SAP liefert hierfür zwei Berechtigungsrollen aus:
� SAP_HR_PA_PF_CH_PENSION-ADM (Pensionskasse Sachbearbeiter Schweiz)
� SAP_HR_PA_PF_CH_PENSION-SPEC (Pensionskasse Spezialist Schweiz)
Die erste der beiden Rollen verwendet ein spezielles Berechtigungs-objekt: P_CH_PK (HR-CH: Pensionskasse: Kontenzugriff). Dieses Objekt prüft in Transaktionen oder Reports, die Kontendaten verar-beiten, folgende Felder: Berechtigungsgruppe für PK-Konten, Nummer eines individuellen PK-Kontos sowie Berechtigungsle-vel für Kontenzugriff. Details zu den Feldern finden Sie in der Dokumentation zu diesem Objekt. Diese können Sie über die Trans-aktion SU21 (Pflege der Berechtigungsobjekte)) aufrufen.
Vorschlagswerte für Berechtigungs-
gruppen
Wie Sie bei der Pflege der Berechtigungsgruppen für die PK-Konten über ein Merkmal entsprechende Vorschlagswerte erzeugen können, erfahren Sie in SAP-Hinweis 426499 (PA-PF: Kassenabhängige Berechtigung für PK-Konten).
5.4 Beurteilungssystem
Das »alte« Beurteilungssystem kann ab R/3-Release 4.7 durch das neue Performance Management ersetzt werden. Grundsätzlich ist im Standard eine Koexistenz nicht möglich. Entscheidend für die Wahl zwischen »altem« Beurteilungssystem und Performance Manage-ment ist der Schalter HAP00 REPLA der Tabelle T77S0.
Infotypen zur Person
Im Beurteilungssystem wird für die Anzeige der beurteilten Person die Leseberechtigung auf folgende Infotypen geprüft:
Beide Komponenten parallel verwenden
Im AdManus-Newsletter aus dem Oktober 2007 (www.admanus.de/newsletter � Archiv) ist beschrieben, wie Sie dennoch beide Komponenten parallel nutzen können und z. B. das alte Beurteilungssystem für das Ver-anstaltungsmanagement und gleichzeitig die neue Performance-Manage-ment-Funktion für Personalbeurteilungen nutzen können.
193
Beurteilungssystem 5.4
� 0002 (Daten zur Person)
� 0024 (Qualifikationen), nur bei aktiver Integration mit den Quali-fikationen (siehe Schalter PLOGI QUALI in der Tabelle T77S0)
� 0025 (Beurteilungen), nur bei aktiver Integration mit den Beurtei-lungen (siehe Schalter PLOGI APPRA in der Tabelle T77S0)
Diese Prüfung muss durch eines der Berechtigungsobjekte für Infoty-pen erteilt werden, z. B. durch P_ORGIN (siehe Abbildung 5.7).
Abbildung 5.7 Leseberechtigung auf die Stammdaten des Beurteilungssystems
Die Prüfung auf den Infotyp 0002 kann im BAdI HRPDV00APPR AISAL0005 mithilfe des Parameters EXIT_FLAG ausgeschaltet werden. Wird der Parameter auf »A« gesetzt, wird diese Berechtigungsprü-fung für den Beurteiler abgeschaltet. Bei Schalterstellung »X« findet die Prüfung weder für den Beurteiler noch für den Beurteilten statt.
Objekttypen, Infotypen und Subtypen
Außerdem müssen die Objekttypen und Infotypen des Beurteilungs-systems selbst geprüft werden, und zwar zum einen mit dem Objekt PLOG (Personalplanung) und zum anderen mit der strukturellen Berechtigung für die Objekttypen. Die verwendeten Elemente sind folgende:
� ObjekttypenEs handelt sich um folgende Objekttypen:
� BA (Beurteilung)
� BG (Kriteriengruppe)
� BK (Kriterium)
� BS (Beurteilungsmuster)
Weitere Objekttypen, je nachdem, was und wen Sie beurteilen, sind folgende:
� P (Person)
� AP (Bewerber)
� E (Veranstaltung)
194
Berechtigungsrollen in den HCM-Komponenten5
Die Objekttypen BG und BK gehören zum Customizing, sind also für normale Nutzer nur lesend zu berechtigen. Der Objekttyp BA kann in der Regel vollständig schreibend erlaubt werden, der Objekttyp BS gegebenenfalls nur für die Verknüpfung mit BA (003).
� InfotypenEs handelt sich um folgende Infotypen:
� 1000, 1001, 1043 (Info Beurteilungsmuster)
� 1044 (Ergebnisdefinition)
� 1045 (Bewertung)
� 1047 (Verarbeitungsbausteine)
� 1048 (Ausprägungsbeschreibung)
� Subtypen des Infotyps 1001Es handelt sich um folgende Subtypen:
� 003 (gehört zu/umfasst)
� 045 (erstellt/wurde erstellt von)
� 046 (erhält/wurde erstellt für)
� 047 (enthält/ist Bestandteil von)
� 057 (hat Teilnehmerbeurteilungsmuster/ist Teilnehmerbeurtei-lungsmuster für)
� 058 (hat Veranstaltungsbeurteilungsmuster/ist Veranstaltungs-beurteilungsmuster für)
� 0710 (erfüllt/wird erfüllt von)
� 0711 (benötigt/wird benötigt von)
Wenn Sie das Beurteilungssystem für die Beurteilungen von Veran-staltungen oder Teilnehmern im Veranstaltungsmanagement nutzen, müssen Sie die Verknüpfungen 045, 047, 057 und 058 zu den Objekttypen E (Veranstaltung) und D (Veranstaltungstyp) berechti-gen.
Strukturelle Berechtigungen
Da innerhalb der Objekttypen des Beurteilungssystems keine hierar-chischen Beziehungen existieren, müssen strukturell lediglich die einzelnen Objekttypen berechtigt werden. Eventuell können ein-zelne Schlüssel, insbesondere für Beurteilungsmuster, durch Einträge unter ObjektId gezielt berechtigt werden.
195
Budgetplanung und -bewirtschaftung (öffentlicher Dienst) 5.5
Für die Bearbeitung von Beurteilungen müssen Schreibrechte auf die Objekttypen BA und BS (wegen der Verknüpfung zum Objekttyp BA) auch strukturell vergeben werden. Ein Beispiel, das die Zugriffe auf die Objekttypen des Beurteilungssystems erlaubt sowie die Beurtei-lung von Personen einer bestimmten Organisationseinheit zulässt, sehen Sie in Abbildung 5.8.
Abbildung 5.8 Beispiel einer strukturellen Berechtigung für das Beurteilungssystem (»alt«)
5.5 Budgetplanung und -bewirtschaftung (öffentlicher Dienst)
Die Budgetplanung und -bewirtschaftung ist eine wesentliche Wei-terentwicklung der Stellenwirtschaft und soll diese langfristig ablö-sen. Die neue Budgetplanung und -bewirtschaftung umfasst in der Planungsphase die folgenden HCM-Komponenten, die Sie für den Aufbau Ihrer Rollen berücksichtigen müssen:
� PersonaladministrationDie Berechtigungen in der Personaladministration werden auf die gleiche Weise vergeben wie in allen anderen HCM-Komponenten, die auf diese Daten zugreifen. In Abschnitt 5.13, »Personaladmi-nistration«, finden Sie hierzu detaillierte Informationen.
� OrganisationsmanagementDie Budgetplanung und -bewirtschaftung nutzt genauso wie das übrige HCM-System die Aufbauorganisation des Organisationsma-
Funktionsbaustein für die strukturelle Berechtigung
Ein nützlicher Funktionsbaustein für die strukturelle Berechtigung ist ZGET_APPRAISALS. Der Baustein liefert für die Berechtigung eines Mana-gers alle Beurteilungen für Mitarbeiter, deren Vorgesetzter er ist. Sie kön-nen ihn über den SAP-Hinweis 668962 (Berechtigung, um nur Beurt. von unterg. Mitarbeiter zu sehen) herunterladen.
196
Berechtigungsrollen in den HCM-Komponenten5
nagements mit dem Berechtigungsobjekt PLOG sowie der struktu-rellen Berechtigung (siehe Abschnitt 5.11, »Organisationsmanage-ment«). Zusätzlich zu den bekannten Objekttypen O (Organisati-onseinheit), P (Person) und S (Planstelle) und ihren Infotypen benötigen Sie hier Folgendes:
� den Objekttyp BU (Haushaltselement)
� verschiedene Verknüpfungen zwischen den Objekttypen BU und O, S und P:
– 003 (für die Hierarchie der Haushaltselemente)
– 300 (wird finanziert durch/finanziert)
– 301 (verstärkt/wird verstärkt durch)
– 310 (ist Verantwortlicher von/ist in Verantwortung von)
– 312 (gehört zu (Umwandlung)/umfasst (Umwandlung))
– 313 (umgewandelt aus/umgewandelt in)
– 314 (ist zweckgebunden an/ist zweckgebunden für)
– 315 (Verantw. Finanzierung)
� die Infotypen 15xx
In der strukturellen Berechtigung lassen Sie entweder den Objekt-typ BU uneingeschränkt zu, oder Sie schränken bestimmte Berei-che der Hierarchie der Haushaltselemente mit Eingabe eines Wur-zelobjekts und dem Auswertungsweg BU-BU ein.
� Personalabrechnung (simulativ)Auf die Berechtigungen für die Personalabrechnung gehen wir detailliert in Abschnitt 5.2, »Abrechnung und Folgeaktivitäten«, ein.
� Personalkostenplanung inklusive Überleitung der Ergebnisse in das Controlling und von dort an das HaushaltsmanagementAuch für die Personalkostenplanung finden Sie alles Wichtige an anderer Stelle, nämlich in Abschnitt 5.18, »Personalkostenpla-nung«.
Die für die Prozesse der Budgetplanung und -bewirtschaftung von SAP ausgelieferten Rollen sind leider ziemlich unvollständig. Ledig-lich die Rolle SAP_HR_PBC_PAYSIM_RESPONSIBLE (Verantwortlich für Abrechnungssimulation) enthält eine brauchbare Basis für diesen Aufgabenbereich.
197
Budgetplanung und -bewirtschaftung (öffentlicher Dienst) 5.5
Spezielle Berechti-gungsobjekte
In der Budgetplanung und -bewirtschaftung gibt es zudem einige spezielle Berechtigungsobjekte, die ausschließlich dort gelten:
� Berechtigungsobjekt P_EXMGRP(HR: PBC – Ausnahmen für Finanzierungsregeln)Dieses Berechtigungsobjekt schränkt die Verwendung von Prüfausnahmen ein. Es wird lediglich das Feld Gruppierung vonPrüfausnahmen geprüft.
� Berechtigungsobjekt P_ENGINE(HR: PBC – Berechtigung für automatische Obligoerstellung)Dieses Objekt berechtigt die Generierung der automatischen Obli-goerstellung in der Budgetplanung und -bewirtschaftung. Es wird ausschließlich das Feld Aktivität mit dem einzig möglichen Wert »Generierung« geprüft.
� Berechtigungsobjekt P_ENCTYP(HR: PBC – Finanzierung)Hier werden Mittelreservierungstypen zugelassen. Die geprüften Felder und ihre möglichen Werte sehen Sie in Abbildung 5.9.
Abbildung 5.9 Werte des Berechtigungsobjekts P_ENCTYPE
� Berechtigungsobjekt P_FINADM (HR: PBC – Änderungen in die Finanzierungsvergangenheit)Mithilfe dieses Berechtigungsobjekts ist es möglich, Finanzierun-gen auch vor dem Datum zu ändern, das im Customizing in der IMG-Aktivität Personalmanagement � Budgetplanung und-bewirtschaftung � Stellenplanmanagement � Finanzierungs-einstellungen � Erlaubter Zeitraum für Änderungen in die Ver-gangenheit pflegen festgelegt wurde. Das Feld Änderungen indie Vergangenheit erlaubt kann die Werte »X« oder » « (Leerzei-chen) erhalten.
198
Berechtigungsrollen in den HCM-Komponenten5
Bestimmung der Stellenanteile
Bei der Bestimmung der benötigten Stellenanteile in den Transaktio-nen des Stellenplanmanagements kann die Berechtigungsprüfung durch den T77S0-Schalter HRFPM NOPAU abgeschaltet werden (siehe SAP-Hinweis 796357 – Org. Öff. Verw.: Berechtigungsverwal-tung für PA-Infotypen).
5.6 Cross Application Time Sheet
Zum Cross Application Time Sheet (CATS) gibt es keine von SAP aus-gelieferte vorkonfigurierte Rolle. Deshalb müssen Sie Ihre Rollen für CATS neu aufbauen, und zwar aus zwei Komponenten
Komponente 1: Berechtigungen für
das Profil
Zum einen muss bei allen CATS-Profilen festgelegt werden, ob ein Benutzer mit diesem Profil arbeiten darf. Hierzu nutzt CATS das HCM-Berechtigungsobjekt P_ORGIN (HR: Stammdaten) oder dessen kontextabhängige »Schwester« P_ORGINCON.
Virtuelle Infotypen In diesem Objekt werden für die Arbeit in CATS die folgenden virtu-ellen Infotypen eingetragen:
� Infotyp 0316 für das Lesen und Pflegen von Daten
� Infotyp 0328 für das Reporting und die Genehmigung
Diese beiden Infotypen sind virtuelle Infotypen, d. h., sie existieren nicht auf der Datenbank. Sie stehen lediglich in der Berechtigungs-rolle der CATS-Benutzer.
CATS-Erfassungs-profile
Für Infotyp 0316 kann zusätzlich der Subtyp berechtigt werden. Dar-aus geht hervor, mit welchem Erfassungsprofil der Benutzer berech-tigt ist zu arbeiten. Der Subtyp des virtuellen Infotyps 0316 enthält die vierstellige Profilberechtigungsgruppe, die in dem Feld Berechti-gung der Customizing-Tabelle für das Erfassungsprofil eingetragen ist (siehe Abbildung 5.10). Im IMG erreichen Sie diese Sicht über Anwendungsübergreifende Komponenten � Arbeitszeitblatt �
Einstellungen für alle Anwendungsoberflächen � Berechtigun-gen � Berechtigungen für Erfassungsprofile anlegen � Erfas-sungsprofile pflegen.
Erfassungsprofil
Im Erfassungsprofil muss immer eine Berechtigungsgruppe stehen – auch wenn in der Berechtigung unter Subtyp ein »*« vergeben wird.
199
Cross Application Time Sheet 5.6
Abbildung 5.10 CATS-Erfassungsprofil mit Berechtigungsgruppe
Komponente 2: Berechtigungen für Dateninhalt
Die zweite Komponente jeder CATS-Berechtigung betrifft die Daten. Hier greifen sämtliche Berechtigungen der betroffenen SAP-Kompo-nenten. Im Falle des HCM-Systems sind dies die folgenden Berechti-gungsobjekte:
� Berechtigungsobjekt P_ORGIN/P_ORGINCON (HR: Stammdaten, mit oder ohne Kontext)
� Berechtigungsobjekt P_PERNR (HR: Stammdaten – Personalnummernprüfung)
� Berechtigungsobjekt P_ORGXX/P_ORGXXCON(HR: Stammdaten – erweiterte Prüfung, mit oder ohne Kontext)
� Berechtigungsobjekt P_PCLX (HR: Cluster)
Berücksichtigen Sie bei den Stammdatenobjekten den CATS-spezifi-schen Infotyp 0315 (Vorschlagswerte Arbeitszeitblatt). Dieser ist – im Gegensatz zu den oben beschriebenen Infotypen – nicht virtuell, son-dern tatsächlich mit Daten gefüllt. Beziehen Sie außerdem die struk-turellen Berechtigungen ein, soweit sie sich auf Personen auswirken.
Berechtigungsobjekt P_PERNR (HR: Stammdaten – Personalnummernprüfung)
Dieses Objekt ist für die dezentralen Erfassungsszenarien, wie sie in CATS üblich sind, von besonderer Bedeutung. Siehe hierzu auch Abschnitt 2.3.3, »Weitere Berechtigungsobjekte für Stamm- und Zeitdaten«.
200
Berechtigungsrollen in den HCM-Komponenten5
BAdI für CATS regular
Im IMG unter Anwendungsübergreifende Komponenten � Arbeits-zeitblatt � Spezielle Einstellungen für CATS regular � CATS regu-lar � Genehmigung von Arbeitszeiten � BAdI: Einstellungen für dieGenehmigung verfeinern finden Sie eine Erweiterungsmöglichkeit, die auch das Einfügen zusätzlicher Berechtigungsprüfungen erlaubt.
Arbeitszeitblatt für Dienstleister
Beim Arbeitszeitblatt für Dienstleister muss noch eine dritte Kom-ponente berücksichtigt werden. Hier wird das Berechtigungsobjekt P_CATSXT (HR: Arbeitszeitblatt für Dienstleister Typ/Stufenprü-fung) verwendet (siehe Abbildung 5.11). Damit erfolgt die Berech-tigungsprüfung für Tätigkeitstyp und Tätigkeitsstufe im Arbeitszeit-blatt für Dienstleister.
Abbildung 5.11 CATS: Arbeitszeitblatt für Dienstleister
Folgende Felder werden geprüft:
� AktivitätEs wird das Hinzufügen, Ändern, Anzeigen, Löschen und Auswer-ten geprüft.
� BuchungskreisEs werden zugelassene Aktionen nur für diese Buchungskreise geprüft.
� Prüfung der PersonalnummerEs werden die Bearbeitung der eigenen Personalnummer und die Bearbeitung einer fremden Personalnummer geprüft.
� KostenstelleWie beim Buchungskreis sowie den folgenden vier Feldern wird hier der Infotyp 0001 geprüft.
� OrganisationseinheitEs werden zugelassene Organisationseinheiten geprüft.
� PersonalbereichEs werden zugelassene Personalbereiche geprüft.
201
E-Recruiting 5.7
� MitarbeitergruppeEs werden zugelassene Mitarbeitergruppen geprüft.
� MitarbeiterkreisEs werden zugelassene Mitarbeiterkreise geprüft.
� TätigkeitsstufeEs werden im Arbeitszeitblatt gepflegte Stufen der Bewertung je Tätigkeitstyp (Tabelle CATSTCATX_LEVELS) geprüft.
� TätigkeitstypEs werden z. B. Beratung, Referententätigkeit (Tabelle TCATX_TASKTYPES) geprüft.
5.7 E-Recruiting
Hohe Ansprüche an Datenschutz
Datenschutz im E-Recruiting geht weit über das hinaus, was im Rah-men von HCM-Berechtigungen erforderlich ist. Gerade die System-architektur stellt hohe sicherheitstechnische Anforderungen, insbe-sondere dann, wenn interne und externe Kandidaten auf dasselbe System zugreifen können sollen. Wir konzentrieren uns hier – wie immer – auf die HCM-Aspekte.
5.7.1 SAP-Rollen
Für das E-Recruiting liefert SAP eine ganze Reihe von Berechtigungs-rollen aus. Diese korrespondieren mit den ebenfalls vorkonfigurier-ten Rollen des E-Recruitings, die die Benutzeroberfläche und Arbeitsoberfläche regeln. Die SAP-Berechtigungsrollen des E-Recrui-tings werden regelmäßig durch Support Packages auf den neuesten Stand gebracht.
SAP-Rollen des E-Recruitings
Die Berechtigungsrollen im Einzelnen:
� Rolle SAP_RCF_BUSINESS_ADMINISTRATOR (Administrator)Administrator im E-Recruiting
� Rolle SAP_RCF_CONTENT_SERVER (Zugriff für Suchmaschine)Ermöglichst den Zugriff auf die Suchmaschine Search and Classifi-cation (TREX).
� Rolle SAP_RCF_DATA_TYPIST_ERC_CI_2 (Datentypist)Die Rolle beinhaltet die Berechtigung zu einer minimalen Daten-eingabe für auf Papier eingehende Bewerbungen.
202
Berechtigungsrollen in den HCM-Komponenten5
� Rolle SAP_RCF_DECISION_MAKER (Entscheidungsträger)Diese Rolle beantwortet Fragebögen zu Kandidaten, die Suchauf-trägen zugeordnet sind. In den Fragebögen wird der Entschei-dungsträger zu seiner Meinung befragt.
� Rolle SAP_RCF_EXTERNAL_CANDIDATE (Externer Kandidat)Diese Rolle darf nur ihre eigenen Daten anzeigen und ändern. Sie bekommt nur die Stellenausschreibungen zu sehen, die Sie mit-hilfe von Veröffentlichungen über die externen Ausschreibungs-kanäle veröffentlicht haben.
� Rolle SAP_RCF_INTERNAL_CANDIDATE (Interner Kandidat)Diese Rolle darf nur ihre eigenen Daten anzeigen und ändern. Sie bekommt nur die Stellenausschreibungen zu sehen, die Sie mithilfe von Veröffentlichungen über die internen Ausschreibungskanäle veröffentlicht haben. Sie hat keinen Zugriff auf Daten zu Suchaufträ-gen, zur Ausschreibung, zur Anwendung und zum Auswahlprozess.
� Rolle SAP_RCF_MANAGER (Führungskraft)Diese Rolle ist notwendig, um den Zugriff der Führungskraft aus dem SAP NetWeaver Portal (Manager Self-Service) auf das E-Recrui-ting zu ermöglichen.
Die Führungskraft möchte ihre vakanten Planstellen besetzen. Dazu legt sie Suchaufträge im Status in Bearbeitung an, die dann von Personalbeschaffern weiterbearbeitet werden. Beim Zugriff auf Kandidaten und Suchaufträge bekommt diese Rolle nur Daten zu sehen, für die sie zuständig ist. Die Rolle beinhaltet auch die Berechtigung zur Beantwortung von Fragebögen zu Kandidaten, die den relevanten Suchaufträgen zugeordnet sind.
� Rolle SAP_RCF_MANAGER_ASSISTANT (Assistent der Führungskraft)Diese Rolle wird nur für das Karriere-Portal verwendet und nicht mehr im Standard des SAP E-Recruitings.
� Rolle SAP_RCF_RECRUITER_ERC_CI2 (Personalbeschaffer)Die Rolle ermöglicht Zugriff auf alle Kandidatendaten aus dem Talent Pool, alle Veröffentlichungen, alle Daten zu Suchaufträgen, alle Anwendungsdaten und alle Daten zu den Auswahlprozessen. Die Rolle beinhaltet auch die Berechtigung zu einer minimalen Dateneingabe für auf Papier eingehende Bewerbungen.
203
E-Recruiting 5.7
� Rolle SAP_RCF_REQUISITION_REQUESTER (Beantragender)Diese Rolle erstellt Suchaufträge und sendet diese im Status in Bearbeitung an einen Personalbeschaffer, der den Suchauftrag anschließend vervollständigt, die Stellenausschreibung formuliert und beides freigibt.
� Rolle SAP_RCF_RES_RECRUITER_ERC_CI_2 (Eingeschränkter Personalbeschaffer)Diese Rolle hat keine Berechtigung zur Freigabe von Suchaufträ-gen.
� Rolle SAP_RCF_REST_SUCCESSIONPLANNER (Eingeschränkter Nachfolgeplaner)Diese Rolle hat keine Berechtigung zur Freigabe von Nachfolgeplä-nen.
� Rolle SAP_RCF_SUCCESSION_PLANNER (Nachfolgeplaner)Die Rolle ermöglicht Zugriff auf alle Kandidaten aus dem Talent Pool, alle Suchaufträge des Teilbereichs Nachfolgeplanung und alle Kandidaturen im Rahmen der Nachfolgeplanung. Bewerbungen, Stellenausschreibungen und Veröffentlichungen werden hier nicht benötigt.
� Rolle SAP_RCF_TALENT_CONSULTANT (Talentberater)Diese Rolle wird nur für das Karriere-Portal verwendet und nicht mehr im Standard des SAP E-Recruitings.
� Rolle SAP_RCF_UNREGISTERED_CANDIDATE (Nicht registrierter Kandidat – Service-Benutzer)Diese Rolle wird für alle Aktivitäten verwendet, bei denen der Anwender nicht eingeloggt ist, z. B. für die Stellensuche.
Frontend und Backend auf unterschiedlichen Systemen
Bei Verwendung eines separierten Systems (Frontend und Backend auf unterschiedlichen Systemen) sowie von Benutzeroberflächen mit Web Dynpro for ABAP kommen folgende Rollen hinzu:
� Rolle SAP_RCF_EXT_CANDIDATE_CLIENT(Frontend-Berechtigungen für externe Kandidaten)
� Rolle SAP_RCF_EXT_CANDIDATE_SERVER(Backend-Berechtigungen für externe Kandidaten)
� Rolle SAP_RCF_INT_CANDIDATE_CLIENT(Frontend-Berechtigungen für interne Kandidaten)
� Rolle SAP_RCF_INT_CANDIDATE_SERVER(Backend-Berechtigungen für interne Kandidaten)
204
Berechtigungsrollen in den HCM-Komponenten5
� Rolle SAP_RCF_UNREG_CANDIDATE_CLIENT(Frontend-Berechtigungen für nicht registrierte Kandidaten)
� Rolle SAP_RCF_UNREG_CANDIDATE_SERVER(Backend-Berechtigungen für nicht registrierte Kandidaten)
5.7.2 Berechtigungsobjekte
Datenmodell Bevor wir die Berechtigungsobjekte für das E-Recruiting schrittweise beschreiben, möchten wir das Verständnis seiner zentralen Struktu-ren als Grundlage der Berechtigungen durch einige Vorbemerkungen zum Datenmodell erleichtern: Auf der Personenseite ist der Kandidatder zentrale Objekttyp des E-Recruitings (Objekttyp NA). Immer, wenn ein Kandidat angelegt wird, werden die folgenden Objektty-pen und die Verknüpfungen dazu mit angelegt:
� CP (Zentrale Person)
� BP (Geschäftspartner)
� US (Benutzer)
Geschäftspartner Der Geschäftspartner ist nicht nur ein Objekt im HCM-System, son-dern wird gleichzeitig in der SAP-Geschäftspartnerkomponente gespeichert.
Im E-Recruiting wird der SAP-Geschäftspartner sowohl für die per-sönlichen Daten aller beteiligten Personen (z. B. Kandidaten, Mitar-beiter) genutzt als auch für die Adressen der einzelnen Niederlassun-gen Ihres Unternehmens verwendet. Die Einstellungen hierzu finden Sie im IMG unter SAP E-Recruiting � Technische Einstellungen �Systemparameter festlegen, und zwar bei den folgenden Einträgen:
� Eintrag CPERS PROLELegt die Rolle fest, die einem SAP-Geschäftspartner zugeordnet ist, der im System als Mitarbeiter verwendet wird.
� Eintrag RECFA BRAROLegt die Rolle fest, die einem SAP-Geschäftspartner zugeordnet ist, der im System als Niederlassung verwendet wird.
� Eintrag RECFA AGYROLegt die Rolle fest, die einem SAP-Geschäftspartner zugeordnet ist, der im System als Agentur verwendet wird.
SAP empfiehlt, alle diese Einträge nicht zu ändern.
205
E-Recruiting 5.7
Überblick über das Datenmodell
Einen Überblick über das gesamte Datenmodell des E-Recruitings mit seinen Objekttypen, Verknüpfungen und weiteren Infotypen gibt Abbildung 5.12. Wichtig sind hier zum einen die zentrale Rolle des Kandidaten (Objekttyp NA) in Verbindung mit der zentralen Person (Objekttyp CP), zum anderen die vorgangsorientierten Objekttypen Ausschreibung, Suchauftrag, Bewerbung und Kandidatur.
Abbildung 5.12 Datenmodell des E-Recruitings
Berechtigungs-objekte des E-Recruitings
Nun möchten wir Ihnen die Berechtigungen des E-Recruitings anhand der Administratorrolle erläutern, da diese die umfassendste ist. Die wichtigsten Werte dieser SAP-Rolle sehen Sie in den Abbil-dungen 5.13 und 5.14.
Berechtigungen außerhalb von HCM
Abbildung 5.13 zeigt die Berechtigungen der Administratorrolle außerhalb des HCM-Systems:
� Berechtigungsobjekt B_BUPA_ATT (Geschäftspartner: Berechtigungsarten)Das Berechtigungsobjekt ist optional und wird nur bei besonderen Anforderungen benötigt.
5121 Ausschreibungsinformation5122 Ausschreibungsinstanz5134 Anlagen
5131 Verantwortliche5132 Bewerbungsinformation5134 Anlagen5135 Manuelle Aktivitäten5136 Korrespondenz5137 Eignungsprüfung5138 Einladung5139 Statusänderung5140 Datentransfer5141 Fragebogen
B655
Bewerbung
Objekttyp ND
KandidaturObjekttyp NE
Ausschreibung
Objekttyp NC
SuchauftragObjekttyp NB
ObjekttypCP
Objekttyp P Objekttyp US
Objekttyp BP
Objekttyp S
Objekttyp S
TalentgruppeObjekttyp NF
Kandidat
Objekttyp NAA651
B651
B650 A650
A652 B652
B653
A653
A654
B654
B656
A656
A209 B209 A208 B208
B207
A207
B657 A657
A008
B008
A655 B658 A658
5102 Kandidateninformation5103 Berufserfahrung5104 Ausbildung5105 Qualifikationen5106 Beschäftigungswunsch5107 Arbeitsortwunsch5108 Verfügbarkeit5110 Kontaktregelung5111 Lizenzen/Zertifikate5112 Beratungsaktivitäten5134 Anlagen5135 Manuelle Aktivitäten5136 Korrespondenz5137 Eignungsprüfung5138 Einladung5139 Statusänderung5141 Fragebogen5142 Beurteilung
5112 Beratungsaktivitäten5125 Suchauftragsinformation5126 Stellenbeschreibung5127 Weitere Anforderungen5128 Ausbildungsanforderungen5129 Erf. Qualifikationen5130 Erf. Lizenzen/Zertifikate5131 Verantwortliche5134 Anlagen
5133 Kandidaturinformation5134 Anlagen5135 Manuelle Aktivitäten5136 Korrespondenz5137 Eignungsprüfung5138 Einladung5139 Statusänderung5140 Datentransfer5141 Fragebogen5142 Beurteilung
5115 Talentgruppeninformation5131 Verantwortliche5134 Anlagen
206
Berechtigungsrollen in den HCM-Komponenten5
Abbildung 5.13 Administratorrolle E-Recruiting: Systemberechtigungen
� Berechtigungsobjekte B_BUPA_FDG (Geschäftspartner: Feldgruppen) und BUPA_GRP (Geschäftspartner: Berechtigungsgruppen)Beide Berechtigungsobjekte sind optional und werden nur verwen-det, wenn Sie Feldgruppen bzw. Berechtigungsgruppen pflegen.
� Berechtigungsobjekt B_BUPA_RLT (Geschäftspartner: GP-Rollen)Dieses Berechtigungsobjekt ist zwingend notwendig für Zugriffe auf Geschäftspartner. Für das E-Recruiting interessante Geschäfts-partnerrollen sind TR0640 (Bewerber), BUP003 (Mitarbeiter) und BUP004 (Organisationseinheit).
� Berechtigungsobjekt S_ICF (Berechtigungsprüfung beim Inter-net-Communication-Framework-Zugriff)Dieses Objekt erlaubt die Verwendung von Services (siehe Eintrag im ersten Feld von Abbildung 5.13) im Internet Communication Framework. Näheres finden Sie in der Transaktion SICF (Pflege der Services). Beachten Sie auch den SAP-Hinweis 1017866 (Bera-tungshinweis: Kandidatenszenarien via Web Dynpro for ABAP).
207
E-Recruiting 5.7
� Basis-Administration und Basis-EntwicklungsumgebungDie Spooler-Berechtigung sowie die Berechtigungen der Berechti-gungsverwaltung sind nicht spezifisch für das E-Recruiting, son-dern sie können zu jeder Administratorrolle gehören. Dies gilt auch für die Anzeigerechte in der Workbench sowie die Query-Rechte.
� Berechtigungsobjekt S_BDS_DS (BC-SRV-KPR-BDS: Berechtigungen auf Document Set)Dieses Berechtigungsobjekt ist ganz wichtig für das E-Recruiting, da es für die Nutzung der Suchmaschine im E-Recruiting erfor-derlich ist. Dem Objekt in der Rolle wird das Objekt S_BDS_D (BC-SRV-KPR-BDS: Berechtigungen für den Zugriff auf Doku-mente) hinzugefügt.
� Weitere RFC-BerechtigungenWeitere im E-Recruiting wichtige Systemberechtigungen, die in dieser Rolle nicht auftauchen, sind die beiden RFC-Berechtigungen S_RFC (Berechtigungsprüfung beim RFC-Zugriff) und S_RFCACL (Berechtigungsprüfung für RFC-Benutzer – z. B. Trusted System). Beachten Sie auch den SAP-Hinweis 1017866 (Beratungshinweis: Kandidatenszenarien via Web Dynpro for ABAP).
Berechtigungen in HCM
Die Berechtigungen des Personalwesens (siehe Abbildung 5.14) sehen im E-Recruiting so aus:
� Berechtigungsobjekt PLOG (Personalplanung)Da die Daten des E-Recruitings auch in den Tabellen HRP* abgelegt werden, ist das Berechtigungsobjekt PLOG (Personalplanung) von zentraler Bedeutung. Benötigt werden maximal die in Tabelle 5.1aufgeführten Objekttypen
Objekttyp Bedeutung
BP Geschäftspartner
C Stelle
CP zentrale Person
N* Objekttypen des E-Recruitings
O Organisationseinheit
P Person
Q Qualifikation
QK Qualifikationsgruppe
Tabelle 5.1 Für das E-Recruiting benötigte Objekttypen
208
Berechtigungsrollen in den HCM-Komponenten5
Für Fragebögen im E-Recruiting-Prozess werden die Infotypen 1000, 1001 und 50* benötigt; der Infotyp 51* wird für das E-Re-cruiting selbst benötigt.
Die relevanten Subtypen des Infotyps 1001 sind 0605–0607 für das Performance Management, 0207–0209 sowie 0291 und 0650–0657 für das E-Recruiting.
Nicht zu vergessen ist hier die strukturelle Berechtigung. Für die Objekttypen C, O, P, Q und QK sind hierarchische strukturelle Berechtigungen (mit Auswertungsweg oder Funktionsbaustein) möglich und sinnvoll. Die Objekttypen N* brauchen keine struktu-rellen Berechtigungen. Alle anderen Objekttypen werden pauschal berechtigt.
� Berechtigungsobjekt P_HAP_DOC (Beurteilungssysteme: Beurteilung)Da im E-Recruiting Teile des Performance Managements verwen-det werden (z. B. für Fragebögen zur Beurteilung von Kandidaten), ist das Berechtigungsobjekt P_HAP_DOC (Beurteilungssysteme: Beurteilung) erforderlich. Siehe hierzu Abschnitt 5.12, »Perfor-mance Management«.
� Berechtigungsobjekt P_RCF_ACT (Aktivitäten im E-Recruiting)Dieses Berechtigungsobjekt prüft die Aktivitäten Hinzufügen,Ändern und Löschen für bestimmte Prozesse (z. B. Vorauswahl oder Kandidatenbewertung) und Aktivitätsarten (z. B. Manager benachrichtigen oder Angebotsrücknahme).
� Berechtigungsobjekt P_RCF_APPL (Anwendungen im E-Recruiting)Hier wird der Zugriff auf Anwendungen des E-Recruitings (z. B. externe Kandidaten löschen oder Profilfreigabe) bzw. die BSP-Applikation von Webseiten des E-Recruitings geprüft.
S Planstelle
US Benutzer
VA Beurteilungsformular
VB Kriteriengruppe
VC Kriterium
Objekttyp Bedeutung
Tabelle 5.1 Für das E-Recruiting benötigte Objekttypen (Forts.)
209
E-Recruiting 5.7
Abbildung 5.14 Administratorrolle E-Recruiting: Berechtigungen Personalwesen
� Berechtigungsobjekt P_RCF_POOL (Direkter Zugriff auf den Talent Pool)Das Berechtigungsobjekt steuert, welche Arten des direkten Zugriffs auf Kandidaten im Talent Pool für einen Benutzer möglich sind. Eine solche Art ist z. B. die Nutzung der Wiedererkennungs-prüfung von bereits im Talent Warehouse hinterlegten Kandidaten im Rahmen der manuellen Bewerbungserfassung. Es wird lediglich das Feld Erlaubte Art des Zugriffs auf den Talent Pool geprüft.
� Berechtigungsobjekt P_RCF_STAT (Objektstatus im E-Recruiting)Hier wird der Zugriff auf Objekte des E-Recruitings in Abhängig-keit von Objekttyp und Status geprüft. Mit Objekttypen sind genau die Objekttypen des Berechtigungsobjekts PLOG gemeint. Mit dem Feld Generischer Objektstatus werden spezielle Status des E-Recruitings geprüft, die nicht mit den im Objekt PLOG geprüften Status identisch sind, z. B. Status des Suchauftrags für eingeschränkte Recruiter.
210
Berechtigungsrollen in den HCM-Komponenten5
� Berechtigungsobjekt P_RCF_VIEW (Datenübersicht im E-Recruiting)Dieses Objekt legt fest, auf welche Datenübersichten ein Benutzer zugreifen kann. Dabei geht es z. B. um die Übersicht über die Gleichstellungsinformationen oder die Übersicht über die Veröf-fentlichungen.
� Berechtigungsobjekt P_RCF_WL (Zugriff auf Arbeitsvorräte)Wenn in einer Rolle des E-Recruitings das Analytical Dashboard zum Einsatz kommen soll, muss das HCM-BerechtigungsobjektP_RCF_WL (Zugriff auf Arbeitsvorräte) ergänzt werden. Es regelt, welche Arbeitsvorräte im Dashboard aufgerufen werden können, und zwar ausschließlich mit dem Feld Identifikator einesArbeitsvorrats. Dies könnte z. B. MNWENA (neue externe Kan-didaten) sein.
5.7.3 Benutzertypen
Neben den Rollen für »normale« Benutzer müssen im E-Recruiting auch einige spezielle Rollen gepflegt werden.
Referenzbenutzer Das Konzept der Referenzbenutzer dient allgemein der Vereinfa-chung der Berechtigungspflege. Sie definieren zunächst einen Benut-zer als Referenzbenutzer (siehe Abbildung 5.15). Dann weisen Sie dem Referenzbenutzer einen anderen Benutzer zu, der damit alle Attribute des Referenzbenutzers erbt.
Abbildung 5.15 Kennzeichnung als Referenzbenutzer in der Transaktion SU01
Das E-Recruiting nutzt dieses Konzept für die externen Kandidaten. Sobald diese sich registrieren, bekommen sie im Hintergrund einen Benutzer zugeordnet. Dieser wird mit dem Referenzbenutzer ver-knüpft.
Im Customizing (Pfad SAP E-Recruiting � Technische Einstellun-gen � Benutzerverwaltung � Rollen im E-Recruiting � Rollen im
211
E-Recruiting 5.7
E-Recruiting definieren) legen Sie fest, welcher Referenzbenutzer dem User eines externen Kandidaten bei der Registrierung zugeord-net wird (siehe Abbildung 5.16).
Abbildung 5.16 Zuweisung der Referenzrolle für externe Kandidaten
Kommunikations-benutzer
Beim Zugriff auf Dokumente des Dokumentenbereichs brauchen Sie einen technischen Benutzer für die Kommunikation mit dem SAP NetWeaver Application Server, einen Kommunikationsbenutzer. Dieser wird über die IMG-Aktivität SAP E-Recruiting � TechnischeEinstellungen � Suchmaschine � Zugriff auf Dokumente einrich-ten dem Service contentserver zugeordnet.
ServicebenutzerEinige Szenarien sind nur für registrierte Benutzer, andere auch für nicht registrierte Benutzer zugänglich (z. B. Registrierung, Stellenaus-schreibungen). Damit Letztere diese Services nutzen können, müssen Sie den Services einen Servicebenutzer zuordnen. Dies erfolgt im IMG unter SAP E-Recruiting � Technische Einstellungen � SAP WebApplication Server � E-Recruiting Services festlegen.
Hintergrund-benutzer für Workflow
Um die Workflow-Funktionen nutzen zu können, muss im Standard der Systembenutzer WF-BATCH angelegt werden. Im E-Recruiting ist es zudem erforderlich, dass dieser Benutzer einen Kandidaten zuge-ordnet hat.
Wenn Sie für den Benutzer WF-BATCH einen Kandidaten anlegen möchten, verwenden Sie den Report RCF_CREATE_USER. Mit die-sem Report legen Sie gleichzeitig eine E-Mail-Adresse an. Pflegen Sie nachträglich noch Drucker und Berechtigungsprofile, insbeson-dere die Berechtigung für Statusänderungen an E-Recruiting-Objekten(P_RCF_STAT).
Weitere Informationen finden Sie im IMG: SAP E-Recruiting � Tech-nische Einstellungen � Workflow � Workflow im E-Recruiting.
421
Index
A
ABAP-BefehlAUTHORITY-CHECK 325XAUTHORITY-CHECK 323
Abrechnung 180, 196Abrechnungsbeleg 183Abrechnungsergebnis 188, 250Abrechnungsergebnis löschen 188Abrechnungsprozessmanager 183Abwesenheit löschen
aus dem Produktionssystem 255aus dem Produktivsystem 100
Add-on-Produkte zur Analyse von HCM-Berechtigungen 313
administrative Services 212Administratorrolle 276ALL (Profil) 146Analyse von Benutzern mit kritischen
Berechtigungen 298Änderung im laufenden Betrieb 288Änderung zeitraumbezogener Daten
112Änderungsbeleg 313Anweisung
AUTHORITY_CHECK 358INFOTYPES nnnn MODE N 326
Application Link Enabling (ALE) 272Arbeitsvorrat 210Arbeitszeitblatt 200ArchiveLink 181Assistenz im Reisemanagement 376Ausschluss der eigenen Personalnum-
mer 79Auswahl eines Berechtigungs-Tools
315Auswertung 297Auswertungsweg 134
B
B2A-Manager 183BAdI 411
allgemeine Berechtigungsprüfung 121
FITV_PERSNO_AUTH_CHK 145, 163, 261, 374, 380, 381
HCM Prozesse und Formulare 216HR_PY_AUTH_PU01 188
HRBAS00_CL_AUTHC 244HRBAS00_GET_PROFL 174, 175,
374HRBAS00_RHBAUS00 163HRBAS00_STRUAUTH 159, 160,
178, 240HRHAP00_AUTHORITY 226HRHAP00_COL_ACCESS 225HRHAP00_COL_OWNER 225HRHCP00_RESP_OBJECTS 251HRPAD00AUTH_CHECK 121HRPAD00CHECK_TIME 111HRPAY00_AUTH_TCODE 247HRPAY00_B_AUTH_WERKS 247HRPDV00APPR AISAL0005 193Learning Solution 162
Batch-Input-Berechtigung 96Batch-Input-Mappe 96Baulohn 184Benutzer 411Benutzerabgleich 54Benutzeradministrator 277Benutzergruppe 279Benutzermenü 66Benutzerparameter UGR 384Benutzerstammabgleich 288Benutzertyp 210Benutzerverwalter 277Berechtigung
dezentrale Zeitdatenbearbeitung 254fehlende 325kritische 298Organisationsmanagement 361Reiseassistent 164, 261, 375SAP_ALL 173, 282Überblick über die wichtigsten eines
Benutzers 304, 340Berechtigungs(haupt)schalter 411Berechtigungsadministrator 18, 26,
275Berechtigungsdatenverwalter 277Berechtigungsfehler
Analyse 335prüfen 307
Berechtigungsfeld 51Berechtigungsgruppe 86, 190
422
Index
Berechtigungskonzept 25implementieren 271Redesign 288
Berechtigungslevel 71, 72, 77, 78, 80Berechtigungsobjekt 46, 67, 411
B_BUPA_ATT 205B_BUPA_FDG 206B_BUPA_GRP 206B_BUPA_RLT 206F_TRAVL 260kundeneigenes 120P_ DBAU_SKV 185P_ABAP 183, 191, 247, 263, 303P_APPL 230, 240P_ASRCONT 213P_B2A 184P_CATSXT 200P_CERTIF 185P_CH_PK 192P_DE_BW 181, 185P_DEL_PERN 100, 255P_ENCTYPE 197P_ENGINE 197P_EXMGRP 197P_FINADM 197P_HAP_DOC 177, 208, 222, 268P_HRF_INFO 187P_HRF_META 187P_LSO_FOUP 268P_LSO_TU 270P_NNNNN 76, 117P_NNNNNCON 172P_ORGIN 71P_ORGINCON 170, 373P_ORGXX 76P_ORGXXCON 172P_PBSPWE 183P_PCLX 80, 245P_PCR 182P_PEPSVAR 238P_PERNR 78, 199, 217, 255, 341P_PYEVDOC 183P_PYEVRUN 182, 250P_RCF_ACT 208P_RCF_APPL 208P_RCF_POOL 209P_RCF_STAT 209P_RCF_VIEW 210P_RCF_WL 210
P_TCODE 70P_TRAVL 260, 374Personalnummernprüfung 78PLOG 75, 82, 134, 218, 355PLOG_CON 178S_BDC_MONI 96S_BDS_D 207S_BDS_DS 207S_DEVELOP 329S_GUI 97, 331S_ICF 206S_MWB_FCOD 216, 217S_NUMBER 99S_OC_SEND 184S_PROGRAM 85, 86, 190S_QUERY 90S_RFC 268, 269S_RFCACL 207S_TABU NAM 92S_TABU_CLI 95S_TABU_DIS 92, 189, 303S_TABU_LIN 93S_TCODE 69, 303S_TMS_ACT 182S_USER_ADM 279S_USER_AGR 278S_USER_AUT 278S_USER_GRP 278S_USER_PRO 278S_USER_SAS 280S_USER_SYS 274S_USER_TCD 278S_USER_VAL 278S_WF_WI 98S_WFAR_PRI 181
Berechtigungsobjektklasse 46Berechtigungsproblem
bestimmte Infotypen 341einzelne Personalnummer 342unbekanntes Programm 342
Berechtigungsprofil 47, 171, 223, 411Berechtigungsprofilverwalter 277Berechtigungsprüfung
allgemeine 45, 411ausschalten mit SAP-Funktionsbau-
stein 319bei Abwesenheit 246direkt im Coding 323kontextabhängige 167, 412
423
Index
programmieren 317SAP-Funktionsbausteine mit 318strukturelle 133, 413
Berechtigungstrace 337, 411Berechtigungswert 51Berichtswesen 327Bescheinigungswesen 181, 185Bescheinigungswesen Sachgebiete
186besondere Feldselektionen 310betriebliche Altersversorgung 188Betriebsdatenpflege 247Beurteilung 208, 222, 268Beurteilungsformular 221Beurteilungssystem 192Bewerber 230Bewerbermanagement 230Bildmodifikation 384Buchungslauf 182Budgetplanung 195
C
CALL TRANSACTION 237Cluster 80, 181Content Player 269Contentmanagement 268, 270Cross Application Time Sheet (CATS)
198Customizing-Berechtigung 95
D
Datenschutzbeauftragter 19Datensicherheit 29Debugging
Berechtigungsprüfung 346Infotypen der Personaladministra-
tion 347Objekte der Personalplanung 355
dezentrale Zuordnung 370Dienstzeitberechnung 249Document Set 207Dokumentation 288Dokumentation, Berechtigungsprü-
fung 350Dokumentenzugriff 207
Download-Berechtigung 97, 331Download-Berechtigung, User-Exit
130Drucken 89Duet 256dynamische Maßnahme 386
E
Einsatzplan 237Einzelrolle 48, 58, 311elektronische Personalakte 181E-Mail-Versand mit dynamischen
Maßnahmen 386Empfängersystem 274Employee Self-Service 242, 256Entscheider 19E-Recruiting 201
Berechtigungsobjekt 204Datenmodell 205Objekttyp 207SAP-Berechtigungsrolle 201
Erfassungsprofil 198Erfassungsprofil CATS 198Erweiterung in der Zeitlogik 111ESS-Benutzer anlegen 257Excel-Button 331Excel-Download 331externe Objekttypen, strukturelle
Berechtigung 137
F
Fehleranalyse, für einen anderen Benutzer 337
Fehlersuche 335allgemeine Berechtigung 335kontextabhängige Berechtigung 345manuelle 340strukturelle Berechtigung 343
Feld, PROFL 120Felder in Infotypen ausblenden 383Finanzierung 197Finanzierungsregel 197Formular 187funktionale Rolle 363
424
Index
Funktionsbaustein 138, 139, 145, 155GUI_DOWNLOAD 333RH_GET_MANAGER_ASSIGN-
MENT 139, 364RH_GET_ORG_ASSIGNMENT 140,
147strukturelle Profile 371
Funktionscode 84
G
Gesamtberechtigung 52Geschäftspartner 204, 205globaler Mitarbeiter 216Gültigkeitszeitraum 148
H
HCM Prozesse und Formulare 212Hintergrundbenutzer für Workflow
211HR Administrative Services 212HR-Forms 187HR-Leistungskatalog 36
I
IMG-Berechtigung 95indirekte Benutzerzuordnung 282Infobutton 343Informationssystem 297InfoSet 90
Pflege 91Schalter 389
Infotyp 72, 77, 78, 830024 2400105 80, 140, 256, 3720130 111, 349Vakanz 229virtuell 198
Infotypbildsteuerung 384Integration
Administration und Organisations-management 227
Organisationsmanagement und Perso-naladministration 220
Internet Communication Framework 206
Ist-Analyse 290
J
Jobs einplanen 88
K
Kandidat 204externer 203, 210interner 203
Karenzzeit 151Kategorie 224Kategoriengruppe 224Kennzeichen »obsolet« 228Kennzeichen »Zeitraum« im strukturel-
len Profil 141Kommunikationsbenutzer 211Komponentenbetreuer 85Kontenzugriff 192kontextabhängige Berechtigungsprü-
fung, Umstellung 293kontextabhängiges Berechtigungsob-
jekt 171, 223Kontextberechtigung
Einführung 175Schwächen 175
kontextsensitive Berechtigungsprü-fung � siehe Kontextberechtigung
Kostenplanung 249Kostenstelle 76, 176kritische Berechtigungen
Beispiele 303kombinieren 302
kundeneigene Berechtigungsprüfungen ablösen 294
kundeneigene Verknüpfung 377, 378kundeneigene Verknüpfung, beson-
dere Zuständigkeiten 141kundeneigenes Berechtigungsobjekt
369
425
Index
L
Learning Solution 242, 264Lesezugriff 109logische Datenbank 244, 325, 327
kundeneigene 327mit eigener Berechtigungsprüfung
327Umgang mit fehlender Berechtigung
325unternehmensspezifische 327
M
Mail versenden 387Management globaler Mitarbeiter
217Manager Self-Service 256Manager's Desktop 216Massenabgleich 288Massentransport von Rollen 286Menü 48Minimalberechtigung OM in Infotyp
0001 227Minimierung der Rollenanzahl 370Modulbetreuer � Komponentenbe-
treuer 85
N
Nachbereitung von Teilnahmen 268Namenskonvention 39, 59nicht integrierte Personen 153Notfall-User 330Nummernkreispflege 99
O
Objektmanager 229Objekttyp 135Objekttyp überspringen 134Obligoerstellung 197öffentlicher Dienst 195Organisationsebene 61, 65, 174, 284,
412Definition 64Vereinfachung der Rollenpflege 174
Organisationsebenenfeld 64Organisationskriterium 93Organisationsmanagement 196, 218Organisationsschlüssel 75organisatorische Rollen 363
P
Pensionskasse 188PEP-Berechtigung für Transaktion
PA61 237Performance Management 220, 268
Datenmodell 226Objekttyp 221
Performanceoptimierung 155, 162, 165, 319, 374, 412
Personaladministration 213, 220, 227, 242, 250, 267
Personalbeschaffung 230, 244Personaleinsatzplanung (PEP) 234,
243Personalentwicklung 238Personalinformationssystem 244Personalkostenplanung 249Personalnummer überlesen 326Personalplanung 218Personalverwaltungssatz 182Personalzeitwirtschaft 253Pflegetransaktion, Verknüpfungen
375Process Workbench Engine 183Profil ohne Auswertungsweg 155Profilgenerator 48, 101, 173, 412
Customizing-Schalter 282Erstinstallation 280
Profilname 276Profilparameter 281Programme im Hintergrund ausführen
88, 367Programmieren einer Berechtigungs-
prüfung 322Programmierer 18Programmierer, Berechtigung 329Programmierrichtlinien 331Programmierung 317Projektleiter 18Projektteammitglieder 18Prozessanalyse 30
426
Index
Prüfreport für das Genehmigen von Änderungen 388
Prüfung beim Aufrufen von Reports 85
Prüfung von Berechtigungsobjekten global ausschalten 281
Prüfverfahren 111, 254, 412Prüfverfahren, Customizing 114Puffer 306
Q
Qualifikation 230, 241Qualifikationskatalog 142, 240, 241Query 90Query, Schalter 389
R
Redesign 26, 289Berechtigungskonzept 288Themen 290
Referenzbenutzer 210, 412Referenzmodell 36Referenzrolle 59, 60, 292Referenzrolle, Umstellung 292Reisemanagement 259, 374Report
Änderungsbeleg für Benutzer 313aufrufen 85Benutzer nach Anmeldedatum und
Kennwortänderung 312Download aus 331kundeneigener 317ohne logische Datenbank 245, 317PFCG_TIME_DEPENDENCY 363RHAUTH01 343RHAUTHUPD_NEW 363RHBAUS_PARALLEL 158RHBAUS00 158RHBAUS02 157RHPROFL0 57RHUSERRELATIONS 340RPCLSTB2 245RPDINF01 290RPTEDT00 246RSUSR008_009_NEW 298Vergleich 313
Report starten 366, 367Reporting 191, 244, 327Returncode 338RFC-Berechtigung 183, 268Rolle 47, 411
anlegen 48HR Admin 213Massentransport 286mit Gesamtberechtigung 52nach komplexen Selektionskriterien
308testen 280, 284transportieren 280Vererbung 412
Rollenpflege 47Rollenzuordnung 52
direkte 53indirekte 55Organisationsmanagement 56, 57
S
Sachbearbeiter 77Sachbearbeiterfelder 76Sammelrolle 58, 311, 413SAP NetWeaver Folders Manage-
ment 181SAP NetWeaver Portal 212, 226, 255,
256SAP* 146, 373SAP-Berechtigungsrollen des E-Recrui-
tings 201SAP-Funktionsbaustein 318SAP-Memory 161SAP-Rollen 179, 201SAP-Routinen zur Berechtigungsprü-
fung 322Schalter
AUTSW ADAYS 151AUTSW DFCON 153, 154AUTSW ORGPD 153PLOGI ADAYS 150, 151PNP_SW_SKIP_PERNR 326PROC_PERNR_PARTIAL_AUT 390
Schreibzugriff 109Screenvariante 393SELECT-Befehl 331Selektion nach Berechtigungswerten
309
427
Index
Self-Services 255Servicebenutzer 211Single Sign-on 258Spontanbewerbung 233Spoolzugriff 89Steuerprüfer 188strukturelle Berechtigung 355strukturelle Berechtigungsprüfung
»klassische« Bewerberverwaltung 232
andere HCM-Komponenten 142dynamisches Startobjekt 34nicht integrierte Personen 153Organisationsmanagement 134Personaladministration 144Personalbeschaffung 145Reisemanagement 145statisches Startobjekt 38Umstellung 293
strukturelles Profil 136, 371pflegen 136Verteilung 275
Struktursuche 229Subtyp 72, 77, 78, 83Support Package 342Systemadministrator 85Systemberechtigung 85System-Trace 337
T
Tabelle INDX 156, 158Tabelle statt kundeneigener Verknüp-
fung 141Tabelle T77UU 156Tabelle T77UU bereinigen 305Tabellenpflege 92Talent Management 243Talent Management, Objekttypen
243Talent Pool 209Talentkonferenzen 243Teilnahme nachbereiten 268TemSe-Objekt 182Testen von Rollen 284Tester für Rollen 285Testumgebung 284Tochtersystem 272
Toleranzzeit 108, 342Trace-Auswertung 339Trainingskatalog, dezentrale Pflege
266Transaktion
HRAUTH 304HRUSER 257PP01 220, 264ST01 337SU01 54SU21 67SU53 335SU56 340SUIM 297
Transaktionsberechtigung 68Transaktionsvariante 391Transport 286Travel Management 259, 374
U
Überblick, Berechtigungsobjekte eines Benutzers 306
User Management Engine 258
V
Vakanz 228, 229Variante 87Variantenpflege 89Variantentransaktion 391Veranstaltungskatalog 142Veranstaltungsmanagement 242, 264Veranstaltungsmanagement/LSO,
Objekttypen 265Verbuchung in FI/CO 182Vereinfachungsgrad der Berechti-
gungsprüfung 248Vererbung des Menüs 62Vererbungsbeziehung löschen 62Vererbungsbeziehungen zwischen Rol-
len 62Vergleich von Benutzern aus verschie-
denen Systemen 313Verknüpfung, Planstellen mit den Rol-
len 362Verknüpfungszeitraum 149
428
Index
Vertretungsregelung 27Vier-Augen-Prinzip 30, 72, 386Vorlage 276Vorschlagswert 102
W
Wechsel von Zuständigkeiten 365Work Item 98Wurzelobjekt 139
Z
Zeitdaten pflegen 237Zeitlogik 107, 148Zeitnachweis 246Zeitwirtschaft 253
Zentrale Benutzerverwaltung 39, 272, 361Berechtigungsadministration 273Einrichtung 272
zentrale Person 204, 216, 243Zentralsystem 272Zielsystem, erforderliche Aktionen
287Zuordnung
struktureller Profile 146von Einzelrollen zu Sammelrollen 311von Infotypen zu Reports 245
Zusammenwirken, allgemeine und strukturelle Berechtigungsprüfung 167
Zusatz CLIENT SPECIFIED 330Zusätzliche Rechte für die eigene Per-
sonalnummer 79zuständige Assistenz 376Zuständigkeitszeitraum 45, 107, 120,
138, 148