Sie sind auf Seite 1von 5

SAP Note

2054808 - HR-Berechtigungen: Sammelhinweis mit Fragen und Antworten


Version 4 Gltigkeit: 10.11.2014 - aktiv

Sprache Deutsch (Master)

Kopfdaten
Freigegeben am 10.11.2014 06:24:23
Freigabestatus Released for Customer
Komponente
PA-BC Basis
Prioritt
Recommendations / Additional Info
Kategorie
Consulting

Symptom
SiehabenFragenhinsichtlichderBerechtigungsprfungfrPersonaldatenundDatendesOrganisationsmanagement.Siesindunsicher
hinsichtlichderGewhrungoderVerweigerungeinesZugriffs.DasSystemverhaltenistIhnenunverstndlich.

Weitere Begriffe
P_ORGIN, P_ORGXX, P_NNNN, P_ORGINCON, P_ORGXXCON, P_ORGPD, DFCON, CL_HRPAD00AUTH_CHECK_STD,
HRPAD00AUTH_CHECK, RH_STRU_AUTHORITY_CHECK, SAPLRHAC, RHAC, FILL_VIEW, T77UA, T77PR, T77UU

Ursache und Voraussetzungen


Sie setzen das HR-Modulein.SiebeschrnkendenZugangzuPersonaldatenundDatendesOrganisationsmanagement.HierzunutzenSiefr
Personaldaten eines der ausgelieferten HR-Berechtigungsobjekte(odereinkundeneigenes)undfrDatendesOrganisationsmanagementdie
'strukturellen Berechtigungen' basierend auf Profilen aus Tabelle T77PR und der direkten oder indirekten Zuordnung zu Systembenutzern.

Lsung
DaessichbeiderberwltigendenMehrheitderAnfragenanSAPzudiesemThemaumreineBeratungsanfragenhandelt- es besteht lediglich
ErklrungsbedarfhinsichtlichdesSystemverhaltens-konsultierenSiezunchstdiesenHinweis.ErenthlttypischeFragestellungenzurThematik
und entsprechende Antworten.
FRAGE
1. Personalstammdaten
1.1.WelchePrfungenwerdenvomSystemausgefhrt?
1.2WelcheAspektesindhinsichtlichderPrfungfrdasObjektP_PERNRzubeachten
1.3.WielufteinePrfungimeinzelnenab?
1.4EinSachbearbeiterkannaufPersonaldatenderVergangenheitzugreifenobwohlerheutenichtmehrfrdenMitarbeiterzustndigist.Warum
ist das so?
1.5EinSachbearbeiteristerstinderZukunftfreinenMitarbeiterzustndigundkannbereitsheute(zumSystemdatum)aufdiePersonaldaten
zugreifen. Warum ist das so?
1.6 Was unter der Toleranzzeit zu verstehen und wie wirkt sich diese aus?
1.7IchhabeeinenBerechtigungstraceaktiviertunddiePrfungenzeigenimmerwiederPrfungenaufFeldwertemitWildcard'Wert*).DieseArt
derPrfungistfrmichvlligunverstndlichundsicherauchfehlerhaftoder?
1.8EinSachbearbeitergibtwillkrlicheinePersonalnummerimEinstiegsbildderTransaktionPA20ein.DasSystemzeigtkeineHeaderdaten
aberpltzlichwerdenrechtsvondenInfotypengrneHakenangezeigtdieaufdasVorhandenseinvonDatenhindeuten.Wasistdalos?
1.9EinSachbearbeiterhatLeseberechtigungfreigeneDateninEmployeeSelf-Service Anwendungen; z.B. um Zeitdaten einzusehen
undGehaltsdateneinzusehen.GleichzeitighatderSachbearbeiterZugriffaufPersonaldatenandererMitarbeiterinTransaktionPA20.Hierkann
erauchseineeigenenDateneinsehendasmchtenwirnicht.Wasknnenwirtun?
1.10 Was ist bei der Vergabe von Berechtigungen von P_PERNR zu beachten?
1.11DasSystemverlangtfrdieAusfhrungvonHR-ReportseineBerechtigungfrdasObjektP_ABAP.MussichdieseBerechtigungvergeben?
1.12DasObjektP_ORGINdecktmeineAnforderungennichtab.IchmchteweitereFelderausInfotyp0001indiePrfungmiteinbeziehen.Kann
ich das Objekt erweitern?
1.13FrmeinkundeneigenesBerechtigungsobjektkannichnur10Felderbercksichtigen.IstesmglichmehrFelderindasBerechtigungsobjekt
zu packen?

1.14KeinesderausgeliefertenBerechtigungsobjektefragtaufdenPersonalteilbereichab.KanndiesePrfungmiteinbezogenwerden?
1.15DerHeaderimEinstiegsbildderTransaktionPA20/PA30istleer,aufeinzelneInfotypStzekannderBenutzerjedochzugreifen?Liegthier
ein Fehlverhalten vor?
1.16EinMitarbeiterhateinenorganisatorischenWechselimSystemfrdieZukunfthinterlegtundverltdanndenZustndigkeitsbereichdes
bisherigenSachbearbeiters.DerderzeitigeSachbearbeiterkannbereitshinterlegtezuknftigeDateneinsehenobwohlerdochdafrgarnicht
berechtigt ist.
2. Strukturelle Berechtigungen
2.1 Ein Benutzer kann auf ein Objekt nicht zugreifen obwohl Berechtigung vorliegen soll. Was ist zu tun?
2.2 Ein Benutzer kann auf ein Objekt zugreifen obwohl keine Berechtigung vorliegen soll. Was ist zu tun?
2.3IchhabedieKostenstelleimstrukturellenProfilberdieVerknpfungA011miteingebunden.TrotzdemkannderBenutzeraufalle
KostenstellenimOrganisationsmanagementzugreifen.WarumistderZugriffnichteingeschrnkt?
2.4EinBenutzerverursachtimmerwiederProgrammabbrchevomTyp'TIME_OUT'.ImAbbruchwirdaufdasProgrammSAPLRHACverwiesen.
Was ist zu tun?
2.5DerMehrzahlderBenutzersolleinidentischesProfilzugeordnetwerden.KannhierfrdenErsetzungsmechanismusmittelsdesBenutzers
SAP* verwenden. Mit anderen Worten kann ich das Profil ALL am Benutzer SAP* durch mein eigenes ersetzen damit dieses allen Benutzern
zugeordnetwirddienichtexplizitinTabelleT77UAaufgefhrtsind?
2.6WozuknnenimstrukturellenProfilFunktionsbausteinehinterlegtwerden?
2.7 Was bedeutet es ein Profil zu 'exkludieren' und welche Auswirkungen hat dies?
3. Weitergehende Fragestellungen
3.1IchhabedieUrsachenfrdasSystemverhaltenanhanddiesesHinweisesgeprftundmussdennocheineKundenmeldungerzeugen.Welche
Informationenwerdenbentigt?
3.2IchvermutedasSystemverhaltenistkorrektmchteaberverstehenwiedieseszustandekommt.Waskannichtun?
3.3IchbentigeweitereInformationenhinsichtlichderGrundlagenundderFunktionsweisederHR-Berechtigungen. Wo kann ich diese finden?
4 Reporting
4.1DielogischeDatenbankSAPDBPNP(CE)prftfrallevorhandenenStzeeinesangefordertenInfotypendieBerechtigungdesBenutzers.
WarumwerdenhierkeineZeitrume- beispielsweise solche die in der Selektion verwendet wurden -bercksichtigt?
ANTWORTEN
1. Personalstammdaten
1.1DiePrfungendievomSystemausgefhrtwerdenbasierenaufderAktivierungdiverserSchalterinSystemtabelleT77S0.Innerhalbder
GruppeAUTSWfindenSieallerelevantenEinstellungen.IsteinePrfungaufeinvonunsausgeliefertesObjektaktivsoistdieSchalterstellung'1'.
IstdiePrfungdeaktiviertistdieSchalterstellung'0'.DieeinzelnenPrfungensindadditivverknpftsofernmehrereObjekteaktiviertsind.Daher
mssendiePrfungenalleraktiviertenObjektepositivausfallendamiteinZugriffgewhrtwird.
1.2.EineBesonderheitstelltdasObjektP_PERNRdar.IstdiePrfungaufdiesesObjektaktivwirddiesePrfungvorallenanderenaktivierten
Objektenausgefhrt.KanndasSystemdurchdiePrfungdesObjektsbereitszueinemeindeutigenErgebniskommen- Zugriff explizit erlaubt
bzw. Zugriff explizit untersagt -werdenkeineweiterenPrfungenmehrausgefhrt.DieBerechtigungendiefrdiesesObjektvergebenwerden
knnenausschlielichdenZugriffaufdiePersonalnummerbestimmendiedemSystembenutzerberInfotyp0105zugeordnetsind.DerAnhang
'P_PERNR'enthltweitereInformationenzumObjekt.InsbesondereisteinBeispielfrdieVergabevonP_ORGINundP_PERNRBerechtigungen
freinenSachbearbeiterenthaltenderzwargenerellGehaltsdatenbearbeitenkannaberausdrcklichnichtfrseineeigenePersonalnummerim
System.
1.3ImfolgendenBeispielsinddieObjekteP_ORGIN,P_PERNR,P_ORGPD(Schalterstellung1)unddiesogenanntenPrfverfahrenaktiviert.
DasSystemwirdzunchsteinePrfungaufdasObjektP_PERNRdurchfhren.KannanhanddieserPrfungeineeindeutigeEntscheidungber
denZugriffgetroffenwerdenwirddiePrfungbeendetundderZugriffaufdiePersonaldatenwirdgewhrtoderabgelehnt.Hiernachwirdanhand
dermglicherweisezugeordnetenstrukturellenProfileeinePrfunganhandvonOrganisationsmanagenentDatenausgefhrt.Istdie
PersonalnummerimVIEWdesBenutzersenthaltenundnichtexkludiertwerdenweiterePrfungenangestossen.IstdiePersonalnummernichtim
VIEWenthaltenoderexkludiertwirddiePrfungbeendetundderZugriffwirdverweigert.
WerdenweiterePrfungenbentigterfolgtnundieBercksichtigungderStammdatenobjektehierP_ORGIN.IstdiesePrfungerfolgreich(positiv)
erfolgtdieBerechnungdesZustndigkeitszeitraumsdurchAbmischendesZustndigkeitszeitraumsausderstrukturellenBerechtigungsprfung
unddesZustndigkeitszeitraumsderausderPrfungaufdasStammdatenobjektermitteltwurde.IstdiePrfungnegativwerdenkeineweiteren
PrfungenbentigtundderZugriffaufdieDatenverweigert.
WurdediePrfungnochnichtbeendeterfolgtnundieAnwendungderZeitlogik.WasunterZeitlogikzuverstehenistwirdimAnhang'TimeLogic'
erlutert.EswirdempfohlensichmitdiesemBegriffvertrautzumachendaerfrdasVerstndnisderBerechtigungsprfungunerlsslichist.
KannnachAnwendungderZeitlogikeinZugriffaufdieDatenerfolgenwirdimletztenSchrittdasPrfverfahrenangewandt.IstdiePrfungnegativ
werdendiePrfverfahrennichtmehrangewendetundderZugriffaufdieDatenwirdverweigert.
DiePrfverfahrenhnelndemasymmetrischenVier-Augen-Prinzip. Der Unterschied besteht darin, dass die erfassten Daten, auch wenn sie noch
nichtgeprftwurden,bereitsabrechnungsrelevantsind,jedochnacheinererfolgtenPrfungnichtmehrohneweiteresgendertwerdenknnen.
SiefindeneinAblaufdiagrammzumAblaufdereinzelnenPrfungenunddenunterschiedlichenErgebnissenimAhang'FlowChartAuthorization
Check'.

1.4SoferndiePrfungmitderStandardcheckklasseCL_HRPAD00AUTH_CHECK_STDausgefhrtwirderfolgtdiePrfunghiernachdem
sogenannten Personalaktenkonzept (Personnel File Concept). Der Sachbearbeiter hatte in der Vergangenheit Zugriff auf die Daten und diese sind
kein Geheimnis. Die Verweigerung des Zugriffs auf diese bereits bekannten Daten erfolgt im Standard nicht. Es handelt sich nicht um ein
Fehlverhalten.DiskussionenerbrigensichdadieBerechtigungsprfungalsBADIimplementiertist.WnschenSieeinabweichendes
SystemverhaltensoknnenSieTeileoderdiegesamtePrfungdurchIhreLogikersetzen.VerwendenSiehierzuIhreeigeneImplementierungfr
dieBADIDefinitionHRPAD00AUTH_CHECK.ZubeachtenistdasALLEMethodenvonIhnenimplementiertwerdenmssen.MchtenSiedie
LogikdesStandardsineinerMethodebeibehaltensodelegierenSiedenCheckzurckanuns.HierdurcherhaltenSienderungenoder
Korrekturendiezuknftiggeliefertwerden.BeachtenSieindiesemZusammenhangdenVerweisaufdenAnhang'periodofresponsibility- time
dependant check' unter Punkt 1.5.
1.5 Der Personalsachbearbeiter kann bereits heute auf alle existierenden Daten lesend zugreifen. Der Schreibzugriff wird differenziert betrachtet.
Sie finden im Anhang 'period of responsibility -timedependantcheck'SchaubilderdiefolgendeFlleabdecken:
a) Zugriff des neuen Administrators falls das heutige Datum kleiner ist als das Datum des organisatorischen Wechsels ist
b)ZugriffdesneuenAdministratorsfallsdasheutigeDatumgrergleichdemDatumdesorganisatorischenWechselist
c) Zugriff des bisherigen (des alten) Administrators falls das heutige Datum kleiner gleich als das Datum des organisatorischen Wechsels ist
d)Zugriffdesbisherigen(desalten)AdministratorsfallsdasheutigeDatumgreralsdasDatumdesorganisatorischenWechselsist
1.6DieToleranzzeitverursachteineVerlngerungdesZustndigkeitszeitraumseinesAdministratorsberdasermittelteEndederZustndigkeit
hinaus.DieDauerdieserPeriodeinTagenwirdberdenSchalterAUTSWADAYSfestgelegt.DerWert0schaltetdieToleranzzeitaus.Sie
finden zwei Schaubilder zur Toleranzzeit im Anhang 'Tolerance Time'.
1.7Einesvorweg.DerBerechtigungstraceistfrdasEinrichtenderHR-Berechtigungenvlligungeeignet.MitsehrhoherWahrscheinlichkeit
werdenfehlerhafteBerechtigungenvergebendiewiederumzuunerwnschten- weil zu weit gefassten -Zugriffenfhren.DiePrfungaufden
Feldwert'*'istvlliggerechtfertigtundistbegrndetinderArtundWeisewiedasSystemdiePrfungoptimiert.Vereinfachtausgegedrcktwrde
dasSystemeineKettevoneinzelnenPrfungennachfolgendenMusterausfhrenwennderBenutzerInfotypdateneinsehenmchte:
a)eineMaximalprfung(vieleFeldwertemit*imTraceersichtlich)
b)eineMinimalprfung
c)einePrfungmitkonkretenWertenfrdenaktuellenPersonalfallundInfotypdaten
DieVorgehensweisedientderOptimierung.EineerfolgreicheMaximalprfungerfordertkeineweiterenPrfungen.Einefehlgeschlagene
MinimalprfungerfordertebenfallskeineweiterenPrfungen.SowirddieLaufzeitentsprechendreduziert.FehlgeschlageneMaximalprfungen
sindkeinIndikatordafrdassaufbestimmteDatennichtzugegriffenwerdenkann.
1.8HierhatderAdministratorLeseberechtigunginderVergangenheitfrDatendereingegebenenPersonalnummer.DerHeaderverfgt
ebenfallsbereineBerechtigungsprfungundindieserhatderSachbearbeiterheutekeineLeseberechtigungfrdieDaten.
1.9SieknnenlediglichdienderungsberechtigungfreigeneDatenausschlieen.EsistnichtmglichdasEinsehenderDatenineinem
Benutzerinterfacezuerlaubenundineinemanderenzuunterbinden.EinesolcheTrennungistimStandardnichtvorgesehen.WnschenSieeine
solcheEinschrnkungmssenSiedieseselbstumsetzen.
AusgeschlossenwirddienderungsberechtigungfreigeneDaten(imBeispielBasisbezge)berdieVergabefolgenderBerchtigungfrdas
Objekt P_PERNR:
AUTHC = W, E, D, S
INFTY = 0008
PSIGN = E
SUBTY = *
1.10VergebenSieBerechtiungenfrP_PERNRberschneidungsfreid.h.vergebenSieeineBerechtigungnichtmitderZuordnungvonPSIGN=I
und E. Beispiel:
Sie vergeben zwei Berechtigunge wie folgt:
AUTHC = W, E, D, S
INFTY = 0008
PSIGN = E
SUBTY = *
AUTHC = W, E, D, S
INFTY = 0008
PSIGN = I
SUBTY = *
NatrlichermitteltdasSystemausdieserKombinationdenkorrektenZugriff.DasZeichenEwiegtstrkeralsdasZeichenI.DieAnalysevon
Benutzerberechtigugenwirdhierdurchaberunntigerschwert.berschneidungensindbeiderArtdesZugriffs(FeldAUTHC)undInfotyp/Subtyp
mglich.
FrdievonSAPausgeliefertenESSSzenarienistnurinAusnahmefllendieVergabevonBerechtigungenfrPersonaldaten(ObjektP_ORGIN
etc)nebenP_PERNRerforderlich.IndenmeistenFllensindBerechtigungenfrP_PERNRausreichend.AusnahmensindAnwendungendie
ZugriffaufAbwesenheitenvonKollegenermglichenoderdieKommunikationsinformationenvonanderenMitarbeiternanzeigen.
1.11Nein.FrdasAusfhrenvonHR-ReportsistdieVergabeeinerBerechtigungfrP_ABAPnichterforderlich.DieVergabedientder
VereinfachungderBerechtigungsprfungundfhrteinderMehrzahlderKundenanfragenzuunerwnschtenDatenzugriffenbiszurAusfhrungder
PersonalabrechnungohnejeglicheBerechtigungsprfung.DiesstelltdannimEinzelfallkeinFehlverhaltendarsondernistaufdiesorglose
VergabedesObjektsP_ABAPzurckzufhren.
1.12Nein.DieseModifikationistsinnlosdadiezustzlichenFelderbeiunsererAnweisungAUTHORITY-CHECKnichtbercksichtigtwerden.Wir
untersttzendieAnlageeinesKundenobjektsdasbeliebigeFelderdesInfotypen0001beinhaltenkann.
1.13 Nein. Die Restriktion ist nicht HR-spezifisch.WnschenSiemehrFeldersomssenSieeinSAPObjektmiteinemkundeneigenenObjekt
kombinierenindemSiebeideObjekteinTabelleT77S0aktivieren.DiePrfungensindadditivverknpft.
1.14Ja.SchlsselnSiedenOrganisationssschlsselimInfotypen0001sodasserdenTeilbereichenthlt.ZubeachtenistdassMaskierungvon
SchlsselnbeiderVergabenichtinderForm'*0001*'erfolgenkann.EsistnurmglichmiteinemkonkretenSchlsselzustartenunddasEndezu

maskieren. Beispiel: 'DE010001*'.


1.15Nein.ImvorliegendenFallendetderZustndigkeitszeitraumfrdiePersonalnummerinderVergangenheit.Leseberechtigungfreinzelne
DatenstzedieinderVergangenheitliegtvor.VersuchtderBenutzerimListbildaufallevorliegendenStzezuzugreifenwirdunterUmstndendie
Meldung'EinzelneDatenstzewurdengeskippedfehlendeBerechtigung'ausgegeben.DerHeaderimEinstiegsbildderTransaktionPA20/PA30
wirdzumSystemdatumaufgebautundverfgtbereineeigeneBerechtigungsprfung.Dieserbleibtalsoleer.DasSystemverhaltenkanninsofern
angepasst werden als dass nach Eingabe der Personalnummer zumindest der Name des Mitarbeiters angezeigt wird. Hierzu muss der Header
nicht mit dem Feld ENAME aus Infotype 0001 sondern mit VORNA und NACHN aus Infotyp 0002 aufgebaut werden. Liegt kein Split zum oder
nachdemEndedesZustndigkeitszeitraumsvorwirdzumindestderNamedesMitarbeitersimHeaderangezeigt.
1.16EsistvorgesehendassderheutigeSachbearbeitervollenZugriffaufdiePersonalaktehatauchwennbereitszuknftigeDateneingepflegt
wurden. Das Diagramm 'access of current administrator in case of future move' stellt den Lese- und Schreibzugriff im Einzelnen nochmal dar. Das
Verhalten kann durch die Implementierung des BADIs HRPAD00AUTH_CHECK angepasst werden. Bitte beachten Sie das in diesem Falle ALLE
verfgbarenMethodenimplementiertwerdenmssenauchwennfreinzelnedieLogikdesStandardsnichtverndertwerdensoll.
2. Strukturelle Berechtigungen
2.1PrfenSiedensogenanntenVIEWdesBenutzers.FrdenFalldassderBenutzerinTabelleT77UUgepflegtistaktualisierenSiedenVIEW
mit Hilfe von RHBAUS00. Lassen Sie sich dann den VIEW in Tabelle HRAUTH anzeigen. Suchen Sie mit der Suchfunktion die Objekt ID. Ist die ID
vorhanden? Falls ja suchen Sie weiter nach der ID bis Sie einen Eintrag finden der mit einem EXCLUDE versehen ist. Falls kein Eintrag mit einem
EXCLUDEIndikatorvorliegtprfenSiediePLOGBerechtigungendesBenutzers.Fallsnein:nehmenSiedasObjektbereineAnpassungdes
strukturellen Profils mit auf.
2.2PrfenSieobessichumeinObjektdesOrganisationsmanagementhandeltundnichtumeinenexternenObjekttypen.KonsultierenSiehierzu
dieTabelleT77EO.FallsessichumeinObjektdesOrganisationsmanagementhandeltprfenSiedenVIEWdesBenutzerswieunter2.1
beschrieben. Ist das Objekt hier zu finden? Falls ja so ist der Zugriff korrekt. Falls nein: setzen Sie einen Breakpoint im Baustein
RH_STRU_AUTHORITY_CHECKandprfenSieobdasObjektberhauptanunserePrfungbergebenwird.
2.3ExterneObjekttypenunterliegennichtunserenPrfungen.DiePrfungaufdenZugriffliegtinderVerantwortungderApplikationderdie
Stammdaten'gehren'.ImFallederKostenstellealsoimControlling.
2.4 Ist der Benutzer nicht indiziert so pflegen Sie einen entsprechenden Eintrag in Tabelle T77UU und indizieren Sie den Benutzer mit Report
RHBAUS00. Nach dem Reportlauf testen Sie die problematische Transaktion erneut. Ist der Benutzer bereits indiziert so erzeugen Sie eine
KundenmeldungundgebenSieunsZugangzumSystemfrdieAnalyse.
2.5DieseVorgehensweiseistberhauptnichtzuempfehlen.DasProfilALLamBenutzerSAP*stelltsicherdassalleBenutzeruneingeschrnkt
arbeitenknnendienichtexpliziteinemstrukturellenProfilzugeordnetsind.DasErsetzendesProfilsALLfhrtunweigerlichzunichtgewnschten
Seiteneffektenundsollteunterlassenwerden.ImvorliegendenFallkanneineImplementierungfrdieBADIDefinitionHRBAS00_GET_PROFL
genutztwerdenumdasgewnschteProfildenBenutzernzuzuordnen.AlternativkanneineindirekteZuordnungdesProfilserfolgenoderein
einfacherABAPkannzumFllenderTabelleT77UAverwendetwerden.
2.6DerFunktionsbausteinistvorgesehenumkundenspezifischdasWurzelobjektzuermittelndassdannbereinenAuswertungswegTeileder
StrukturdemBenutzerzurVerfgungstelltinanderenWortenBerechtigungfrdiesenTeilderStrukturerzeugt.DieVorlagen
RH_GET_MANAGER_ASSIGNMENTundRH_GET_ORG_ASSIGNMENTzeigendieVorgehensweiseaufunddienenalsKopiervorlagenfr
eigeneBausteine.WerdenmehrereWurzelobjekteermitteltsoistdaraufzuachtendassdieMengeberschaubarist.DerBausteinist
insbesonderenichtdafrvorgesehendieAuswertungderStrukturauszulagern.ExtremhoheAnzahlenvonWurzelobjektenwerdennichtuntersttzt
undesistausdrcklichnochmaldaraufhinzuweisendassdieFunktionalitthierfrnichtvorgesehenist.
2.7EinProfilzu'exkludieren'heitdenZugriffaufalleimProfilenthaltenenObjektefrdenBenutzerzuverweigern.FallseinObjektexkludiertist
kannhieraufnichtmehrzugegriffenwerdenauchwenndasObjektineinemanderenProfilmglicherweiseohneexkludiertzuseinvorhandenist.
Dasexkludierenistimmerstrkeralsdasinkludieren.AucheinZeitraumwirdhierbeiderAuswertungnichtbercksichtigt.Beispiel:eine
Personalnummer ist im Profil mit dem Zeitraum 01.01.2007 - 31.12.2009 vorhanden und wird mit dem Exklude-Flag dem Benutzer zugeordnet.
DannkannauchzumSystemdatumnichtmehraufdiePersonalnummerzugegriffenwerden.Eshandeltsichausdrcklichnichtumein
Fehlverhalten des Systems.
3.1 Verweisen Sie auf diesen Hinweis und beschreiben Sie das Systemverhalten. Kopieren Sie den Benutzer der das 'Problem' hat und ordnen
SiedasSAPProfilS_A.DEVELOPzu.BeschreibenSieexaktwiedasSystemverhaltenzureporduzierenisteinandieMeldungangehngtes
WordDokumenterleichtertundbeschleunigtdieAnalyse.WelchekonkretePersonalnummerbzw.welchesOMObjektistbetroffen.Beschreiben
SienichtabstraktsondernkonkretbezogenaufeinenFall.LimitierenSiediezuanalysierendeDatenmenge.MengenprfungensindinderRegel
nichtmglich.
3.2 Im Falle des Zugriffs auf eine Personalnummer tun Sie folgendes: setzen Sie eine Kopie des betroffenen Benutzers auf und ordnen Sie das
Proifl S_A.DEVELOP zu. Setzen Sie einen Breakpoint am Anfang der Methode CHECK_AUTHORIZATION der Klasse
CL_HRPAD00AUTH_CHECK_STD.VerfolgenSiedenAblaufdereinzelnenPrfungen.BehaltenSiedieVariableIS_AUTHORIZEDimAuge.
GleichesgiltfrTabelleAUTHORIZATION_PERIODS_TABinMethodeGET_PA_AUTHORIZATION_PERIODS.DiesgibtAufschlussberden
vomSystemermitteltenZustndigkeitszeitraum.
Im Falle des Zugriff auf ein OM Objekt legen Sie ebenfalls eine Kopie des Benutzers mit Zuordnung des Profils S_A.DEVELOP an. Achten Sie auf
die korrkte Zuordnung der strukturellen Profile. Setzen Sie einen Breakpoint in Baustein RH_STRU_AUTHORITY_CHECK. Beachten Sie im
DebuggerdenInhaltderTabelleVIEW(ProgrammSAPLRHAC).VerfolgenSiewiederRckgabewertzustandekommt.
3.3WirknneninnerhalbdesSAPSupportsBeratungsleistungennurinsehreingeschrnktemUmfangerbringen.KonsultierenSiealsozunchst
dasangehngteDokument'AuthorizationsinHR'.EsmachtSiemitdenGrundlagenundderFunktionsweisederBerechtigungenvertraut.
Sofern Sie im konkreten Fall von einem Fehler im SAP Standard ausgehen senden Sie uns eine Kundenmeldung auf der Komponente PA-BC.
StellenSiedieInformationenwieunterPunkt3.1beschriebenzurVerfgung.
4 Reporting
4.1SofernvomaufrufendenReportbereinInfotypeStatementeinInfotypangefordertwirdsowerdenALLEStzeselektiertundfrjedengeprft
obderBenutzerBerechtigunghatdiesenzusehen.DielogischeDatenbankkannnichtentscheidenwelcheStzeausgewertetwerdenmssenum
einkorrektesErgebnisimReportzuerhalten.SofernfrwenigstenseinenderangefordertenStzekeineBerechtigungvorliegtwirddie
Personalnummer von der Auswertung ausgenommen (geskipped).

Gltigkeit
DiesesDokumentistnichtbeschrnktaufeineSoftwarekomponenteoderSoftwarekomponentenversion

Referenzen
Dieses Dokument verweist auf:
SAP-Hinweise
1687758 StrukturelleBerechtigungen:Potentialefr"Optimierung"

Anlagen
File Name
File Size (KB)
Tolerance Time.pdf
89
access of current administrator in case of future move.ppt
322
Authorizations in HR.pdf
819
P_PERNR.pdf
156
Flow Chart Authorization Check.pdf
90
Time Logic.pdf
123

Mime Type
application/pdf
application/vnd.ms-powerpoint
application/pdf
application/pdf
application/pdf
application/pdf