Архив метки: полномочия

Полномочия ArhiveLink

Вы знали, что ArchiveLink умеет работать с HCM полномочиями и P_ORGIN? Цитирую: при правильно настроенной системе можно прикреплять документы к любым инфотипам, а доступ к документам предоставлять на основании доступа к инфотипу. Таким образом, если данные о семье прицепить к 21 инфотипу, то видеть документы будут только те люди, у кого есть доступ на 21 инфотип. (с) WHITE PAPER SAP Employee File Management.

Никогда сам такой штукой не пользовался, ибо все документы прикреплял к табельнику и/или 2 инфотипу. А тут такая приятность нарисовалась и совершенно бесплатно.

White paper – An Introduction to SAP Employee File Management-1

Вопрос-ответ. Перевод сотрудника

Вопрос. Перевод сотрудника

:
В системе настроено мероприятие технического перевода по группе компаний с изменением раздела персонала. В рамках этого мероприятия через динамику происходит создание нового табельного номера и копирование данных инфотипов и кластера с существующего. В старом разделе табельный увольняют. Всё работает относительно корректно.
Вопрос в том, если человек возвращается обратно в первый раздел персонала, то хотелось бы принимать его на старый табельный номер.

Но возникает проблема при копировании кластера, если по старому табельному проходили выплаты после увольнения. Получаем нужные записи кластера по двум табельным номерам.

Как решить проблему с соединением кластера? Может быть есть какие то еще варианты? Ввести “лишнее” видами оплат?

Ответ

:
Отвечу честно – никогда не озадачивался вопросом копирования кластера. Изначально считаю это плохой практикой, что называется, одним местом чую, что это неверно.

Я лично попробовал бы решить задачу двумя способами.

1. Через глобальных сотрудников, когда физлицо определяется центральным лицом, а далее в каждой компании есть свой табельный номер, который связан через центральное лицо. Сам не настраивал, только читал. Увы.
2. Через переработку системы полномочий как в части бизнеса, Так и по системе. У меня сейчас на одном проекте схожая ситуация. В рамках холдинга нужно видеть всех сотрудников, их историю и так далее. Мы пока склоняемся к варианту переработки класса анализа полномочий таким образом, чтобы сотрудник Компании 1 мог видеть всю инфу по уволенным сотрудникам Компании 2. Тогда он сможет сделать повторный прием на тот же табельный номер, что решит проблему с переводами.

Автоматическое назначение полномочий

Всем привет.

Есть в системе такая волшебная штука, как назначение ролей полномочий на основании организационной структуры или автоматическое назначение полномочий. Это означает, что на оргструктуре мы можем сказать, какие роли и профиля структурных полномочий нужно назначить пользователям, которые в ней находятся. Например, если на отдел “Кадры” назначить роль “Кадровик” и профиль структурных полномочий “Вся структура”, то при приеме или переводе на штатную должность нового человека и запуска спец программки система автоматически назначит ему эту роль и профиль. Получается, что не нужно делать заявки на пользователей и все такое. Это достаточно старый механизм, в нем мало гибкости, но может быть кому-то он пригодится. Новое и правильное решение по управлению ролями полномочий от САП, это SAP GRC.

Читать далее

Тонкости полномочий в HCM

Предлагаю поделиться опытом по вопросу полномочий.

Мой выход. Есть один табельный номер, который был переведен между двумя БЕ/РП. Назовем условно БЕ1, БЕ2, и, соответственно, кадровик 1, кадровик 2. Есть данные по деньгам – ИТ0008, который мы хотим показывать только тому кадровику и в том объеме, на которую БЕ у него есть полномочия.

Стандартная система работает так. Кадровик 1 увидит только свою информацию. Кадровик 2 увидит свою и Кадровика 1. Все дело в одной проверке в стандартном классе проверки полномочий CL_HRPAD00AUTH_CHECK_STD->CONSIDER_SY_DATUM. Здесь в коде прописана такая логика, что полномочия предоставляются на дату СЕГОДНЯ МИНУС КОЛВО ДНЕЙ ИЗ T77S0 (AUTSW ADAYS) по дату оргприсвоения. Соответственно, первый кадровик увидит только свое, второй все.

Вопрос в этом кусочке кода:

IF READ_LEVELS CS LEVEL.
* Read access.
DESCRIBE TABLE AUTHORIZATION_PERIODS_TAB.
* The table is assumed to be normalized hence the last entry
* will have the highest ENDDA.
READ TABLE AUTHORIZATION_PERIODS_TAB INTO PERIOD INDEX SY-TFILL.
CLEAR AUTHORIZATION_PERIODS_TAB.

PERIOD-BEGDA = LOW_DATE.

* If SY_DATUM is not after the highest ENDDA + ADAYS, then grant
* authorization until HIGH_DATE.
IF SY_DATUM_MINUS_ADAYS <= PERIOD-ENDDA. PERIOD-ENDDA = HIGH_DATE. ENDIF. " SY_DATUM_MINUS_ADAYS <= PERIOD-ENDDA. APPEND PERIOD TO AUTHORIZATION_PERIODS_TAB. ELSE. " READ_LEVELS CS LEVEL. Единственный способ полностью отключить возможность просмотра конфиденциальной информации, это переопределить весь класс и исключить вызов этого метода для определения периодов доступа к данным. Вторая заметка. В ракурсе настройки инфотипов V_T582A-VALDT есть поле "Полномоч/Доступ" (VALDT), которое определяет как будет работать вышеуказанный метод. Если для инфотипа галочка снята, то система не анализирует текущую дату и предоставляет полномочия на все периоды! Если галочка стоит, то в работу включается параметр КОЛВО ДНЕЙ ИЗ T77S0 (AUTSW ADAYS) для определения, сколько дней кадровик 2 может видеть данные кадровика 1. Но это не касается самого последнего перевода.

Ограничение доступа к тарифным ставкам

Привет.

Уже не первый человек спрашивает меня как можно сделать ограничение доступа к тарифным ставкам, чтобы пользователи различных БЕ не видели ставки друг друга.

Ниже несколько вариантов реализации:

1. Скрывать полномочия на весь ИТ 1005/8. Отдельно на тарифы нельзя, это объект настройки.
2. Делать свою разработку, в которой все это проверять с помощью своего объекта полномочий.
3. На самом верхнем уровне тарифной зоны вынести балансовые единицы. В инфотипах с помощью признака жестко прописывать тарифную зону, а пользователям закрыть поля от изменения.

Ваши мысли?