Архив метки полномочия

Безопасность продуктива и LSMW

VirVit 4 комментария

Один из хороших людей написал для нас всех материал, которым стоит поделиться. Речь про дырки в системах, про безопасность продуктива и как ее обойти с помощью LSMW – инструмента миграции данных, стандартного для проектов SAP.

Как обычно в работе консультанта периодически возникает «крайняя необходимость» что-нибудь поправить в таблице или в отладчике поправить переменную, а добрые дядечки из службы безопасности и столь же добрые администраторы, давно решили что это нам не нужно да и вообще, сложилось впечатление, что лучше всего когда мы не работаем в системе за компом, а смотрим на нее из далека и на ментальном уровне мигрируем данные или разбираем инциденты сыплющиеся как из рога изобилия на наши больные после вчерашнего долгого трудового дня головы.

И вот тут то нам может помочь один из способов махонького поправления настроек системы в нужную сторону (все что нам требуется – это «совсем крохотные» полномочия на s_develop). Один из них я ниже и постараюсь описать. Выбор пал на LSMW, и так сказать упал он не случайно, так чаще всего project, subproject и object создавать все же разрешают, но полномочиями на ABAP-редактор в продуктивной системе все те же добрые люди не делятся. Но лиха беда начало! Если есть доступ к системе разработки, в которой такой подарок судьбы вполне имеет право существовать, да и даже в случае если таких полномочий нет, не стоит отчаиваться, редактирование текста LSMWэшки в «Блокноте» нам и вам в помощь. Итак, смысл в том, что проект LSMW можно как экспортировать, так и импортировать, поэтому грех не воспользоваться такой прекрасной возможностью.

Полномочия ArhiveLink

VirVit One comment

Вы знали, что ArchiveLink умеет работать с HCM полномочиями и P_ORGIN? Цитирую: при правильно настроенной системе можно прикреплять документы к любым инфотипам, а доступ к документам предоставлять на основании доступа к инфотипу. Таким образом, если данные о семье прицепить к 21 инфотипу, то видеть документы будут только те люди, у кого есть доступ на 21 инфотип. (с) WHITE PAPER SAP Employee File Management.

Никогда сам такой штукой не пользовался, ибо все документы прикреплял к табельнику и/или 2 инфотипу. А тут такая приятность нарисовалась и совершенно бесплатно.

White paper – An Introduction to SAP Employee File Management-1

Вопрос-ответ. Перевод сотрудника

VirVit No Comments

Вопрос. Перевод сотрудника

:
В системе настроено мероприятие технического перевода по группе компаний с изменением раздела персонала. В рамках этого мероприятия через динамику происходит создание нового табельного номера и копирование данных инфотипов и кластера с существующего. В старом разделе табельный увольняют. Всё работает относительно корректно.
Вопрос в том, если человек возвращается обратно в первый раздел персонала, то хотелось бы принимать его на старый табельный номер.

Но возникает проблема при копировании кластера, если по старому табельному проходили выплаты после увольнения. Получаем нужные записи кластера по двум табельным номерам.

Как решить проблему с соединением кластера? Может быть есть какие то еще варианты? Ввести “лишнее” видами оплат?

Ответ

:
Отвечу честно – никогда не озадачивался вопросом копирования кластера. Изначально считаю это плохой практикой, что называется, одним местом чую, что это неверно.

Я лично попробовал бы решить задачу двумя способами.

1. Через глобальных сотрудников, когда физлицо определяется центральным лицом, а далее в каждой компании есть свой табельный номер, который связан через центральное лицо. Сам не настраивал, только читал. Увы.
2. Через переработку системы полномочий как в части бизнеса, Так и по системе. У меня сейчас на одном проекте схожая ситуация. В рамках холдинга нужно видеть всех сотрудников, их историю и так далее. Мы пока склоняемся к варианту переработки класса анализа полномочий таким образом, чтобы сотрудник Компании 1 мог видеть всю инфу по уволенным сотрудникам Компании 2. Тогда он сможет сделать повторный прием на тот же табельный номер, что решит проблему с переводами.

Автоматическое назначение полномочий

VirVit No Comments

Всем привет.

Есть в системе такая волшебная штука, как назначение ролей полномочий на основании организационной структуры или автоматическое назначение полномочий. Это означает, что на оргструктуре мы можем сказать, какие роли и профиля структурных полномочий нужно назначить пользователям, которые в ней находятся. Например, если на отдел “Кадры” назначить роль “Кадровик” и профиль структурных полномочий “Вся структура”, то при приеме или переводе на штатную должность нового человека и запуска спец программки система автоматически назначит ему эту роль и профиль. Получается, что не нужно делать заявки на пользователей и все такое. Это достаточно старый механизм, в нем мало гибкости, но может быть кому-то он пригодится. Новое и правильное решение по управлению ролями полномочий от САП, это SAP GRC.

Полномочия при переводе сотрудника

VirVit No Comments

Предлагаю поделиться опытом по вопросу полномочий при переводе сотрудника.

Мой выход. Есть один табельный номер, который был переведен между двумя БЕ/РП. Назовем условно БЕ1, БЕ2, и, соответственно, кадровик 1, кадровик 2. Есть данные по деньгам – ИТ0008, который мы хотим показывать только тому кадровику и в том объеме, на которую БЕ у него есть полномочия.

Стандартная система работает так. Кадровик 1 увидит только свою информацию. Кадровик 2 увидит свою и Кадровика 1. Все дело в одной проверке в стандартном классе проверки полномочий CL_HRPAD00AUTH_CHECK_STD->CONSIDER_SY_DATUM. Здесь в коде прописана такая логика, что полномочия предоставляются на дату СЕГОДНЯ МИНУС КОЛВО ДНЕЙ ИЗ T77S0 (AUTSW ADAYS) по дату оргприсвоения. Соответственно, первый кадровик увидит только свое, второй все.

Вопрос в этом кусочке кода:

IF READ_LEVELS CS LEVEL.
* Read access.
DESCRIBE TABLE AUTHORIZATION_PERIODS_TAB.
* The table is assumed to be normalized hence the last entry
* will have the highest ENDDA.
READ TABLE AUTHORIZATION_PERIODS_TAB INTO PERIOD INDEX SY-TFILL.
CLEAR AUTHORIZATION_PERIODS_TAB.

PERIOD-BEGDA = LOW_DATE.

* If SY_DATUM is not after the highest ENDDA + ADAYS, then grant
* authorization until HIGH_DATE.
IF SY_DATUM_MINUS_ADAYS <= PERIOD-ENDDA. PERIOD-ENDDA = HIGH_DATE. ENDIF. " SY_DATUM_MINUS_ADAYS <= PERIOD-ENDDA. APPEND PERIOD TO AUTHORIZATION_PERIODS_TAB. ELSE. " READ_LEVELS CS LEVEL. Единственный способ полностью отключить возможность просмотра конфиденциальной информации, это переопределить весь класс и исключить вызов этого метода для определения периодов доступа к данным. Вторая заметка. В ракурсе настройки инфотипов V_T582A-VALDT есть поле "Полномоч/Доступ" (VALDT), которое определяет как будет работать вышеуказанный метод. Если для инфотипа галочка снята, то система не анализирует текущую дату и предоставляет полномочия на все периоды! Если галочка стоит, то в работу включается параметр КОЛВО ДНЕЙ ИЗ T77S0 (AUTSW ADAYS) для определения, сколько дней кадровик 2 может видеть данные кадровика 1. Но это не касается самого последнего перевода.