Рубрика Полномочия SAP HCM и безопасность SAP HCM

Полномочия SAP

Друзья, я решил заняться этим сайтом, сделать его удобнее, привлекательнее и информативнее.  Для начала я собрал все заметки про полномочия SAP, SAP HCM в одном месте для вашего удобства. Справа вы увидите новую категорию «Полномочия SAP HCM» https://saphr.ru/sap-permissions/, милости прошу осмотреться и вспомнить что-то старенькое или забытое новенькое. В настоящий момент в категории 25 заметок.


Настраиваем аудит изменений в SAP HCM

Для объектов оргменеджмента:

Настройка в ракурсе T77CDOC_CUST

Смотреть отчет по аудиту в программе RHCDOC_DISPLAY

Для объектов администрирования персонала:

Настройка в ракурсах

V_T585A — включить определенный инфотип в аудит

V_T585B — включить конкретные поля инфотипа для аудита

V_T585C — определить группы полей для аудита. В группах полей есть признак срока хранеиня документов. Он позволяет определить, для каких целей мы хотим хранить историю изменений. Если L — long-term, то эта информация больше подходит именно для целей аудита изменений. Если S — short-term, то эту информацию SAP рекомендует использовать для целей передачи во внешние системы (по сути как IDOC, но проще).

Смотреть в отчете RPUAUD00_PNPCE

Для создания своего объекта для учета изменений можно воспользоваться транзакцией SCDO.


Виды полномочий в SAP HCM — разбираюсь сам

Сейчас я себе вынесу моск. Вы посидите рядом, посмотрите, покрутите пальцем у виска в мой адрес. Я пока разберусь для себя, что же все-таки входит в полномочия HR, какие они бывают.

Основные и привычные нам полномочия, которые определяются объектами полномочий. Наиболее известные это PLOGI, P_PORGIN, S_TCODE. С ними все понятно, все умеют работать. Задаем поля, определяем какие полномочия на какие объекты присваиваются. Из важного только то, что внутри одного объекта полномочий все поля читаются системой как логическое «И»: если инфотип 0008 И доступ на «чтение», то разрешить чтение. Один и тот же объект можно повторять в одной роли, тогда система будет читать объекты в одной или многих ролях по принципу «ИЛИ». Если в объекте 1 есть доступ на чтение ИТ0008 или в объекте 2 есть доступ на запись ИТ0008, то дать ИЛИ чтение, ИЛИ запись. В зависимости от того, что делает пользователь. Поэтому нужно аккуратно назначать множество ролей, так как в одной роли могут быть расширенные полномочия на что-то, когда в другой сокращенные. В итоге система даст полномочия по расширенной роли, ибо работает принцип «у кого-то в роли есть такие полномочия = ИЛИ».

Транзулька OOAC (ключики):
ADAYS — определяет сколько дней после перевода сотрудника можно его видеть. Например, если поставить число 10 дней (календарных), то на 11 день вы не сможете его увидеть согласно вашим полномочиям. Если проще, то был человек в разделе персонала А, у вас в роли права на раздел персонала А. Его перевели в Б. На Б у вас нет полномочий. Если стоит 0 дней, то вы сразу же после перевода (в ИТ0001 поменяется раздел персонала) перестанете его видеть. Если поставить больше нуля, то после истечения этого количества дней вы перестанете его видеть. Параметр работатает только для тех инфотипов, которым поставили галочку в поле T582A-VALDT. И только для объекта P_ORGIN.

APPRO включает и выключает работу инфотипа 130. Этот инфотип позволяет ограничивать доступ к данным на период закрытия заработной платы, например.

DFCON — определяет как системе реагировать на уволенных и несписочных сотрудников, у которых в ИТ0001 в поле штатная должность стоят все девятки. Работает только при включенных контекстных полномочиях (об этом дальше). Есть следующие варианты:

1 — смотреть на организационную единицу, по умолчанию отклонить доступ

2 — не смотреть на организационную единицу, по умолчанию отклонить доступ

3 — смотреть на организационную единицу, по умолчанию предоставить доступ

4 — не смотреть на организационную единицу, по умолчанию предоставить доступ

Когда у вас есть S в 0001 ИТ, то система штатно отрабатывает по профилю структурных полномочий и выходит на объект P (лицо, оно же табельный номер). Если мы уволили человека, или он находится в несписке, то обычно мы храним только организационную единицу. В зависимости от того, как мы хотим назначать доступы, нужно выбрать 1 или 3.

Если нам все равно на организационную единицу, мы хотим таким людям назначить действие по-умолчанию, то это варианты 2 или 4.

INCON включает или выключает структурные полномочия и использование объекта полномочий P_ORGINCON

Читать далее


Наблюдаем за пользователями в SAP Query

Вы же наверняка читали курсы внимательно и очень внимательно. И наверняка знаете о возможностях протоколирования SAP Query. А я не знал. Почитал курсы и столько там интересного узнал, что сейчас поделюсь с вами.

Например, можно протоколировать все, что запускает пользователь в оперативном запросе или SAP Query. Настраивается элементарно.
Заходим в SQ02, меню Extras — Set Logs.
sq02 logging

Тут прописываем инфо-наборы и области, которые мы хотим наблюдать. Первая колонка это глобальная или локальная область (G и пробел соответственно). Вторая сам инфонабор.

Усе!

Теперь при запуске пользователями отчетов, построенных на указанных инфонаборах система запишет все и вся вот в таком виде.

А если вы хотите посмотреть в таком же виде, то нужно вашего пользователя присвоить группе пользователей /SAPQUERY/SQ в глобальной области, а затем открыть в оперативном запросе отчетики.

Не забываем кликать вот сюда:





Спасибо!


Персонализация настроек пользователя

Есть в САП любопытный зверек в ролях полномочий, который отвечает за персональные параметры пользователя. Если нам нужно что-то массово присваивать пользователям, а затем дать возможность изменять индивидуально, то персонализация это наш конек. Параметры пользователя массово по бизнес-функции не присвоить. Объекты полномочий индивидуально на уровне пользователя тоже не изменить. Остается городить свои таблички либо воспользоваться механизмом персонализации настроек пользователя.

Некоторые приложения уже начали его использовать. Суть в том, что мы на уровне роли можем определить специализированные параметры, которые по-умолчанию будут заданы пользователям, у которых есть роль. Если нужно переопределить на уровне пользователя, то в SU01 мы это можем сделать. Очень удобно на мой взгляд.

Сам объект персонализации определяется в транзакции PERSREG. Это могут быть простые данные, так и табличные. Очень удобно хранить зависимые от пользователя настройки для расширений отчетов, например.
sap roles personalisation

Читать далее