Метка структурные полномочия

Как отлаживать структурные полномочия

Ученица напомнила мне, точнее показала кнопочку, которая вызывает программу RHAUTH01. Эта программа на входе получает логин пользователя, профиль его структурных полномочий и ключевую дату. на выходе красивый отчет со списком всех объектов, на которые логин будет иметь доступ. Сам доступ определяется уже ролями полномочий, но обычно и чаще всего проблемы именно с получением списка объектов, к которым нужно обратиться.

В транзакции OOSP справа от имени профиля нажимаем на кнопочку I. И получаем вот такое:

Подробнее про настройку структурных полномочий можно почитать в моей другой заметке. https://saphr.ru/2014/11/05/struct_auth/


Виды полномочий в SAP HCM — разбираюсь сам

Сейчас я себе вынесу моск. Вы посидите рядом, посмотрите, покрутите пальцем у виска в мой адрес. Я пока разберусь для себя, что же все-таки входит в полномочия HR, какие они бывают.

Основные и привычные нам полномочия, которые определяются объектами полномочий. Наиболее известные это PLOGI, P_PORGIN, S_TCODE. С ними все понятно, все умеют работать. Задаем поля, определяем какие полномочия на какие объекты присваиваются. Из важного только то, что внутри одного объекта полномочий все поля читаются системой как логическое «И»: если инфотип 0008 И доступ на «чтение», то разрешить чтение. Один и тот же объект можно повторять в одной роли, тогда система будет читать объекты в одной или многих ролях по принципу «ИЛИ». Если в объекте 1 есть доступ на чтение ИТ0008 или в объекте 2 есть доступ на запись ИТ0008, то дать ИЛИ чтение, ИЛИ запись. В зависимости от того, что делает пользователь. Поэтому нужно аккуратно назначать множество ролей, так как в одной роли могут быть расширенные полномочия на что-то, когда в другой сокращенные. В итоге система даст полномочия по расширенной роли, ибо работает принцип «у кого-то в роли есть такие полномочия = ИЛИ».

Транзулька OOAC (ключики):
ADAYS — определяет сколько дней после перевода сотрудника можно его видеть. Например, если поставить число 10 дней (календарных), то на 11 день вы не сможете его увидеть согласно вашим полномочиям. Если проще, то был человек в разделе персонала А, у вас в роли права на раздел персонала А. Его перевели в Б. На Б у вас нет полномочий. Если стоит 0 дней, то вы сразу же после перевода (в ИТ0001 поменяется раздел персонала) перестанете его видеть. Если поставить больше нуля, то после истечения этого количества дней вы перестанете его видеть. Параметр работатает только для тех инфотипов, которым поставили галочку в поле T582A-VALDT. И только для объекта P_ORGIN.

APPRO включает и выключает работу инфотипа 130. Этот инфотип позволяет ограничивать доступ к данным на период закрытия заработной платы, например.

DFCON — определяет как системе реагировать на уволенных и несписочных сотрудников, у которых в ИТ0001 в поле штатная должность стоят все девятки. Работает только при включенных контекстных полномочиях (об этом дальше). Есть следующие варианты:

1 — смотреть на организационную единицу, по умолчанию отклонить доступ

2 — не смотреть на организационную единицу, по умолчанию отклонить доступ

3 — смотреть на организационную единицу, по умолчанию предоставить доступ

4 — не смотреть на организационную единицу, по умолчанию предоставить доступ

Когда у вас есть S в 0001 ИТ, то система штатно отрабатывает по профилю структурных полномочий и выходит на объект P (лицо, оно же табельный номер). Если мы уволили человека, или он находится в несписке, то обычно мы храним только организационную единицу. В зависимости от того, как мы хотим назначать доступы, нужно выбрать 1 или 3.

Если нам все равно на организационную единицу, мы хотим таким людям назначить действие по-умолчанию, то это варианты 2 или 4.

INCON включает или выключает структурные полномочия и использование объекта полномочий P_ORGINCON

Читать далее


Настройка структурных полномочий SAP HCM

Всем привет.

Оригинал статьи можно увидеть  на сайте Издательства SAPLAND.

Что такое структурные полномочия в модуле SAP HCM?

Можно сказать, что структурные полномочия основаны на организационной, а не административной структуре предприятия. Или же это дополнительное измерение системы полномочий в HR, когда мы можем определить параметры доступа к данным на основании принадлежности пользователя к тому или иному объекту организационной структуры. Например, специалист по табельному учету может видеть всех сотрудников по всей организационной структуре (вводить данные по учету рабочего времени), но вводить доплаты может только по своему участку. Либо нам нужно ограничить доступ к сотрудникам только своего подразделения или нижестоящих в тех случаях, когда административная структура (разделы, подразделы персонала) заданы достаточно широко и не позволяют решить эту задачу с их помощью.

Структурные полномочия позволяют создавать более гибкую систему управления доступами в тех случаях, когда нам не хватает привычного разделения по административным уровням. Либо нам нужно создать исключение из правил в виде расширенных полномочий для определенной трудовой функции (все секретари выполняют одну функцию, а старший секретарь выполняет ту же трудовую функцию и управляет этими секретарями). Но за удовольствие нужно платить, о чем мы поговорим ниже.

Настройка структурных полномочий

Настройка структурных полномочий осуществляется в несколько этапов. Сначала мы устанавливаем управляющие ключи в системе. Затем создаем пути анализа, по которым система будет проверять объекты на наличие доступа. Далее определяем профили структурных полномочий. И финальным аккордом необходимо определить привычные нам “PFCG роли” с указанием созданных профилей структурных полномочий.

Читать далее


Индексация структурных полномочий — головная боль

Есть такая штука, называется индексация структурных полномочий. Нужна она для двух вещей. Она формирует индексы по каждому пользователю для ускорения чтения/проверки структурных полномочий в системе. Если у вас большой объем данных в оргструктуре, то чтение структурных становится весьма ресурсоемкой задачей, что существенно замедляет работу системы. Поэтому САП рекомендует для пользователей, у которых по пути анализа попадается более 1 000 объектов делать индексацию. Для этого нужно логин пользователя записать в табличку T77UA и запустить программу RHBAUS00. Программа прочитает его профиль структурных полномочий и создаст индекс в кластере INDX. Вроде бы все красиво.

А еще система BW читает тот же самый индекс по тем же самым причинам. Читает в случае, если у вас в BW есть отчетность не по иерархии МВЗ (как это обычно делают), а еще и по оргструктуре.

Вывод — индексация нужна для всех пользователей, кому нужно быстро проверять полномочия (например, системные пользователи, под которыми запускается расчет зп или оценка времени).

А теперь проблемы:

Читать далее


Индексация структурных полномочий

Всем привет!

В BW есть такая штука, как чтение структурных полномочий HR для построения своей иерархии полномочий. То есть, в HR мы настраиваем структурные полномочия, а BW утаскивает их к себе и пользуется, чтобы не дублировать. Сути до конца не знаю, но столкнулись с проблемой.

Читать далее