Berechtigungskonzept
Übersicht
Die Berechtigungsprüfung des HCM Publisher verwendet die normalen SAP Berechtigungsobjekte. Es gibt Publisher-eigene Berechtigungsobjekte und SAP-Objekte, die beim Ausführen von bestimmten Funktionen automatisch mit abgefragt werden. Die Auswahl der Personalnummern läuft über die logische Datenbank PNPCE. Hier greifen die HCM-Berechtigungen für den jeweiligen User. Wird explizit eine Personalnummer eingegeben, auf die laut PNPCE kein Zugriff besteht, werden für diese Personalnummer auch keine Daten selektiert.
Die Publisher-eigenen Berechtigungsobjekte unterteilen sich in Berechtigungsobjekte für Programme oder Funktionen und Berechtigungsobjekte für Objektaktivitäten. Mit der ersten Sorte wird der generelle Zugriff auf bestimmte Funktionen gesteuert, z.B. wer darf Formulare Transportieren, wer darf Formulare aus dem Backup wiederherstellen usw.
Über die Berechtigungsobjekte für Objektaktivitäten werden die Aktionen definiert, die auf Formulare oder Ordner ausgeführt werden können. Grundlage hierfür ist immer eine Verzeichnisgruppe. Verzeichnisgruppen beinhalten einen oder mehrere Ordner und ggf. Unterordner und werden im Publisher-Customizing definiert. Beim Versuch eine Aktion auf einen Ordner oder ein Formular auszuführen, wird geprüft, ob der Rolle des Users eine Verzeichnisgruppe zugeordnet ist, die dieses Objekt enthält und ob für diese Verzeichnisgruppe die entsprechende Aktion erlaubt ist. Ordner, für die keine Berechtigungen vorliegen, werden im Formularbaum ausgeblendet.
Für das Ausführen des Customizings (SM30-Pflegedialog) und für den Systemuser des RFC-Service sind weitere Berechtigungsobjekte notwendig, die im Folgenden alle beschrieben werden.
Benötigte Transaktionen
/PIT/HCMPUB | HCM Publisher Einstiegstransaktion |
Berechtigungsobjekt: | S_TCODE |
Publisher Berechtigungsobjekte
Berechtigungsobjekt: | ZPITABFUNC | ABAP Basis - Berechtigung für Programm oder Funktion |
Feld: | /PIT/AB_PF | |
Wert: | PPVARI | Bereitstellung der Personalnummern über die Logische Datenbank PNPCE Wird für alle Benutzer benötigt, die Reports / Briefe erstellen. |
Berechtigungsobjekt: | ZPITDPFUNC | HCM Publisher - Berechtigung für Programm oder Funktion |
Feld: | /PIT/DP_PF | |
mögliche Werte: | Formularentwicklung | |
FTI_ADMIN | FTI Verwaltung (Formular Text- und Script-Includes) Siehe auch: Weitere SAP Berechtigungsobjekte / Erstellen von Transportaufträgen. | |
Massenbrieferstellung | ||
PRINTPACK | Druckpaket-Management, Aufgabenplaner (Scheduler) | |
OUTPUTMAN | HCM Output Manager (PDF-Dokumentarchiv) | |
Administrative Funktionen | ||
RESTORE | Formular-Wiederherstellung aus Backup und Migration in die Baumstruktur | |
TRANSPORT | Transport von Formularen. Siehe unten: Weitere SAP Berechtigungsobjekte / Erstellen von Transportaufträgen. | |
GEVENTVWR | Globales Ereignisprotokoll (alle Bereiche) anzeigen / löschen | |
PUBADMIN | Zentrale Publisher Admin-Funktionen: | |
- Globale Definitionen z.B. Infotyp-, Select-Felder usw. | ||
Systemberechtigungen | ||
BACKGNDJOB | Publisher Hintergrund-Job ausführen (für Systemuser) - z.Z. nicht verwendet | |
RFCSERVICE | Berechtigungen für RFC-Systemuser (SAP Connector) | |
Berechtigungsobjekt: | ZPITDPATVT | HCM Publisher - Berechtigung für Objektaktivitäten |
Feld1: | /PIT/DP_AC | Aktivität für Berechtigungsprüfung |
Feld2: | /PIT/DP_GP | Verzeichnisgruppe für Berechtigungen |
Feld3: | /PIT/DP_OB | Objekt für Berechtigungsprüfung |
Folgende Objekt / Aktivität-Kombinationen werden im Publisher für eine Verzeichnisgruppe (Feld /PIT/DP_GP) abgefragt: Die Pflege der Verzeichnisgruppen findet im Publisher unter Hilfsmittel / Weitere Hilfsmittel / Verzeichnisgruppen statt. | ||
|---|---|---|
DIRECTORY | CREATE | Ordner anlegen |
DIRECTORY | DELETE | Ordner löschen |
REPORT | CREATE | Formular anlegen |
REPORT | DELETE | Formular löschen |
REPORT | EXECUTE | Formular ausführen |
REPORT | MODIFY | Formular ändern (Designer, Infotyp-Felder, Parameter, Datenprovider, FTI's) |
REPORT | READ | Ermöglich in Verbindung mit CREATE das Kopieren oder Verschieben eines Formulars |
SAP Berechtigungsobjekte
ABAP: Programmablaufprüfungen
Alle Publisher-Programme verwenden die Berechtigungsgruppe /PIT/PUB. Deshalb muss in allen Rollen das Berechtigungsobjekt S_PROGRAM mit P_ACTION = * und P_GROUP = /PIT/PUB eingetragen sein, damit der Programmaufruf generell möglich ist. Die einzelnen Programme verfügen jeweils über eine eigene weitere Berechtigungsprüfung mit ZPITDPFUNC über die nochmal geprüft wird, ob die Ausführung dieses Programms erlaubt ist.
Alternativ zum Eintragen der Berechtigungsgruppe /PIT/PUB in Ihre eigenen Rollen können Sie auch über den Report RSCSAUTH "Pflege/Restore Berechtigungsgruppen" eine eigene Berechtigungsgruppe eintragen.
Berechtigung für GUI-Aktivitäten
Beim Ausführen von bestimmten Aktionen in der SAP GUI, werden temporär XML-Dateien in das SAP GUI Tmp-Verzeichnis geschrieben. Es handelt sich hierbei um die Funktionen
- FTI Verwaltung / Upload
- FTI Verwaltung / Download
- Report starten / Ansicht im SAP GUI
- Report starten / Ansicht im Adobe Reader.
Für das Schreiben und Lesen von Dateien über die SAP GUI wird das Berechtigungsobjekt S_GUI abgefragt. Hier müssen für das Feld ACTVT die Berechtigungen Aktivitäten 60 (Importieren) und 61 (Exportieren) vergeben werden.
Erstellen von Transportaufträgen
Formularvorlagen können über das SAP Transportsystem transportiert werden. Für das Erstellen eines Transportauftrags werden die Berechtigungsobjekte S_TRANSPRT und S_DATASET benötigt.
Berechtigungsobjekt: | S_TRANSPRT | Transport Organizer |
Feld: | ACTVT | 01, 03 |
Feld: | TTYPE | CUST, DTRA, TASK |
Berechtigungsobjekt: | S_DATASET | Berechtigung zum Dateizugriff |
Feld: | ACTVT | * |
Feld: | FILENAME | * |
Feld | PROGRAM | * |
Batch-Verarbeitung (Aufgabenplaner)
Aufgaben, die mit dem Aufgabenplaner angelegt werden, nutzen die SAP Jobsteuerung. Die Berechtigung zum Anlegen von eigenen Jobs ist oft bereits in einer allgemeinen Rolle als "Grundausstattung" vergeben.
Berechtigungsobjekt: | S_BTCH_JOB | Batch-Verarbeitung |
Feld: | JOBACTION | RELE |
Feld: | JOBGROUP | * |
Anzeigen des Publisher-Systemprotokolls
Bestimmte Systemereignisse, wie zum Beispiel fehlerhafte RFC-Aufrufe, werden in das Anwendungslog (ZPIT_PUBLISHER, Transaktion SLG1) geschrieben. Dieses Log kann zur Fehlersuche hilfreich sein und kann direkt aus dem Publisher heraus aufgerufen werden.
Berechtigungsobjekt: | S_APPL_LOG | Anwendungs-Log |
Feld: | ACTVT | 03 (Anzeigen) |
Feld: | ALG_OBJECT | ZPIT_PUBLISHER |
Feld: | ALG_SUBOBJ | * |
Berechtigungsgruppen für die Tabellenpflege
Die folgenden Berechtigungsgruppen werden beim Aufruf von Pflegedialogen zusätzlich abgefragt:
PITA steuert den generellen Zugriff auf die Tabellen für die Formular Definitionen. Um die Pflegedialoge dieser Tabellen aus dem Publisher heraus aufzurufen, sind zusätzliche Berechtigungen notwendig. Die Bearbeitung von Einträgen, die sich auf einen Report beziehen, benötigt die Berechtigung MODIFY für diesen Report. Um Globale Einträge, die für alle Reports gültig sind zu bearbeiten, wird PUBADMIN benötigt.
Betroffene Tabellen:
/PIT/BF_FTIREPS | FTI Reportzuordnung |
/PIT/BF_SCRINCA | SCI Reportzuordnung |
/PIT/DP_CUSTFUBA | Kundeneigene Funktionsbausteine |
/PIT/DP_ITFIELDS | Infotyp-Felder |
/PIT/DP_ITSELOPT | Select-Felder |
/PIT/DP_REPARAMS | Formularparameter |
/PIT/DP_CALENDAR | Publisher Kalender |
PITB wird für die Administration der zentralen Parameter-Tabelle benötigt.
Betroffene Tabellen:
/PIT/AB_PARAMS | Parameter für Anwendungs-Konfiguration |
/PIT/AB_PARAMSU | Parameter für Bereiche und User-Options |
PITC ist für die Pflege der Publisher-Bereiche, Verzeichnisgruppen und die Zuweisung von Verzeichnissen zu diesen Gruppen zuständig.
Betroffene Tabellen:
/PIT/DP_AREAS | Publisher Bereiche |
/PIT/DP_DGROUPS | Verzeichnisgruppen Beschreibung |
/PIT/DP_DGROUPAC | Verzeichnisgruppen Verzeichnisse |
/PIT/DP_FUBAWL | Whitelist für Custom-Fubas |
Die Berechtigungsprüfung erfolgt mit dem Berechtigungsobjekt S_TABU_DIS. Das Feld DICBERCLS enthält die Gruppe, das Feld ACTVT wird auf 02 (Ändern) bzw. 03 (Anzeigen) abgefragt.
Sofern eine generelle SM30-Berechtigung vorhanden ist, könnten mit diesen Berechtigungsgruppen die Tabellen direkt bearbeitet werden. Der reguläre Aufruf der Pflegedialoge erfolgt allerdings aus der Publisher Transaktion heraus, wobei hier zusätzliche Berechtigungen abgefragt werden.
SAP HCM-Berechtigungen
Die Selektion der Personalnummern erfolgt über die logische Datenbank PNPCE. Dadurch wird sichergestellt, dass nur auf Personalnummern zugegriffen werden kann, für die auch eine entsprechende Berechtigung vorliegt. Der Zugriff auf Infotypen wird nur gestattet, wenn eine Leseberechtigung über das Berechtigungsobjekt P_ORGIN vorhanden ist. Über einen Customizing-Parameter kann diese Prüfung auf die Verwendung des Fubas HR_CHECK_AUTHORITY_INFTY umgeschaltet werden. In diesem Fall wird für jede Personalnummer der Lesezugriff auf alle im Formular verwendeten Infotypen geprüft. Für die Clusterdaten (Abrechnungsergebnisse und Zeitlohnarten) wird das Berechtigungsobjekt P_PCLX mit RELID = RD, B2 und AUTHC = R abgefragt.
Weitere Berechtigungen
Im Kundensystem ist zu prüfen, ob für den Anwender ggf. noch zusätzlich das Objekt P_ABAP und die RFC-Berechtigung explizit zuzulassen sind.
Systemuser für den RFC-Service
Der RFC-Service, der auf einem Windows-Server läuft, meldet sich mit einem Systemuser am SAP an. Dieser Systemuser benötigt folgende Berechtigungen:
Berechtigungsobjekt: | S_RFC | Berechtigungsprüfung beim RFC-Zugriff |
Feld: | ACTVT | 16 (Ausführen) |
Feld: | RFC_NAME | /PIT/AB_NETCO, /PIT/BF_BUSINESS_FORMS, RFC1, RFC_METADATA, SDIFRUNTIME, SYST, SYSU |
Feld: | RFC_TYPE | FUGR |
Berechtigungsobjekt: | ZPITDPFUNC | HCM Publisher - Berechtigung für Programm oder Funktion |
Feld: | /PIT/DP_PF | RFCSERVICE |