Berechtigungen im SAP ERP HCM - Erweiterung und Optimierungen E-Book

Marcel SchmiechenBerechtigungen im SAP® ERP HCM – Erweiterung und Optimierungen

ISBN:    978-3-96012-235-7 (E-Pub)

Lektorat:   Anja Achilles

Korrektorat:   Stefan Marschner

Coverdesign:   Philip Esch

Coverfoto:    Fotolia #63765959 | alphaspirit

Satz & Layout:   Johann-Christian Hanke

Alle Rechte vorbehalten

1. Aufl. 2017, Gleichen

© Espresso Tutorials GmbH

URL:www.espresso-tutorials.de

Das vorliegende Werk ist in allen seinen Teilen urheberrechtlich geschützt. Alle Rechte vorbehalten, insbesondere das Recht der Übersetzung, des Vortrags, der Reproduktion und der Vervielfältigung. Espresso Tutorials GmbH, Zum Gelenberg 11, 37130 Gleichen, Deutschland.

Ungeachtet der Sorgfalt, die auf die Erstellung von Text und Abbildungen verwendet wurde, können weder der Verlag noch Autoren oder Herausgeber für mögliche Fehler und deren Folgen eine juristische Verantwortung oder Haftung übernehmen.

Feedback:

Inhaltsverzeichnis

Willkommen bei Espresso Tutorials!

Unser Ziel ist es, SAP-Wissen wie einen Espresso zu servieren: Auf das Wesentliche verdichtete Informationen anstelle langatmiger Kompendien – für ein effektives Lernen an konkreten Fallbeispielen. Viele unserer Bücher enthalten zusätzlich Videos, mit denen Sie Schritt für Schritt die vermittelten Inhalte nachvollziehen können. Besuchen Sie unseren YouTube-Kanal mit einer umfangreichen Auswahl frei zugänglicher Videos:

https://www.youtube.com/user/EspressoTutorials.

Kennen Sie schon unser Forum? Hier erhalten Sie stets aktuelle Informationen zu Entwicklungen der SAP-Software, Hilfe zu Ihren Fragen und die Gelegenheit, mit anderen Anwendern zu diskutieren:

http://www.fico-forum.de.

Eine Auswahl weiterer Bücher von Espresso Tutorials:

Dr. Bernd Klüppelberg:

Techniken im SAP®-Berechtigungswesen

Maxim Chuprunov:

SAP® GRC. Governance, Risk und Compliance im Dienste der Korruptions- und Betrugsbekämpfung

Christoph Kretner & Jascha Kanngießer:

Berechtigungen in SAP® BW, HANA und BW/4HANA

Andreas Prieß:

SAP®-Berechtigungen für Anwender und Einsteiger

Martin Metz & Sebastian Mayer:

Schnelleinstieg in SAP® GRC Access Control

Marcel Schmiechen:

Berechtigungen im SAP® ERP HCM – Einrichtung und Konfiguration

Vorwort

In meinem ersten Buch zum Thema »Berechtigungen im SAP ERP HCM – Einrichtung und Konfiguration« habe ich Ihnen die Grundlagen zum Thema vermittelt. Dieses Buch soll Sie nun anhand eines sehr praktisch orientierten Ansatzes durch die Möglichkeiten führen, die sich Ihnen durch die Erweiterung des SAP-Standard-Berechtigungskonzepts im SAP-Modul Human Capital Management (HCM) bieten. Hierbei soll es sowohl um die Berechtigungssteuerung als auch um die Entwicklung von eigenen Programmen zur Unterstützung der Prozesse im Bereich der Benutzer- und Berechtigungsverwaltung gehen.

Das Buch bewegt sich im Grenzbereich zwischen den Verantwortlichen der Benutzer- und Berechtigungsverwaltung und ABAP-Entwicklern. Anhand konkreter Beispiele möchte ich Ihnen den Gestaltungsspielraum in Form von Erweiterungen des SAP-Standards sowie von Eigenentwicklungen aufzeigen, die Sie eventuell direkt in Ihrem Unternehmen nutzen können bzw. durch die Sie zu Ideen für eigene Implementierungen gelangen.

Im ersten Kapitel lernen Sie einige der von SAP im Modul HCM zur Verfügung gestellten, vordefinierten Erweiterungsoptionen – sogenannte BAdI-Definitionen – kennen und welche Lösungsoptionen sich aus deren Implementierung ergeben. Weiterhin möchte ich Ihnen einige zentrale SAP-Hinweise in diesem Bereich vorstellen.

Das zweite Kapitel beschäftigt sich mit sicherer Programmierung im SAP HCM. Sie lernen die Verwendung der logischen Datenbank sowie deren Vorteile kennen. Im weiteren Verlauf stelle ich Ihnen die wichtigsten Funktionsbausteine zur Verarbeitung von Daten sowie den Bezug dieser Bausteine zur Berechtigungssteuerung vor und erläutere, welche Möglichkeiten zur Anpassung des Systemverhaltens sie Ihnen bieten.

Das dritte Kapitel befasst sich schließlich mit einigen Beispielen zur Entwicklung von Hilfs- und Unterstützungsprogrammen für die Benutzer- und Berechtigungsverwaltung. Hier habe ich Ihnen ebenfalls einige sehr nützliche Funktionsbausteine aus dem SAP-Standard zusammengestellt, mittels derer Sie Ihre eigenen Anforderungen implementieren können.

Im Text verwenden wir Kästen, um wichtige Informationen besonders hervorzuheben. Jeder Kasten ist zusätzlich mit einem Piktogramm versehen, das diesen genauer klassifiziert:

Zum Abschluss des Vorwortes noch ein Hinweis zum Urheberrecht: Sämtliche in diesem Buch abgedruckten Screenshots unterliegen dem Copyright der SAP SE. Alle Rechte an den Screenshots hält die SAP SE. Der Einfachheit halber haben wir im Rest des Buches darauf verzichtet, dies unter jedem Screenshot gesondert auszuweisen.

1   Erweiterung des Standard-Berechtigungskonzeptes

Die Berechtigungssteuerung innerhalb der SAP-Systeme ist in Kundenprojekten immer wieder ein sehr sensibles Thema. Gerade die individuellen Bedürfnisse zur Abbildung der Zugriffsstruktur auf Daten stellen die Projektmitarbeiter vor besondere Herausforderungen.

In diesem Kapitel möchte ich Ihnen die Möglichkeiten zur Erweiterung, Optimierung und Anpassung der im SAP-Standard ausgelieferten Berechtigungssteuerung vorstellen. Diese reichen von der Implementierung von BAdI-Definitionen (Abschnitt 1.1), über zu beachtende OSS-Hinweise (Abschnitt 1.2) bis zur Entwicklung eigener Funktionsbausteine zur Verwendung in strukturellen Profilen (Abschnitt 1.3), die immer dann zum Einsatz kommen, wenn die Vergabe über die Berechtigungsobjekte P_ORGIN oder P_ORGXX nicht mehr ausreichen oder Sie über Datenstrukturen, wie z.B. das Organisationsmanagement, berechtigen wollen.

1.1   BAdI-Definitionen zur Anpassung/Erweiterung der Standardprüfungen

Im SAP-Standard bietet die Implementierung von BAdIs sehr umfangreiche Mittel zur Anpassung der Berechtigungsprüfungen an die individuellen Anforderungen von Projekten. Doch sollte bei deren Verwendung mit Bedacht vorgegangen werden, da diese Erweiterungen von den unterschiedlichsten Stellen im System aufgerufen werden und somit weitreichende Folgen haben können, die im ersten Moment vielleicht nicht ersichtlich sind. Weiterhin sollten diese Implementierungen vor einer Produktivsetzung sehr gründlich getestet werden, damit ein unerwünschtes Systemverhalten mit z.B. ungewollten Zugriffen von Benutzern auf Personendaten, für die keine Berechtigung vorliegen sollte, ausgeschlossen werden kann.

1.1.1   BAdI HRPAD00AUTH_CHECK

Das BAdI HRPAD00AUTH_CHECK bietet wohl – über alle SAP-Module hinweg betrachtet – die umfangreichsten Möglichkeiten zur Anpassung der Berechtigungssteuerung an die individuellen Anforderungen eines Kunden. Hiermit kann fast die komplette Berechtigungssteuerung des Moduls HCM überschrieben werden. Genau darin liegt aber auch die große Herausforderung bei der Implementierung. Schauen wir uns zunächst die BAdI-Definition HRPAD00AUTH_CHECK in der Transaktion SE18 an (Abbildung 1.1).

Abbildung 1.1: Anzeige der BAdI-Definition in der Transaktion SE18

Sie ist sehr ausführlich und gut beschrieben. Daher lohnt sich in jedem Fall ein Blick in die Dokumentation. Diese ist über Springen • Dokumentation • Anzeigen zu erreichen (Abbildung 1.2).

Abbildung 1.2: Anzeige der BAdI-Dokumentation

In der Dokumentation ist ein sehr wichtiger Hinweis enthalten, der für eine sichere Implementierung befolgt werden sollte (Abbildung 1.3). Er besagt, dass für die implementierende Klasse des BAdIs von einer Kopie der Standardklasse CL_HRPAD00AUTH_CHECK_STD ausgegangen werden sollte.

Abbildung 1.3: Dokumentation zum BAdI HRPAD00AUTH_CHECK

Um das zu realisieren, wechseln wir zunächst in die Transaktion SE24 und geben als Objekttyp die Standardklasse CL_HRPAD00AUTH_CHECK_STD ein (Abbildung 1.4).

Abbildung 1.4: Kopie der Klasse CL_HRPAD00AUTH_CHECK_STD anlegen

Anschließend legen wir eine Kopie im Kundennamensraum mit der Bezeichnung ZCL_HRPAD00AUTH_CHECK_STD an (Abbildung 1.5).

Abbildung 1.5: Namen für Kopie der Standardklasse vergeben

Der letzte Schritt ist die Aktivierung der neuen Klasse ZCL_HRPAD00AUTH_CHECK_STD (Abbildung 1.6).

Abbildung 1.6: Aktivieren der Klasse ZCL_HRPAD00AUTH_CHECK_STD

Da es sich um eine sehr große Klasse handelt, sind im Arbeitsvorrat sehr viele Einträge zu sehen. Diese müssen alle markiert und anschließend durch Aktivierung bestätigt werden (Abbildung 1.7).

Abbildung 1.7: Aktivierung der Objekte im Arbeitsvorrat

Nachdem die neue Klasse ZCL_HRPAD00AUTH_CHECK_STD zur Verfügung steht, können wir nun mit der Implementierung des BAdIs beginnen. Hierzu wechseln wir in die Transaktion SE19, geben im unteren Bereich in das Feld Klassisches BAdI den Namen HRPAD00AUTH_CHECK ein und klicken auf den Button Impl. anlegen, wie in Abbildung 1.8 zu sehen.

Abbildung 1.8: Implementierung zum BAdI HRPAD00AUTH_CHECK anlegen

Daraufhin gelangt man in den BAdI-Builder zur Bearbeitung der Implementierung und muss einen Kurztext vergeben (Abbildung 1.9).

Abbildung 1.9: BAdI-Builder

Anschließend wechseln wir auf den Reiter Interface und tragen in das Feld Name der implementierenden Klasse unsere zuvor angelegte Kopie ZCL_HRPAD00AUTH_CHECK_STD ein (Abbildung 1.10).

Abbildung 1.10: Implementierende Klasse eintragen

Als letzter Schritt muss die Implementierung noch aktiviert werden (Abbildung 1.11). Dieser Schritt darf nicht mit der Aktivierung von Programmcode verwechselt werden. Über diese Art der Aktivierung wird gesteuert, ob die BAdI-Implementierung aufgerufen wird oder nicht. Es bietet andersherum somit auch die Möglichkeit, über eine Deaktivierung schnell zum Standardverhalten des Systems zu wechseln.

Abbildung 1.11: Aktivieren der BAdI-Implementierung

Als Ergebnis sehen wir, dass unsere Implementierung aktiv ist und aufgerufen wird (Abbildung 1.12).

Abbildung 1.12: Aktive BAdI Implementierung

Das BAdI implementiert das Interface IF_EX_HRPAD00AUTH_CHECK, über das wiederum die folgenden Methoden implementiert werden können:

CHECK_MAX_INFTY_AUTHORIZATION – maximale Prüfung auf Infotypberechtigung,

CHECK_MAX_LEVEL_AUTHORIZATION – maximale Prüfung auf Berechtigungslevel,

CHECK_MAX_SUBTY_AUTHORIZATION – maximale Prüfung auf Subtypberechtigung,

CHECK_MIN_INFTY_AUTHORIZATION – minimale Prüfung auf Infotypberechtigung,

CHECK_MIN_LEVEL_AUTHORIZATION – minimale Prüfung auf Berechtigungslevel,

CHECK_MIN_SUBTY_AUTHORIZATION – minimale Prüfung auf Subtypberechtigung,

SET_ORG_ASSIGNMENT – Org.-Zuordnung setzen,

SET_PARTIAL_ORG_ASSIGNMENT – Org.-Zuordnung partiell setzen (z.B. bei Einstellungen),

CHECK_AUTHORIZATION – Berechtigungsprüfung,

CHECK_MAX_PERNR_AUTHORIZATION - maximale Prüfung auf Personalnummerberechtigung,

CHECK_MIN_PERNR_AUTHORIZATION – minimale Prüfung auf Personalnummerberechtigung,

CHECK_PERNR_AUTHORIZATION – Prüfung auf Personalnummerberechtigung.