zunächst einmal "Dickes Hallo" in die Runde. Ich bin neu hier und versuche mich am ersten Beitrag. Sollte also etwas nicht stimmen, bitte dezent darauf hinweisen und nicht direkt bannen ;)

Ich arbeite in einem Großunternehmen als Anwendungskoordinator - sprich ich betreue einzelne Module im SAP. Hin und wieder werfen sich Fragen zu Berechtigungen etc auf, die ich gern klären würde.

Aktuell habe ich folgendes Problem:

Für unsere PA haben die Personalmanager entsprechend ihrem Betreuungsbereich ein Berechtigungsprofil, welches die Zugriffe regelt. Hier wird also drin festgelegt, auf welche OrgEinheiten der Personalmanager schreibenden Zugriff hat. Welche Zugriffe das im Detail sind, sind dann in einer Rolle geregelt.

Nun besteht das Problem, dass bei uns regelmäßig ausgetretene Mitarbeiter, deren Planstelle und OrgEinheit bereits abgegrenzt ist, wieder eintreten sollen. Da die Profile jedoch diese OrgEinheiten/Planstellen nicht mehr kennen, haben die Personalmanager keinen Zugriff mehr auf diese.

Daher bestand mein Wunsch, dass auf bestimmte Mitarbeitergruppen/-kreise kein Profil sondern ein * in der Rolle gepflegt werden, alle anderen Mitarbeiter jedoch nur in Verbindung mit einem Profil berechtigt werden.

Darauf kam folgende Antwort von unserer Basis:

"die beantragten Berechtigungen können so nicht realisiert werden. Eine Mischung von Berechtigungsobjekten mit Profil- und *-Ausprägung im Berechtigungsobjekt P_ORGINCON in einer Rolle würde zu Fehlfunktionen führen. Zudem ist auch die Mischung von Rollen mit *-Ausprägung und Profil in einem Benutzerprofil berechtigungstechnisch nicht möglich. Es gilt sowohl für Rollen als auch für Benutzer der Grundsatz: „Einmal Profil – immer Profil“."

Ist das so zu unterschreiben oder gibt es noch einen Weg, dies doch zum laufen zu bekommen? Das würde alle Probleme auf einmal lösen :)

Danke euch!

also ich kann dazu folgendes sagen.

Grundsätzlich ist es schon möglich einem Benutzer Rollen zuzuordnen, die ja auch wieder Profile generieren und reine Profile dazu.

In unserem Betrieb (Gesundheitswesen) ist es so, das wir nur noch Rollen verwenden, bzw. jetzt auf Sammelrollen umstellen, die an Planstellen hängen.

Reine Profile wie z. B. SAP_ALL oder ähnliche werden gar nicht mehr verwendet, könnte man aber machen.

Gruß

J.

also wir verwenden zur Berechtigungsvergabe Rollen (und lassen diese im Hintergrund zu Profilen umrechnen). In diesen Rollen sind dann "OOSP-Profile" für die strukturellen Berechtigung für die PA hinterlegt.

Das Thema hat sich in soweit erledigt, dass ich nun folgendes weiß:

Ein Sternchen bedeutet bei einem User, der "OOSP-Profile" hat, dass das System alle zugeordneten Profile zusammenwürfelt und die Schnittmenge der OrgEinheiten für diese Berechtigung nutzt. Bei einem User ohne diese Profile werden dafür ALLE OrgEinheiten genutzt.

das Berechtigungsobjekt:

P_ORGIN ist (unter anderem) eine Sonderheit in der Angelegenheit.

Diese kommen aus der HR / HCM Welt. Es sind Info Typen die hier vergeben werden sollen. Ein Mischung ist hier schwer zu erklären.

Generell haben die Kollegen Recht und ich würde, sofern das Wissen mit den Info Typen nicht im Hause ist, nach "Außen" gehen und mir diesen Sonderfall untersuchen und einrichten lassen.

Ich kann mir vorstellen, dass bestimmte Inhalte nur von bestimmten Personen eingesehen werden dürfen und unter Umständen gerade die eigenen nicht -> Personalangelegenheiten, das der eine HR / HCM -Sachbearbeiter nicht das eigene Gehalt mit dem der anderen vergleichen kann...

Daher sind es nicht die gewöhnlichen Berechtigungsobjekte und deren Verhalten, sondern Info-Typen.

Hoffe ich konnte helfen

Gruß

SAP_FRITZ