Hallo,

bei uns habe schon viele Köche an den Rollen gebastelt und so sieht es auch aus. Ein User bekommt zum Teil mehrere Rollen zugewiesen. Hier kann es dann der Fall sein, dass in verschiedenen Rollen z.B. Berechtigungen zum Materialpflege für versch. OrgEbenen enthalten sind. Somit kann es möglich sein, dass der User plötzlich Berechtigungen hat, die er eigentlich nicht haben sollte. Die einzelnen Rolle addieren sich ja.

Nun möchten wir das Rollenkonzept überarbeiten. Meine Idee war dabei von einer Stellenbeschreibung auszugehen d.h. ein normaler Mitarbeiter im Einkauf braucht Berechtigung X, Y und Z. Also erstelle ich eine Rolle Einkauf mit allen Berechtigungen. Ist der Mitarbeiter A nur Buchungskreis B1 zugeordnet, so würde man die Mutterrolle Einkauf ableiten und z.B: eine Rolle Einakuf_B1 machen.

Was haltet Ihr davon ?
Problematisch finde ich immer zu wissen, wann man die OrgEbenen ins Spiel bringt. Dies sollte nach meiner Meinung so spät als möglich sein.
Was denke ich nicht sinnvoll ist, ist den Einkauf noch zu unterteilen in eine Rolle Material_anlegen, Material_ändern, Material_löschen und diese Rollen dann einem User zuzuweisen. Hier hätte ich doch dann wieder das Problem mit den OrgEbenen. Ist z.B: bei Material_anlegen der Buchungskreis B1 hinterlegt und bei Materail_löschen  B2, so dürfte der User auch Material in B2 anlegen bzw. in B1 löschen.

Wie ist das bei Euch realisiert. Benutzt Ihr abgeleitete Rollen ?

Danke
Albert

 

 

Hallo Albert,

der Sinn von abgeleiteten Rollen besteht darin, dass es eine Arbeitsplatzrolle gibt, die bestimmte Transaktionen und Berechtigungsobjekte enthält. Diese Arbeitsplatzrolle wird aber unter Umständen in mehreren Buchungskreisen benötigt, aber nicht alle Mitarbeiter sollen Berechtigungen für alle Buchungskreise erhalten. Um den Pflegefaufwand bei Rollenänderungen geringer zu halten, wird eine Rolle erstellt, die dann für die jeweiligen Buchungskreise abgeleitet wird. Genauso auch für die übrigen Orgebenenlemente - Werk, VerkOrg, etc... In dem Moment also, wo eine Rolle sich nur in den Orgebenen unterscheidet, ist es sinnvoll, diese auch zu verwenden, da so nur eine Rolle erweitert oder geändert werden muss und nicht mindestens zwei.

Wann man die Orgebenen ins Spiel bringt, hängt von den verwendeten Transaktionen ab. Zum Beispiel wenn die MM03 verwendet wird - da kann man dann unterscheiden nach Werk. Wenn es verschiedene Werke gibt und die User nicht auf alle Werke Zugriff haben sollen, dann ist hier eine Unterscheidung sinnvoll.

Die Frage, ob weitere Unterteilungen zusätzlich zu Einkauf, Vertrieb etc notwendig sind, hängt von den individuellen Anforderungen ab. So kann es z.B. einem Unternehmen nicht gewünscht sein, dass alle User MM01-Berechtigung haben. So wird dann diese Berechtigung in eine extra Rolle gepackt und entsprechend restriktiv vergeben.

Grüsse
blausieben

 

 

---

Hallo,

ín einem System, in dem es mehrere Organisationseinheiten gibt, ist es auf Dauer einfach unmöglich ohne Vererbung zu arbeiten. Wie schon Kollege balusieben sagt, entscheidet im Grunde die Tranaktion selbst, welche Organisationsebenen zum Tragen kommen bzw. ableitbar sind.

Ein unschätzbarer Vorteil sind homogene Tochterrollen, denn eine Abweichung zwischen den Ableitungen ist technisch nicht möglich. Ganz wichtig ist, aber dass regelmäßig ein Abgleich vorgenommen wird.

Was es manchmal schwierig macht ist die Tatsache, dass "Individuallösungen" einzelner Org.Einheiten sauber geplant und umgesetzt werden müssen.

Ganz wichtig: wer ein Mutter-Tochterrollen-Konzept fährt, muss unbedingt dafür sorgen, dass Eigenentwicklungen mit Berechtigungsprüfungen analog SAP-Standard vorgenommen werden, denn eine Abgrenzung über TCode ist hier nicht mehr wirklich möglich.

Einen schönen Tag wünscht

enibas

Hallo,

danke für die Ausführungen. Soweit verstanden!

Ich habe beim Vererben jedoch folgendes Problem. Es gibt gewisse Berechtigungsfelder, die leider keine Orgebenen sind,
aber trotzdem werksspezifisch eingeschränkt werden müssen. z.B.:

- Benutzergruppe
- Personalbereich

weiter
- Mitarbeitergruppe
- Mitarbeiterkreis
- Organisationsschlüssel

Gibt es irgendeine Einstellung (Customizing etc.), wo ich diese Berechtigungsfelder auch zu Orgebenen machen kann.

Wenn ich die Felder in den abgeleiteten Rollen manuell und direkt editiere, gehen die Änderungen beim nächsten Vererben
von der Elternrolle wieder verloren, richtig?

Ich freu mich schon auf Eure Antworten und Tips,

Danke und Gruss,

AK

Hallo,

es gibt einen Hinweis, der beschreibt, wie man weitere Felder zu Orgebenenelementen macht:
Hinweis 323817 - Anlegen von Orgebenenfeldern für den Profilgenerator
Allerdings wird explizit darauf hingewiesen, dass man das nur machen sollte, bevor das System eingerichtet ist, weil unter UMständen sonst einige Nacharbeit erforderlich ist. Die Felder "Aktivität", "ACTVT" und "Transaktionscode", "TCD" können nicht in ein Org.-Ebenen-Feld umgewandelt werden.

Ich habe das nie versucht, weil ich die Erfahrung gemacht habe, dass oft noch andere Dinge hinzukommen, die dann auch noch wieder eingegrenzt werden müssen und abgeleitete Rollen dann eben keinen Sinn machen.

Aber vielleicht hat diesen Hinweis ja schon jemand umgesetzt und kann von seinen Erfahrungen berichten?

Grüsse
blausieben

---