配置指南:SAP ERP HCM中如何控制員工對象和員工數據的訪問許可權?
問題:
聶老師,不好意思打擾您聊。有個許可權問題想請教下,有個員工有兩條分別在不同人事範圍A和B的IT0001數據記錄,然後我給用戶賬號分配了人事範圍A的許可權,但是進TCODE PA20能同時看到該員工在人事範圍A和B的數據。許可權還要做什麼限制才能只看到A人事範圍的數據而看不到B人事範圍的數據?
答覆:
1) 如果沒有啟用結構化授權,使用通用授權的授權對象P_ORGIN 就可以控制住許可權, 使用授權欄位人事範圍,需要控制的人事信息類型的ACCESS AUTHORIZATION 檢查框要勾選 ,AUTSW ADAYS = 0 ;
2) 如果啟用結構化授權,結構化授權參數文件配置時的PERIOD = D ,相應的人事信息類型的ACCESS AUTHORIZATION 檢查框要勾選 ,PLOGI ADAYS = 0 。
3)通用授權和結構化授權同時啟用的時候,兩者的授權結果集作交集後的對象是用戶可以操作的對象結合;
4)通用授權使用TCODE PFCG 創建角色,分配授權對象, 分配授權;一個授權對象可以多次加入角色,每次加入生成一個該授權對象的授權實例,各個授權實例之間的授權時或者關係。
5)通用授權的角色定義後點擊生成按鈕(GENERATE),系統生成其授權參數文件,系統自動給出參數文件的名字,一般無需修改;一個簡單角色唯一對應一個授權參數文件;
6)可以把角色直接分配給用戶,也可以在角色中直接分配用戶,後者需要執行比較操作,將角色同步到用戶的主記錄總才能生效;
7) 結構化授權使用TCODE OOSP 創建授權參數文件,使用TCODE OOSB 給用戶分配參數文件,一個用戶可以分配多個結構化授權參數文件,各個授權參數文件查詢結果集之間是並集關係;如果授予一個結果集比較大的參數文件後,可以分配一個較小的參數文件,勾選排除檢查框,則最終的結果集市大的結果集減去小的結果集。
8)如果在在啟用結構化授權的情況下,沒有給一個用戶分配結構化授權參數文件,則其結構化授權的許可權等同於系統預設的作用戶SAP* 的許可權,SAP* 用戶分配的參數文件時 ALL,可以維護和訪問系統中所有版本的所有對象。
9)TCODE OOAC用於維護授權相關的開關(控制)變數,也就是分組為AUTSW的所有變數。注意有一些控制授權的開關變數並不在分組AUTSW中,如PLOGI ADAYS就在分組PLOGI中。
10)可以將角色分配給組織單元、職務、職位等組織對象進行間接授權,上述分配需要使用TCODE PFUD同步更新用戶的主記錄,後者使用程序RHAUTUPD_NEW調度為後台作業定時(如每晚)自動更新;
11)也可以將結構化授權的參數文件分配給組織單元、職務、職位等組織對象進行間接授權,使用信息類型IT1017 -PD Profiles存放組織單元、職務、職位對應的結構化授權參數文件,該信息類型也支持從大的參數文件排除小的參數文件,需要使用程序RHPROFL0同步更新用戶的主記錄,可以調度為後台作業定時(如每晚)自動更新;
12)使用帶上下文的授權解決方案是將通用授權和結構化授權結合起來的一體化解決方案,需要使用一組全新的授權對象如P_ORGINCON、P_ORGXXCON等代替原來的授權對象P_ORGIN和P_ORGIXX等,這些授權對象新增一個新的授權欄位 PROFL用於存放結構化授權的參數文件,這樣可以通過將角色直接分配用戶,即可使用結構化授權的機制,而不需要再將結構化授權的參數文件分配給用戶。
13)啟用結構化授權後,為了避免每次用戶許可權檢查時需要動態檢索其可以訪問的對象,SAP 系統可以使用索引緩存一個用戶可以訪問的HR對象。使用程序RHBAUS02 可以指定對哪些用戶需要建立緩存索引,比如指定一個數量為門限值。使用程RHBAUS00調度後台作業每晚更新緩衝的索引,但可能存在更新延遲的情況,可以手工運行RHBAUS00實時更新這個緩存索引,避免新建的HR對象用戶暫時不能看到的情況。
14)TCODE HRAUTH-HR Authorization Workbench 是一個非常有用的工具,可以支持授權的查詢、管理和運維工作。
