Montag, 16. November 2015

AUTH - Volle Kontrolle im HCM - Möglichkeiten der Protokollierung

In diesem Beitrag möchten wir aufzeigen welche Möglichkeiten es gibt den Zugriff auf Personaldaten im SAP HCM System zu protokollieren.

Anwendungstransaktionen (PA20/ PA30/ PA51/ PA61/ PA...)

Änderungsbelege
im Customizing kann in den Tabellen T585A/ T585B und T585C die Protokollierung der Änderungsbelege zu Infotypen eingestellt werden. Sie haben die Möglichkeit, diese nach Langzeit- und Kurzzeitbelegen zu strukturieren. Die Anzeige erfolgt über den Report RPUAUD00. Gespeichert werden die Daten im Cluster PCL4. Zu den Belegen gibt es einen Löschreport RPUAUDDL und für Langzeitbelege ein Archivierungsobjekt PA_LDOC. Kundeneigene Auswertungen können die Funktionsbausteine HR_INFOTYPE_LOG_GET_LIST und HR_INFOTYPE_LOG_GET_DETAIL benutzen um Daten aus dem Cluster zu lesen und neu aufzubereiten

Anzeigeprotokollierung
Basierend auf der Annahme dass der Anzeigezugriff - wie der Pflegezugriff - durch die Berechtigungen bereits korrekt gesteuert ist gibt es keinen Standard zur Protokollierung der Anzeige von Personalstammdaten - zumindest nicht für Deutschland. In anderen Ländern scheinen die gesetzlichen Vorgaben da strenger zu sein. Deshalb gibt es für Japan und Spanien das Badi HRPAD00AUTH_RECORD, über das eine eigene Protokollierung realisiert werden kann. Es gibt sicher noch andere Ansatzpunkte, in jedem Fall muss hier aber programmiert werden.

Änderungen im Organisationsmanagement/ PD (PPOME etc.)

Änderungsbelege
Auch für Objekte des Organisationsmanagements gibt es Änderungsbelege. Diese werden in der Tabelle T77CDOC_CUST aktiviert. Die Anzeige erfolgt über den Report RHCDOC_DISPLAY. Gespeichert sind die Daten in den Tabellen CDHDR und CDPOS.

Auswertungen/ Reports

Laufprotokollierung
Zusätzlich zur direkten Anzeige besteht natürlich die Möglichkeit, sich Daten über diverse Auswertungen anzeigen zu lassen. In der Tabelle T599R können alle Reports eingetragen werden deren Start sowohl online als auch im Batch protokolliert werden soll. Dies empfiehlt sich bei allen Reports die Daten im HR ändern. Die Protokollierung erfolgt allerdings nur für Reports die die logischen Datenbanken PNP oder PNPCE verwenden. Mit den Reports RPUPROTD lassen sich die Daten anzeigen, mit RPUPROTU auch wieder löschen.

Kommentare:

  1. Die Tabelle müsste T599R heißen, oder?

    AntwortenLöschen
  2. Hallo, und was fehlt, wenn der RPUPROTD trotz Kennzeichnung (z.B. RPCALCD0) keine Ergebnisse bringt? Gibt es noch einen relevanten Profilparameter? Und, funktioniert das auch, wenn die Rolle des Mandanten nicht "Produktiv" ist?

    AntwortenLöschen
  3. Hallo, ja, wenn der Report eingetragen ist und die Haken bei "Prot online" und "Prot Batch" gesetzt sind sollte das funktionieren. Die Mandanterolle spielt dabei keine Rolle. Viele Grüße, Armin Bittner

    AntwortenLöschen
    Antworten
    1. Hallo, die Betonung liegt hier auf "sollte". Bei uns tut es das eben nicht (also RPUPROTD ohne Ergebnis) - und ich finde keine Erklärung.

      Löschen
    2. Also da kann ich ohne Systemzugriff nur raten. Ein Tipp wäre die Berechtigung auf das Cluster PCL4 zu prüfen. Ansonsten würde ich das mal debuggen. Das Protokoll wird durch die logische Datenbank PNP oder PNPCE in der Form log_report_selections (Include DBPNP_PNPCE_LOG_FORMS) geschrieben.

      Löschen