Donnerstag, 15. März 2018

AUTH - Berechtigungen SAP HCM

Die Analyse von HR-Berechtigungen kann sehr aufwendig und zeitintensiv sein. Ein guter Startpunkt um in das Thema einzusteigen ist die Berechtigungsworkbench - Transaktion HRAUTH.
Hier werden alle wichtigen Schalter aus der T77S0 aufgelistet sowie die relevanten BADIS, Reports und Tabellen. Sehr hilfreich ist es auch dass man sich die Rollen und Profile eines Benutzers anzeigen lassen kann.

Wie geht man nun am besten an eine Analyse heran?

Zunächst kann man es mit einem Berechtigungstrace - Transaktion ST01 - versuchen. Hierzu empfiehlt es sich eine Kopie des Users anzufertigen. Sind strukturelle Berechtigungen aktiv so muss man auch die Verknüpfung des Testusers zur Personalnummer über Infotyp 0105 Subtyp 0001 herstellen.
Man schaltet den Trace mit Filter auf den Testuser an, führt mit dem Testuser eine Aktion durch - Aufruf PA20 beispielsweise -, schaltet den Trace sofort wieder aus und wertet ihn aus.
Im einfachsten Fall hat man am Ende der Tracedatei die fehlgeschlagene Prüfung. Wenn vor dem Ende andere Prüfungen fehlschlagen so ist das nicht beunruhigend. Die HR-Prüfungen laufen so ab das zunächst sehr weitreichende Berechtigungen geprüft werden und dann bei negativem Ausgang immer mehr verfeinert wird. Die geschieht aus Performance-Gründen. Wenn zum Beispiel jemand global für alle pflegen darf macht es keinen Sinn immer bis auf die Personalnummer zu prüfen.

In der Regel ist der Trace allerdings nicht ausreichend um die Berechtigungen anpassen zu können. Jetzt muss mehr Aufwand investiert werden. Dem Testuser kann man als nächstes das Berechtigungsprofil S_A.DEVELOP zuordnen. Diese Berechtigung erlaubt es dem Testuser in der Methode CHECK_AUTHORIZATION der Klasse CL_HRPAD00AUTH_CHECK_STD einen Breakpoint zu setzen. Ab da kann man nun durch Debuggen versuchen den Fehler zu finden. Interessant ist es hier die Variable IS_AUTHORIZED sowie die Tabelle AUTH_BUFFER im Auge zu behalten.

Berechtigungen werden gepuffert - auch das sollte man immer bedenken. Den Puffer für den eigenen User kann man sich mit Transaktion SU56 anzeigen lassen.

Zentraler Hinweis - auch Anhänge beachten - ist 2054808 - HR-Berechtigungen: Sammelhinweis mit Fragen und Antworten. Die Dokumentation zu den HCM-Berechtigungen kann man hier finden.

Keine Kommentare:

Kommentar veröffentlichen