Tobias Harmes
 - 21. Juni 2019

SAP HCM Berechtigungen: Welche braucht man wann?

Mit Guido Klempien, Fachbereichsleiter bei ActivateHR, spricht Tobias Harmes über HCM Berechtigungen und typische Herausforderungen, die sich hier bei Kunden ergeben. Wo spielen allgemeine, strukturelle und kontextabhängigen Berechtigungen eine Rolle und was ist eigentlich mit SuccessFactors?

… als Podcast

Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast

… auf YouTube

YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms

Feedback? harmes@rz10.de

Was sind HCM Berechtigungen und wofür sind sie notwendig?

Viele Unternehmen nutzen das Personalmanagementsystem SAP HCM zur Abbildung von operativen und strategischen Prozessen im Personalbereich. Dabei kann man Hierarchiestrukturen innerhalb eines Unternehmens und die Beziehungen der Mitarbeiter und Abteilungen innerhalb der Struktur abbilden.

Um den administrativen Aufwand in den Personalabteilungen zu verringern, gibt es die Möglichkeit Self-Services einzustellen. Dieser Service muss aber auch administriert werden. Hierbei geht es vor allem auch darum, die richtigen Berechtigungen zu verteilen. Das heißt, dass beispielsweise auch nur der Teamleiter Berechtigungen für sein Team hat und keine Anfragen oder Daten von anderen Teams einsehen kann. Ziel ist dabei: Mitarbeiter erhalten genau die Daten, die sie im Rahmen ihrer Arbeit benötigen – dadurch wird das unternehmerische Risiko durch Datendiebstahl oder fehlerhafte Bedienungen deutlich gesenkt. Um diese Datenverwaltung zuverlässig und auch für große Anzahl von Mitarbeitern zu organisieren, eignen sich spezielle HCM Berechtigungen.

Wie gelingt der Einstieg in das Thema HCM Berechtigungen?

In der Praxis zeigt sich, dass auch viele ältere Berechtigungskonzepte bereits gut umgesetzt wurden. Allerdings sind diese oft nicht mehr zeitgemäß. Gerade beim Thema Self-Services braucht man häufig strukturelle oder besser noch kontextabhängige Berechtigungen. Stellt man ein Berechtigungskonzept für HR-Prozesse auf, sollte zunächst definiert werden, wer auf welche Art von Daten zugreifen kann. Das lässt sich im nächsten Schritt nach verschiedenen Personalgruppierungen im Unternehmen weiter beschränken. Ein Beispiel wäre hierbei, wenn ein Unternehmen mehrere Standorte hat. Dann werden die Berechtigungen so verteilt, dass die Verantwortlichen des Standorts auch nur die Berechtigungen für den jeweiligen Standort erhalten, für den sie auch zuständig sind.

Wie funktionieren strukturelle Berechtigungen und wann werden sie benötigt?

Bei strukturellen Berechtigungen geht es häufig um die Frage: wie kann ich sicherstellen, dass eine Führungskraft nur die Daten von sich und seinen Mitarbeitern sieht? Strukturelle Berechtigungen haben ein sogenanntes Wurzelobjekt, also einen Startpunkt und einen zugehörigen Auswertungsweg. Das Organigramm des Unternehmens ist im SAP HCM hinterlegt, sodass angezeigt werden kann, wie welche Positionen miteinander verbunden sind. Will man dann eine bestimmte Information über einen Mitarbeiter haben, kann diese über einen Pfad ausgelesen werden. Am Ende steht dann eine Liste von Objekten. Dieser Prozess ist dynamisch.

Ein Mitarbeiter erhält so ein eigenes strukturelles Berechtigungsprofil, welches an seine Jobanforderungen angepasst wird. Der Führungskraft kann man auf diesem Weg die zugehörigen Mitarbeiter zuweisen bzw. einsehen, für welche Firmenangehörigen er welche Berechtigungen hat. Und das ohne, dass diese Hierarchie-Zugehörigkeiten fest in eine Systemrolle eingefügt werden müssen. Ändert sich die Organisation, ändert sich auch die Menge der Personen, auf deren Daten ich Zugriff habe.

Wofür benötigt man kontextabhängige Berechtigungen?

Es gibt zwei große Gründe, die für die kontextabhängigen Berechtigungen sprechen. Zum einen kann damit eine manuelle Pflege komplett abgeschafft werden, so dass diese Prozesse komplett automatisiert werden können. Zum anderen entsteht eine bessere Umsetzung des Minimalprinzips im Berechtigungskonzept. Es gibt nämlich einen Nachteil bei strukturellen Berechtigungen: haben Mitarbeiter mehr als eine Rolle innerhalb der Personalprozesse, kann es zu einer Esklation der Berechtigungen kommen.

Warum man zusätzlich kontextabhängige Berechtigungen braucht, lässt sich an einem Beispiel erklären. Eine Führungskraft hat Einsicht in das Gehalt der Mitarbeiter der eigenen Abteilung, soll aber zugleich auch Zeitbeauftragter für mehrere Abteilungen sein. In so einer Situation sollte eine konsequente Trennung der Berechtigungen durchgezogen werden. Diese saubere Trennung ist durch kontextabhängige Berechtigungen möglich. So kann verhindert werden, dass Mitarbeiter im Rahmen ihrer aktuellen Jobfunktion mehr sehen, als sie eigentlich benötigen.

Zeitliche Beschränkungen im Hinblick auf die EU-DSGVO

Durch die Neuerungen der Datenschutzgrundverordnung (EU-DSGVO) ergibt sich in einigen Situationen die Notwendigkeit von zeitabhängigen Berechtigungen. SAP hat diese vor wenigen Jahren eingeführt. Dabei wird der Zugriff auf bestimmte Daten zeitlich eingeschränkt. Die DSGVO sieht vor, dass bestimmte Daten nur nach Zweckbestimmung eingesehen oder gespeichert werden können. In einigen Unternehmen wäre es möglich, dass ein Personalsachbearbeiter die Urlaubszeiten eines Mitarbeiters von vor zehn Jahren einsehen kann. Da das keine Bewandtnis oder keinen betrieblichen Zweck erfüllt, liegt in den meisten Fällen auf der Hand. Deswegen gibt es die Möglichkeit zur zeitlichen Einschränkung der Einsicht dieser Daten mittels des Berechtigungsobjekts P_DURATION. Die Möglichkeiten für Customizing sind an dieser Stelle sehr umfangreich. Auch eigene Programmierungen sind möglich.

Was gilt es für die Cloud zu beachten?

Das Cloud-basierte SAP Produkt SuccessFactors sollte in einem eigenen SAP-Berechtigungskonzept behandelt werden. Rollen und Berechtigungen können auch hier nach individuellem Bedarf definiert werden. Diese Trennung sollte vorgenommen werden, da die beiden Systeme zwar eine Schnittstelle haben, aber keine inhaltlichen Ähnlichkeiten aufweisen bzw. unterschiedlich aufgebaut sind. SAP SuccessFactors gilt hinsichtlich der Berechtigungen als deutlich einfacher und weniger komplex. Die Datenstrukturen in Success Factors sind simpler und die dazugehörigen Rollen und Berechtigungen sind einfacher gestrickt, sodass es nicht so viele potenzielle Fallstricke gibt.

Weitere Informationen

SAP HCM Berechtigungen: https://activate-hr.de/category/hcm-berechtigungen/

SAP HCM: https://mindsquare.de/knowhow/sap-hcm/

Tobias Harmes

Mein Name ist Tobias Harmes und ich bin SAP Basis & Security Experte, Speaker und Herausgeber von RZ10.de. Ich helfe anderen dabei, Unternehmensdaten und Geschäftsprozesse in SAP wirksam abzusichern.

Sie haben Fragen? Kontaktieren Sie mich!

Kostenloses E-Book zum Thema SAP Berechtigungstools als Download:

Kostenloses E-Book zum Thema SAP Berechtigungskonzept als Download:

Jetzt das kostenlose E-Book zum Thema SAP Berechtigungen downloaden:

RZ10.de Podcast für SAP Basis & Security



Das könnte Sie auch interessieren


Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Angebot anfordern
Preisliste herunterladen
Expert Session
Support