SAP HCM Berechtigungen: Welche braucht man wann?

Autor: Tobias Harmes | 21. Juni 2019

21 | #podcast

Mit Guido Klempien, Fachbereichsleiter bei ActivateHR, spricht Tobias Harmes über HCM Berechtigungen und typische Herausforderungen, die sich hier bei Kunden ergeben. Wo spielen allgemeine, strukturelle und kontextabhängigen Berechtigungen eine Rolle und was ist eigentlich mit SuccessFactors?

… als Podcast

Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast

… auf YouTube

YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms

Feedback? harmes@rz10.de

Was sind HCM Berechtigungen und wofür sind sie notwendig?

Viele Unternehmen nutzen das Personalmanagementsystem SAP HCM zur Abbildung von operativen und strategischen Prozessen im Personalbereich. Dabei kann man Hierarchiestrukturen innerhalb eines Unternehmens und die Beziehungen der Mitarbeiter und Abteilungen innerhalb der Struktur abbilden.

Neues SAP Berechtigungskonzept vom führenden SAP-Security Berater

Wir helfen SAP Kunden, ein neues Berechtigungskonzept einzuführen, dass den Prüfer zufriedenstellt und im Betrieb reibungslos funktioniert.

informieren

Um den administrativen Aufwand in den Personalabteilungen zu verringern, gibt es die Möglichkeit Self-Services einzustellen. Dieser Service muss aber auch administriert werden. Hierbei geht es vor allem auch darum, die richtigen Berechtigungen zu verteilen. Das heißt, dass beispielsweise auch nur der Teamleiter Berechtigungen für sein Team hat und keine Anfragen oder Daten von anderen Teams einsehen kann. Ziel ist dabei: Mitarbeiter erhalten genau die Daten, die sie im Rahmen ihrer Arbeit benötigen – dadurch wird das unternehmerische Risiko durch Datendiebstahl oder fehlerhafte Bedienungen deutlich gesenkt. Um diese Datenverwaltung zuverlässig und auch für große Anzahl von Mitarbeitern zu organisieren, eignen sich spezielle HCM Berechtigungen.

Wie gelingt der Einstieg in das Thema HCM Berechtigungen?

In der Praxis zeigt sich, dass auch viele ältere Berechtigungskonzepte bereits gut umgesetzt wurden. Allerdings sind diese oft nicht mehr zeitgemäß. Gerade beim Thema Self-Services braucht man häufig strukturelle oder besser noch kontextabhängige Berechtigungen. Stellt man ein Berechtigungskonzept für HR-Prozesse auf, sollte zunächst definiert werden, wer auf welche Art von Daten zugreifen kann. Das lässt sich im nächsten Schritt nach verschiedenen Personalgruppierungen im Unternehmen weiter beschränken. Ein Beispiel wäre hierbei, wenn ein Unternehmen mehrere Standorte hat. Dann werden die Berechtigungen so verteilt, dass die Verantwortlichen des Standorts auch nur die Berechtigungen für den jeweiligen Standort erhalten, für den sie auch zuständig sind.

harmes_180x227
„Ich helfe Ihnen bei der Optimierung der SAP Sicherheit und Reduzierung der täglichen Betriebsaufwände.“
Senior Architekt Tobias Harmes
In unserem Strategieworkshop SAP Berechtigungen entwickeln unsere Senior-Architekten für Sie eine Strategie zur Optimierung der SAP Sicherheit und Reduzierung der täglichen Betriebsaufwände – gerade auch in Hinblick auf S/4HANA sowie dem Betrieb von SAP Cloud Anwendungen.
Strategieworkshop SAP Berechtigungen

 

Wie funktionieren strukturelle Berechtigungen und wann werden sie benötigt?

Bei strukturellen Berechtigungen geht es häufig um die Frage: wie kann ich sicherstellen, dass eine Führungskraft nur die Daten von sich und seinen Mitarbeitern sieht? Strukturelle Berechtigungen haben ein sogenanntes Wurzelobjekt, also einen Startpunkt und einen zugehörigen Auswertungsweg. Das Organigramm des Unternehmens ist im SAP HCM hinterlegt, sodass angezeigt werden kann, wie welche Positionen miteinander verbunden sind. Will man dann eine bestimmte Information über einen Mitarbeiter haben, kann diese über einen Pfad ausgelesen werden. Am Ende steht dann eine Liste von Objekten. Dieser Prozess ist dynamisch.

Ein Mitarbeiter erhält so ein eigenes strukturelles Berechtigungsprofil, welches an seine Jobanforderungen angepasst wird. Der Führungskraft kann man auf diesem Weg die zugehörigen Mitarbeiter zuweisen bzw. einsehen, für welche Firmenangehörigen er welche Berechtigungen hat. Und das ohne, dass diese Hierarchie-Zugehörigkeiten fest in eine Systemrolle eingefügt werden müssen. Ändert sich die Organisation, ändert sich auch die Menge der Personen, auf deren Daten ich Zugriff habe.

Wofür benötigt man kontextabhängige Berechtigungen?

Es gibt zwei große Gründe, die für die kontextabhängigen Berechtigungen sprechen. Zum einen kann damit eine manuelle Pflege komplett abgeschafft werden, so dass diese Prozesse komplett automatisiert werden können. Zum anderen entsteht eine bessere Umsetzung des Minimalprinzips im Berechtigungskonzept. Es gibt nämlich einen Nachteil bei strukturellen Berechtigungen: haben Mitarbeiter mehr als eine Rolle innerhalb der Personalprozesse, kann es zu einer Esklation der Berechtigungen kommen.

Warum man zusätzlich kontextabhängige Berechtigungen braucht, lässt sich an einem Beispiel erklären. Eine Führungskraft hat Einsicht in das Gehalt der Mitarbeiter der eigenen Abteilung, soll aber zugleich auch Zeitbeauftragter für mehrere Abteilungen sein. In so einer Situation sollte eine konsequente Trennung der Berechtigungen durchgezogen werden. Diese saubere Trennung ist durch kontextabhängige Berechtigungen möglich. So kann verhindert werden, dass Mitarbeiter im Rahmen ihrer aktuellen Jobfunktion mehr sehen, als sie eigentlich benötigen.

Zeitliche Beschränkungen im Hinblick auf die EU-DSGVO

Alles zum Datenschutz (DSGVO)

Alles zur DSGVO: Auf der sicheren Seite in Sachen Datenschutz

Jeder Kunde möchte, dass seine personenbezogenen Daten geschützt werden, das schreibt nun auch die DSGVO vor. Entgehen sie den hohen Strafen!

Jetzt anfordern

Durch die Neuerungen der Datenschutzgrundverordnung (EU-DSGVO) ergibt sich in einigen Situationen die Notwendigkeit von zeitabhängigen Berechtigungen. SAP hat diese vor wenigen Jahren eingeführt. Dabei wird der Zugriff auf bestimmte Daten zeitlich eingeschränkt. Die DSGVO sieht vor, dass bestimmte Daten nur nach Zweckbestimmung eingesehen oder gespeichert werden können. In einigen Unternehmen wäre es möglich, dass ein Personalsachbearbeiter die Urlaubszeiten eines Mitarbeiters von vor zehn Jahren einsehen kann. Da das keine Bewandtnis oder keinen betrieblichen Zweck erfüllt, liegt in den meisten Fällen auf der Hand. Deswegen gibt es die Möglichkeit zur zeitlichen Einschränkung der Einsicht dieser Daten mittels des Berechtigungsobjekts P_DURATION. Die Möglichkeiten für Customizing sind an dieser Stelle sehr umfangreich. Auch eigene Programmierungen sind möglich.

Was gilt es für die Cloud zu beachten?

Das Cloud-basierte SAP Produkt SuccessFactors sollte in einem eigenen SAP-Berechtigungskonzept behandelt werden. Rollen und Berechtigungen können auch hier nach individuellem Bedarf definiert werden. Diese Trennung sollte vorgenommen werden, da die beiden Systeme zwar eine Schnittstelle haben, aber keine inhaltlichen Ähnlichkeiten aufweisen bzw. unterschiedlich aufgebaut sind. SAP SuccessFactors gilt hinsichtlich der Berechtigungen als deutlich einfacher und weniger komplex. Die Datenstrukturen in Success Factors sind simpler und die dazugehörigen Rollen und Berechtigungen sind einfacher gestrickt, sodass es nicht so viele potenzielle Fallstricke gibt.

Weitere Informationen

SAP HCM Berechtigungen: https://activate-hr.de/category/hcm-berechtigungen/

SAP HCM: https://mindsquare.de/knowhow/sap-hcm/

Sie benötigen Unterstützung in diesem Thema? Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.


Artikel war hilfreichArtikel empfehlen

Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Weitere Beiträge:

SAP Berechtigungen

SAP Berechtigungsvererbung mit Organisationsebenen

SAP Speichermodell in Windows
Legen Sie mit dem Vererbungsprinzip gleiche Berechtigungen für mehrere Rollen automatisch an. Wir zeignen Ihnen was Sie beachten müssen und wie es geht.
#Organisationsebenen, #PFCG
Artikel lesen
SAP Berechtigungen

Quellcodeanalyse auf Berechtigungsprüfungen in ABAP Programmen

Die Verwendung von Berechtigungsprüfungen in ABAP Reports obligt den Entwicklern. Überwachen Sie die korrekte Umsetzung der Prüfungen durch Quellcodeanalyse
2
Artikel lesen
SAP Berechtigungen » S/4HANA berechtigen

S/4HANA Migration von Berechtigungen und Rollen

Bei einer Umstellung auf ein SAP S/4HANA System ist auch die Migration von SAP Berechtigungen auf den neuen Standard ein Teil des Projektes
#S4HANA-Berechtigungen
Artikel lesen

Unsere Top-Downloads

E-Book

E-Book SAP Security und Berechtigungen

Kostenloses E-Book
SAP Security& Berechtigungen
Download
Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten – Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.
kostenlos downloaden
E-Book

E-Book SAP Berechtigungstools

Kostenloses E-Book
Unser E-Book zum Thema SAP Berechtigungstools
Download
So wählen Sie Ihr SAP Berechtigungstool aus – in 3 Schritten zum neuen Berechtigungstool.
#podcast, #story
kostenlos downloaden
E-Book

E-Book SAP Solution Manager

Kostenloses E-Book
SAP Solution Manager
Download
Dieses E-Book beinhaltet für Sie von uns ausgewählte Fachartikel rund um das Thema SAP Solution Manager.
kostenlos downloaden
Kontaktieren Sie uns!
Renate Burg Kundenservice
0211 9462 8572-25 renate.burg@rz10.de Ihre Anfrage