Ablauf der personalnummernbezogenen Berechtigungsprüfung (SAP-Bibliothek

Ablauf der personalnummernbezogenen Berechtigungsprüfung

Einsatzmöglichkeiten

Mit diesem Prozess wird im Rahmen der allgemeinen Berechtigungsprüfung eine personalnummernbezogenen Berechtigungsprüfung (d.h. basierend auf Berechtigungsobjekt P_PERNR) durchgeführt.

Aufrufparameter

Die Berechtigungsprüfung wird mit den folgenden Parametern aufgerufen:

LEVEL	Berechtigungslevel
TCLAS	Transaktionsklasse = Unterscheidung Personalnummer/Bewerbernummer
PERNR	Personalnummer (bzw. Bewerbernummer)
INFTY	Infotyp
SUBTY	Subtyp

Die Parameter BEGDA und ENDDA werden nicht benötigt, da immer die aktuelle Zuordnung des Benutzers zu einer Personalnummer ausgewertet wird. Sobald das System eine Personalnummer als zum Benutzer gehörend erkannt hat, werden die Daten nur noch über die Parameter Infotyp/Subtyp differenziert. Eine zeitliche Differenzierung ist nicht vorgesehen.

Ablauf

Die Transaktionsklasse wird ausgewertet. Wenn es sich um eine Bewerbernummer handelt, wird die Prüfung mit dem Ausgang "ohne Entscheidung" beendet.

Der Berechtigungshauptschalter PERNR wird ausgewertet. Wenn der Schalter deaktiviert ist, wird die Prüfung mit dem Ausgang "ohne Entscheidung" beendet.

Die zum Benutzer gehörende Personalnummer wird ermittelt (im Standard aus Infotyp 0105, Subtyp 0001, in früheren Releases aus Tabelle T513A Benutzerbezogene Werte).

Wenn die Personalnummer nicht mit der zu prüfenden Personalnummer übereinstimmt oder keine Personalnummer gefunden wurde, wird die Prüfung mit dem Ausgang "ohne Entscheidung" verlassen. (Dies ist der Grund, warum Berechtigungseinstellungen für das Objekt P_PERNR niemals Auswirkungen auf die Berechtigungsprüfung von Personalnummern haben können, die dem Benutzer nicht zugeordnet wurden.)

Es wird eine Berechtigungsprüfung für das Objekt P_PERNR durchgeführt:

AUTHORITY-CHECK OBJECT 'P_PERNR'

ID 'AUTHC' FIELD LEVEL

ID 'PSIGN' FIELD '*'

ID 'INFTY' FIELD INFTY

ID 'SUBTY' FIELD SUBTY.

Wenn diese Prüfung erfolgreich ist ( SY-SUBRC = 0 ), wird sie mit dem Ausgang "berechtigt" beendet.

Es wird eine zweite Berechtigungsprüfung für das Objekt P_PERNR durchgeführt:

AUTHORITY-CHECK OBJECT 'P_PERNR'

ID 'AUTHC' FIELD LEVEL

ID 'PSIGN' FIELD 'E'

ID 'INFTY' FIELD INFTY

ID 'SUBTY' FIELD SUBTY.

Wenn diese Prüfung erfolgreich ist ( SY-SUBRC = 0 ), wird sie mit dem Ausgang "nicht berechtigt" beendet.

Es wird eine dritte Berechtigungsprüfung für das Objekt P_PERNR durchgeführt:

AUTHORITY-CHECK OBJECT 'P_PERNR'

ID 'AUTHC' FIELD LEVEL

ID 'PSIGN' FIELD 'I'

ID 'INFTY' FIELD INFTY

ID 'SUBTY' FIELD SUBTY.

Wenn diese Prüfung erfolgreich ist ( SY-SUBRC = 0 ), wird sie mit dem Ausgang "berechtigt" beendet.

Wenn keine der aufgeführten Prüfungen erfolgreich war, wird die Prüfung mit dem Ausgang "ohne Entscheidung" beendet.

Hinweis

Die Prüfung auf P_PERNR mit PSIGN = * wurde in früheren Releases nicht durchgeführt. Aus diesem Grund wurde ein Benutzer mit * -Berechtigung für P_PERNR im Feld PSIGN immer abgelehnt. Dies hatte unter anderem zur Folge, dass bei aktiven Personalnummernprüfungen Benutzer mit Gesamtberechtigungen nie auf die eigene Personalnummer zugreifen konnten.

Das wirft die Frage auf, weshalb nicht einfach die Prüfung auf PSIGN E bzw. I vertauscht wurden. Die Ursache hierfür liegt darin, dass ein Benutzer mit E - und I -Berechtigung sowohl auf die eigene Personalnummer zugreifen können soll als auch nicht zugreifen können soll. Da das System dies nicht sinnvoll interpretieren kann, soll in diesem Fall nach der Strategie "im Zweifelsfall keine Berechtigung" die Berechtigung abgelehnt werden. Damit scheidet ein Vertauschen der E und I -Prüfungen von vorneherein aus. Damit Benutzer mit SAP_ALL_Berechtigung aber trotzdem immer berechtigt sind, wurde die zusätzliche Prüfungen aus PSIGN = * eingeführt.

Siehe auch:

Ablaufdiagramm der personalnummernbezogenen Berechtigungsprüfung