Sapforum.Biz

Инструменты => Администрирование (BC) => Тема начата: Skif от Август 25, 2010, 05:02:27 pm

Название: Обсудить методику ведения пользователей/ролей
Отправлено: Skif от Август 25, 2010, 05:02:27 pm
В общем разработал следующую технологию:
1. Имеем HR-систему с оргструктурой, в которой к должностям привязаны композитные роли с именами ZMNDSIDкод_дожности. В ИТ 0105/0001,0010,0020 логин, мыло, телефон персоны. Всё вышеперечисленное заполняют/прикрепляют кадры. Функциональные роли разрабатывают и включают в композиты разработчики. Транспорт ролей в продуктив, ес-но, - базис.
2. Имеем CUA (в соседнем манданте от HR).
3. Настроено периодическое (в плане ;) распределение всей вышеперичесленной лабуды в системы и CUA.
4. Ведение ролей настроено локально, всё остальное - CUA. Т.е. выравнивание осуществляется также периодически (в плане ;) PFUD-ом.
5. Ес-но сначала в CUA (через ZRHPROFL0_CUA) генерятся опять же периодически (в плане ;) юзеры (со всеми полученными данными из HR) в дочерних системах (имена систем берутся из названия прикреплённой к должности роли(ей)). Параметры юзера (пришлось повозиться) запихнул в описание роли (строки типа #прм=val)
Контролируется изменение ФИО, оргподразделения, 0105-го, систем - для активации обновления основной записи.

вот. вроде всё. работаю над синхронизацией фонов.

есть какие критические предложения? ;)

Название: Re: Обсудить методику ведения пользователей/ролей
Отправлено: №1 от Август 25, 2010, 05:12:36 pm
Ну осталось подумать над процессами: замещением на время отпуска, длительное отсутствие (характерно для женщин) и собственно увольнения...
Название: Re: Обсудить методику ведения пользователей/ролей
Отправлено: Skif от Август 26, 2010, 07:41:34 am
You are not allowed to view links. Register or Login
Ну осталось подумать над процессами: замещением на время отпуска, длительное отсутствие (характерно для женщин) и собственно увольнения...
для этого в названии роли должность - чтоб видеть кто замещается (при присоединении чужой роли к должности). Вот только параметры, боюсь, придётся тоже в локальные перевести, т.к. в разных системах у юзера могут быть разные параметры, а в CUA нет привязки параметра к системе.
Кстати - а что за "структурные полномочия"? Как их-то вести? А то цель-то была - оставить в продакшн манданте только конченных юзеров ;)
Увольнения пока вручную - доработаем ;).
Название: Re: Обсудить методику ведения пользователей/ролей
Отправлено: №1 от Август 26, 2010, 08:14:54 am
Ну видится еще одна проблема, когда должность называется одинаково, например, бухгалтер, но права по счетам или БЕ у разных бухов не должны пересекаться... ::)
А как в английском варианте "структурные полномочия"?
Название: Re: Обсудить методику ведения пользователей/ролей
Отправлено: Skif от Август 26, 2010, 08:30:38 am
You are not allowed to view links. Register or Login
Ну видится еще одна проблема, когда должность называется одинаково, например, бухгалтер, но права по счетам или БЕ у разных бухов не должны пересекаться... ::)
А как в английском варианте "структурные полномочия"?
дык код штатной должности ;) - на названия я не заморачивался ;)
ну много ролей ;) - зато гибкость какая ;)
спрошу у HR-ников - что-то они делают в оргструктуре вроде для разграничения доступа к подразделениям - придётся с этим ещё как-то бороться
Название: Re: Обсудить методику ведения пользователей/ролей
Отправлено: Skif от Август 26, 2010, 11:23:34 am
You are not allowed to view links. Register or Login
Ну осталось подумать над процессами: замещением на время отпуска, длительное отсутствие (характерно для женщин) и собственно увольнения...
Всё отлично - PFUD удаляет роль при увольнениях и пр. так что ничего и делать не нужно
Название: Re: Обсудить методику ведения пользователей/ролей
Отправлено: №1 от Август 26, 2010, 11:26:17 am
You are not allowed to view links. Register or Login
Всё отлично - PFUD удаляет роль при увольнениях и пр. так что ничего и делать не нужно
А учетку заблокировать? Аудиторы очень нервно на это реагируют
Название: Re: Обсудить методику ведения пользователей/ролей
Отправлено: Skif от Август 26, 2010, 11:50:31 am
You are not allowed to view links. Register or Login
А учетку заблокировать? Аудиторы очень нервно на это реагируют
ну можно дописать... - но это уже ченч-реквест! ;)
Название: Re: Обсудить методику ведения пользователей/ролей
Отправлено: Skif от Август 26, 2010, 02:15:00 pm
You are not allowed to view links. Register or Login
А как в английском варианте "структурные полномочия"?
структурные профили ;) - pd
ведутся в oosp/oosb, t77p*, связь A293
как же их правильнее нести в продакшн?...
Название: Re: Обсудить методику ведения пользователей/ролей
Отправлено: №1 от Август 26, 2010, 04:21:12 pm
You are not allowed to view links. Register or Login
структурные профили ;) - pd
ведутся в oosp/oosb, t77p*, связь A293
как же их правильнее нести в продакшн?...
Насколько понял - обычное ведение через SM30. Значит и способ обычный - выделить и включить в запрос
Название: Re: Обсудить методику ведения пользователей/ролей
Отправлено: Skif от Август 26, 2010, 04:53:07 pm
You are not allowed to view links. Register or Login
Насколько понял - обычное ведение через SM30. Значит и способ обычный - выделить и включить в запрос
нашёл кое-что - бум пробовать

If you want to assign Structural Authorizations to a Position and in
turn to a User

rep 1. Create Structural authorization profiles in OOSP, assign the same
to position by creating Infotype 1017 for a Position and run RHPROFL0
program to update the same to the USER (T77UA) who is occupying the
position (A008 Relationship b/w S & P and IT 0105 against P)

rep 2. Create PD Profiles infotype for that position in the transaction
code PP01
Название: Re: Обсудить методику ведения пользователей/ролей
Отправлено: №1 от Август 27, 2010, 07:53:39 am
Как-то сразу и не вкурил ;) - старею ;D
В общем, посмотри на SAP Identity Management
http://www.sdn.sap.com/irj/sdn/nw-identitymanagement (http://www.sdn.sap.com/irj/sdn/nw-identitymanagement)
Цитировать
SAP NetWeaver Identity Management helps companies to centrally manage their user accounts (identities) in a complex system landscape. This includes both SAP and non-SAP systems. The solution provides an authoritative, single source of user information and enables self-service management of user information and authorizations using workflow technolog
"Мопед не мой - я только разместил объяву" ::) 
Название: Re: Обсудить методику ведения пользователей/ролей
Отправлено: Skif от Август 27, 2010, 08:27:35 am
You are not allowed to view links. Register or Login
Как-то сразу и не вкурил ;) - старею ;D
В общем, посмотри на SAP Identity Management
http://www.sdn.sap.com/irj/sdn/nw-identitymanagement (http://www.sdn.sap.com/irj/sdn/nw-identitymanagement)"Мопед не мой - я только разместил объяву" ::) 
да лано ;) -  стареет он - есть ещё ягоды в ягодицах? ;)
IM года два назад интересовался - тогда он только под винду кажись был. Так что сразу остыл. Кто-то из ребят его, кстати, продвигал - не вспомню кто только. Серьёзная штука в общем-то, но не законтрактован. И опять же - потребность нулевая. (из цикла: любопытно-интерес-желание-потребность).
HRIndir&CUA+abap и то в порядке хобби - чтоб форму не терять ;)
Название: Re: Обсудить методику ведения пользователей/ролей
Отправлено: Skif от Август 27, 2010, 11:52:07 am
You are not allowed to view links. Register or Login
Всё отлично - PFUD удаляет роль при увольнениях и пр. так что ничего и делать не нужно
надо проверить как ведёт себя RHPROFL0 в этом направлении - может pfud и не нужен будет
Название: Re: Обсудить методику ведения пользователей/ролей
Отправлено: Skif от Сентябрь 09, 2010, 03:47:29 pm
You are not allowed to view links. Register or Login
А учетку заблокировать? Аудиторы очень нервно на это реагируют
Всё отлично удаляется в RHPROFL0 - удаляется система у юзера, соотвественно он исчезает из продуктива и его учётка "висит в воздухе" только в CUA без систем вообще :)
Название: Обсудить методику ведения пользователей/ролей продолжение темы
Отправлено: Skif от Сентябрь 21, 2010, 11:30:47 am
Придумал как избавить ОК от заполнения ИТ0105.
сделал по аналогии tr HRUSER - login email из табномера ;)
а сигналом к созданию юзера в CUA является наличие в его должности соответствующей роли
Теперь всё воще пулемётом ;)
осталось отправку "письма счастья" ИТ-диспетчеру настроить ;)
Название: Re: Обсудить методику ведения пользователей/ролей продолжение темы
Отправлено: Uukrul от Сентябрь 21, 2010, 11:34:07 am
You are not allowed to view links. Register or Login
осталось отправку "письма счастья" ИТ-диспетчеру настроить ;)
Ну тут можно взять отправку: http://sapforum.biz/index.php/topic,87.0.html
Название: Re: Обсудить методику ведения пользователей/ролей
Отправлено: aXaT от Октябрь 08, 2010, 08:48:03 am
А мы пошли по другому пути. Отказались от центрального ведения ролей, но внедрили присвоение ролей в соответствии с организационной структурой предприятия.
Все знают как неудобно работать в штатном инструменте "Оргменеджмент" для присвоения роли на оргединицу или штатную должность. Поэтому решили сделать свою разработку - за основу взяли деревовидную структуру предприятия и администрирование ролей вести для каждого элемента оргструктуры. Получился очень удобный инструмент для администраторов. Все присвоения записываются в штатные таблицы, вызываются штатные ФМ и т.д.
В вложенном файле небольшая презентация по данной теме.
Присвоения поддерживаются для О-оргединица, S-штатная должность, P-персона(нежелательно), и прямые (совсем нежелательно).
Очень удобно при текучести кадров - кадровики переводят, увольняют, принимают юзера и после выравнивания ролей у него меняются роли без участия администраторов. Автоматическое выравнивание ролей - периодически каждый час.
Правда есть один нюанс - у нас HR-система совмещена с основной ERP системой. Если системы - разные то это решение  будет работать только для локальной HR-системы.
Название: Re: Обсудить методику ведения пользователей/ролей
Отправлено: aXaT от Октябрь 08, 2010, 08:50:10 am
сорри - не получилось прицепить с первого раза презентацию
Название: Re: Обсудить методику ведения пользователей/ролей
Отправлено: Skif от Октябрь 11, 2010, 05:21:13 pm
You are not allowed to view links. Register or Login
А мы пошли по другому пути. Отказались от центрального ведения ролей, но внедрили присвоение ролей в соответствии с организационной структурой предприятия.
Правда есть один нюанс - у нас HR-система совмещена с основной ERP системой. Если системы - разные то это решение  будет работать только для локальной HR-системы.
ну похоже ;)
тоже настаиваю, чтобы HR был в отдельном манданте от остального (которого ещё нет, но если всё в одном флаконе то гемор одназначно будет)
Название: Re: Обсудить методику ведения пользователей/ролей продолжение темы
Отправлено: Skif от Октябрь 11, 2010, 05:22:44 pm
You are not allowed to view links. Register or Login
Ну тут можно взять отправку: http://sapforum.biz/index.php/topic,87.0.html
чота не хочет открываться сообчения в SO - может потому что русский текст там? предлагает только выгрузку на писюк
Название: Re: Обсудить методику ведения пользователей/ролей продолжение темы
Отправлено: Uukrul от Октябрь 11, 2010, 09:05:28 pm
You are not allowed to view links. Register or Login
чота не хочет открываться сообчения в SO - может потому что русский текст там? предлагает только выгрузку на писюк
Да нет, сколько раз использовал с русским текстом... никогда проблем небыло. Может чего не так делаете?
Название: Re: Обсудить методику ведения пользователей/ролей
Отправлено: Uukrul от Октябрь 11, 2010, 09:06:38 pm
You are not allowed to view links. Register or Login
HR был в отдельном манданте от остального (которого ещё нет, но если всё в одном флаконе то гемор одназначно будет)
В бытности у одного большого банка, не нашего... тоже HR был отдельно.. а вот потом они поняли что большой гемор, это когда данные HR в другом месте и у них был проект переноса всего этого дела в общую систему.
Название: Re: Обсудить методику ведения пользователей/ролей
Отправлено: Skif от Октябрь 12, 2010, 08:44:45 am
You are not allowed to view links. Register or Login
В бытности у одного большого банка, не нашего... тоже HR был отдельно.. а вот потом они поняли что большой гемор, это когда данные HR в другом месте и у них был проект переноса всего этого дела в общую систему.
дык то "не нашего" ;)
даже не хочется продолжать ....;(
Название: Re: Обсудить методику ведения пользователей/ролей продолжение темы
Отправлено: Skif от Октябрь 12, 2010, 08:46:51 am
You are not allowed to view links. Register or Login
Да нет, сколько раз использовал с русским текстом... никогда проблем небыло. Может чего не так делаете?
ну я в лоб пишу в so_ali строки сообщений...ща погляжу ещё - может что-то пропустил
...
аа - вот - document type то пустой ;)
когда-то в палаше же использовал - забыл уже что да как
ща исправим, добью, запланирую и мона в отпуск ;)
чтоб не доставали как в прошлом году