Автор Тема: Обсудить методику ведения пользователей/ролей  (Прочитано 22607 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Skif

  • Jr. Member
  • **
  • Сообщений: 726
  • Репутация: +10/-0
  • YearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYears
В общем разработал следующую технологию:
1. Имеем HR-систему с оргструктурой, в которой к должностям привязаны композитные роли с именами ZMNDSIDкод_дожности. В ИТ 0105/0001,0010,0020 логин, мыло, телефон персоны. Всё вышеперечисленное заполняют/прикрепляют кадры. Функциональные роли разрабатывают и включают в композиты разработчики. Транспорт ролей в продуктив, ес-но, - базис.
2. Имеем CUA (в соседнем манданте от HR).
3. Настроено периодическое (в плане ;) распределение всей вышеперичесленной лабуды в системы и CUA.
4. Ведение ролей настроено локально, всё остальное - CUA. Т.е. выравнивание осуществляется также периодически (в плане ;) PFUD-ом.
5. Ес-но сначала в CUA (через ZRHPROFL0_CUA) генерятся опять же периодически (в плане ;) юзеры (со всеми полученными данными из HR) в дочерних системах (имена систем берутся из названия прикреплённой к должности роли(ей)). Параметры юзера (пришлось повозиться) запихнул в описание роли (строки типа #прм=val)
Контролируется изменение ФИО, оргподразделения, 0105-го, систем - для активации обновления основной записи.

вот. вроде всё. работаю над синхронизацией фонов.

есть какие критические предложения? ;)


Оффлайн №1

  • Administrator
  • Jr. Member
  • *****
  • Сообщений: 636
  • Репутация: +23/-0
  • Пол: Мужской
  • Судьбы я вызов принимаю прямым пожатием руки
  • YearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYears
Ну осталось подумать над процессами: замещением на время отпуска, длительное отсутствие (характерно для женщин) и собственно увольнения...
Мой You are not allowed to view links. Register or Login

Оффлайн Skif

  • Jr. Member
  • **
  • Сообщений: 726
  • Репутация: +10/-0
  • YearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYears
You are not allowed to view links. Register or Login
Ну осталось подумать над процессами: замещением на время отпуска, длительное отсутствие (характерно для женщин) и собственно увольнения...
для этого в названии роли должность - чтоб видеть кто замещается (при присоединении чужой роли к должности). Вот только параметры, боюсь, придётся тоже в локальные перевести, т.к. в разных системах у юзера могут быть разные параметры, а в CUA нет привязки параметра к системе.
Кстати - а что за "структурные полномочия"? Как их-то вести? А то цель-то была - оставить в продакшн манданте только конченных юзеров ;)
Увольнения пока вручную - доработаем ;).

Оффлайн №1

  • Administrator
  • Jr. Member
  • *****
  • Сообщений: 636
  • Репутация: +23/-0
  • Пол: Мужской
  • Судьбы я вызов принимаю прямым пожатием руки
  • YearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYears
Ну видится еще одна проблема, когда должность называется одинаково, например, бухгалтер, но права по счетам или БЕ у разных бухов не должны пересекаться... ::)
А как в английском варианте "структурные полномочия"?
Мой You are not allowed to view links. Register or Login

Оффлайн Skif

  • Jr. Member
  • **
  • Сообщений: 726
  • Репутация: +10/-0
  • YearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYears
You are not allowed to view links. Register or Login
Ну видится еще одна проблема, когда должность называется одинаково, например, бухгалтер, но права по счетам или БЕ у разных бухов не должны пересекаться... ::)
А как в английском варианте "структурные полномочия"?
дык код штатной должности ;) - на названия я не заморачивался ;)
ну много ролей ;) - зато гибкость какая ;)
спрошу у HR-ников - что-то они делают в оргструктуре вроде для разграничения доступа к подразделениям - придётся с этим ещё как-то бороться
« Последнее редактирование: Август 26, 2010, 08:44:40 am от Skif »

Оффлайн Skif

  • Jr. Member
  • **
  • Сообщений: 726
  • Репутация: +10/-0
  • YearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYears
You are not allowed to view links. Register or Login
Ну осталось подумать над процессами: замещением на время отпуска, длительное отсутствие (характерно для женщин) и собственно увольнения...
Всё отлично - PFUD удаляет роль при увольнениях и пр. так что ничего и делать не нужно

Оффлайн №1

  • Administrator
  • Jr. Member
  • *****
  • Сообщений: 636
  • Репутация: +23/-0
  • Пол: Мужской
  • Судьбы я вызов принимаю прямым пожатием руки
  • YearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYears
You are not allowed to view links. Register or Login
Всё отлично - PFUD удаляет роль при увольнениях и пр. так что ничего и делать не нужно
А учетку заблокировать? Аудиторы очень нервно на это реагируют
Мой You are not allowed to view links. Register or Login

Оффлайн Skif

  • Jr. Member
  • **
  • Сообщений: 726
  • Репутация: +10/-0
  • YearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYears
You are not allowed to view links. Register or Login
А учетку заблокировать? Аудиторы очень нервно на это реагируют
ну можно дописать... - но это уже ченч-реквест! ;)

Оффлайн Skif

  • Jr. Member
  • **
  • Сообщений: 726
  • Репутация: +10/-0
  • YearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYears
You are not allowed to view links. Register or Login
А как в английском варианте "структурные полномочия"?
структурные профили ;) - pd
ведутся в oosp/oosb, t77p*, связь A293
как же их правильнее нести в продакшн?...

Оффлайн №1

  • Administrator
  • Jr. Member
  • *****
  • Сообщений: 636
  • Репутация: +23/-0
  • Пол: Мужской
  • Судьбы я вызов принимаю прямым пожатием руки
  • YearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYears
You are not allowed to view links. Register or Login
структурные профили ;) - pd
ведутся в oosp/oosb, t77p*, связь A293
как же их правильнее нести в продакшн?...
Насколько понял - обычное ведение через SM30. Значит и способ обычный - выделить и включить в запрос
Мой You are not allowed to view links. Register or Login

Оффлайн Skif

  • Jr. Member
  • **
  • Сообщений: 726
  • Репутация: +10/-0
  • YearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYears
Re: Обсудить методику ведения пользователей/ролей
« Ответ #10 : Август 26, 2010, 04:53:07 pm »
You are not allowed to view links. Register or Login
Насколько понял - обычное ведение через SM30. Значит и способ обычный - выделить и включить в запрос
нашёл кое-что - бум пробовать

If you want to assign Structural Authorizations to a Position and in
turn to a User

rep 1. Create Structural authorization profiles in OOSP, assign the same
to position by creating Infotype 1017 for a Position and run RHPROFL0
program to update the same to the USER (T77UA) who is occupying the
position (A008 Relationship b/w S & P and IT 0105 against P)

rep 2. Create PD Profiles infotype for that position in the transaction
code PP01

Оффлайн №1

  • Administrator
  • Jr. Member
  • *****
  • Сообщений: 636
  • Репутация: +23/-0
  • Пол: Мужской
  • Судьбы я вызов принимаю прямым пожатием руки
  • YearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYears
Re: Обсудить методику ведения пользователей/ролей
« Ответ #11 : Август 27, 2010, 07:53:39 am »
Как-то сразу и не вкурил ;) - старею ;D
В общем, посмотри на SAP Identity Management
You are not allowed to view links. Register or Login
Цитировать
SAP NetWeaver Identity Management helps companies to centrally manage their user accounts (identities) in a complex system landscape. This includes both SAP and non-SAP systems. The solution provides an authoritative, single source of user information and enables self-service management of user information and authorizations using workflow technolog
"Мопед не мой - я только разместил объяву" ::) 
Мой You are not allowed to view links. Register or Login

Оффлайн Skif

  • Jr. Member
  • **
  • Сообщений: 726
  • Репутация: +10/-0
  • YearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYears
Re: Обсудить методику ведения пользователей/ролей
« Ответ #12 : Август 27, 2010, 08:27:35 am »
You are not allowed to view links. Register or Login
Как-то сразу и не вкурил ;) - старею ;D
В общем, посмотри на SAP Identity Management
You are not allowed to view links. Register or Login"Мопед не мой - я только разместил объяву" ::) 
да лано ;) -  стареет он - есть ещё ягоды в ягодицах? ;)
IM года два назад интересовался - тогда он только под винду кажись был. Так что сразу остыл. Кто-то из ребят его, кстати, продвигал - не вспомню кто только. Серьёзная штука в общем-то, но не законтрактован. И опять же - потребность нулевая. (из цикла: любопытно-интерес-желание-потребность).
HRIndir&CUA+abap и то в порядке хобби - чтоб форму не терять ;)

Оффлайн Skif

  • Jr. Member
  • **
  • Сообщений: 726
  • Репутация: +10/-0
  • YearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYears
Re: Обсудить методику ведения пользователей/ролей
« Ответ #13 : Август 27, 2010, 11:52:07 am »
You are not allowed to view links. Register or Login
Всё отлично - PFUD удаляет роль при увольнениях и пр. так что ничего и делать не нужно
надо проверить как ведёт себя RHPROFL0 в этом направлении - может pfud и не нужен будет

Оффлайн Skif

  • Jr. Member
  • **
  • Сообщений: 726
  • Репутация: +10/-0
  • YearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYears
Re: Обсудить методику ведения пользователей/ролей
« Ответ #14 : Сентябрь 09, 2010, 03:47:29 pm »
You are not allowed to view links. Register or Login
А учетку заблокировать? Аудиторы очень нервно на это реагируют
Всё отлично удаляется в RHPROFL0 - удаляется система у юзера, соотвественно он исчезает из продуктива и его учётка "висит в воздухе" только в CUA без систем вообще :)

Оффлайн Skif

  • Jr. Member
  • **
  • Сообщений: 726
  • Репутация: +10/-0
  • YearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYears
Придумал как избавить ОК от заполнения ИТ0105.
сделал по аналогии tr HRUSER - login email из табномера ;)
а сигналом к созданию юзера в CUA является наличие в его должности соответствующей роли
Теперь всё воще пулемётом ;)
осталось отправку "письма счастья" ИТ-диспетчеру настроить ;)

Оффлайн Uukrul

  • SAP ECC 6.0 Ehp(*)
  • Administrator
  • Epic Member
  • *****
  • Сообщений: 3 767
  • Репутация: +47/-0
  • Пол: Мужской
  • YearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYears
    • Sapforum.BIZ
You are not allowed to view links. Register or Login
осталось отправку "письма счастья" ИТ-диспетчеру настроить ;)
Ну тут можно взять отправку: You are not allowed to view links. Register or Login

aXaT

  • Гость
Re: Обсудить методику ведения пользователей/ролей
« Ответ #17 : Октябрь 08, 2010, 08:48:03 am »
А мы пошли по другому пути. Отказались от центрального ведения ролей, но внедрили присвоение ролей в соответствии с организационной структурой предприятия.
Все знают как неудобно работать в штатном инструменте "Оргменеджмент" для присвоения роли на оргединицу или штатную должность. Поэтому решили сделать свою разработку - за основу взяли деревовидную структуру предприятия и администрирование ролей вести для каждого элемента оргструктуры. Получился очень удобный инструмент для администраторов. Все присвоения записываются в штатные таблицы, вызываются штатные ФМ и т.д.
В вложенном файле небольшая презентация по данной теме.
Присвоения поддерживаются для О-оргединица, S-штатная должность, P-персона(нежелательно), и прямые (совсем нежелательно).
Очень удобно при текучести кадров - кадровики переводят, увольняют, принимают юзера и после выравнивания ролей у него меняются роли без участия администраторов. Автоматическое выравнивание ролей - периодически каждый час.
Правда есть один нюанс - у нас HR-система совмещена с основной ERP системой. Если системы - разные то это решение  будет работать только для локальной HR-системы.

aXaT

  • Гость
Re: Обсудить методику ведения пользователей/ролей
« Ответ #18 : Октябрь 08, 2010, 08:50:10 am »
сорри - не получилось прицепить с первого раза презентацию

Оффлайн Skif

  • Jr. Member
  • **
  • Сообщений: 726
  • Репутация: +10/-0
  • YearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYears
Re: Обсудить методику ведения пользователей/ролей
« Ответ #19 : Октябрь 11, 2010, 05:21:13 pm »
You are not allowed to view links. Register or Login
А мы пошли по другому пути. Отказались от центрального ведения ролей, но внедрили присвоение ролей в соответствии с организационной структурой предприятия.
Правда есть один нюанс - у нас HR-система совмещена с основной ERP системой. Если системы - разные то это решение  будет работать только для локальной HR-системы.
ну похоже ;)
тоже настаиваю, чтобы HR был в отдельном манданте от остального (которого ещё нет, но если всё в одном флаконе то гемор одназначно будет)

Оффлайн Skif

  • Jr. Member
  • **
  • Сообщений: 726
  • Репутация: +10/-0
  • YearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYears
You are not allowed to view links. Register or Login
Ну тут можно взять отправку: You are not allowed to view links. Register or Login
чота не хочет открываться сообчения в SO - может потому что русский текст там? предлагает только выгрузку на писюк

Оффлайн Uukrul

  • SAP ECC 6.0 Ehp(*)
  • Administrator
  • Epic Member
  • *****
  • Сообщений: 3 767
  • Репутация: +47/-0
  • Пол: Мужской
  • YearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYears
    • Sapforum.BIZ
You are not allowed to view links. Register or Login
чота не хочет открываться сообчения в SO - может потому что русский текст там? предлагает только выгрузку на писюк
Да нет, сколько раз использовал с русским текстом... никогда проблем небыло. Может чего не так делаете?

Оффлайн Uukrul

  • SAP ECC 6.0 Ehp(*)
  • Administrator
  • Epic Member
  • *****
  • Сообщений: 3 767
  • Репутация: +47/-0
  • Пол: Мужской
  • YearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYears
    • Sapforum.BIZ
Re: Обсудить методику ведения пользователей/ролей
« Ответ #22 : Октябрь 11, 2010, 09:06:38 pm »
You are not allowed to view links. Register or Login
HR был в отдельном манданте от остального (которого ещё нет, но если всё в одном флаконе то гемор одназначно будет)
В бытности у одного большого банка, не нашего... тоже HR был отдельно.. а вот потом они поняли что большой гемор, это когда данные HR в другом месте и у них был проект переноса всего этого дела в общую систему.

Оффлайн Skif

  • Jr. Member
  • **
  • Сообщений: 726
  • Репутация: +10/-0
  • YearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYears
Re: Обсудить методику ведения пользователей/ролей
« Ответ #23 : Октябрь 12, 2010, 08:44:45 am »
You are not allowed to view links. Register or Login
В бытности у одного большого банка, не нашего... тоже HR был отдельно.. а вот потом они поняли что большой гемор, это когда данные HR в другом месте и у них был проект переноса всего этого дела в общую систему.
дык то "не нашего" ;)
даже не хочется продолжать ....;(

Оффлайн Skif

  • Jr. Member
  • **
  • Сообщений: 726
  • Репутация: +10/-0
  • YearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYears
You are not allowed to view links. Register or Login
Да нет, сколько раз использовал с русским текстом... никогда проблем небыло. Может чего не так делаете?
ну я в лоб пишу в so_ali строки сообщений...ща погляжу ещё - может что-то пропустил
...
аа - вот - document type то пустой ;)
когда-то в палаше же использовал - забыл уже что да как
ща исправим, добью, запланирую и мона в отпуск ;)
чтоб не доставали как в прошлом году
« Последнее редактирование: Октябрь 12, 2010, 08:59:13 am от Skif »