Sapforum.Biz
Инструменты => Администрирование (BC) => Тема начата: Skif от Август 25, 2010, 05:02:27 pm
-
В общем разработал следующую технологию:
1. Имеем HR-систему с оргструктурой, в которой к должностям привязаны композитные роли с именами ZMNDSIDкод_дожности. В ИТ 0105/0001,0010,0020 логин, мыло, телефон персоны. Всё вышеперечисленное заполняют/прикрепляют кадры. Функциональные роли разрабатывают и включают в композиты разработчики. Транспорт ролей в продуктив, ес-но, - базис.
2. Имеем CUA (в соседнем манданте от HR).
3. Настроено периодическое (в плане ;) распределение всей вышеперичесленной лабуды в системы и CUA.
4. Ведение ролей настроено локально, всё остальное - CUA. Т.е. выравнивание осуществляется также периодически (в плане ;) PFUD-ом.
5. Ес-но сначала в CUA (через ZRHPROFL0_CUA) генерятся опять же периодически (в плане ;) юзеры (со всеми полученными данными из HR) в дочерних системах (имена систем берутся из названия прикреплённой к должности роли(ей)). Параметры юзера (пришлось повозиться) запихнул в описание роли (строки типа #прм=val)
Контролируется изменение ФИО, оргподразделения, 0105-го, систем - для активации обновления основной записи.
вот. вроде всё. работаю над синхронизацией фонов.
есть какие критические предложения? ;)
-
Ну осталось подумать над процессами: замещением на время отпуска, длительное отсутствие (характерно для женщин) и собственно увольнения...
-
Ну осталось подумать над процессами: замещением на время отпуска, длительное отсутствие (характерно для женщин) и собственно увольнения...
для этого в названии роли должность - чтоб видеть кто замещается (при присоединении чужой роли к должности). Вот только параметры, боюсь, придётся тоже в локальные перевести, т.к. в разных системах у юзера могут быть разные параметры, а в CUA нет привязки параметра к системе.
Кстати - а что за "структурные полномочия"? Как их-то вести? А то цель-то была - оставить в продакшн манданте только конченных юзеров ;)
Увольнения пока вручную - доработаем ;).
-
Ну видится еще одна проблема, когда должность называется одинаково, например, бухгалтер, но права по счетам или БЕ у разных бухов не должны пересекаться... ::)
А как в английском варианте "структурные полномочия"?
-
Ну видится еще одна проблема, когда должность называется одинаково, например, бухгалтер, но права по счетам или БЕ у разных бухов не должны пересекаться... ::)
А как в английском варианте "структурные полномочия"?
дык код штатной должности ;) - на названия я не заморачивался ;)
ну много ролей ;) - зато гибкость какая ;)
спрошу у HR-ников - что-то они делают в оргструктуре вроде для разграничения доступа к подразделениям - придётся с этим ещё как-то бороться
-
Ну осталось подумать над процессами: замещением на время отпуска, длительное отсутствие (характерно для женщин) и собственно увольнения...
Всё отлично - PFUD удаляет роль при увольнениях и пр. так что ничего и делать не нужно
-
Всё отлично - PFUD удаляет роль при увольнениях и пр. так что ничего и делать не нужно
А учетку заблокировать? Аудиторы очень нервно на это реагируют
-
А учетку заблокировать? Аудиторы очень нервно на это реагируют
ну можно дописать... - но это уже ченч-реквест! ;)
-
А как в английском варианте "структурные полномочия"?
структурные профили ;) - pd
ведутся в oosp/oosb, t77p*, связь A293
как же их правильнее нести в продакшн?...
-
структурные профили ;) - pd
ведутся в oosp/oosb, t77p*, связь A293
как же их правильнее нести в продакшн?...
Насколько понял - обычное ведение через SM30. Значит и способ обычный - выделить и включить в запрос
-
Насколько понял - обычное ведение через SM30. Значит и способ обычный - выделить и включить в запрос
нашёл кое-что - бум пробовать
If you want to assign Structural Authorizations to a Position and in
turn to a User
rep 1. Create Structural authorization profiles in OOSP, assign the same
to position by creating Infotype 1017 for a Position and run RHPROFL0
program to update the same to the USER (T77UA) who is occupying the
position (A008 Relationship b/w S & P and IT 0105 against P)
rep 2. Create PD Profiles infotype for that position in the transaction
code PP01
-
Как-то сразу и не вкурил ;) - старею ;D
В общем, посмотри на SAP Identity Management
http://www.sdn.sap.com/irj/sdn/nw-identitymanagement (http://www.sdn.sap.com/irj/sdn/nw-identitymanagement)
SAP NetWeaver Identity Management helps companies to centrally manage their user accounts (identities) in a complex system landscape. This includes both SAP and non-SAP systems. The solution provides an authoritative, single source of user information and enables self-service management of user information and authorizations using workflow technolog
"Мопед не мой - я только разместил объяву" ::)
-
Как-то сразу и не вкурил ;) - старею ;D
В общем, посмотри на SAP Identity Management
http://www.sdn.sap.com/irj/sdn/nw-identitymanagement (http://www.sdn.sap.com/irj/sdn/nw-identitymanagement)"Мопед не мой - я только разместил объяву" ::)
да лано ;) - стареет он - есть ещё ягоды в ягодицах? ;)
IM года два назад интересовался - тогда он только под винду кажись был. Так что сразу остыл. Кто-то из ребят его, кстати, продвигал - не вспомню кто только. Серьёзная штука в общем-то, но не законтрактован. И опять же - потребность нулевая. (из цикла: любопытно-интерес-желание-потребность).
HRIndir&CUA+abap и то в порядке хобби - чтоб форму не терять ;)
-
Всё отлично - PFUD удаляет роль при увольнениях и пр. так что ничего и делать не нужно
надо проверить как ведёт себя RHPROFL0 в этом направлении - может pfud и не нужен будет
-
А учетку заблокировать? Аудиторы очень нервно на это реагируют
Всё отлично удаляется в RHPROFL0 - удаляется система у юзера, соотвественно он исчезает из продуктива и его учётка "висит в воздухе" только в CUA без систем вообще :)
-
Придумал как избавить ОК от заполнения ИТ0105.
сделал по аналогии tr HRUSER - login email из табномера ;)
а сигналом к созданию юзера в CUA является наличие в его должности соответствующей роли
Теперь всё воще пулемётом ;)
осталось отправку "письма счастья" ИТ-диспетчеру настроить ;)
-
осталось отправку "письма счастья" ИТ-диспетчеру настроить ;)
Ну тут можно взять отправку: http://sapforum.biz/index.php/topic,87.0.html
-
А мы пошли по другому пути. Отказались от центрального ведения ролей, но внедрили присвоение ролей в соответствии с организационной структурой предприятия.
Все знают как неудобно работать в штатном инструменте "Оргменеджмент" для присвоения роли на оргединицу или штатную должность. Поэтому решили сделать свою разработку - за основу взяли деревовидную структуру предприятия и администрирование ролей вести для каждого элемента оргструктуры. Получился очень удобный инструмент для администраторов. Все присвоения записываются в штатные таблицы, вызываются штатные ФМ и т.д.
В вложенном файле небольшая презентация по данной теме.
Присвоения поддерживаются для О-оргединица, S-штатная должность, P-персона(нежелательно), и прямые (совсем нежелательно).
Очень удобно при текучести кадров - кадровики переводят, увольняют, принимают юзера и после выравнивания ролей у него меняются роли без участия администраторов. Автоматическое выравнивание ролей - периодически каждый час.
Правда есть один нюанс - у нас HR-система совмещена с основной ERP системой. Если системы - разные то это решение будет работать только для локальной HR-системы.
-
сорри - не получилось прицепить с первого раза презентацию
-
А мы пошли по другому пути. Отказались от центрального ведения ролей, но внедрили присвоение ролей в соответствии с организационной структурой предприятия.
Правда есть один нюанс - у нас HR-система совмещена с основной ERP системой. Если системы - разные то это решение будет работать только для локальной HR-системы.
ну похоже ;)
тоже настаиваю, чтобы HR был в отдельном манданте от остального (которого ещё нет, но если всё в одном флаконе то гемор одназначно будет)
-
Ну тут можно взять отправку: http://sapforum.biz/index.php/topic,87.0.html
чота не хочет открываться сообчения в SO - может потому что русский текст там? предлагает только выгрузку на писюк
-
чота не хочет открываться сообчения в SO - может потому что русский текст там? предлагает только выгрузку на писюк
Да нет, сколько раз использовал с русским текстом... никогда проблем небыло. Может чего не так делаете?
-
HR был в отдельном манданте от остального (которого ещё нет, но если всё в одном флаконе то гемор одназначно будет)
В бытности у одного большого банка, не нашего... тоже HR был отдельно.. а вот потом они поняли что большой гемор, это когда данные HR в другом месте и у них был проект переноса всего этого дела в общую систему.
-
В бытности у одного большого банка, не нашего... тоже HR был отдельно.. а вот потом они поняли что большой гемор, это когда данные HR в другом месте и у них был проект переноса всего этого дела в общую систему.
дык то "не нашего" ;)
даже не хочется продолжать ....;(
-
Да нет, сколько раз использовал с русским текстом... никогда проблем небыло. Может чего не так делаете?
ну я в лоб пишу в so_ali строки сообщений...ща погляжу ещё - может что-то пропустил
...
аа - вот - document type то пустой ;)
когда-то в палаше же использовал - забыл уже что да как
ща исправим, добью, запланирую и мона в отпуск ;)
чтоб не доставали как в прошлом году