В чем отличие объекта полномочий P_ORGIN от P_ORGXX?

Пояснение к вопросу

Суть заметки очень простая. Зачем нужен объект полномочий P_ORGXX, если есть P_ORGIN?

Решение вопроса

См. Authorizations for Human Resources

Сначала немного информации о каждом из упомянутых объектов полномочий.

Объект полномочий P_ORGIN

См. P_ORGIN (HR: Master Data)

Definition

Authorization object that is used during the authorization check for HR infotypes. The check takes place when HR infotypes are edited or read.

P_ORGIN один из основных объектов полномочий в компоненте HCM, используемый при работе с инфо-типами Personnel Administration. Применятся для разграничения уровня доступа к инфо-типу(ам). При создании пользовательских ролей, функциональный консультант чаще всего будет работать именно с ним

Рисунок 1.

Объект полномочий P_ORGXX

См. P_ORGXX (HR: Master Data – Extended Check)

Definition

Authorization object that is used during the authorization check for HR infotypes. The check takes place when HR infotypes are edited or read.
Описание, которое можно найти в справочном материале, как вы могли заметить, идентичное с описанием объекта полномочий P_ORGIN. Что, в целом, недалеко от истины, за исключением нескольких моментов.

  • Объект полномочий P_ORGXX является расширенной версией объекта полномочий P_ORGIN, в структуре которого содержится возможность управления доступом в зависимости от значений, представленных в инфо-типе 0001 - «Organizational Assignment». Другими словами, назначение этого объекта полномочий заключается в расширенной проверке полномочий;
  • По-умолчанию, в системе отключено использование объекта полномочий P_ORGXX

См. P_ORGXX (HR: Master Data – Extended Check)

The AUTHC field contains the access mode for the authorization (for example, R = Read). See AUTHC (Authorization Level) for a detailed description of the different authorization levels possible ( M , R , S , E , D , W , * ).

The SACHA , SACHP , SACHZ , and SBMOD fields are filled from the Organizational Assignment infotype (0001). Since this infotype has time-dependent specifications, an authorization may only exist for certain time intervals depending on the user’s authorization. A user’s period of responsibility is represented by all the time intervals for which he or she has P_ORGXX authorizations.

Рисунок 2.

Чтобы активировать/деактивировать использование объекта полномочий P_ORGXX в системе SAP необходимо внести изменения для переключателя AUTSW ORGXX в таблице T77S0 (доступ к настройке также доступен посредством транзакции OOAC)

Рисунок 3.

N.B. Обратите внимание на то, что при активированном переключателе AUTSW ORGXXв пользовательской роли должны присутствовать как объект полномочий P_ORGIN, так и P_ORGXX.

Пример 1.

Использование P_ORGXX отключено в системе. У пользователя есть полномочия на чтение инфо-типов 0001 - «Organizational Assignment», 0002 - «Personal Data» через транзакцию PA20

Рисунок 4.

Проверяю

 

Пример 2.

Использование P_ORGXX включено в системе. В роли пользователя присутствует только объект полномочий P_ORGIN

Пользователь не может выполнить запуск транзакции PA20, так как в его роли отсутствует объект полномочий P_ORGXX.

Пример 3.

Использование P_ORGXX включено в системе. В роли пользователя присутствуют объекты полномочий P_ORGIN и P_ORGXX

В результате пользователь выполнил запуск транзакции PA20, при этом один табельный номер был пропущен из-за нехватки полномочий.

См. заметку Трассировка пользовательских полномочий