Haben Sie Fragen?
Rufen Sie uns einfach an:
040 696985 - 0

SAP®SuccessFactors: Rollenbasierte Berechtigungen im Überblick

In diesem Artikel wird das Thema Berechtigungen innerhalb von SuccessFactors behandelt. Der Artikel soll einen ersten Überblick geben, wie die Berechtigungen in SuccessFactors funktionieren.

Das in SuccessFactors verwendete Berechtigungskonzept heißt Role Based Permission (RBP). Das RBP ermöglicht die detaillierte Verwaltung von Berechtigungen auf Feldebene für den größten  Teil  der  SuccessFactors  HCM-Suite.  Es gibt Module innerhalb von SuccessFactors, für die  das  RBP-Berechtigungskonzept nicht oder nicht im vollen Umfang anwendbar ist, wie z. B. das Modul Learning. Darauf wird hier jedoch nicht näher eingegangen.

Es werden Berechtigungsrollen (= Permission Roles) erstellt, die Berechtigungsgruppen (= Permission Groups) oder Benutzergruppen  (=  Groups of Users) für Zielgruppen (= Target Populations) zugewiesen werden.  Dies  unterscheidet sich nicht ganz vom Berechtigungskonzept in SAP. Das RBP enthält jedoch standardmäßig auch strukturbasierte Berechtigungen (z. B. Zuweisung von Berechtigungen für einen Manager und drei Ebenen darunter). Das RBP-Framework ermöglicht granulare Rechte auf Feldebene, was bedeutet, dass Berechtigungen (z. B. Anzeigen, Bearbeiten, Korrigieren, Löschen usw.) für jedes Feld in jeder Rolle gesteuert werden können. Der Zugriff auf Transaktionen und Verwaltungsfunktionen wird ebenfalls auf einer ziemlich detaillierten Ebene gesteuert. Zum Beispiel können fast alle Felder, Menüelemente und Aktionen in den Mitarbeiterdateien in Employee Central berechtigt werden. Das Modul Employee Central nimmt eine zentrale Stelle von SuccessFactors ein und entspricht in seiner Funktionalität weitgehend dem bisherigen SAP HCM. In Employee Central werden die Stammdaten der Mitarbeiter und die Organisationsstruktur abgebildet. Die in Employee Central enthaltene Stammdatenverwaltung dient als Basis für alle anderen Applikationen.

Innerhalb von SuccessFactors werden Employee Self-Service (ESS) und Manager Self- Service (MSS) in Employee Central für die Stammdatenpflege im Modul Employee Central verwendet. Der Zugriff auf ESS und MSS in Employee Central wird mithilfe von RBPs konfiguriert. Die Funktionalität für ESS- und MSS-Transaktionen ist in Employee Central integriert. Mithilfe von RBPs wird gesteuert, welche Benutzer (d. h. Mitarbeiter und Manager) auf welche Funktionen zugreifen können  (z. B.  Ansicht  „Persönliche  Informationen“ oder „Jobinformation ändern“).

RBP-Konzept

Das RBP-Konzept besteht aus drei Bereichen:

  • Berechtigungsrolle (= Permission Role) = Gruppe von Berechtigungen
  • Berechtigte Benutzer (= Granted Users) = Benutzer, denen die Rolle zugewiesen wurde (und daher die Berechtigungen)
  • Zielgruppe (= Target Population) = Anzahl der Benutzer, auf die mit den Berechtigungen zugegriffen wird

Eine Berechtigungsrolle kann mit verschiedenen gewährten Benutzern und Zielgruppen wiederverwendet werden. Einem Benutzer können mehrere Berechtigungsrollen zugewiesen werden. Wenn ein Benutzer über zwei verschiedene Berechtigungen verfügt, erhält er die leistungsstärkste dieser Berechtigungen. Wenn einem Benutzer beispielsweise eine Bearbeitungsberechtigung und eine Ansichtsberechtigung zugewiesen wurde, erhält er die Bearbeitungsberechtigung.

Berechtigungsgruppen (=Permission Groups)

Berechtigungsgruppen sind einfach Benutzergruppen, die entweder als Berechtigte Benutzer (= Granted Users) oder als Zielgruppen (= Target Population) verwendet werden können. In jeder  Berechtigungsgruppe  können  verschiedene  Kriterien  verwendet  werden, um Benutzer auszuwählen:

  • Stadt
  • Land
  • Abteilung
  • Teilung
  • Geographie
  • Anstellungsdatum
  • Job-Code
  • Ort
  • Zustand
  • Teamansicht
  • Zeitzone
  • Titel
  • Nutzer
  • Nutzername

Es können mehrere Kriterien  verwendet  werden.  Kriterien  können  kombiniert  werden (z. B. Benutzer in Abteilung x mit Jobcode y) und mehrere Kriterien können verwendet werden, um verschiedene Benutzertypen auszuwählen (z. B. Benutzer in Abteilung x und Benutzer mit Jobcode y und Benutzer mit Standort z). Einzelpersonen können nach den- selben Kriterien auch aus einer Berechtigungsgruppe ausgeschlossen werden. Weitere Felder und kundenspezifische Felder können ebenfalls zur Liste der im System verfügbaren Kriterien hinzugefügt werden.

Die Abbildung 2 zeigt eine Berechtigungsgruppe HR Group. Dies schließt alle Benutzer in der Abteilung Talent Management (TALENT) und alle Benutzer in der Abteilung Enetrprises (CORP) ein, die über einen Job Code Human Resources Manager (HR-MGR) verfügen. Ausgenommen sind Benutzer mit dem Job Title Recruiter, Recruiter-Brands, Recruiter-EMEA, Recruiter-HC und Recruiter Software.

Durch Klicken auf die Schaltfläche Update im Feld Active Group Memebership kann die Anzahl der Mitglieder dieser Berechtigungsgruppe angezeigt und durch Klicken auf die Nummer eine Liste der Benutzer angezeigt werden. Auf der Registerkarte Granted Permission Roles wird angezeigt, welche Berechtigungsrollen dieser Berechtigungsgruppe zugewiesen wurden.

Berechtigte Benutzer (= Granted Users)

Berechtigte  Benutzer  (=  Granted  Users)  sind  Benutzer,  denen  eine  Berechtigungsrolle (= Permission Role) für eine bestimmte Zielgruppe (= Target Population) zugewiesen wurde. Berechtigte Benutzer können eine der folgenden Optionen sein:

  • Berechtigungsgruppe (= Permission Group)
  • Manager
  • HR Manager
  • Matrix Manager
  • Custom Managers
  • Second Managers
  • Host- oder Home-Manager (bei globaler Zuweisung)
  • Host- oder Home-HR-Manager (bei globaler Zuweisung)
  • Jeder

Berechtigte Benutzer (= Granted Users) – mit Ausnahme von Berechtigungsgruppe  und Jeder – können durch eine  Berechtigungsgruppe  weiter  gefiltert  werden.  Die  Optionen für die Zielgruppen (= Target Populations) können variieren, je nachdem, welcher Typ von gewährten Benutzern für die Berechtigungsrolle (= Permission Role) ausgewählt wurde.

Zielgruppen (=Target populations)

Zielgruppen (=Target Populations) sind diejenigen Benutzer, auf die berechtigte Benutzer mit den angewendeten Berechtigungen in der Berechtigungsrolle zugreifen können. Wenn die berechtigten Benutzer eine Berechtigungsgruppe oder jeder sind, können die Zielgruppen die folgenden sein:

  • Jeder
  • Berechtigte Benutzer Abteilung (= Granted User’s Department)
  • Berechtigte Benutzer Bereich (= Granted User’s Divison)
  • Berechtigte Benutzer Standort (= Granted User’s Location)
  • Berechtigte Benutzer (= Granted User)

Wenn die berechtigten Benutzer vom Typ her Manager sind (z. B. Manager oder Matrix Manager), können die Zielgruppen (= Target populations) die folgenden sein:

  • Berechtigte Benutzer Direktberichte (= Granted User’s Direct Reports)
  • Berechtigte Benutzer Direktberichte in einer bestimmten Berechtigungsgruppe (= Granted User’s Direct Reports in a specific Permission Group)

Zusätzlich kann für Manager die Ebene der indirekten Berichte für 1, 2, 3 oder alle darunterliegenden Ebenen ausgewählt werden, und der Manager selbst kann ebenfalls in diese Zielgruppe aufgenommen werden.

Wie bei Berechtigten Benutzern können alle Zielgruppen (= Target populations) – mit Ausnahme von Benutzergruppen und Jeder – durch eine Berechtigungsgruppe gefiltert werden. Der berechtigte Benutzer (= Granted User) kann bei Bedarf aus der Zielgruppe (= Target populations) ausgeschlossen werden. Generische Objekte, die im Metadaten-Framework erstellt wurden,  können zusätzliche  Berechtigungen  für  die  Zielgruppen (= Target populations) haben.

Abbildung  3  zeigt  die   verfügbaren   Optionen   zum   Auswählen   von   Zielgruppen (= Target populations), wenn der berechtigte Benutzer (= Granted User) eine Berechtigungs- gruppe (= Permission Group) und die Zielgruppe (= Target population) eine Berechtigungsgruppe (= Permission Group: Floor Workers) ist.

Die Abbildung 4 zeigt die verfügbaren Optionen zum Auswählen von Zielgruppen (= Target populations), wenn der berechtigte Benutzer (= Granted User) Manager und die Zielgruppe (= Target population) Direktberichte des berechtigten Benutzers (= Granted User’s Direct Reports) ist.

 

Berechtigungsrollen (= Permission Roles)

Berechtigungsrollen (= Permission Roles) sind eine Gruppe von Berechtigungen und werden durch Auswahl der  erforderlichen  Berechtigungen  erstellt.  Dies  kann  entweder durch die Auswahl der Art der Aktion (z. B. Anzeigen, Bearbeiten, Korrigieren, Löschen usw.) oder durch die Auswahl erfolgen, ob der Benutzer Zugriff auf eine bestimmte Aktion oder Funktion erhalten soll.

Die Berechtigungen sind grundsätzlich in zwei Hauptkategorien unterteilt: Benutzerberechtigungen (= User Permissions) und Administratorberechtigungen (= Administrator Permissions). Innerhalb jeder dieser Kategorien gibt es mehrere andere Kategorien, z. B. Karriereentwicklungsplanung (=  Career Development Planning),  Einstellungsberechtigungen (= Recruiting Permissions) und Nachfolgeplaner (= Succession Planners).

In der Abbildung 5 wird dargestellt, dass die Mitarbeiterdatenberechtigungen (= Employee Date permissions) für Mitarbeiterdatenfelder mit nicht wirksamem Datum in Employee Central entweder als Ansicht (= View) oder als Bearbeiten (= Edit) ausgewählt werden können. Dabei wird durch Auswahl einer Bearbeitungsberechtigung (= Edit permission) automatisch die Ansichtsberechtigung (= View permission) ausgewählt.

Felder mit wichtigen Daten in Employee Central verfügen über  zusätzliche  Berechtigungen, mit denen Benutzer  nicht  nur  aktuelle  Daten  anzeigen  und  bearbeiten,  sondern auch den Verlauf anzeigen und Datensätze nach Bedarf korrigieren und löschen können. Grundsätzlich können verschiedenen Rollen unterschiedliche Berechtigungen erteilt werden, sodass z. B. nur HR-Power-User Mitarbeiterdatensätze mit den wichtigen Daten korrigieren oder löschen können. Die folgende Abbildung 6 zeigt diese Berechtigungen.

Die meisten anderen Berechtigungen werden über das Kontrollkästchen aktiviert oder deaktiviert. Die Abbildung  7  zeigt  z. B.,  wie  die  Berechtigungen  für  Nachfolgeplanung (= Succession Planners) ausgewählt werden können. Das „†“-Zeichen zeigt an, dass für die spezifische Berechtigung eine Zielpopulation definiert werden muss. Wenn man den Mauszeiger über das Fragezeichen neben einer Berechtigung bewegt, wird außerdem der Hilfetext für diese Berechtigung angezeigt.

Ebenso können Administrator-Berechtigungen (= Administrator Permissions) auf ähnliche Weise ausgewählt werden, wie folgend in Abbildung 8 abgebildet:

Fazit

Das RBP-Framework von SuccessFactors unterscheidet sich  von  Berechtigungen  in  SAP, das Design weist jedoch Ähnlichkeiten auf, und für Systemadministratoren sollten Berechtigungen intern viel einfacher zu verwalten sein als SAP-Berechtigungen. Das RBP- Framework ist leistungsstark, erfordert jedoch auch ein sorgfältig geplantes Design der Berechtigungsrollen. Die Zuweisung ist recht unkompliziert und kann einfach verwaltet und nachverfolgt werden. Für globale Organisationen macht das RBP-Berechtigungskonzept die Lösung mit der erforderlichen  Granularität  skalierbar  und  zugänglich.  Insgesamt ist das RBP-Berechtigungskonzept gut für die Unternehmen, die SuccessFactors einsetzen, und bietet genügend Flexibilität, um die meisten Anforderungen zu erfüllen.

IBS Schreiber GmbH

Anschrift
Zirkusweg 1
20359 Hamburg

+49 40 6969 85-0
+49 40 6969 85-31
info@ibs-schreiber.de

Audit & Consulting