Abschnittsübersicht

  • Einklappen Ausklappen

    Allgemeines

    Alles einklappen Alles aufklappen

    In unserer FAQ haben wir häufig gestellte Fragen gesammelt und beantwortet. Sie können die einzelnen Fragen gezielt öffnen und schließen. Falls Sie eine spezielle Fragestellung haben, nutzen Sie bitte die Schlagwortsuche. Diese öffnet alle Fragen, in denen Ihr Suchbegriff enthalten ist und blendet alle anderen aus.

    • 1. Steuerung an Legitimationsberechtigte
      Die Workflowsteuerung richtet sich grundsätzlich nach dem Verfahren, für welches Berechtigungen beantragt werden sollen. Dazu stehen entsprechende Anträge im IDM für folgende Verfahren zur Verfügung: a. E-KRW b. HCM c. RW d. IDM Für jedes dieser Verfahren müssen Legitimationsberechtigte für die jeweiligen Kontexte bestimmt sein. Somit ist es möglich, dass für die Verfahren unterschiedliche Personen benannt werden können. Alle Legitimationsberechtigen für ein Verfahren und einen Kontext erhalten den Berechtigungsantrag in ihrer To-Do-Liste angezeigt. Wenn ein Legitimationsberechtigter genehmigt, verschwindet der Workflow bei den anderen Legitimationsberechtigten aus der To-Do-Liste. Die Benachrichtigung per E-Mail wird an die Legitimationsberechtigten erst am Folgetag (1x täglich) versendet, wenn der Antrag bis dahin noch nicht bearbeitet wurde. Folglich wird keine E-Mail an die Legitimationsberechtigten versendet, wenn der Antrag bereits am Tag der Antragstellung genehmigt wurde. TIPP: Wenn ein Antrag durch einen Anwendungsbetreuer gestellt wurde, empfiehlt es sich einem Legitimationsberechtigten die Info über den gestellten Antrag zukommen zu lassen, so dass dieser den Antrag bearbeitet. So wird einerseits die zeitnahe Zuweisung der Rollen erfolgen und anderseits die Mailbenachrichtigung am Folgetag vermieden. ACHTUNG: Es kann eine Mail mit der Bitte um Bearbeitung bei einem Legitimationsberechtigten vorliegen, aber kein Antrag mehr in der To-Do-Liste sein. In diesem Fall hat bereits anderer Legitimationsberechtigter diesen Antrag bearbeitet.
      2. Welche Berechtigungsanträge gehen nach der Legitimation noch an das HCC und werden nicht automatisiert verarbeitet?
      Mit IDM werden alle Rollen automatisiert verarbeitet, die der Genehmigungsstrategie „Standard“ zugeordnet sind. Dies sind die meisten HCM-Berechtigungen und RW-Berechtigungen. Die meisten EKRW Berechtigungen und OM-Tätigkeiten im E-KRW sind der Genehmigungsstrategie „AWB+IDM+Standard“ zugeordnet und bedürfen noch einer manuellen Bearbeitung durch das HCC. Solche Berechtigungsanträge für OM-Tätigkeiten, die vor 16 Uhr eingehen werden vom HCC meist am gleichen Tag umgesetzt. EKRW Berechtigungen werden erst am nächsten Tag zur Verfügung gestellt.
      3. Wer erhält welche E-Mails?
      Der AWB erhält eine E-Mail, wenn der Legitimationsberechtigte einen von ihm gestellten Berechtigungsantrag genehmigt hat. Die Anwender erhalten eine Benachrichtigung, wenn diese eine Rolle zugewiesen/entzogen bekommen. Ausgelöst wird diese Benachrichtigung automatisch nach der Zustimmung des Legitimationsberechtigten. Der Anwender erhält auch automatisch eine Benachrichtigung, wenn sein User bspw. wegen Heirat geändert wurde.
      4. In welchem Rhythmus wird die Identität von HCM nach IDM übertragen?
      Die Personalfälle werden von SAP HCM nach IDM, zwischen 6 und 16 Uhr, in einem stündlichen Rhythmus übertragen. Immer 11 Minuten nach der vollen Stunde. Das bedeutet, dass für Personen, die in SAP erfasst werden, im stündlichen Rhythmus Identitäten im IDM angelegt bzw. geändert werden. Identitäten werden auch für Personen angelegt, deren Einstellungsdatum noch in der Zukunft liegt. Derzeit sind diese Identitäten jedoch erst bei Erreichen des Einstellungsdatums im IDM zu sehen. Das HCC arbeitet noch daran, dass diese Identitäten auch vorher schon angezeigt werden.
      5. Übertragung von Daten aus HR-System in Identität
      Die dienstlichen E-Mail-Adressen werden automatisch vom Active Directory (AD) in den IT105 eingespielt, wenn eine Lehrkraft die E-Mail für Lehrkräfte (EfL) aktiviert. Bei der stündlichen Übertragung der Daten von HCM nach IDM können auch Teilübertragungen stattfinden, sollte diese noch nicht da sein. So kann die dienstliche E-Mail aus dem IT 0105, Subtyp 0010 beim nächsten Joblauf in die Identität im IDM übertragen werden. Der Benutzer im IDM hat eigene Kommunikationsdaten und somit auch ein eigenes E-Mail-Feld. Dieses wiederum wird nicht aus dem IT 0105 befüllt, sondern wurde bei der Migration aus dem HCM-Benutzer befüllt. Bei einer Änderung der Kommunikationsdaten des IDM-Benutzers erfolgt ein Update in den HCM-Benutzer.
      6. Sehe ich alle Berechtigungen zu einem User in IDM?
      Ja bei IDM kann ich alle Berechtigungen eines Users einsehen, auch die EKRW-Berechtigungen.
      7. Wie kann ich erkennen, welche Benutzer eine Identität besitzt?
      Um zu sehen, welche SAP-Benutzer einer Person zugeordnet sind, wird der Reiter „Verwaltung“ aufgerufen und unter „Anzeigen“ Identität ausgewählt. Im Anschluss den Namen der gesuchten Person eingeben und die Suche starten. Die durch Anklicken der gewünschten Person markierten, werden ganz unten die zugehörigen SAP-Benutzer zu dieser Identität angezeigt. Aber Achtung: eEs werden nur Benutzer aus dem „eigenen“ Zuständigkeitsbereich angezeigt. Die Zuständigkeit definiert sich über die ersten vier Stellen des Usernamens. Liegt dieser außerhalb Ihrer Zuständigkeit (z. B. Schule aus anderem SSA), bekommen Sie diesen nicht angezeigt. Durch Klick auf den Namen des gewünschten SAP-Benutzers im unteren Bereich, werden im Reiter „Zugeordnete Rollen und Berechtigungen“ die Rollen dieses Benutzers angezeigt. Einen Benutzer aus einem anderen Zuständigkeitsbereich kann man im IDM nicht sehen. Lediglich im IT 0105 der Personalnummer in SAP HCM wäre ein anderer Benutzer erkennbar.
      8. Muss im IDM zuerst der HCM-User und dann der RW-User angelegt werden?
      Ja, das sollte in dieser Reihenfolge passieren.
      9. Wann wird die Identität aktiviert?
      Die Identität wir automatisiert mit der Einstellung einer Person angelegt. Der AWB legt an der Identität die entsprechenden User an. Falls die Einstellung mit Beginn Datum in der Zukunft gepflegt ist, wir die Identität erst bei Erreichen des Beginn Datums sichtbar. Die Identität wird zwar bereits vorher erzeugt, ist aber (zumindest derzeit) noch nicht für die AWB sichtbar. Selbst, wenn die Sichtbarkeit auch vor dem Erreichen des Einstellungsdatums gesichert wird, kann eine Zuordnung von Benutzern oder Rollen erst erfolgen, wenn die Identität im Status „Aktiv“ steht. Das Vorbereiten von Benutzern für neu einzustellende Mitarbeiter ist nicht möglich.
      10. Was passiert beim Austritt einer Person aus dem Landesdienst?
      Ein Austritt führt dazu, dass die Identität der Person deaktiviert wird. Es werden allen SAP- Benutzern dieser Person die Rollen entzogen und die Benutzer deaktiviert. Diese Benutzer werden automatisch in die Löschgruppe verschoben.
      11. Was passiert mit einem SAP-Benutzer bei einem organisatorischen Wechsel?
      Bei einem Org. Wechsel, wird der „alte SAP-Benutzer“ automatisch nach einer Karenzzeit von 4 Wochen abgegrenzt. Es wird geprüft, ob der Benutzer im IT 105 (Präfix des Users) mit dem Personalbereich der Person oder einem Personalbereich aus dem IT 9001 weitere Planstellenzuordnungen übereinstimmt. Ist dies nicht der Fall wird der User deaktiviert. Es wird nicht automatisch ein neuer Benutzer angelegt. (Zu dieser Konstellation gibt es noch Anpassungswünsche, deren Logik aktuell noch nicht produktiv ist).
      12. Was ist das Präfix im Benutzername?
      Hierbei handelt es sich um die Dienststellennummer. Jeder SAP-Benutzer soll mit der Dienststellennummer beginnen.
      13. Müssen ESS-Benutzer mit Einführung von IDM zur Deaktivierung noch in die Löschtabelle geschrieben werden?
      Nein. Die ESS-Benutzer werden automatisiert deaktiviert. Die Transaktion wird daher künftig nicht mehr benötigt.
      14. Benötige ich für einen EKRW-Benutzer zusätzlich einen HCM-Benutzer?
      Für E-KRW braucht der Benutzer auch einen HCM-Benutzer, da der HCM-Benutzer den Zugriff auf das Service-Portal steuert.
      15. Welcher SAP-User steht bei Personen mit mehreren SAP-Benutzern im IT105 im Subtyp 1 und kann ich dies ändern?
      Wenn ein Benutzer für eine neue Dienststelle angelegt wird, wird dieser im Subtyp 1 angelegt. Wird für die gleiche Identität einen weiteren Benutzer angelegt und dieser hat das gleiche Präfix (Dienststellennummer) wie ein vorhandener Benutzer, so wird der neue Benutzer automatisch in den Subtyp 9008 geschrieben. Hat der Benutzer ein anderes Präfix wird dieser automatisch in den Subtyp 1 geschrieben und der alte User in den Subtyp 9008 verschoben. Es besteht in IDM aber die Möglichkeit, dass der AWB den User, der im IT105 Subtyp 1 stehen soll, wechselt. Dazu muss dieser im Reiter Verwaltung die Identität auswählen und unter „Aufgabe auswählen“ und „Aufgabe mit IT 105“ anklicken. Hier wird nun der SAP-User eingetragen, der im IT 105 Subtyp 1 stehen soll. Im Anschluss noch sichern. Der Wechsel des Eintrages im IT 0105, Subtyp 0001 erfolgt zum Folgetag.
      16. Bleiben die Auswertungsmöglichkeiten für Berechtigungen in SAP besehen?
      Die Auswertungsmöglichkeiten für Berechtigungen in SAP bleiben bestehen.
      17. Können Rollen in unterschiedlichen Kontexten zusammen beantragt werden?
      Rollen mit gleichem Kontext können im Rollenantrag zusammen beantragt werden. Für Rollen mit einem anderen Kontext sollte ein separater Rollenantrag gestellt werden. Denn ansonsten werden für alle ausgewählten Kontexte alle ausgewählten Rollen beantragt. Wenn beispielsweise für die Kombination aus Rolle und Kontext keine Ausprägung existiert z.B. für Kontext 6400S_000 zur Rolle ROLE: BUSINESS: PB: InfoVerfahrenBewerberVersSSA (HKM) schlägt der gesamte Antrag fehl und es werden alle Kombinationen in der Fehlermeldung aufgelistet, die es nicht gibt.
      FAQ17
      Um sich zu informieren, in welchem Kontext eine Rolle existiert, hat der Anwender die Möglichkeit, die ausgewählte Rolle anzuklicken, um im zweiten Reiter “zugeordnete Berechtigungen“ zu überprüfen, ob die ausgewählten Kontexte für die Rolle eine technische Rollenausprägung haben oder nicht.
      FAQ10
      Bei der Antragsstellung über Referenzbenutzer können ohne Probleme mehrere Kontexte angegeben werden, da hier (ohne dass vorher eine Auswahl der Rollen erfolgt) nur die Rollen zugewiesen werden, die der Referenzbenutzer in den angegebenen Kontexten besitzt.
      18. Welcher Kontext ist auszuwählen?
      Bei HCM-Berechtigungen (z. B. OM, PA, PB) kann man sich wie folgt orientieren: Der Kontext fängt immer mit der Dienststellennummer an (für das Ministerium z.B. 6400) und dann kommt ein entsprechender Buchstabe z.B. 6400X_... und der Buchstabe legt fest, welche Daten ich alle sehen darf. A= nur Dienststelle ohne nachgeordnet bzw. Bildungsverwaltung S= Schulbereich B= Behörde übergreifend N= Nachgeordneter Bereich bzw. Lehrkräftebereich X = alles Für LSO gilt folgendes: 6400B_LSO 50596236 Hess. Landesst. Technologiefortbildung 6400P_LSO 50160845 HKM Referat IV.1.3 E-Government-Verfahren 6400S_LSO 50119000 Hessische Lehrkräfteakademie 6400S_LSO 50119002 Staatliche Schulämter 6400X_LSO 50005069 Hessisches Kultusministerium 6510A_LSO 50119000 Hessische Lehrkräfteakademie 6510N_LSO 50272422 Studienseminare Im Rechnungswesen sind die Buchungskreise die Kontexte.
      19. Gibt es Verprobungen, ob der Antrag richtiggestellt wurde?
      Ja, IDM prüft ob der Antrag richtig ist. Wenn ich für den gleichen Benutzer unterschiedliche Rollen beantrage die nicht in einem SAP-User zusammen beantragt werden dürfen, wirft das System eine entsprechende Fehlermeldung aus. Zum Bespiel dürfen LSO-Rollen nicht zusammen mit HCM Berechtigungen in einem User stehen.
      20. Kann ich in IDM erkennen, ob mein Kollege ggf. schon den Antrag gestellt hat? Und ja wie lange?
      Jeder AWB kann alle Anträge, seiner Dienststelle sehen. Die Anträge werden 10 Jahre im Eingang des AWB aufbewahrt. Über verschiedene Filterfunktionen, können die Anträge eingegrenzt werden bspw. durch einen Filter auf das Datum.
      21. Ist es möglich einen Masseantrag über einen Referenzbenutzer zu stellen?
      Dies geht nicht. Beim Massenantrag muss der AWB den Kontext angeben. Der User erhält nur die Rollen die der Referenzbenutzer in diesem Kontext besitzt.
      22. Anzeige der Rollen im Fronten IDM
      Im Frontend IDM werden nur die Business Rollen angezeigt. Die technischen Rollen liegen nur im HR Backend und können auch nur dort über die Transaktion SU01D eingesehen werden.
      23. User aus der Löschgruppe wieder aktivieren
      User können durch die AWB mit IDM selbst aus der Löschgruppe wieder zurückgeholt werden. Wählen Sie im Reiter „Verwaltung“ bei Anzeigen „Benutzer“ aus. Suchen nach dem Benutzer und klicken diesen an. Im Anschluss gehen Sie auf „Aufgabe auswählen“ und expandieren Benutzer. Klicken Sie im Anschluss auf „Benutzer ändern“ und Aufgabe auswählen. Gehen Sie nun auf den Reiter „deaktivieren“ und nehmen den Hacken entsprechend global oder für den HCM oder RW Benutzer raus. Um die Änderungen im entsprechenden Reiter sehen zu können, muss der Browser einmal aktualisiert werden. Die ESS-Rollen werden dem User nun automatisch wieder zugewiesen. Sollte der User Rollen benötigen, müssen diese wieder über IDM beantragt werden.
      24. Wo findet der Legitimationsberechtigte die Anträge die legitimiert werden sollen?
      Der Legitimationsberechtigte findet die Anträge unter dem Reiter „To-Do-Liste“.
      25. Der Legitimationsberechtigte bekommt den Berechtigungsantrag nicht angezeigt, warum?
      Sofern sich der Legitimationsberechtigte zum Zeitpunkt der Beantragung des Antrags zur Genehmigung im IDM befindet, kann es unter Umständen sein, dass der Antrag nicht sofort in der To-Do-Liste sichtbar wird. Bitte einmal die Sitzung erneuern, die SAP IDM Anwendung schließen und neu einwählen. Dann sollte der Antrag sichtbar sein. Prüfen Sie außerdem, ob die Person für diesen Kontext wirklich legitimationsberechtigt ist und ob die Person sich mit dem richtigen SAP-Benutzer, der auch die Rolle „IDM Legitimationsberechtigter (DS)“ besitzt am Service-Portal angemeldet hat.
      26. Was mache ich in dem Reiter „Genehmigungsverwaltung“?
      Der Reiter „Genehmigungsverwaltung“ ist immer leer. Dies ist eine Standard Funktionalität der SAP, welche vom Land Hessen nicht benutzt wird.
      27. Was muss ich tun, wenn ich einen Antrag falsch gestellt habe oder der Legitimationsberechtigte diesen nicht erhält?
      Die Korrektur eines Antrags ist laut des Zugriffs-Rahmen-Konzept in IDM nicht vorgesehen. Sofern ein Antrag falsch gestellt wurde, gibt es folgende Szenarien: - Antrag wird von Legitimationsberechtigten abgelehnt, auf Grund falscher Inhalte. - Antrag wird durch das IDM-Betriebsteam geschlossen, sofern der Antrag nicht auffindbar ist oder der Antrag sich in einem offenen Zustand befindet. In welchem Zustand sich der Antrag befindet, kann der AWB der Dienststelle einsehen. Dazu wählt er bei Anzeigen „Antrag“ aus, gibt den SAP-User oder den Nachnamen der zu suchenden Person mit * vor und nach dem Nachnamen bzw. Benutzernamen ein und klickt anschließend auf starten. Im unteren Bereich werden dem AWB die gefundenen Personen zur Suche angezeigt. Dort ist auch der Status des Berechtigungsantrages angezeigt. Dieser sollte auf CLOSED stehen. FAQ27
      28. Was mache ich mit Benutzern, die ich als AWB deaktivieren/ löschen möchte, aber nicht in IDM finden kann?
      Bei solchen Fällen ist ein Remedy Ticket mit der Bitte um Deaktivierung unter Angabe des Benutzers an das HCC- Berechtigungsteam zu stellen. Dass HCC deaktiviert diese dann. Folgende Ticket Struktur ist auszuwählen: FAQ28
      29. Ich kann die SU01 nicht mehr nutzen, gibt es eine Alternative?
      Mit der Einführung von SAP IDM gibt es die Transaktion SU01 nicht mehr. Alternativ zur SU01 gibt es die SU01D. Bei der SU01D handelt es sich um eine rein lesende Berechtigung auf die SU01. Passwortänderungen, Aufhebung von Benutzersperren und Verlängerung der Logondaten sind fortan über IDM vorzunehmen.
      30. Wie kann ein AWB ein neues Initialpasswort setzen?
      Initialpasswörter können von den AWB über IDM vergeben werden. Dazu ruft der AWB die IDM Anwendung auf, geht auf den Reiter „Verwaltung“ und wählt bei Anzeigen „Benutzer“ aus. Anschließend gibt er den Benutzername in die Suche ein, startet diese und markiert den Benutzer. Schaltfläche „Aufgabe auswählen“ anklicken, Benutzer expandieren, „Benutzer ändern“ und auf die Schaltfläche „Aufgabe auswählen“ klicken. Es öffnen sich die Daten zum Benutzer. Nun kann das PW für den HCM oder RW Benutzer geändert werden. Dazu den gewünschten Reiter anklicken. Neues Passwort im Feld „Passwort“ und „Passwort bestätigen“ eingeben und anschließend speichern. Der User erhält eine E-Mail das es eine Kennwortänderung gab. Nach ca. 1-2 Minuten kann sich der User mit dem neuen Initialpasswort anmelden. Das Initalpasswort muss der AWB dem Benutzer mitteilen.
      31. Kann man sich in IDM Favoriten anlegen?
      Ja, es besteht die Möglichkeit sich Favoriten in IDM anzulegen. Dies bietet den Vorteil, dass sich bspw. der AWB nicht immer durch die ganze Struktur des IDM klicken muss, um die passende Aufgabe auszuwählen. Ist die Aufgabe als Favorit angelegt, erscheint diese direkt als Schaltfläche auf der Übersichtsseite. Ein Favorit kann festgelegt werden bspw. indem Sie auf „Aufgabe auswählen“ oder „Anlegen“ klicken. Die entsprechende Aufgabe auswählen und dann unten auf „zu Favoriten hinzufügen“ klicken. Favoriten können in unterschiedlichen Bereichen angelegt werden bspw. in dem Bereich „Antrag“, „Identität“ oder „Benutzer“. FAQ31
      32. Wie hebe ich eine Benutzersperre aufgrund zu vieler Falscheingaben auf?
      Eine Benutzersperre kann von dem AWB über IDM aufgehoben werden. Dazu ruft er die IDM Anwendung auf, geht auf den Reiter „Verwaltung“ und wählt bei Anzeigen „Benutzer“ aus. Anschließend sucht er nach dem Benutzernamen und markiert diesen. Geht auf „Aufgabe auswählen“, Benutzer, Benutzer ändern und klickt wieder auf Aufgabe auswählen. Nun öffnen sich die Daten zum Benutzer. Je nachdem, ob die Benutzersperre für den HCM oder RW User aufgehoben werden soll, auf den entsprechenden Reiter klicken. Dort muss nun das Häkchen bei „Gesperrt durch Falschanmeldungen“ rausgenommen werden, anschließend die Änderungen speichern. Der Benutzer sollte sich innerhalb von 1-2 Minuten wieder mit seinem PW anmelden können. Falls er dieses nicht mehr kennt, kann auf der Registerkarte HCM oder RW auch ein neues Initalpasswort vergeben werden. Der Benutzer kann sich auch in diesem Fall 1-2 Minuten später mit seinem neuen Initalpasswort anmelden und sich selbständig ein neues PW vergeben, mit welchem er sich fortan anmelden kann.
      33. Wie suche ich in IDM richtig?
      Falls eine Suche nicht funktioniert oder sich der AWB nicht sicher ist wie der Anwender, der Benutzer oder die Rolle genau heißt, ist an den Stellen die unklar sind mit einem* zu suchen. Das Sternchen kann sowohl vor als auch nach dem Begriff und ggf. auch mittedrin verwendet werden. Ist der genaue Name oder Benutzername bekannt, sollte direkt nach diesem gesucht werden, da die Suche dann schneller funktioniert.
      34. Kann ich im System erkennen, ob die beantragten Rollen zugewiesen wurden?
      Ja ich kann im IDM erkennen, ob die Rollen bereits zugewiesen wurden. Dazu gehen Sie auf den Reiter „Verwaltung“ wählen bei Anzeigen „Benutzer“ aus und suchen nach dem Benutzer. Anschließend wird dieser unten angezeigt, markieren Sie diesen. Unten werden Ihnen nun einige Informationen zu dem Benutzer angezeigt. Gehen Sie auf den Reiter” Zugeordnete Rollen und Berechtigungen“. In der Spalte Status können Sie nun erkennen, ob die Rollen zugewiesen sind oder nicht. Ok bedeutet Rolle ist zugewiesen. Noch zu bearbeiten bedeutet die Rolle ist noch nicht zugewiesen. FAQ34
      35. Wie überprüfe ich welche Berechtigungen ein User besitzt?
      Dazu gehen Sie auf den Reiter „Verwaltung“ wählen bei Anzeigen „Benutzer“ aus und suchen nach dem Benutzer. Anschließend wird dieser unten angezeigt, markieren Sie diesen. Unten werden Ihnen nun einige Informationen zu dem Benutzer angezeigt. Gehen Sie auf den Reiter” Zugeordnete Rollen und Berechtigungen“. Ihnen werden nun alle Rollen die dem Benutzer zugewiesen wurden angezeigt. Sie sehen hier alle zugewiesenen Rollen sowohl HCM als auch RW und EKRW Rollen.
      36. Wie funktioniert die Navigation im IDM-System?
      In IDM gibt es an vielen Stellen keine zurück Navigation. Jede „Aufgabe“ öffnet sich in einem extra Browser-Tab. Ist keine zurück Schaltfläche zu finden, ist der Browser-Tab zu schließen.
      37. Wie sehe ich in IDM wer legitimationsberechtigt (Genehmiger) ist?
      Wenn Sie die Legitimationsberechtigten für HCM- Kontexte suche, gehe Sie in IDM auf der Reiter „Verwaltung“ und wähle bei Anzeigen „HCM-Zugriffsstruktur“ aus. Im Anschluss suchen Sie nach dem Kontext, indem die Rolle beantragt werden sollen. Dieser beginnt immer mit der Dienststellennummer. Für das Ministerium wäre dies bspw. 6400. Geben Sie nach der Dienststellennummer ein Sternchen ein (6400*), werden Ihnen alle Kontexte mit dieser Dienstellennummer angezeigt. Markieren Sie den Kontext, für den Sie die Genehmiger suchen. Im unten Bereich klicken Sie nun auf „Details zum Kontext“ und es öffnen sich weitere Reiter. Gehen Sie auf den Reiter „Genehmiger“ um zu prüfen, wer Genehmiger für diesen Kontext ist. Sollte unter dem Reiter Genehmiger keine Person angezeigt werden, gehen Sie bitte auf den Reiter Kontext. Falls dort unter „übergeordneter Kontext“ ein Kontext steht, klicken Sie diesen an und gehen ebenfalls auf den Reiter Genehmiger. Nun sehen Sie, wer diesen Antrag als Genehmiger erhält. Das bedeutet, ist für den gesuchten Kontext kein Genehmiger hinterlegt, schauen Sie, ob es für diesen Kontext einen übergeordneten Kontext gibt, für den Genehmiger hinterlegt sind. Diese Genehmiger können automatisch auch die Anträge von darunterliegenden Kontexten genehmigen. Wenn Sie die Genehmiger für einen RW-Buchungskreis suchen, gehen Sie zunächst auf den Reiter „Verwaltung“ und wählen bei Anzeigen „RW-Referenzdienststelle“ aus. Suchen Sie nun nach dem gewünschten Buchungskreis, bspw. dem Buchungskreis 2300. Geben Sie nach dem Buchungskreis ein Sternchen ein (2300*), werden Ihnen alle Buchungskreise mit 2300 angezeigt. Markieren Sie den Buchungskreis, für den Sie die Genehmiger suchen. Klicken Sie im unteren Bereich nun auf „Details zum Buchungskreis“ und es öffnen sich weitere Reiter. Gehen Sie auf den Reiter „Genehmiger“ um zu prüfen, wer Genehmiger für diesen Buchungskreis ist. Sollte unter dem Reiter Genehmiger keine Person angezeigt werden, gehen Sie bitte auf den Reiter Kontexte. Falls dort unter „übergeordneter Kontext“ ein Kontext (Buchungskreis) steht, klicken Sie diesen an und gehen ebenfalls auf den Reiter Genehmiger. Nun sehen Sie, wer diesen Antrag als Genehmiger erhält. Das bedeutet, ist für den gesuchten Buchungskreis kein Genehmiger hinterlegt, schauen Sie, ob es für diesen Buchungskreis einen übergeordneten Kontext (Buchungskreis) gibt, für den Genehmiger hinterlegt sind. Diese Genehmiger können automatisch auch die Anträge von darunterliegenden Kontexten (Buchungskreisen) genehmigen.
      38. Wie richte ich meinen Drucker bei IDM ein?
      Dazu muss der Benutzer auf den Reiter „Self-Services“ gehen und anschließend auf Benutzerdaten ändern. In den beiden Reitern HCM und RW kann nun im Bereich „Druckersteuerung“ im Feld „Drucker“ der gewünschte Drucker hinterlegt werden. Bei einigen Personen sind hier keine Drucker mehr hinterlegt. Dies liegt daran, dass das HCC eine Liste an Drucken die noch existieren eingespielt hat. War bei einer Person ein Drucker hinterlegt, der nicht mehr existiert (auf der eingespielten Liste stand) wurde das Feld Drucker automatisch geleert.
      39. Wie lange dauert es, bis die Deaktivierung eines Users, die ich im IDM setzte im HCM ankommt?
      Die Deaktivierung eines Benutzers ist innerhalb weniger Minuten im HCM angekommen.
      40. Was bedeutet das Datum in der Spalte Verfallsdatum im Reiter To-Do- Liste?
      Das Verfallsdatum ist bei allen Antragsarten 14 Tage. Wird der Antrag nicht innerhalb von 14 Tagen vom Genehmiger bearbeitet, wird dieser automatisch durch den sogenannten „Antrags-Timeout“ abgelehnt. Wenn Sie sich das Datum in der Spalte Verfallsdatum genauer anschauen, stellt Sie jedoch fest, dass das Datum in der Spalte nur 7 Tage nach der Antragsstellung ist. Das liegt daran, dass nach Ablauf der Hälfte eine Erinnerung an die Genehmiger geschickt wird, dass Sie noch einen Antrag zum Genehmigung vorliegen haben. Sollte der Antrag nach 14 Tagen vom „Antrags-Timeout“ abgelehnt werden, erhält der AWB auch eine entsprechende Benachrichtigung. Das bedeutet die automatische Ablehnung findet erst 7 Tage nach dem Datum, welches in der Spalte Verfallsdatum steht statt.
      41. Warum haben Rollen nun teilweise andere Kontexte als vorher?
      Es gibt Rollen, die sind für alle Kontexte gleich. Das betrifft z.B. die Rollen BS: Datei-Download, PPB-Rollen und die meisten E-Recruiting Rollen. Weil diese Rollen für alle Kontexte identisch sind, konnte das System bei der IDM-Einführung nicht erkennen, für welchen Kontext die Rollen ursprünglich beantragt wurden. Deshalb wurde anhand der Benutzer und Dienststellenzugehörigkeit ein Kontext ausgewählt.
      42. Wie kann ich die Genehmigungsstrategie einer Businessrolle sehen?
      Die ist möglich über den Reiter „Verwaltung“, Anzeigen „Businessrolle“. In dem Feld Suche wird die entsprechende Businessrolle eingegeben und die Suche gestartet. Danach wird die gefundene Businessrolle markiert. Es öffnet sich im unteren Bereich der Bereich „Details zur Rolle“. Im Reiter „Genehmigungsstrategie“, kann nun erkannt werden, welche Strategie vorliegt. Rollen mit der Genehmigungsstrategie „Standard“ werden automatisch zugewiesen hier muss das HCC nichts tun und die Rollen sind nach der Genehmigung direkt da. Rollen mit einer anderen Genehmigungsstrategie bspw. Standard+AWB+IDM werden nicht direkt zugewiesen, hier hat das HCC noch ein To-Do. In der Regel stehen diese am Folgetag zur Verfügung.
      43. Was bedeutet das Feld „Eindeutige ID“?
      Die Eindeutige-ID spiegelt die interne SAP IDM Kennung wider. Sie ist die eindeutige Zuordnung zu einer Identität. Über diese ID können Personen auch in IDM gesucht werden. Die Suche über die Eindeutige-ID ist im Reiter „Verwaltung“, Anzeigen „Identität“ und dann über die Schaltfläche „Erweitert“ möglich. Dort ist das Feld „Eindeutige-ID“ aufgeführt. Die ID für die Identität ist bei der Suche nach einer Identität immer in der entsprechenden Spalte aufgeführt. Die ID kann durch Doppelklick direkt auf die Zahl kopiert werden.
      44. Kann ich in IDM nach der Personalnummer suchen?
      Nein, die Suche nach einer Personalnummer ist nicht möglich.
      45. Wie finde ich eine Identität, wenn Vor- und Nachname identisch sind?
      Am besten bei der Suche nach der Identität über „Erweitert“ den Personalbereich mit angeben. Wenn Sie die Identität auswählen (anklicken), werden Ihnen unten weitere Informationen zu der Identität angezeigt. Im Reiter „Organisatorische Zuordnung“ können Sie auch die Personalnummer einsehen.
      46. Wie kann ich mir als AWB eine Historie der gestellten Benutzeranträge anzeigen lassen?
      Dazu geht der AWB auf den Reiter „Verwaltung“ und wählt bei Anzeigen „Antrag“ aus. Im Anschluss klickt dieser ohne weiter Eingaben auf „Start“. Ihm werden nun alle Anträge aus der Zugriffsstruktur, für die er zuständig ist, angezeigt. Die Anträge werden rückwirkenden für 10 Jahre angezeigt. Alternativ kann der AWB um die Suche einzuschränken entweder nach dem Namen der Person suchen oder rechts über „Erweitert“ die Suche nach anderen Kriterien einschränken.
      47. Wie erfolgt künftig die Parameterpflege in SAP?
      Da es die SU01 nicht mehr gibt, kann darüber die Parameterpflege nicht mehr stattfinden. Auch in IDM ist die Parameterpflege nicht möglich. Die Parameter sind von den Personen selbst über die SU2 zu pflegen. Die Transaktionen für die Tabellenpflege PPB sind von der Umsetzung nicht betroffen und stehen weiterhin zur Verfügung.
      48. Benötigt ein REWE-User immer auch einen HCM-User?
      Nein, die Person benötigt nur zusätzlich einen HCM-User, wenn Sie Zugriff auf das Service-Portal benötigt. Da die Anmeldung am Service-Portal ausschließlich mit dem HCM-User funktioniert.
      49. Wohin müssen die Tickets IDM gesteuert werden?
      Bei technischen Problemen mit der Anwendung IDM ist für das Remedy-Ticket folgende Struktur auszuwählen: Stufe1 Service-Portal Stufe 2 Identity Management Stufe 3 Anwendung Bei Problemen mit einzelnen Rollen ist ein Ticket an das Berechtigungsteam zu stellen. Stufe 1 SAP Stufe 2 SAP-Anwendung Stufe 3 Berechtigungen HR oder Berechtigungen RW
      50. Wir funktioniert die automatische Abgrenzung eines HCM/EKRW/RW- Benutzers bei einer Beendigungsmaßnahme?
      Wenn in einem Personalfall eine Maßnahme angelegt wird, welchen keinen aktiven Beschäftigungsstatus mehr aufweist bspw. eine Beendigungsmaßnahme, wird die Identität in IDM zum Zeitpunkt des Beginn Datums der Maßnahme abgegrenzt. Daraus resultierend wird das IDM sämtliche referenzierte Benutzer zur Identität automatisch „global“ deaktivieren. Darin inbegriffen ist auch das Löschen der EKRW Rollen und auch das Löschen der EKRW Portalinhalte.
      51. Was passiert mit den EKRW Rollen, wenn der HCM Benutzer abgegrenzt wird?
      Sofern der HCM Benutzer deaktiviert wird, wird nur die EKRW Web Genehmigung entzogen, da diese eine Service-Portalrolle darstellt und der HCM Benutzer für das Service-Portal verwendet wird. Wenn der Benutzer noch EKRW oder RW Rollen besitzt wie bspw. die EKRW Kreditorenbuchhaltungsrolle, werden diese nur im Fall einer Deaktivierung des RW Benutzer automatisch gelöscht.
      52. Welche E-Mail-Adressen gibt es im IDM und welche ist für die RW-Benutzer zu verwenden?
      Grundsätzlich verlangt das IDM existierende E-Mail-Adresse. In IDM selbst gibt es mehrere Stellen, an den E-Mail-Adressen gepflegt werden können. Zum einen die E-Mail-Adresse an der Identität im IDM, welche aus dem IT 0105, Subtyp 0010 der zur Identität gehörenden Personalnummer übertragen wird und zum anderen die E-Mail-Adressen an den jeweiligen Benutzern einer Person (Identität). Diese E-Mail-Adresse wird bei der Neuanlage eines Benutzers aus der Identität heraus als Vorschlagswert ermittelt und kann bei Bedarf abgeändert werden. Eine Abänderung sollte jedoch nur auf eine andere E-Mail-Adresse des Landes erfolgen. Die E-Mail-Adresse sollte also auf „hessen.de“ enden. IDM versendet bei gewissen Konstellationen Benachrichtigungen an die Benutzer so z. B. bei der Zuweisung von Berechtigungen. Dabei wird der E-Mail-Versand weder an fiktive E-Mail-Adressen noch an „externe Mailadresse“ wie z. B. gmx.de oder gmail.com vom IDM unterstützt. Folglich sollte entweder eine E-Mail-Adresse der Person mit @schule.hessen.de oder @kultus.hessen.de an einem Benutzer hinterlegt sein. In der Vergangenheit (also vor dem Einsatz von IDM) konnte im RW oder E-KRW auch eine fiktive E-Mail-Adresse hinterlegt werden. Da von dort aus kein Mailversand vorgesehen war, war dies unproblematisch. Da aber diese E-Mail-Adressen aus den Benutzerdaten des RW/E-KRW- Benutzer bei der Migration auch in die IDM-Benutzer übernommen wurden, kann dies nun zu Fehlermeldungen bei der Änderung von Benutzerdaten oder der Beantragung von Rollen für diese Benutzer führen. Diese fiktiven E-Mail-Adressen müssen daher nach und nach geändert werden. Ein Vorgehen hierzu ist noch in Abstimmung.
      53. Ist eine Registrierung von Landbediensteten am Service-Portal auch dann notwendig, wenn Sie keine weiteren Berechtigungen, außer EKRW erhalten?
      Ja, der Benutzer muss in IDM stets vorhanden sein, damit eine Rollenzuordnung erfolgen kann. Neben der Selbstregistrierung durch die Person selbst ist die manuelle Anlage des Benutzers durch den HCM-Anwendungsbetreuer möglich.
      54. Wann ist ein Einzelantrag und wann ein Massenantrag für die Beantragung von RW-Rollen auszuwählen?
      Anträge, bei denen ein Zugriff auf ein Funktionspostfach zugeordnet werden soll, müssen zwingend per Massenantrag gestellt werden. Dies ist auch dann der Fall, wenn nur für eine Person eine solche Berechtigung beantragt werden soll. Wenn kein Funktionspostfach zugeordnet werden soll, ist der Einzelantrag zu verwenden.
      55. Welche Auswirkungen hat eine Namensänderung auf die dienstliche E-Mail-Adresse?
      Die dienstliche E-Mail-Adresse wird automatisch geändert. Aus SAP wird die Namensänderung über Nacht an Meta Directory Land Hessen (MLH) geliefert. Am Folgetag erfolgt die Umbenennung in MLH und die Anpassung des Mailsystems. Dabei wird die E-Mail-Adresse geändert und ein Alias gesetzt. Dadurch bleiben alle E-Mails des „alten“ E-Mail-Postfachs weiterhin im Zugriff. Ab diesem Zeitpunkt erfolgt die Anmeldung mit dem neuen Namen. In einem weiteren nächtlichen Lauf wird die geänderte E-Mail-Adresse in den IT105 Subtyp 0010 gespielt. Es dauert also zwei Nachtläufe, bis die aktualisierte E-Mail-Adresse im IT 0105 angezeigt wird. Die Person wird nicht gesondert über die Änderung der E-Mail-Adresse informiert. Der neue Name beziehungsweise die neue E-Mail-Adresse kann in der LUSD durch die Schule oder durch Kolleginnen und Kollegen im E-Mail-System (Adressbuch) eingesehen werden oder beim Service Desk erfragt werden.
      56. Wie erfolgt die Umstellung des SAP-Benutzers bei einer Namensänderung?
      Der bisherige SAP-Benutzer wird automatisch durch das IDM abgegrenzt, wenn in der Personaladministration ein neuer Name eingetragen wird, der sich auf den Benutzernamen auswirken würde. Gleichzeitig wird ein neuer SAP-Benutzer mit geändertem Benutzernamen angelegt. Die bisherigen Berechtigungen des „alten Benutzers“ werden automatisch auch für den neuen Benutzer beantragt, sofern es sich um Rollen handelt, die der Genehmigungsstrategie „Standard“ entsprechen. Einige E-KRW-Rollen sind daher im Nachgang durch den AWB neu zu beantragen. Es gibt eine zweiwöchige Übergangszeit, in der beide SAP-Benutzer gültig sind. Nach zwei Wochen wird der alte SAP-Benutzer automatisch abgegrenzt und verliert alle seine bisherigen Berechtigungen.
      57. Erhält der neue SAP-Benutzer bei einer Namensänderung automatisch alle Rollen wie der alte SAP-Benutzer?
      Das kommt darauf an, welche Rollen der alte Benutzer besessen hat. Ein Großteil der Rollen wird automatisch auf den neuen SAP-Benutzer übertragen. Welche Rollen automatisch übertragen werden, hängt von der sogenannten Genehmigungsstrategie in IDM ab. Für alle Rollen, die der Genehmigungsstrategie „Standard“ zugeordnet sind, wird automatisch von IDM ein Berechtigungsantrag für den neuen SAP-Benutzer gestellt, welcher noch durch den Legitimationsberechtigten zu genehmigen ist. Rollen mit der Genehmigungsstrategie „Standard+AWB+IDM“ oder einer anderen Kombination, wie beispielsweise bei den meisten E-KRW-Rollen, müssen immer neu beantragt werden. Welche Genehmigungsstrategie für die jeweilige Rolle hinterlegt ist, können Sie in IDM überprüfen. Gehen Sie dazu auf den Reiter „Verwaltung“, Anzeigen „Businessrolle“. In dem Feld „Suche“ geben Sie die gesuchte Rolle (Businessrolle) ein und starten die Suche. Danach markieren Sie die gefundene Rolle. Es öffnet sich im unteren Bereich „Details zur Rolle“. Im Reiter „Genehmigungsstrategie“ können Sie erkennen, welche Genehmigungsstrategie für diese Rolle vorliegt.
      58. Bleiben beim Wechsel des SAP-Benutzers durch eine Namensänderung bereits angelegte Vorgänge bestehen?
      Ja, alle Informationen in den Anwendungen im Service-Portal bleiben bestehen, da diese mit der SAP-Personalnummer verknüpft sind. Die Personalnummer ändert sich aufgrund einer Änderung des SAP-Benutzers nicht. Bereits angelegte Vorgänge, wie zum Beispiel Reisekostenabrechnungen, Versetzungsanträge oder Bewerbungen, bleiben daher erhalten.
      59. Wird die Person bei einem neuen SAP-Benutzer aufgrund einer Namensänderung automatisch über die Änderung informiert?
      Ja, die Person erhält eine automatisch durch IDM generierte E-Mail an die im IT0105 Subtyp 0010 hinterlegte dienstliche E-Mail-Adresse. In der E-Mail steht unter anderem, dass die Person in einer separaten E-Mail über die neuen SAP-Benutzer (HCM und/oder RW) informiert wird. Außerdem wird aufgeführt, welche Rollen nicht automatisiert in den oder die neuen SAP-Benutzer übertragen werden konnten und neu durch den AWB in der Dienststelle beantragt werden müssen. Zusätzlich wird der Hinweis gegeben, noch zu bearbeitende Arbeitsvorgänge und Workitems im alten Benutzer zu bearbeiten. Denn dieser wird nach einer zweiwöchigen Karenzzeit automatisch abgegrenzt und verliert damit alle Rollen.
      60. Hat die Namensänderung und die damit verbundene Änderung des SAP-Benutzers Auswirkungen auf die Anmeldung am NzüK-Portal?
      Für das NzüK-Portal hat eine Namensänderung und die daraus folgende Änderung des SAP-Benutzers keine Folgen. Die Anmeldung am NzüK-Portal bleibt unberührt und die Person kann sich mit ihren bisherigen Anmeldedaten weiterhin am NzüK-Portal anmelden.
      61. Kann ich erkennen, wann und wer einem SAP-Benutzer welche Rollen entzogen oder zugewiesen hat?
      Ja, dies ist über die SU01D möglich. Rufen Sie die SU01D auf und geben Sie den gewünschten SAP-Benutzer ein. Gehen Sie anschließend in der Menüleiste auf „Info“, „Änderungsbelege für Benutzer“. Sie haben im Bereich „Selektionskriterien“ die Möglichkeit, unter dem Reiter „Rollen und Profile“ einen Haken bei Rollen und/oder Profile zu setzen, um diese auszuwerten. Wenn Sie die gewünschten Haken gesetzt haben, klicken Sie oben auf „Ausführen“. Es dauert nun, teilweise auch etwas länger, bis Ihnen eine entsprechende Auswertung angezeigt wird. Um ein Timeout zu verhindern, sollten Sie ein „von Datum“ im Bereich „Standardselektion“ eingeben.