Добрый день, коллеги.

Предприятие имеет филиальную структуру (контроллинговая единица одна), где каждый филиал представляет собой набор МВЗ. Необходимо чтобы в конкретном филиале пользователи имели доступ к планам/фактам по внутренним заказам только по своему филиалу и не видели данных других филиалов.

Сразу скажу, не силен в ограничении прав, полномочий на объекты, возможно с помощью этого можно сделать лучше. Расскажу как можно сделать используя СО, мы для каждого филиала создавали набор отчетов, в котором всегда жестко зашивали МВЗ и прочие параметры, соответственно для отчета была своя транзакция, которая была в меню у соответствующего пользователя

Если я правильно понял, то по группе МВЗ (=филиал) надо определять
доступ к планированию заказов.

В полномочиях у роли можно прописать интервал МВЗ (несколько интервалов, но группу нельзя) для которых сделан данный набор полномочий. Если же полномочия юзера не укладываются в "филиальные", то можно, например, дать ему выбирать из двух "филиальной" и "экстра" роли.

Добрый
Тут решения зависят от многих факторов вашего проектного решения. В профилях множество объектов, как ты, наверное, заметил.
У тебя нумерация заказов внутренняя или внешняя?
Если, например, вы разработали свою кодировку, допустим, первые знаки соответствуют филиалам (хотя предупреждаю, что SAP и считает это не лучший вариант, зато можно полномочия смело ограничивать): есть в pfcg объект полномочий K_ORDER и там в поле AUTHPHASE указываешь XX *, где ХХ – это номер филиала.
Если кодировка внутренняя, то можно, например, для каждого филиала свой вид заказа придумать, и объектах K_ORDER , K_AUFK_ART, K_REPO_OPA и др. в поле AUFART разграничить полномочия. Хотя, если в каждом филиале множество видов заказов, то этот вариант не подходит.
Можно, например, в объектах по отчётам по группе заказов, которая будет соответствовать каждому филиалу, ограничить юзеров, но тут правда только выполнение самого отчёта ограничивается, а не проводок.
Если у тебя каждый филиал отдельная БЕ, то по BUKRS ограничение можно поставить.
Ещё есть вариант: напрячь абапера и он тебе напишет любую проверку

Самый простой способ и к тому же стандартный для САП использовать бизнес-сферы. ИМХО они для этого и предназначены чтобы разграничивать филиалы. Т.к. физнес-сфера - это уже объект полномочий, то разграничивать полномочия легче простого.

Подскажите новичку!
Где в pfcg найти эти самые бизнес-сферы.
Задача: необходимо ограничить пользователей в своей БЕ. Т.е. пользователь не должен видеть МВЗ других БЕ. Выводить отчеты по другим БЕ и т.д.

Спасибо!

Кодировку МВЗ зашейте БЕ. Например БЕ 1234 - МВЗ 1234____. Тогда в полномочиях давайте МВЗ на 1234*. Иначе не получится. Проверено.

Так и сделано, но в случае вывода стандартных отчетов, где есть возможность выбрать МВЗ или гр.МВЗ выводятся все МВЗ по всем БЕ. Как сделать так чтобы конечный пользователь не видел МВЗ, которые не относятся к его БЕ. Мы используем несколько простых ролей: 1-функциональная (доступ к транзакция), 2-Специальная (Отчеты и т.п.), 3-Организационная (Доступ к МВЗ, БЕ и т.п.). Именно в орг.роли я и хочу ограничить пользователей.

Повесьте им отчеты с зашитыми вариантами по конкретным МВЗ

С ограничением по МВЗ в основных данных и в учете затрат по МВЗ я справился.
Сделал так: в одной простой роли (функциональной) дал разрешения на ряд операций (просмотр, планирование по МВЗ и т.д.). В объектах полномочий где нужно было указать доступные МВЗ я ничего не ставил и желтый треугольник игнорировал. Во второй простой роли (организационной) я вытащил те же объекты полномочий и уже там указывал доступные МВЗ. Все работает нормально.

Но теперь возник другой вопрос.
Как ограничить пользователя по БЕ при создании заказа (тр.ko01)? Т.е. когда пользователь при выборе БЕ, смог выбрать только ту БЕ к которой он принадлежит.
Подскажите кто как делал….