Die Pflege von SAP-Rollen ist eine komplexe und zeitintensive Aufgabe. Mithilfe von automatisierten Prozessen über den gesamten Lebenszyklus von SAP-Rollen hinweg sind Unternehmen in der Lage, den Zeitaufwand für das Rollen-Management zu senken, die Fehleranfälligkeit bei der Ausgestaltung der Rollen zu verringern und die Sicherheit zu erhöhen. Ein durchdachtes Role Lifecycle Management trägt maßgeblich dazu bei, sämtliche Aspekte von SAP-Rollen effektiv zu verwalten und zu überwachen.

 

 

Wie steht es um Ihre SAP-Rollen- und Berechtigungsstruktur?

Jetzt überprüfen

 

 

Welche SAP-Rollentypen gibt es überhaupt?

Über SAP-Rollen lassen sich die Berechtigungen und Zugriffe von Benutzern auf Daten und Applikationen in SAP-Systemen steuern. Für die Strukturierung des Berechtigungskonzepts stehen unterschiedliche Rollentypen zur Verfügung.

  • Business-Rolle
    Bei der Business-Rolle handelt es sich um eine logische/systemunabhängige und übergreifende Kombination von technischen Rollen.

  • Technische Rolle

    Die technische Rolle ist ein Rollenobjekt aus einer Anwendung oder aus einem System, das in der Regel unterschiedliche Berechtigungen für eine Aufgabe, eine Funktion, einen Prozess oder ein Projekt bündelt. Im ABAP-Kontext entspricht die technische Rolle der Einzelrolle. In einem SAP-Mandanten können mehrere Einzelrollen zu einer Sammelrolle zusammengefasst werden.

  • Template/Mutterrolle

    Wenn eine Vorlagenrolle bereits Berechtigungen beinhaltet, ihr aber zum Beispiel eine organisatorische oder anders geartete Ausprägung fehlt, wird sie als Template bzw. Mutterrolle bezeichnet. Dieser Rollentyp wird vor allem genutzt, wenn keine dynamische Ausprägung im Verbund mit einem User möglich ist. Berechtigungen werden ausschließlich in der Mutterrolle gepflegt, nicht in den Ableitungen.

  • Ableitungsrolle

    Die Ableitungsrolle ist die entsprechende Ableitung aus dem Template/der Mutterrolle mit der notwendigen Ausprägung. In den Ableitungen erfolgt nur noch die Ausprägung und nicht mehr die Änderung von Berechtigungen. Das erlaubt eine hohe Anzahl an Ableitungen, ohne dass die Masse an Berechtigungen jeweils bei Anlage oder Änderung neu gepflegt werden muss.

 

Vorteile des Role Lifecycle Managements

Der Role Lifecycle umfasst die Prozesse zur Erstellung, Änderung und Terminierung von SAP-Rollen. Dazu gehören sämtliche Verwaltungsaufgaben, die es für Rollen gibt. Im Idealfall werden diese Prozesse im Unternehmen konsequent entwickelt, dokumentiert und gelebt. Ein funktionierendes Role Lifecycle Management bringt eine Reihe von Vorteilen mit sich:

  • Bessere Kontrolle
    Es werden nur Rollen erstellt und gepflegt, die auch wirklich benötigt werden.

  • Definierte Ownerschaft

    Die Schaffung von klaren Verantwortlichkeiten trägt dazu bei, nicht notwendige Aktionen zu vermeiden. Es gilt, immer aufs Neue zu hinterfragen, ob eine Rolle oder eine Änderung tatsächlich benötigt wird.

  • Geringerer Administrationsaufwand

    Mithilfe von Role-Lifecycle-Prozessen lassen sich unnötige Aktionen vermeiden, sodass der Aufwand für die Verwaltung der SAP-Rollen und der dazugehörigen Berechtigungen sinkt.

  • Umfassende Prüfung

    Die SAP-Rollen werden im Rahmen des Role Lifecycle Managements gegen unterschiedliche Aspekte geprüft. Einer davon ist die Frage, welchem geschäftlichen Zweck sie dienen. Am wichtigsten ist die Prüfung gegen eine SoD-Matrix (Funktionstrennung). Bei der Erstellung oder Änderung einer Rolle erfolgt eine sofortige Überprüfung, welche Risiken für die Geschäftsprozesse auftreten können. Wenn die Rollen risikofrei oder möglichst risikoarm ausgestaltet sind, hat das positive Auswirkungen auf die Prüfungen bei der Vergabe oder nachgelagert beim User.

 

Beispiel: Prozess mit mehreren Beteiligten

 

Role Lifecycle Beispielprozess

Der hier aufgeführte Beispielprozess zeigt mehrere beteiligte Personen/Instanzen oder Prozessrollen. Neben dem Eigentümer (Role Owner), der die Rolle und die benötigten Inhalte definiert, ist auch die Security involviert, welche die technische Umsetzung und Prüfung übernimmt. Der Freigeber (Role Approver) übergibt die Rolle schließlich zur finalen Generierung und Nutzung. Da die Voraussetzungen und die Anforderungen in jedem Unternehmen unterschiedlich sind, gilt es, die Prozesse gemeinsam zu erarbeiten, zu dokumentieren und umzusetzen.

 

Fazit: Warum sich Role-Lifecycle-Prozesse lohnen

Die Etablierung von Role-Lifecycle-Prozessen ist gerade in komplexen, hybriden Umgebungen durchaus sinnvoll. Sie senken den Administrationsaufwand und schaffen die Grundlage für eine bessere Kontrolle. Ein Rollenkonzept, das mit viel Aufwand erarbeitet wurde, kann damit langfristig aufrechterhalten werden. Außerdem erhöhen Role-Lifecycle-Prozesse die Sicherheit mithilfe von proaktiven Prüfungen während der Erstellung oder Änderung von Rollen.

 

Wie steht es um Ihre SAP-Rollen- und Berechtigungsstruktur?

Jetzt überprüfen

 

Weitere interessante Beiträge:

Role Lifecycle Management | IBsolution

SAP Security, Identity & Access Management

Role Lifecycle Management für die effiziente Handhabung von SAP-Rollen

Die Pflege von SAP-Rollen ist eine komplexe und zeitintensive Aufgabe.

Weiterlesen
SAP Fiori-Rollen erstellen und pflegen | IBsolution

SAP Security, Identity & Access Management

Was bei der Erstellung und Pflege von SAP Fiori-Rollen zu beachten ist

Die Benutzeroberfläche und webbasierte Technologie von SAP Fiori fasst verschiedene Anwendungen und Transaktionen zusammen und stellt sie als browserbasierte Apps zur Verfügung.

Weiterlesen
Seamless Planning mit SAC und SAP Datasphere | IBsolution

Business Intelligence, SAP Analytics Cloud, SAP Datasphere

Seamless Planning mit der SAP Analytics Cloud und SAP Datasphere

SAP treibt die Integration von SAP Analytics Cloud (SAC) und SAP Datasphere gezielt voran. Ein erstes greifbares Ergebnis dieser Strategie ist Seamless Planning, das eine nahtlose Planungslösung in der Cloud bereitstellt.

Weiterlesen

Nächste Webinare

Blogbeiträge

Webinar Aufzeichnungen

Rubriken

Copyright 2025 © IBsolution GmbH, Heilbronn