SAP S/4HANA bringt verschiedene neue Prozesse und Technologien mit, die es in dieser Form in SAP ERP bisher nicht gab. Darüber hinaus gibt es auch in den Berechtigungskonzepten Unterschiede zwischen SAP S/4HANA und früheren ERP-Versionen von SAP, die es für einen reibungslosen Zugriff der Anwender zu beachten gilt.

 


 

Gehen Sie die Herausforderungen in Sachen SAP S/4HANA-Berechtigungen mit uns an
Berechtigungen nach SAP S/4HANA überführen

 


 

User im Frontend und im Backend berechtigen

In SAP ERP ruft der User über SAP GUI-Oberflächen die Transaktionen auf, die er benötigt, um seine Arbeit zu erledigen. Die entsprechenden Berechtigungen werden ihm über SAP-Einzel- und -Sammelrollen zugewiesen. Es handelt sich dabei um ein recht einfaches Szenario, das schon seit vielen Jahren für Berechtigungen in SAP genutzt wird.

 

Bei SAP S/4HANA hingegen müssen mit Blick auf die Berechtigungen zwei unterschiedliche Ebenen berücksichtigt werden: das Backend und das Frontend, dessen Fiori-Applikationen einen wesentlichen Unterschied zu SAP ERP darstellen. Im Backend muss der User wie gewohnt mit SAP-Einzel- und -Sammelrollen berechtigt werden. Darüber hinaus benötigt er aber auch Zugriff auf den Frontend-Server, um die Fiori-Oberflächen nutzen zu können. Dieser Zugriff wird über Fiori-Rollen gesteuert.

 

Der User muss in SAP S/4HANA also an zwei Stellen mit unterschiedlichen Berechtigungen gepflegt werden. Bereits im Vorfeld der SAP S/4HANA-Umstellung gibt es die Möglichkeit, die Ist-Situation mithilfe eines Berechtigungschecks zu analysieren und daraus Erkenntnisse für das künftige Berechtigungswesen abzuleiten. Unternehmen sollten sich auf jeden Fall frühzeitig mit dem Thema Fiori-Berechtigungen auseinandersetzen, wenn der Wechsel auf SAP S/4HANA ansteht.

 

Berechtigungskonzepte SAP ERP und SAP S4HANA

Vereinfachte Darstellung der Berechtigungskonzepte in SAP ERP und SAP S/4HANA

 

Von Transaktionen zu Apps

SAP ERP fasst Transaktionen und sonstige Berechtigungsobjekte in entsprechenden Rollen zusammen, die den Usern zugewiesen werden. In SAP S/4HANA stehen Transaktionen weiterhin zur Verfügung. Hinzu kommt jedoch eine Vielzahl an Fiori-Apps, die Funktionen, die bisher in Transaktionen abgebildet waren, eins zu eins übernehmen oder mehrere Funktionalitäten aus verschiedenen Transaktionen bündeln. Die Rollen müssen in SAP S/4HANA im Backend und im Frontend gepflegt werden. Darüber hinaus gewinnen die Vorschlagswerte mit der SU24 an Bedeutung. Zudem müssen die Service-Berechtigungen der Frontend-Applikationen auch im Backend dargestellt werden. Hierfür steht eine Übersetzungstabelle als Hilfsmittel zur Verfügung.

 

Was früher in einer SAP GUI-Transaktion zusammengefasst war, ist heute unter Umständen auf verschiedene Fiori-Apps aufgeteilt, was ein entsprechendes Prozessdesign erfordert und Auswirkungen auf die Berechtigungen hat. Umgekehrt können auch mehrere Funktionalitäten aus verschiedenen SAP GUI-Transaktionen in einer Fiori-App zusammengeführt werden – ebenfalls mit Auswirkungen auf die Berechtigungen.

 

Drei Arten von Fiori-Applikationen

Neue Funktionen werden in SAP S/4HANA nicht mehr als Transaktion, sondern als SAP Fiori-App erstellt. Mittlerweile existieren ungefähr 2.000 unterschiedliche Fiori-Apps, die sich in drei Gruppen aufteilen lassen:

  • Transaktionale Apps für das Ausführen von Aktionen in den Geschäftsprozessen wie Anlegen, Ändern und Löschen

  • Analytische Apps für die Visualisierung von komplexen Daten und Themen

  • Objektseiten (Fact Sheets) mit Informationen über Objekte inklusive kontextbezogener Navigation zwischen Objekten

Legacy-Apps sind Applikationen, die zwar das Fiori-Design haben, aber nicht in SAP UI5 entwickelt wurden. Aktuell existieren rund 8.000 SAP Fiori Legacy-Apps. Darüber hinaus ist auch eine Suchfunktion (SAP Fiori-Suche) im SAP Fiori Launchpad vorhanden. Damit kann über alle Geschäftsprozesse und Anwendungen hinweg zum Beispiel nach Geschäftspartnern oder Materialien gesucht werden. Es gibt nach wie vor eine Fülle an Transaktionen im Backend, die sich über SAP GUI ausführen lassen. Bestimmte Funktionen stehen allerdings ausschließlich über SAP Fiori in unterschiedlichen Applikationen zur Verfügung.

 

Art der Umstellung bestimmt das Ausmaß

Angesichts der vielen Neuerungen, die mit SAP S/4HANA einhergehen, kommen Unternehmen nicht umhin, ihre Berechtigungen im Rahmen der SAP S/4HANA-Einführung zu überarbeiten und anzupassen. Wie umfangreich diese Aufgabe ausfällt, hängt unter anderem davon ab, ob Unternehmen SAP S/4HANA im Greenfield-, Brownfield- oder Greyfield-Ansatz einführen.

 

Da beim Greenfield-Ansatz eine Neu-Implementierung des Systems und der Prozesse erfolgt, muss auch das Berechtigungskonzept von Grund auf neu aufgesetzt werden. Das bietet die Chance, sich von Altlasten aus SAP ERP zu befreien. Die Prozessbeteiligten müssen die erforderlichen Berechtigungen erhalten, um ihre Aufgaben in SAP S/4HANA erledigen zu können. Im Idealfall werden die neuen Berechtigungen aus dem SAP-Standard abgeleitet. Allerdings ist der SAP-Standard recht großzügig definiert, sodass eine Rolle durchaus mit einem Zugriff auf 50 bis 100 Fiori-Anwendungen verbunden sein kann. Solche weitreichenden Berechtigungen sind jedoch aus Unternehmenssicht nicht unbedingt wünschenswert. Daher gilt es, bei Bedarf die notwendigen Anpassungen vorzunehmen. Generell sollte der Aufbau der Berechtigungen frühzeitig erfolgen.

 

Berechtigungen Greenfield-Ansatz

Der Greenfield-Ansatz erfordert ein vollständiges Neuaufsetzen der Berechtigungen.

 

Wählt ein Unternehmen den Weg der System Conversion (Brownfield-Ansatz), um SAP S/4HANA einzuführen, bestehen die vorhandenen Rollen im Backend weiter. Allerdings werden diverse Transaktionen, die als Berechtigungsobjekte in den Rollen enthalten sind, durch Apps abgelöst, sodass sie aus den Rollen entfernt werden müssen. Weiterhin kommen die Fiori-Rollen neu hinzu, welche die Nutzung der entsprechenden Apps im Frontend erlauben. Für die erforderlichen Aufräumarbeiten gibt es hilfreiche Werkzeuge, mit denen sich die Transaktionen ermitteln lassen, die aus den bestehenden Rollen gelöscht werden müssen.

 

Berechtigungen Brownfield-Ansatz

Brownfield-Ansatz: Während die Rollen im Backend fortbestehen, kommen die Fiori-Rollen für das Frontend neu hinzu.

 

Die Anpassungen der Prozesse, die selektive Datenmigration und eine etwaige Zusammenführung von Altsystemen im Greyfield-Ansatz wirken sich ebenfalls auf die Berechtigungen aus. Für die Rollen im Backend ist wie beim Brownfield-Ansatz die Bereinigung der Transaktionen erforderlich. Ebenso müssen neue Fiori-Rollen konzipiert werden, um die passenden Berechtigungen an die User zu vergeben. Hierfür lassen sich wieder die Werkzeuge für die Transaktionsermittlung nutzen. Zusätzlich muss darauf geachtet werden, die Berechtigungen an die veränderten Prozesse und Prozessbeteiligten anzupassen. Eventuell müssen aus Berechtigungen auch Daten, zum Beispiel Buchungskreise oder Kostenstellen, die nicht mehr existieren, entfernt werden.

 

Berechtigungen Greyfield-Ansatz

Ein besonderes Augenmerk beim Greyfield-Ansatz liegt darauf, die Berechtigungen an die veränderten Prozesse und Beteiligten anzupassen.

 

Anpassungen mithilfe von SAP-Tools vornehmen

Der Hauptgrund für den Anpassungsbedarf bei den Berechtigungen liegt in den neuen Technologien, die SAP S/4HANA mitbringt. Der User existiert im Backend und im Frontend, dementsprechend sollte er die gleiche ID haben. Die Berechtigungen müssen in den Frontend- und in den Backend-Rollen vergeben werden. Möglicherweise ist es auch erforderlich, Transaktionen aus den bisherigen Rollen zu entfernen. Darüber hinaus sind die Vorschlagswerte (SU24) anzupassen. Eventuell gilt das auch für organisatorische Werte wie Buchungskreise, Kostenstellen etc.

 

Für die Anpassung der Berechtigungskonzepte stellt SAP verschiedene Hilfsmittel zur Verfügung. So zeigt die Simplification List, welche Fiori-Apps in SAP S/4HANA welche Transaktionen aus SAP ERP ersetzen. Für die verschiedenen SAP S/4HANA-Releases gibt es jeweils eine eigene Simplification List, da immer wieder Neuerungen stattfinden und weitere Fiori-Apps hinzukommen. Allein aufgrund des Umfangs der Simplification Lists, die mehrere Hundert Seiten umfassen können, ist es ratsam, mit der Berechtigungskonzeption frühzeitig im Rahmen des SAP S/4HANA-Projekts zu starten.

 

IAM-Lösungen unterstützen die SAP S/4HANA-Einführung

Auch Lösungen aus dem SAP Identity & Access Management (IAM) können Unternehmen bei den Berechtigungsanpassungen mit Blick auf SAP S/4HANA wirkungsvoll unterstützen. Ein Beispiel ist der Einsatz von SAP Access Control, um beim Erstellen und Verändern von Rollen gleich auch eine SoD-Prüfung für die Funktionstrennung durchzuführen. Und mithilfe von SAP Identity Management lassen sich User und Berechtigungen direkt verteilen. Für die Authentifizierung und den Zugriff auf die Applikationen sind SAP Single Sign-On und SAP Cloud Identity Authentication (IAS) verfügbar.

 

Die Einführung von SAP S/4HANA wirkt sich auf ein vorhandenes SAP Identity Management (IdM) bzw. auf SAP Cloud Identity Provisioning (IPS) aus. Davon sind beispielsweise bestehende ABAP-Konnektoren betroffen. SAP IdM und SAP IPS sind in der Lage, Business Partner anzulegen, falls kein SAP SuccessFactors Employee Central im Einsatz ist. Bei SAP IdM 8.0 SP08 steht ein zusätzlicher SAP S/4HANA-Konnektor zur Verfügung. Beide Lösungen unterstützen auch Änderungen des Rollenmodells, führen eine automatisierte Rollenzuordnung durch und ermöglichen vereinfachte Workflows.

 

In Bezug auf SAP Access Control und SAP Cloud Identity Access Governance (IAG) macht SAP S/4HANA gegebenenfalls eine Anpassung der Konnektoren erforderlich. Weiterhin müssen die Zielsysteme hinsichtlich der Berechtigungen synchron gehalten werden. Es ist notwendig, die SoD-Risiken und Mitigationen an die SAP S/4HANA-Bedürfnisse anzupassen. Rollen lassen sich bereits frühzeitig auf Funktionstrennungsrisiken prüfen, sodass sichergestellt ist, dass neue oder veränderte Rollen risikoarm oder risikofrei sind. Nach dem Re-Design müssen rollenspezifische Änderungen auch in SAP Access Control vorgenommen werden. Die Business-Rollen lassen sich direkt für das User Lifecycle Management nutzen, um Anwender mit neuen Berechtigungen zu versehen und ihnen nicht mehr benötigte Berechtigungen zu entziehen. Die Zuweisung der Rollen kann automatisiert auf der Basis von HR-Informationen erfolgen. Für neue Rollen im SAP S/4HANA-Umfeld bietet sich die Möglichkeit, SoD-Prüfungen durchzuführen und Funktionstrennungskonflikte zu identifizieren und bestenfalls auszuschließen.

 
Gehen Sie die Herausforderungen in Sachen SAP S/4HANA-Berechtigungen mit uns an

Berechtigungen nach SAP S/4HANA überführen

 

Weitere interessante Beiträge: