Information und Bildungsarbeit von und für die SAP-Community

Zu Unrecht unterschätzt: Ein einheitliches SAP User Management

Die Migration auf S/4 Hana steht für alle an, die SAP ERP einsetzen. Eine solche Migration ist ein komplexes Projekt, in dem auch das Berechtigungskonzept angepasst werden muss.
Thomas Tiede, IBS
6. Dezember 2018
It-Security
avatar

Die Strategie der SAP geht weg von der Nutzung von Transaktionen im SAP GUI und hin zu den Fiori-Oberflächen (Fiori-Apps), die über einen Webbrowser aufgerufen werden. Zusätzlich zu den Fiori-Apps (S/4 Hana 1809: ca. 1300 Apps) bietet SAP eine Vielzahl von Legacy-Apps im SAP Fiori App-Store an (S/4 Hana 1809: ca. 8600 Apps), die bereits dem „Look-and-feel“ von Fiori entsprechen und auch mit derselben Systematik berechtigt werden. Im SAP-Hinweis 2310438 ist beschrieben, wie der „SAP Readiness Check für S/4 Hana“ ausgeführt werden kann.

Viele der Apps können alternativ zu den Transaktionen eingesetzt werden. Allerdings werden Funktionen in S/4 Hana teilweise auch nur noch über Apps zur Verfügung gestellt. Die ERP-Transaktionen dazu sind dann obsolet.

Ein Beispiel dazu sind die Bankenstammdaten. Die „alten“ Transaktionen sind im Rahmen des Kompatibilitätsmodus zwar noch ausführbar, werden aber durch die Fiori-App Manage Banks abgelöst. Auch existiert eine Vielzahl von Transaktionen, die von S/4 Hana nicht mehr unterstützt werden.

Diese Änderungen sind spezifiziert in der „Simplification List for SAP S/4 Hana“, die für jedes Release verfügbar ist. Einen Überblick über die Komponenten, die nicht mehr zum S/4-Hana-Standard-Umfang gehören, aber noch bis zum 31. 12. 2025 genutzt werden können, gibt die Kompatibilitätsumfangsmatrix (SAP-Hinweis 2269324).

Um Zugriffe von einem Webbrowser auf ein S/4-Hana-System abzusichern, kann das bekannte Prinzip von Front-End- und Back-End-Server eingesetzt werden. Der Back-End-Server ist das S/4-Hana-System.

An diesem System melden sich die Anwender nicht direkt an. Der Front-End-Server ist ein meist separates SAP-System, welches über Trusted RFC mit dem Back-End verbunden ist. Benutzer melden sich an dem Front-End-Server an.

Dort erhalten sie auch die Berechtigungen zum Aufruf von Fiori-Apps. Über Rollen werden ihnen Kachelgruppen (Zusammenstellung der Fiori-Apps; jede App wird als einzelne Kachel dargestellt) und Kachelkataloge (enthalten u. a. die erforderlichen Startberechtigungen zur Ausführung der Apps) zugeordnet.

Führt ein Benutzer eine App aus und hat er im Front-End die dafür erforderlichen Berechtigungen, so wird über die Trusted-Verbindung diese App im Back-End ausgeführt. Dort muss ein Benutzerkonto mit identischem Namen existieren.

Im Back-End muss der Benutzer dann ebenfalls die Berechtigung für die App besitzen sowie für die Aktion, die mit der App ausgeführt wird (z. B. Beleg buchen oder Bestellung anlegen).

Beim Einsatz von Apps ändert sich auch die Art der Berechtigung. Transaktionen werden anhand ihres Kürzels (z. B. FK01, ME21N, SU01) berechtigt. Die Fachbereiche kennen ihre Transaktionen, daher sind z. B. Rollenanträge diesbezüglich relativ einfach zu gestalten.

Apps haben ebenfalls technische Kürzel, z. B. FCLM_BAM_FS_BANK_SRV oder FAC_FINANCIALS_POSTING_SRV. Apps werden als Service im SAP-System installiert. Diese erhalten einen individuellen, 30-stelligen Hashwert (z. B. 00015405C7CFB2723B3F7C4340AA24).

Dieser Hashwert wird in den Rollen berechtigt. Daher ist anhand der Berechtigungswerte in den Rollen nicht mehr erkennbar, welche Funktionen damit berechtigt werden.

Der App-Name wird nur noch im Rollenmenü in den Kachelkatalogen angezeigt. Dies stellt insbesondere für die Fachbereiche eine große Umstellung dar, da auch die Rollenanträge entsprechend angepasst werden müssen.

Die Überarbeitung des Berechtigungskonzepts stellt daher einen wesentlichen Teil der S/4-Hana-Migration dar. Zum einen ändert sich die Technik, zum anderen auch die Konzepte und die Antragsverfahren.

Des Weiteren sind die Fachbereiche hinsichtlich der neuen Berechtigungssystematik zu schulen, da sie direkt ins Antragsverfahren und in Rezertifizierungsprozesse zu Berechtigungen eingebunden sind.

avatar
Thomas Tiede, IBS

Thomas Tiede ist Geschäftsführer von IBS Schreiber.


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 24. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.