Information et éducation par et pour la communauté SAP
Gestion informatique, Mag 23-06

Le conseiller en rôles SAP virtuel

Introductions de SAP, migrations vers S/4 ou préparation aux audits et aux certifications de conformité : Les experts SAP sont bien occupés, souvent surchargés. Le thème du concept d'autorisation figure également sur de nombreuses listes de choses à faire - mal aimées, mais indispensables.
Philipp Latini, Pointsharp
20 juillet 2023
Contenu :
avatar
Ce texte a été automatiquement traduit en français de l'allemand

Entlastung durch Berechtigungskonzepte 2.0

Das Berechtigungskonzept ist zu langwierig, zu komplex, zu teuer, finden viele Unternehmen. Gleichzeitig kann es sich aber kein Unternehmen leisten, überalterte Berechtigungskonzepte auszusitzen oder den Go-live großzügig mit „SAP_ALL“ zu planen. Zu groß sind die wirtschaftlichen und sicherheitstechnischen Risiken von Fehlern, Datenmissbrauch und überdimensionierten Lizenzpaketen, wenn jeder alles darf.

Doch der Fachkräftemangel entwickelt sich immer mehr zum limitierenden Faktor für gute, revisionssichere Berechtigungskonzepte. SAP-Spezialisten – sowohl internes IT-Personal als auch externe SAP-Berater – gehören zu den meistgesuchten Experten im IT-Arbeitsmarkt. „Gold wert“ titelte ein Artikel im Handelsblatt und brachte damit die angespannte Lage auf den Punkt. Moderne Technologien können helfen, diesen Gap abzufedern. 

Run Analysis Dashboard: Auf dem Run Analysis Dashboard werden die verschiedenen berechneten Konzepte mit ihren KPIs (zum Beispiel Rollenanzahl, Compliance Score, Anzahl Abweichungen) angezeigt und gegenübergestellt. Anhand dieser verschiedenen KPIs kann der Nutzer das für sein Unternehmen passende Konzept auswählen. Zudem lassen sich die KPIs verschiedener Konzepte in einem Radar Chart miteinander vergleichen. Bildquelle: Sivis GmbH.

Inzwischen gibt es zahlreiche Tools am Markt, die den Verwaltungsaufwand für das Berechtigungsmanagement senken und so Teilaufgaben beschleunigen. Doch der primäre Flaschenhals bleibt bestehen: Nach wie vor ist der Rollenbau ein „Human Task“, der Hunderte an Arbeitsstunden bindet und viel Know-how erfordert. Der große Wurf kann deshalb nur durch intelligente Automation gelingen – mit Lösungen, die nicht nur zeitlich entlasten, sondern auch Interaktionen zwischen Menschen und Maschinen ermöglichen. Hier setzt der weltweit erste virtuelle Rollenberater an: Mittels Automated Role Mining werden komplexe Konzeptvorschläge für Einzel- und Sammelrollen automatisiert erstellt oder optimiert.

Modellierung und Handling

Da die Modellierung von SAP-Berechtigungskonzepten das Handling sehr großer Datenmengen voraussetzt, basiert die Softwarelösung auf einem metaheuristischen Ansatz mit evolutionären Algorithmen. Oder weniger wissenschaftlich formuliert: Mithilfe einer enorm hohen Rechenleistung nähert sich das System durch ein Wechselspiel aus Variation und Selektion der besten Lösung an. Vergleichbar mit Robotic Process Automa-tion (RPA) werden repetitive Tätigkeiten in hoher Geschwindigkeit automatisiert und das Verhalten menschlicher Nutzer simuliert. Das Ergebnis ist der Authorization Robot. Das Tool bietet im gesamten Lebenszyklus der SAP-Berechtigungskonzepte enormes Effizienzpotenzial, von der Erstentwicklung bis hin zur laufenden Pflege.

Konventionell versus automatisiert: Wie verändert der virtuelle Rollenberater Berechtigungsprojekte in der Praxis? Schritt 1, die Unternehmensanalyse: Jedes Berechtigungsprojekt startet mit einer Analyse der Unternehmensstruktur und Geschäftsprozesse. In konventionellen Projekten wird diese Bestandsaufnahme in vielen Meetings und Workshops von interdisziplinären Teams durchgeführt: SAP-Berater klären gemeinsam mit internen SAP-Verantwortlichen und den Fachbereichen den Projektscope und tragen alle relevanten Informationen und Daten zusammen. Unter anderem werden bestehende Berechtigungen beurteilt, Mitarbeiterlisten, Stellenprofile, Projektlisten und Organigramme ausgewertet, relevante Sicherheits- und Qualitätsrichtlinien identifiziert und die tatsächliche Nutzung von SAP-Transaktionen erfasst.

Mögliche Vorteile und Gewinne eines automatisierten Vorgehens.

Für automatisiert erstellte Berechtigungskonzepte werden als Datenbasis stattdessen bis zu vier Monate Trace-Daten der SAP-Transaktionen gesammelt – selbstverständlich DSGVO-konform und in Abstimmung mit dem Betriebsrat. Die Zahl der Meetings sinkt, das Projekt bindet weniger interne Kapazitäten und benötigt weniger externe Beraterstunden. Weiterer Vorteil: Die Datenbasis ist deutlich größer, sodass die Qualität des Berechtigungskonzepts steigt.

Schritt 2, der Rollenbau: Jetzt geht es an die Konzeption: Auf Basis der gesammelten Daten und Informationen werden Berechtigungen in Rollen gebündelt. In konventionellen Projekten ist das Rollen-Engineering mühevolle Kleinarbeit, die viele Tabellen füllt: Welche Business- oder Arbeitsplatzrollen benötigen welche Rechte, um die Aufgaben reibungslos ausführen zu können? Welche Rollen dürfen Daten einsehen, erfassen, bearbeiten, löschen? Wo gibt es Funktionstrennungskonflikte oder sicherheitskritische Prozesse? Welche Namenskonventionen machen Sinn? Und welche Rollen werden am Ende den einzelnen Nutzern zugeordnet? 600 Arbeitsstunden für den Rollenbau eines Berechtigungskonzepts mit 1000 Usern sind durchaus realistisch. Zwar gibt es vorgefertigte Standard-Templates. Doch Berechtigungskonzepte sind immer sehr unternehmensspezifisch, sodass in der Regel immer individuelle Anpassungen und Ergänzungen nötig sind.

Authorization Robot

In automatisierten Projekten spielt der Authorization Robot seinen Vorteil aus: Er analysiert Millionen von Tracingdaten mit effizienten Matrix-Clustering-Verfahren, die zusammenhängende Abteilungen, Prozesse und Muster in den Nutzungsdaten identifizieren und komplexe Konzeptvorschläge kalkulieren – schneller und passgenauer als jeder SAP-Consultant: Beta-Tests zeigen ein Einsparungspotenzial von über 90 Prozent der Beraterstunden und 30 Prozent der Lizenzkosten sowie eine um 80 Prozent verkürzte Projektlaufzeit.

Auch individuelle Ziele oder Prioritäten können vorgegeben werden und fließen in die Berechnungen ein, abgestimmt auf Parameter wie „Lizenzkosten-Optimierung“ oder „Maximales Sicherheitslevel“. Die Nutzeroberfläche des virtuellen Rollenberaters visualisiert bereits während des Rechenprozesses die Entwicklung der verschiedenen Kennzahlen in Echtzeit auf dem Dashboard. Die verwendeten Webtechnologien ermöglichen verschiedenste intuitiv erfassbare Visualisierungsformen wie Graph-Views, Sunburst-Grafiken oder Tree-Maps. Komplexe Zusammenhänge und Muster werden strukturiert vermittelt, vom kompakten Gesamtüberblick bis hin zu granularen Details.

In Verbindung mit KI-gestützten Modulen agiert der virtuelle Rollenberater zudem intelligent, beispielsweise um verständliche Namenskonventionen für die Rollen zu generieren: Welchen semantisch sinnvollen Namen würde ein Mensch der jeweiligen Rolle zuweisen? Diese Frage wird mittels Machine-Learning-Verfahren beantwortet. Neuronale Netze greifen unter anderem auf vergangene Projekte zurück, um die Erfahrung von Beratern und Experten in die Entwicklung passender Namenskonventionen einfließen zu lassen.

Schritt 3, die Validierung: Egal ob konventionell erarbeitet oder automatisiert erstellt: Der Vorschlag für das Konzept wird nun durch einen SAP-Consultant validiert, mit den Fachbereichen abgestimmt und falls nötig verfeinert. Nach einem Testing ist das neue Berechtigungskonzept einsatzbereit. 

Nach dem Berechtigungskonzept ist vor dem Berechtigungskonzept, denn egal wie gut das Erstkonzept war: Schnell entsteht Wildwuchs, wenn die Rechte einzelner Nutzer, historisch gewachsene Rollen und die Prozesslandschaft nicht regelmäßig kontrolliert und angepasst werden. Die konventionelle, manuelle Pflege von Berechtigungskonzepten wird der Geschwindigkeit und Komplexität der realen Unternehmenswelt nicht mehr gerecht. Die Folge sind Sicherheitslücken, Compliance-Verstöße und teure Überlizenzierungen. 

Die Detailansichten der berechneten Rollen ermöglichen eine kompakte und detaillierte Übersicht über deren Inhalte. Dazu gehören der Rollenname, die KPIs der Rolle, in der Rolle enthaltene Transaktionen und Services, aus welchem Modul diese stammen und eine kurze Beschreibung der Anwendungen. Bildquelle: Sivis GmbH.

Zwar spielt die Automatisierung ihr volles Potenzial bei initialen Rollenkonzepten, Migrationen und großen Redesign-Projekten aus, aber auch bei der regelmäßigen Pflege oder für punktuelle Aufgaben leistet der virtuelle Rollenberater wertvollen Support. Quick Checks liefern Empfehlungen für gezielte Optimierungen – beispielsweise überflüssige Berechtigungen oder Sicherheitskonflikte (SoD) – und auch die Vorbereitung auf Audits oder Zertifizierungen wie PCI DSS verläuft effizienter und stressfreier.

Menschen und Maschine

SAP-Berechtigungskonzepte brauchen SAP-Experten – auch in Zukunft. Aber die limitierte Ressource Mensch muss effizienter eingesetzt werden, damit der Fachkräftemangel nicht zur Verschleppung oder zu einer halbherzigen Umsetzung dieses hochsensiblen Sicherheitsthemas führt. Automatisierungslösungen wie der Authorization Robot sind deshalb keine Konkurrenz für IT-Abteilungen oder SAP-Consultants, sondern eine sinnvolle Entlastung. Der virtuelle Rollenberater wird zum hocheffizienten Kollegen im Mensch-Maschine-Team und schafft wichtige Freiräume: für strategische Beratung, für das Projektmanagement, für Schulungen und Change-Begleitung.

https://e3mag.com/partners/sivis-gmbh/
avatar
Philipp Latini, Pointsharp

Philipp Latini est le Chief Strategy Officer (CSO) de Pointsharp. En outre, en tant que directeur de Pointsharp Germany, il est responsable des activités du groupe dans la région DACH. Cet expert en gestion des identités, en conformité informatique et en concepts d'autorisation SAP était depuis 2020 le CEO de Sivis GmbH, qui a fusionné avec Pointsharp en 2023.


Tous les articles de l'auteur

Écrire un commentaire

Agents intelligents pour le traitement intégré des factures SAP

AI Doomsayers

Intelligence artificielle : le pas de l'idée à la production

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.