Information et éducation par et pour la communauté SAP

Qui peut faire quoi et pourquoi ?

Le concept d'autorisation de SAP est depuis le début un défi pour l'équipe de base de SAP, car au début du Customizing, il faut aller vite et en aval, personne ne veut plus gérer les rôles et les autorisations.
Magazine E-3
Philipp Latini, Pointsharp
13 juin 2023
avatar
avatar
Ce texte a été automatiquement traduit en français de l'allemand

Ungeliebt, aber absolut notwendig: das SAP-Berechtigungskonzept

Unter SAP R/3 war das Berechtigungskonzept einfacher und somit manuell zu bewältigen. Mit dem NetWeaver, Engines und Rollen bekam das SAP’sche Berechtigungskonzept eine Komplexität, die entweder ausgeblendet wurde oder nur noch mit IT-Werkzeugen zu beherrschen war. Aufgrund von Compliance-, Governance- und Security-Regeln wurde die sorgfältige und nachvollziehbare Pflege des Berechtigungskonzepts von ERP/ECC 6.0 zur zentralen Aufgabe der SAP-Basis. Um der Komplexität eines modernen S/4-Systems gerecht zu werden, braucht der Administrator passende IT-Werkzeuge.

Eine weitere wichtige Aufgabe eines konsistenten Berechtigungskonzepts liegt in der Rollenverteilung hinsichtlich der User-Lizenzen. Eine unüberlegte Vergabe von Rollen kann schnell in hohen Lizenzgebühren enden.

Warum spielt das SAP-Berechtigungskonzept eine zentrale Rolle für die Sicherheitsstrategie?

Phillip Latini, Sivis: Im SAP-System liegen sensible Daten und Kernprozesse. Diese gilt es nicht nur vor Cyberangriffen von außen, sondern auch vor internen Risiken zu schützen. Eine Zugriffskontrolle ist deshalb zum Schutz der Integrität, Vertraulichkeit und Verfügbarkeit unverzichtbar. Hinzu kommen externe Sicherheitsanforderungen des Gesetzgebers oder von Geschäftspartnern, die ebenfalls im Berechtigungskonzept abgebildet werden müssen.

SAP verwendet eine rollenbasierte Zugriffskontrolle. Was ist die Herausforderung an Role Based Access Control?

Latini: Das Modell, Berechtigungen in Rollen zu bündeln und dann jedem Nutzer Rollen zuzuordnen, macht die Erstellung von SAP-Berechtigungskonzepten komplex. Auch unsere Consultants verwenden in SAP-Projekten sehr viel Zeit darauf, Rollen zu bauen und Tabellen mit Berechtigungen zu füllen. Obwohl wir in den letzten Jahren einige Tools entwickelt haben, die solche Aufgaben beschleunigen, waren wir nicht zufrieden. Mithilfe von Automation durch evolutionäre Algorithmen ist hier noch weit mehr möglich – unser neuer virtueller Rollenberater, der Authorization Robot, ist das Ergebnis. Er bietet im gesamten Lebenszyklus der SAP-Berechtigungskonzepte enormes Effizienzpotenzial.

Was sind für SAP-Kunden die drei größten Vorteile automatisiert erstellter Berechtigungskonzepte?

Latini: Erstens die Geschwindigkeit. Auf Basis der Auswertung unserer Beta-Testphase gehen wir davon aus, dass der Authorization Robot künftig bis zu 95 Prozent der Beraterstunden für den Rollenbau einsparen kann. Zweitens werden Fehlerquellen und Sicherheitslücken minimiert. Und drittens stellt die Automatisierung sicher, dass Best Practices zuverlässig eingehalten werden.

Das Berechtigungskonzept spielt auch bei der Lizenzvermessung eine Rolle. Ist es dann ein CIO- oder ein CFO-Thema?

Latini: Die Lizenzvermessung ist insbesondere bei der Migration auf S/4 Hana spannend: Da die Lizenzkosten je User künftig nicht mehr von seiner tatsächlichen Nutzung, sondern vom Berechtigungsumfang abhängen können, schlummern in alten Berechtigungskonzepten unkalkulierbare finanzielle Risiken. Das Redesign ist deshalb ein hochaktuelles CFO-Thema! Auch hier bietet der virtuelle Rollenberater großes Potenzial, da er Konzeptvorschläge ganz gezielt für das Kriterium der Lizenzkosteneinsparung berechnen kann – und zwar schneller und passgenauer als jeder SAP-Consultant. 

Verlagert sich die Verantwortung für SAP-Berechtigungskonzepte in Richtung Management?

Latini: Auf jeden Fall hat sich das Bewusstsein für Sicherheitsrisiken in den letzten Jahren deutlich erhöht, über alle Ebenen des Unternehmens hinweg. Technisch und organisatorisch ist zwar nach wie vor die IT-Abteilung für Berechtigungskonzepte verantwortlich, aber der Input wird zunehmend von den Fachabteilungen eingefordert. Automatisierte Lösungen können hier Brücken bauen und Verantwortliche entlasten. Das Management hat die wichtige Aufgabe, verbindliche Leitplanken vorzugeben – beispielsweise mit Prinzipien wie „Zero Trust“ – und das Thema Sicherheit transparent zu kommunizieren. 

Moderne Softwarelandschaften integrieren neben SAP häufig noch weitere Systeme. Werden auch die Berechtigungskonzepte hybrid?

Latini: Berechtigungen sind ein ganzheitliches Thema, auch heute schon. Microsoft, Ticketsysteme und branchenspezifische Insellösungen, On-premises und in der Cloud: Jeder User bewegt sich in seinem beruflichen Alltag in vielen verschiedenen Welten. Auch hier wird Automatisierung ein sinnvoller Ansatz sein, um die wachsende Komplexität systemübergreifend zu verwalten. Der Authorization Robot ist technisch so konzipiert, dass wir die virtuelle Unterstützung für Berechtigungskonzepte jederzeit auf andere Ökosysteme übertragen können. 

Lässt sich auch die laufende Pflege der Berechtigungen im SAP-System automatisieren? 

Latini: Sein volles Potenzial spielt der virtuelle Rollenberater bei der Berechnung von initialen Rollenkonzepten und aufwändigen Redesign-Projekten aus. Aber auch für punktuelle Überprüfungen oder jährliche Aktualisierungen bietet die Automatisierung Performance-Vorteile. Für die laufende Pflege des Berechtigungskonzepts bringt die Sivis-Plattform ergänzende digitale Tools mit, wie den Role Manager oder den Compliance Manager. 

Welche Ressourcen benötigt der Einsatz des Authorization Robot hinsichtlich Systemvoraussetzungen und Manpower?

Latini: Die Anbindung des Authorization Robot an das SAP-System erfolgt über den benutzerfreundlichen Sivis Web Manager. Benötigt wird außerdem eine Docker-Umgebung auf einem Linux-Server – die Rechenleistung hängt von der Größe des Unternehmens ab. Die Analyse und das Clustering der Tracing-Daten sowie die Erstellung der Konzeptvorschläge laufen vollständig automatisiert ab. Die menschlichen Interaktionen beschränken sich auf die Vorgabe der gewünschten Zielkriterien – beispielsweise „maximale Sicherheit“ oder „Lizenzkosten-Optimierung“ – und eine abschließende Verifizierung der generierten Vorschläge. Die Nutzung ist intuitiv und benötigt keine aufwändige Schulung.

Ist der Svis Authorization Robot durch SAP zertifiziert?

Latini: Der neue Authorization Robot ist Teil unserer SAP-zertifizierten Plattform, die zahlreiche Tools rund um Identity and Access Management, Compliance und Governance, Role Management und Berechtigungskonzepte sowie License und Asset Management integriert. Seit April 2023 kann der Authorization Robot als Software as a Service für SAP-Umgebungen lizenziert werden.

E-3: Herr Latini, danke für das Gespräch.

https://e3mag.com/partners/sivis-gmbh/
avatar
Magazine E-3

Information et travail éducatif par et pour la communauté SAP.


avatar
Philipp Latini, Pointsharp

Philipp Latini est le Chief Strategy Officer (CSO) de Pointsharp. En outre, en tant que directeur de Pointsharp Germany, il est responsable des activités du groupe dans la région DACH. Cet expert en gestion des identités, en conformité informatique et en concepts d'autorisation SAP était depuis 2020 le CEO de Sivis GmbH, qui a fusionné avec Pointsharp en 2023.


Écrire un commentaire

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.