Tobias Harmes
12. Oktober 2022

S/4HANA Berechtigungen

2 | #S4HANA-Berechtigungen
202110_Beitragsbild_S/4HANA Berechtigungen

Durch eine Migration auf SAP S/4HANA wird der Einsatz von SAP Fiori als Oberfläche praktisch zur Pflicht. Dies führt häufig zu Unsicherheiten im Umgang mit neuen S/4HANA Berechtigungen beziehungsweise Fiori Berechtigungen. In diesem Beitrag erfahren Sie, was unter Fiori zu verstehen ist und was Sie im Kontext der Umstellung von SAP Berechtigungen sowie bei der Rollenentwicklung von Fiori beachten müssen.

Was ist Fiori und was ist SAP UI5? 

Mit Fiori hat SAP eine neue Oberflächenarchitektur erschaffen. Auf diese Weise können Anwender in Verbindung mit einer neu gestalteten User-Experience mit einfachen und responsiven Web-Oberflächen im SAP arbeiten. Die Oberflächen weisen ähnliche Designprinzipien wie die App-Welt von Smartphones und Tablets auf. Im Gegensatz zur alten SAP GUI Welt passen sich die Oberflächen dem Endgerät an, sie sind „responsive“. In diesem Zusammenhang handelt es sich bei SAP Fiori nicht nur um ein Designprinzip, sondern auch um eine Applikationssammlung, die technologisch auf dem HTML5-Framework SAP UI5 basiert.

E-Book S/4HANA Berechtigungen

E-Book: S/4HANA Berechtigungen

Im E-Book erhalten Sie Knowhow und Tipps, um Fiori und S/4HANA richtig zu berechtigen.

SAP Fiori neben Web Dynpro und SAP GUI

SAP GUI

Damit alle Bestandteile des Zugangs zum System korrekt berechtigt werden können, müssen auch die technischen Änderungen berücksichtigt werden. Lange Jahre war die Software SAP GUI mit dem SAP-eigenen Protokoll DIAG Zugangsvoraussetzung zum SAP-System. Durch den Zugriff der SAP GUI auf Dynpros konnte man die SAP Business Suite nutzen. Das wird auch noch mit S/4HANA unterstützt, sodass man weiterhin mit der SAP GUI arbeiten kann. Es gibt jedoch viele Transaktionen, die weggefallen oder durch eine Fiori Applikation ersetzt worden sind. Diese können dann nicht mehr allein über die SAP GUI erreicht werden. Bei dem Weg über die SAP GUI ändert sich hinsichtlich Berechtigungen nichts Grundlegendes. Die geänderten Transaktionen können wie üblich mit PFCG-Rollen berechtigt werden.

Web Dynpro ABAP

Weiterhin gibt es die Web Dynpro für die ABAP Welt. Hierbei handelt es sich um verschiedene Weboberflächen, die per Browser oder den SAP NetWeaver Business Client erreichbar sind. Der SAP NetWeaver Business Client stellt dabei die Verbindung eines Browsers mit einer SAP GUI her, wo auch Weboberflächen angezeigt werden können. Auch das ist weiterhin in S/4HANA verfügbar und wird wie bisher berechtigt.

SAP UI5

In der neueren SAP-Welt wird SAP UI5 als technologische Grundlage verwendet. Diese Grundlage ist vermehrt unter dem Markennamen SAP Fiori bekannt. Die Überlegung besteht hierbei in einem primär webgestützten Zugriff auf das SAP-System beziehungsweise auf die SAP Business Suite mit einem üblichen Internetbrowser per http(s). Anstelle eines SAP Menüs mit einem Baum von Transaktionen wird eine Kacheloberfläche im Browser präsentiert – das SAP Fiori Launchpad. Für die Berechtigung müssen hier eine ganze Reihe von Änderungen beachtet werden. So gibt es einen neuen Mechanismus, wie Anwender überhaupt die ihnen zugeordneten Apps sehen können (siehe Kachelkataloge unten) und das Berechtigungsobjekt S_SERVICE, das an vielen Stellen an die Stelle von S_TCODE bei dem Aufruf von Applikationen tritt.

Das SAP Gateway als Frontend

Für Fiori muss auf der Serverseite ein SAP Gateway installiert werden, das die Kommunikation zwischen der App und dem SAP übernimmt. Das wird heutzutage üblicherweise mit auf den Applikationsserver mit installiert. Setzt man stattdessen ein dediziertes SAP Gateway als Frontend ein, so muss aufgrund des damit verbundenen Frontend-Backend-Szenarios beachtet werden, dass an beiden Stellen Berechtigungen entwickelt werden müssen und somit auch zwei PFCG-Rollen erforderlich sind. Dies ist einer der Gründe, weshalb es sich heutzutage empfiehlt, auf ein separiertes SAP Gateway zu verzichten. Durch den Verzicht eines SAP Gateways findet der Service im gleichen System statt und beide PFCG-Rollen können miteinander kombiniert werden.

Abb.1: Optionen für den SAP Zugriff | S/4HANA Berechtigungen

Abbildung 1: Optionen für den SAP Zugriff

Wie sehen S/4HANA Berechtigungen mit Fiori aus? 

Bei SAP S/4HANA handelt es sich um mehr als nur eine 1:1 Umsetzung von alten Transaktionen. Während in früheren Releases die Verwendung von SAP Standardrollen als kritisch betrachtet worden ist, so erweist sich im Kontext von SAP S/4HANA der Einsatz von Standardrollen als besonders hilfreich. SAP hat mit S/4HANA verschiedenste Geschäftsprozesse konsolidiert und entsprechende Business-Rollen geschaffen, welche als Orientierung verwendet werden können. Diese Business-Rollen erhalten gemäß ihrer Aufgaben (z.B. Hauptbuchhalter Deutschland) ein angepasstes Fiori Launchpad, wobei die Kacheln auf dem Fiori Launchpad auf Fiori Apps, Web Dynpro oder SAP GUI verweisen können. Somit ist es möglich hinter einer Kachel die alte SAP-Welt mitzuintegrieren. Die von SAP bereitgestellten Business-Rollen lassen sich über die Fiori Apps Reference Library einsehen.

Fiori Kachelgruppen und Kachelkataloge

Weiterhin sind im Rahmen von SAP Fiori neue Begriffe hinzugekommen, mit denen man vertraut sein sollte. Unter Fiori Kachelgruppen werden Überschriften beziehungsweise logische Trenner verstanden, die kennzeichnen, was fachlich zusammengehört. Fiori Kachelkataloge enthalten dagegen ganze Sammlungen von technischen Informationen, mit denen dann auch Berechtigungen definiert werden können. Fiori Kachelkataloge müssen nicht mit den Kachelgruppen übereinstimmen.

In diesem Webinar erfahren Sie, was sich im Berechtigungswesen von einem SAP ERP-System zu einem S/4HANA-System ändert und was Sie bei der Migration beachten sollten.

In der PFCG unter dem Reiter “Menü” lassen sich die Fiori Kachelgruppen ablesen, die der Rolle (z.B. Hauptbuchhalter Deutschland) zugeordnet sind. Die Fiori Kachelgruppen geben dem Anwender einen logischen Halt. Damit in der Rolle auch Berechtigungsobjekte vermerkt werden können, muss auch der Fiori Kachelkatalog eingesetzt werden. Der Katalog enthält die Liste der von den Apps benötigten Services. Und eben diese Liste ist auch für die Bestimmung der korrekten Berechtigungsobjekte in der PFCG notwendig. Diesbezüglich schleichen sich häufig Fehler ein, da beim Raussuchen der Kachelgruppen („was soll der Anwender sehen“) die Kachelkataloge („was darf der Anwender wirklich“) vergessen werden und der Anwender folglich keine Berechtigungen besitzt. Gelingt jedoch die fehlerfreie Kombination von Kachelgruppen und Kachelkatalogen, so erhält man ein angepasstes Fiori Launchpad.

Kachelgruppen und Kachelkataloge | S/4HANA Berechtigungen

Abbildung 2: Kachelgruppen und Kachelkataloge

S/4HANA 2020 – Neuerungen bei Fiori 3 

Mit S/4HANA 2020 wird eine Neuerung eingeführt, da Kachelgruppen oftmals zu Verwirrungen geführt haben. So ist der Plan, zukünftig mit sogenannten „spaces“ und „pages“ zu arbeiten, um langfristig die Kachelgruppen abzulösen. Eine Seite (Page) mit Abschnitten (Sections) tritt so an die Stelle der Kachelgruppe. Unverändert sind die Kacheln (Tiles), wie die folgende Grafik verdeutlicht.

Abbildung 3: Neue Anordnung in Fiori mit Spaces und Pages | S/4HANA Berechtigungen

Abbildung 3: Neue Anordnung in Fiori mit Spaces und Pages

S/4HANA berechtigen und Fiori Rollen entwickeln 

Um SAP Fiori zu berechtigen hat sich eine Vorgehensweise aus mehreren Schritten bewährt, die im Gegensatz zu vorherigen SAP Produktversionen auch “SAP-Basis-nahe Installationsschritte” umfasst. Denn im Gegensatz zu früher sind viele Fiori Apps inaktiv und müssen erst über eine sogenannte “Content Aktivierung” funktionsfähig gemacht werden.

Schritt 1: Interessante Fiori-Apps auswählen

Zunächst geht man in die Fiori Apps Reference Library und sucht die gewünschten Apps oder den gewünschten Geschäftsprozessschritt raus. Die Apps liefern die Informationen zur Standardrolle im SAP-System für die PFCG-Rolle. Diese Informationen werden von der SAP Basis für die Aktivierung benötigt.

Schritt 2: Zugehörige Businessrolle mit allen Fiori Services aktivieren

In der Transaktion STC01 (Task Manager für Aufgabenlisten) hat die SAP Basis die Möglichkeit, auf der Grundlage der ermittelten SAP Standardrolle(n) eine Aktivierung der verschiedenen Hintergrunddienste (Services) vorzunehmen. Das wird auch als Content Aktivierung bezeichnet, z.B. über die Taskliste SAP_FIORI_CONTENT_ACTIVATION. Diese Aktivierung wird häufig bei Berechtigungsprojekten vergessen. Denn die Verfügbarkeit der Fiori App für das HANA Release geht nicht mit einer Aktivierung im SAP-System einher. Es empfiehlt es sich zunächst in einer Sandbox zu beginnen, um die App ausgiebig testen zu können. Bei der späteren Aktivierung im Entwicklungssystem unbedingt die Aktivierung in den Transport mitnehmen, um hohe Folgeaufwände in anderen Systemen zu vermeiden.

Schritt 3: Fiori Apps gründlich ausprobieren

Nun sollten die Fiori Apps gründlich ausprobiert werden, um herauszufinden, ob die App die gewünschten Anforderungen des Prozesses erfüllt. So kann der Fachbereich und der Applikations-Manager eine Fiori-Wunschliste aufbauen. Um keinen bisher genutzten Geschäftsprozess zu vergessen, empfiehlt sich eine Analyse der genutzten Transaktionen. Wenn eine passende App noch fehlt, wird eine herkömmliche Transaktionen mit auf die Liste gesetzt.

Schritt 4: Einen eigenen Fiori Katalog aufbauen und in eigene PFCG-Rollen übernehmen

Aus der zuvor aufgebauten App-Wunschliste können nun die entsprechenden Rollen entwickelt werden. Bei dem Aufbau eines Fiori Kataloges, der in eigene PFCG-Rollen übernommen wird, gibt es zwei Varianten. Die Variante 1 erfolgt mittels Verwendung der Standard-Kachelkataloge, wobei andere Apps ausgeblendet werden können. Diese Variante bietet sich an, wenn fast alles aus der SAP Business-Rolle, also der Vorlage, übernommen werden soll.

Crashkurs Fiori S/4HANA Berechtigungen

In unserem Crashkurs S/4HANA und Fiori Berechtigungen erhalten Sie in einem halbtägigen Online-Learning alle nötigen Infos, um das neue Fiori-App-Konzept der SAP und S/4HANA skalierbar und optimal zu berechtigen.

Variante 2 startet mit einem leeren Fiori Kachelkatalog (Bottom-up-Ansatz). Diese empfiehlt sich, wenn Informationen aus verschiedenen SAP Business-Rollen (Vorlagen) benötigt werden. In diesem Zusammenhang werden die benötigten Apps schrittweise in den Kachelkatalog integriert, sodass man auf diesem Weg eine SAP Business-Rolle entwickelt, die auf den Geschäftsprozess eines Unternehmens angepasst ist.

Hier sollte man sich unbedingt mit den neuesten Werkzeugen vertraut machen, der Fiori Launchpad Designer soll mittelfristig durch andere Tools, wie den Fiori Launchpad Content Manager (/UI2/FLPCM_CUST) abgelöst werden, der bereits für viele SAP Versionen zur Verfügung steht.

Fazit

Im Kontext der Migration auf S/4HANA gibt es bei der Umstellung von SAP Berechtigungen sowie bei der Rollenentwicklung von Fiori einiges zu beachten. Im Rahmen von Fiori als neue Oberflächenarchitektur von SAP ist es wichtig, mit den neuen Begriffen (Kachelgruppen und Kachelkataloge) sowie deren Funktionen vertraut zu sein, um ein angepasstes Fiori Launchpad zu entwickeln. Weiterhin empfiehlt sich auch die Verwendung von Standardrollen (Businessrollen), die über die Fiori Apps Reference Library eingesehen werden können.

FAQ

Was ist Fiori und was ist SAP UI5?

Bei Fiori handelt es sich um eine neue Oberflächenstruktur von SAP, die es den Anwendern im Rahmen einer neu gestalteten User-Experience ermöglicht, mit einfachen und responsiven Web-Oberflächen im SAP zuarbeiten. Diese Oberflächen passen sich dem Endgerät an. SAP Fiori ist somit ein Designprinzip sowie eine Applikationssammlung und basiert technologisch auf dem HTML5-Framework SAP UI5.

Warum ist bei S/4HANA die Verwendung von Standardrollen hilfreich?

Im Kontext von SAP S/4HANA erweist sich die Verwendung von Standardrollen als besonders hilfreich. SAP hat mit S/4HANA verschiedenste Geschäftsprozesse konsolidiert und entsprechende Business-Rollen geschaffen, welche als Orientierung verwendet werden können. Diese Business-Rollen erhalten gemäß ihrer Aufgaben ein angepasstes Fiori Launchpad, wobei die Kacheln auf dem Fiori Launchpad auf Fiori Apps, Web Dynpro oder SAP GUI verweisen können.

Welche Schritte haben sich bei der Berechtigung von SAP Fiori bewährt?

  • Schritt 1: Interessante Fiori-Apps auswählen
  • Schritt 2: Zugehörige Businessrolle mit allen Fiori Services aktivieren
  • Schritt 3: Fiori Apps gründlich ausprobieren
  • Schritt 4: Einen eigenen Fiori Katalog aufbauen und in eigene PFCG Rollen übernehmen

Weiterführende Informationen


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice