Redesign der SAP Berechtigungen für das Produktivsystem Deutschland
Bei der Firma Bizerba SE & Co. KG hat das RZ10 Consulting-Team von mindsquare ein Redesign der SAP Berechtigungen für das Produktivsystem in Deutschland durchgeführt. Trotz der Einführung komplett neuer stellenbasierter Rollen und Berechtigungen konnte eine Beeinträchtigung des laufenden Geschäftsbetriebes verhindert werden.
Das Unternehmen
- Name: Bizerba SE & Co KG
- Sitz: Balingen, Deutschland
- Branche: Maschinenbau
- Mitarbeiter: ca. 4.000
Das Projekt
- Ziel: Neuaufbau der SAP Berechtigungen für das produktive SAP System in Deutschland
- Projektsetting: Einige Abteilungen wurden durch Bizerba selbst mit Coaching durch mindsquare umgesetzt, weitere Abteilungen wurden vollständig durch mindsquare umgesetzt.
- Projektvorgehensweise: Nutzung der mindsquare Best Practice Vorgehensweise für SAP Berechtigungsredesigns und Verwendung der Xiting Authorizations Management Suite (XAMS)
- Projektdauer: 6 Monate
Historisch gewachsene Herausforderung
Das SAP Berechtigungskonzept von Bizerba war vor Projektbeginn geprägt von einer historisch gewachsenen Anzahl an Rollen. Dies schränkte die Wartbarkeit stark ein, da nicht immer klar war, welche Rolle angepasst werden sollte. Auch die Skalierbarkeit der Berechtigungslandschaft war nicht gegeben, da bei der Neuanlage von Benutzern unklar war, welche Rollen diese exakt benötigen und dadurch meist ein ähnlicher User kopiert werden musste. Dies entsprach nicht den revisorischen Anforderungen.
Zudem wurde der Aufbau der Rollen mit Einführung von SAP 1999 eher nach fachlichen Anforderungen durchgeführt und entsprach nicht der Best Practices der SAP. Da die Verwendung des Rollenmenüs nicht durchgehend erfolgte und die Berechtigungsvorschlagswerte in der SU24 nicht genutzt oder gepflegt wurden, war die Zukunftsfähigkeit des Rollenkonzeptes im Hinblick auf eine S/4HANA Migration der Rollen nicht gegeben.
Neue Rollen ohne lange Entwicklung
In Zusammenarbeit mit einem Ansprechpartner aus jedem Fachbereich wurden neue, stellenbasierte SAP Rollen entwickelt. Hierzu wurden auf Basis einer Analyse der Organisationsstruktur und der von den Anwendern des Fachbereichs tatsächlich genutzten Transaktionen (Auswertung der ST03N Historie) Funktionen innerhalb des Fachbereichs identifiziert und die Mitarbeiter den Funktionen zugeordnet. Für jede identifizierte Funktion wurde eine Rolle vorgesehen. Dabei kam das Modul Xiting Role Designer unterstützend zum Einsatz.
Anschließend wurden die von den Mitarbeitern einer Funktion verwendeten Transaktionen gemeinsam mit einem Ansprechpartner des Fachbereichs (z. B. Key User) geprüft und in die jeweiligen Funktionsrollen eingruppiert. Damit entstand ein Rollenschnitt auf Transaktionsebene.
Eine Herausforderung im Projektverlauf ergab sich daraus, dass einzelne der ausgewerteten User währen der Projektlaufzeit die Funktion/Tätigkeit gewechselt haben oder aufgrund von Krankheit oder Urlaub längere Zeit nicht im System aktiv waren. Beim geplanten Folgeprojekt für das Auslandssystem von Bizerba wollen wir daher darauf achten, je Funktion, wenn möglich, mehrere User in die Simulation zu geben und die Projektlaufzeit nicht zu lange auszudehnen.
Anschließend wurden die neuen Funktionsrollen mittels „Rucksackverfahren“ unter Verwendung des Moduls Xiting Times im produktiven Umfeld getestet, um die benötigten Berechtigungsobjekte und die Ausprägungen der Berechtigungsfelder zu ermitteln. Dies ersparte einerseits manuelle Testaufwände und verbesserte andererseits auch die Qualität der Testergebnisse, da die Anwender der Fachbereiche nicht explizit testen mussten. Stattdessen konnten die verwendeten Berechtigungen ohne Auswirkung auf den produktiven Betrieb im Hintergrund ermittelt werden. Die Anwender behielten in dieser Phase uneingeschränkt ihre alten Berechtigungen, sodass es zu keinen Berechtigungsfehlern kam. Die neue Rolle wurde lediglich im Hintergrund abgeglichen.
Live-Gang im Ruhepuls
Auf Basis dieser Daten wurde mittels des Xiting Role Builder eine Optimierung der bestehenden SU24-Berechtigungsvorschlagswerte zu den genutzten Transaktionen durchgeführt und die Ausprägung der Rollen vorgenommen. Am Ende dieser Phase der produktiven Testsimulation sind die neuen Funktionsrollen sowie die SU24-Berechtigungsvorschlagswerte ausgeprägt und in den Berechtigungsdaten der PFCG stehen alle Ampeln auf „grün“. Die Rollen sind nun bereit für den Go Live. Zum Go Live kam das sogenannte Protected-Go-Live-Verfahren zum Einsatz. Hierbei wurde der laufende Betrieb bei Bizerba abgesichert, indem die Anwender für einen Zeitraum von ca. 2 Wochen nach dem Go-Live-Termin die Möglichkeit erhielten, im Self-Service vorübergehend wieder auf ihre alten Berechtigungen zurückzuschalten. Damit wurde eine Beeinträchtigung des laufenden Geschäftsbetriebes verhindert. Punktuell noch fehlende Berechtigungen konnten ohne Zeitdruck nachgepflegt werden. Eine Herausforderung dabei war, die User mit der Aktivierung des Self-Service vertraut zu machen, was aber durch die Bereitstellung der Schritt-für-Schritt Anleitung letztlich gut funktioniert hat.
Der Ausblick
- Anforderungen von neuen Rollenzuweisungen oder Anpassung von Rolleninhalten erfolgt in Abstimmung mit den festen Rollenansprechpartnern der Fachbereiche
- Die Fachbereiche sind nun in der Lage aufgrund des übersichtlichen Rollensets und der geringen Rollenzahl je User, die an die Mitarbeiter vergebenen Rollen jährlich zu überprüfen und qualitativ hochwertiges Feedback zu geben
- Die Überberechtigung der User wurde abgebaut und die Mitarbeiter besitzen nur noch die für ihre Tätigkeit notwendigen Berechtigungen, sodass die Systemsicherheit deutlich verbessert wurde
Die Kundenstimmen
- Zur Zusammenarbeit: „Durch die wöchentlichen Statusberichte und Abstimmungstelefonate war ich jederzeit gut über den Projektfortschritt informiert und wir konnten bei offenen Punkten zeitnah kommunizieren. Außerhalb der vereinbarten Termine war Herr Krüger kurzfristig telefonisch und per Mail erreichbar oder hat ggf. noch am gleichen Tag zurückgerufen“
- Zur technischen Vorgehensweise: „Die technische Vorgehensweise mit der Softwaresuite XAMS und der von mindsquare vorgestellten Projektmethodik war zuverlässig, praxiserprobt und war auch für mich in den Workshops gut erlernbar. Allerdings ist das Werkzeug mit seinen vielfältigen Funktionen offensichtlich für Profis entwickelt worden und sollte nicht ohne Schulung im Projektverlauf und einen Ansprechpartner für Rückfragen verwendet werden. Dabei hat sich bewährt, im Projektverlauf wiederholte, kurze Schulungsblöcke oder Workshops einzubauen.“
- Zum Go-Live-Aufwand: „Durch die abgestimmte Übernahme der Berechtigungsanpassungen in der Simulations- und Go-Live-Phase durch mindsquare wurden meine Tätigkeiten bei der Umstellung deutlich reduziert. Die Übernahme der Anpassungen wurde jeweils abgestimmt und funktionierte problemlos.“
- Zur Zukunftsfähigkeit: „Mit den im Projekt entstandenen Rollen können Fachbereiche und IT langfristig effektiver arbeiten, da das Rollenkonzept strukturiert und passgenau gestaltet wurde“
Möchten Sie auch zu unseren zufriedenen Kunden gehören?
Die Firma mindsquare hat mit dem RZ10 Consulting-Team eine hoch-spezialisierte Beratungseinheit für SAP Basis & Security. Wenn Sie Unterstützung suchen, informieren Sie sich jetzt unverbindlich.