5 Tipps für schlanke Fiori Berechtigungen
Autor: Tobias Harmes | 12. Dezember 2019
Bei der Einführung von SAP Fiori herrscht in manchen Unternehmen gelinde gesagt Chaos. Was kann ich tun, damit der Umstieg auf Fiori nicht im SAP_ALL-Berechtigungen endet? Der mindsquare Berechtigungs-Consultant Tobias Koch gibt Tipps aus der Praxis.
Bei der Einführung von SAP Fiori und der Umstellung auf die neuen Oberflächen im SAP geht es häufig primär darum, dass alles fehlerfrei laufen soll. Diesem Wunsch wird dann auch das Thema Berechtigungen untergeordnet – und sehr schnell landet man da, wo man schon mal vor 15 Jahren war: Ein Go-Live mit SAP_ALL. In dieser Podcast-Folge sprechen Tobias und ich darüber, wie man das verhindert und trotzdem effizient arbeiten kann.
Für unterwegs – den SAP Basis & Security Podcast abonnieren: Apple/Spotify/YouTube
Klasse statt Masse: SAP Fiori App Library
Die Library gibt eine gute Übersicht und clustert in verschiedene Kategorien. Hier kann man nach SAP Modulen schauen – welche gibt es überhaupt? Oder man filtert nach einzelnen Branchen und schaut, welche Apps hier verwendet werden. Die Ergebnisse weisen technische Details mit aus und zeigen auch die zugehörigen Berechtigungsrollen.
Hilfreich ist das, wenn man sich am Anfang unsicher ist, welche Apps sinnvoll sind. Tobias hat in seinen Projekten die Erfahrung gemacht, dass zu Beginn der Einführung oft die Ansage kommt: „Vergebt erstmal alles!“ Dann werden Berechtigungen für Apps vergeben, ohne zu hinterfragen, ob man diese überhaupt benötigt. Durch die Library kann man effizienter werden und sich über die Apps informieren, die auch wirklich benötigt werden.
Businessrollen nutzen!
In der Library werden die jeweiligen Businessrollen zu allen Apps angegeben. Diese Rollen kann man auch als Vorlagen nutzen. Tobias‘ Tipp: Sich am Anfang voll auf Businessrollen und weniger auf einzelne Apps konzentrieren und schauen, auf welche Berechtigungen diese zurückgreifen. Will man sich eigene Rollen erstellen, helfen diese Informationen ungemein.
In der App Library gibt es die Punkte Implementierung und Konfiguration. Darunter gibt es alle Informationen dazu, welche Basis-Konfigurationen vorgenommen werden müssen, um die App zu implementieren.
Übersicht schaffen und Tasklisten nutzen
SAP hat eigene Tasklisten bzw. Aufgabenlisten erstellt. Die können am Anfang hilfreich sein, wenn auf dem Sandbox-System getestet wird. Die Tasklisten schlüsseln dann anhand der genannten Businessrolle auf, wie man die App vollständig aktiviert und ins System lädt.
Vorstellen kann man sich die Tasklisten wie einen Report, der die einzelnen Schritte bündelt, die für die Aktivierung notwendig sind. Der Aufruf der Tasklisten erfolgt über die Transaktion STC01. In einer Tabellenansicht werden dann die einzelnen Schritte aufgelistet. Dort kann man einzelne Parameter konfigurieren – beispielsweise definieren, welche Apps aktiviert werden. Die Taskliste SAP_FIORI_CONTENT_ACTIVATION selbst ist in den S/4HANA-Systemen im Standard vorhanden. Dort muss die Businessrolle dann in die jeweilige Liste eingetragen werden und die Aktivierung kann automatisch mit den notwendigen Informationen durchgeführt werden.
In unserem Crashkurs S/4HANA und Fiori Berechtigungen erhalten Sie in einem halbtägigen Online-Learning alle nötigen Infos, um das neue Fiori-App-Konzept der SAP und S/4HANA skalierbar und optimal zu berechtigen.
Erstmal richtig einrichten
Back to Basics: Das System sollte zunächst richtig und vollständig eingerichtet sein. Sonst können Probleme entstehen, die dann bei der Fiori Einführung vermeintlich fehlenden Berechtigungen angelastet werden. Zum Beispiel funktionieren dann Apps stillschweigend nicht, nur weil einer der vielen notwendigen Services auf dem SAP Gateway nicht aktiviert wurden. Es gibt allerdings auch den umgekehrten Fall, so müssen bestimmte Basis-Berechtigungen vergeben sein, damit man das Fiori Launchpad überhaupt vom Anwender aufgerufen werden kann.
Hilfe gibt es dabei vom Configuration Quick Guide. Hier sind die wichtigsten Schritte aufgeführt: Was muss eigentlich gemacht werden, bevor wir im System starten?
Fehler schnell finden
Die SU53 versagt im Fiori Launchpad oft. Fehlende Berechtigungen zu finden gestaltet sich schwierig, da die Anfrage schon am Gateway scheitert und nicht beim ERP-Backend ankommt. Will man Fehler dennoch richtig auslesen, gibt es dafür zwei Varianten.
Mit dem jeweiligen Internetbrowser können die Entwicklertools bzw. eine Konsole aufgerufen werden (häufig über den Shortcut F12). Wenn die Seite dann neue geladen wird, erhält man Fehlermeldungen, die Services betreffen. Diese Fehlermeldungen sind häufig mit einem 503-Fehler versehen und das gibt Aufschluss darüber, welche ODATA-Services betroffen sind. Anschließend kann man sich vorarbeiten und schauen, ob die Services aktiviert und berechtigt sind.
Die zweite Variante kann mit Transaktion /IWFND/ERROR_LOG durchgeführt werden. Damit können Fehlermeldungen ebenfalls ausgelesen werden. Die Übersicht ist war nicht so detailliert wie die aus Variante 1, aber einfacher zu lesen. Dabei werden auch Fehlermeldungen für einzelne Benutzer ausgegeben.
Zusatztipp
Gibt es Fehlermeldungen, sollte auch drauf geachtet werden, das Backend sowie das Frontend zu checken. Man sollte sich nicht zu lange mit der Fehlersuche auf einem System aufhalten, sondern schrittweise vom Frontend über das Gateway bis hin zum Backend sich vorarbeiten. Denn neben den Basis-Problemen wie nicht aktivierten OData-Services können auch Berechtigungsprüfungen auf dem Gateway fehlschlagen.
Wenn Sie diese Tipps beachten, dann steht einer erfolgreichen SAP Fiori Einführung ganz ohne SAP_ALL Berechtigung nichts mehr im Weg.
Weitere Informationen
- SAP Fiori apps reference library: https://fioriappslibrary.hana.ondemand.com/sap/fix/externalViewer/
- Configuration Quick Guide: https://help.sap.com/viewer/e37f3c54603c4647b0b5d73c870f6223/SAP%20Fiori%20Cloud/en-US/33001953648941cd800aec0a244ea66d.html
- Fiori Launchpad Konfiguration: https://help.sap.com/viewer/a7b390faab1140c087b8926571e942b7/7.4.22/en-US/f951b50a07ce41deb08ced62711fe8b5.html
2 Kommentare zu "5 Tipps für schlanke Fiori Berechtigungen"
Hallo Tobias
Habe ich richtig verstanden, dass es nicht empfohlen wird die Task List SAP_FIORI_CONTENT_ACTIVATION im Produktiven System auszüfüheren ? Anstatt soll man die Business Rollen einzeln in ABAP System importieren ?
Danke Schön
Hi. Kurzantwort: Ja, richtig verstanden, die Task List sollte nur im Entwicklungssystem ausgeführt werden, die Änderungen sollten transportiert werden.
Lange Antwort: Nur, wenn die Aktivierung von Services durchtransportiert wird kann sichergestellt werden, dass einerseits in allen Systemen die gleichen Services aktiviert sind und andererseits alle Services die gleichen USOBHASH-Werte zugewiesen bekommen haben. Unterschiedliche Hashwerte können dazu führen, dass Berechtigungen nicht sauber vergeben werden können.
Grüße!