Fiori Berechtigungen für Apps und Kataloge im Launchpad

Autor: Luca Cremer | 29. Mai 2024

16 | 59 | #Fiori, #S4HANA-Berechtigungen

Damit Fiori Applikationen den aufrufenden Usern entsprechend angezeigt werden, müssen entsprechende Fiori Berechtigungen in der PFCG gepflegt werden. Hierbei gibt es einige Punkte zu beachten. In diesem Artikel wird auf die notwendigen Berechtigungen zum Starten einer Fiori Applikation eingegangen. Zusätzlich wird kurz erklärt, wie die angezeigten Kacheln im Fiori-Launchpad über Rollen konfiguriert werden können.

Zum Ausführen von Fiori Applikationen aus dem Launchpad und der in den OData-Services definierten Berechtigungsabfragen müssen auch die entsprechenden Fiori Berechtigungsobjekte in der PFCG gepflegt werden. Hier sind die Startberechtigungen für den OData-Service der Applikation im Backend-System sowie Berechtigungsobjekte für die Geschäftslogik der in der Applikation genutzten OData-Services relevant.

Generell ist wichtig zu wissen, dass bei einer richtigen Implementierung von Fiori Berechtigungen sowohl Berechtigungen im Frontend-Server (Aufruf Launchpad, Starten der Kachel, usw.), als auch entsprechende Berechtigungen im Backend-Server (Aufrufen der OData-Services aus dem Backend) gepflegt werden müssen. Dies wird in diesem Artikel noch genauer erläutert.

Um benutzerspezifische Kacheln basierend auf Katalogen und Gruppen beim Starten des Launchpads anzuzeigen, werden Berechtigungen in dem Menü der zugrunde liegenden Rolle abgelegt. Dadurch kann sichergestellt werden, dass jeder Benutzer auf dem Launchpad nur seine benötigten Applikationen sehen und öffnen darf.

E-Book S/4HANA Berechtigungen

E-Book: S/4HANA Berechtigungen

Im E-Book erhalten Sie Knowhow und Tipps, um Fiori und S/4HANA richtig zu berechtigen.

Berechtigungen zum Öffnen des Launchpads

SAP liefert zum initialen Öffnen des Fiori Launchpads Standardrollen mit. Dabei wird zwischen den Fiori Berechtigungen zum normalen Starten des Launchpads sowie zum Administrieren der Benutzeroberfläche unterschieden. Die Standardberechtigung zum Öffnen und Nutzen eines Launchpads ist die  SAP_UI2_USER_700. Die Rolle für die Administration lautet  SAP_UI2_ADMIN_700. In der Administrationsoberfläche kann das Launchpad angepasst werden, deshalb sollte diese Berechtigung auch nur an wenige Nutzer zur Administration freigegeben werden.

Rollen basierend auf Katalogen und Gruppen

SAP empfiehlt ein Rollendesign für Fiori Berechtigungen basierend auf den definierten Katalogen und Gruppen im Launchpad. In einem solchen Katalog steht üblicherweise ein Set von Apps und Services welches für eine spezifische Benutzergruppe relevant ist. Wenn eine Rolle für einen oder mehrere Kataloge im Launchpad berechtigt wurde, werden beim Starten des Launchpads die entsprechenden Kataloge und Gruppen im App-Finder nur für die berechtigten User angezeigt. So kann sichergestellt werden, dass jeder Anwender nur das sieht womit er im Endeffekt auch arbeitet.

Wichtig: Diese Fiori Berechtigungen werden auf dem Frontend-Server gepflegt!

Katalogberechtigungen in der PFCG pflegen

Um eine Fiori Berechtigung zum Öffnen eines Katalogs für eine Rolle hinzuzufügen, öffnen Sie diese Rolle wieder in der PFCG im Änderungsmodus und befolgen Sie die nächsten Schritte:

  1. Menü-Reiter auswählen
  2. Klicken Sie auf den kleinen Pfeil zum Hinzufügen eines Elements
  3. Wählen Sie “SAP Fiori Kachelkatalog” aus

SAP Kachelkatalog Berechtigung

 

Anschließend wählen Sie die entsprechende Katalog-ID aus, für die die gewählte Rolle berechtigt werden soll. Jetzt muss die Rolle nur noch den zugehörigen Benutzern im System zugeordnet werden. Wenn Sie diese Schritte durchgeführt haben, sind die nötigen Fiori Berechtigungen zur individuellen Anzeige von Kachelkatalogen auf dem Launchpad vorhanden.

Fiori Berechtigungen für Kachelgruppen in der PFCG pflegen

Um zusätzliche Berechtigungen für definierte Gruppen im Launchpad zu PFCG-Rollen hinzuzufügen befolgen Sie die Schritte wie oben bereits beschrieben. Dieses Mal wählen Sie nur anstatt einem “SAP Fiori Kachelkatalog” eine “SAP Fiori Kachelgrupe”. Hier unterscheiden sich die Vergaben von Berechtigungen nur sehr gering.

In diesem Webinar sprechen wir darüber, was Sie bei der Migration auf SAP S/4HANA hinsichtlich der Rollen und Berechtigungen beachten müssen.

Fiori Berechtigung für OData-Services

Die Startberechtigung für den im Backend hinterlegten OData-Service von einer Fiori App wird sowohl auf dem Frontend-, als auch auf dem Backend-Server beim Aufrufen der Applikation abgefragt. Deshalb muss diese Berechtigung auf beiden Servern zu der entsprechenden Rolle hinzugefügt werden.

Die typische Abfolge beim Anklicken einer Fiori App im Launchpad löst die folgenden Schritte aus:

  1. Beim Auswählen der Kachel wird die App-Fiori-Implementierung aufgerufen
  2. Die App ruft dynamische Daten aus dem HTTP-Endpunkt des OData-Services auf dem Frontend-Server ab
  3. Es folgt ein RFC-Aufruf an die Gateway-Aktivierung des Backend Systems, dabei wird die relevante Geschäftslogik abgerufen
  4. Nun wird die Fiori Berechtigung für den entsprechenden OData-Service auf dem Backend abgefragt
  5. Wenn dies erfolgreich war werden die entsprechenden Berechtigungen für die Geschäftslogik im OData-Service abgefragt

OData-Service Fiori Berechtigung auf dem Frontend-Server

Um die Fiori Berechtigung zur Ausführung eines OData-Services für eine App zu einer Rolle hinzuzufügen führen Sie bitte die folgenden Schritte durch:

  • In der PFCG die entsprechende Rolle im Änderungsmodus öffnen
  • Schritte auf dem folgenden Screenshot durchführen:
  1. Menü-Reiter auswählen
  2. Pfeil neben dem “Transaktion” Button klicken
  3. Berechtigungsvorschlag auswählen

Fiori Berechtigung Vorschlag

In dem folgenden Dialog wählen Sie einen TADIR-Service aus sowie die Programm-ID “R3TR” und den Objekttyp “IWSG”. Jetzt können Sie den auf dem Frontend-Gateway hinterlegten OData-Service auswählen. Anschließend wechseln Sie zu dem Reiter “Berechtigungen” um das aktuelle Profil der Berechtigungsobjekte mit der neuen Fiori Berechtigung zu generieren.

Wenn Sie diese Schritte durchgeführt haben, besitzt die behandelte Rolle Frontend-Seitig die nötigen Berechtigungen.

Fiori Berechtigung zum Aufruf des OData-Services auf dem Backend-Server

Wechseln Sie nun zu der Rollenpflege in der PFCG auf dem Backend-Server. Öffnen Sie die entsprechende Rolle im Änderungsmodus. Nun können Sie die Schritte wie oben bereits für das Frontend erläutert wiederholen. Bei der Auswahl des TADIR-Services als Berechtigungsvorschlag wählen Sie nun jedoch den Objekttyp “IWSV”. Hier können Sie den im Backend hinterlegten OData-Service der spezifischen Fiori-Applikation auswählen.

Wechseln Sie anschließend wieder zu dem Reiter “Berechtigungen” um das aktuelle Profil der Berechtigungsobjekte zu generieren.

Wenn Sie diese Schritte durchgeführt und die Rolle gesichert haben, besitzt sie die notwendigen Fiori Berechtigung um die auf den OData-Service bezogene Applikation zu starten.

Crashkurs Fiori S/4HANA Berechtigungen

In unserem Crashkurs S/4HANA und Fiori Berechtigungen erhalten Sie in einem halbtägigen Online-Learning alle nötigen Infos, um das neue Fiori-App-Konzept der SAP und S/4HANA skalierbar und optimal zu berechtigen.

Berechtigungen für die Geschäftslogik einer App

Damit die hinterlegte Geschäftslogik einer Applikation richtig ausgeführt werden kann, muss der ausführende Benutzer zusätzlich die notwendigen Berechtigungsobjekte in der Ablauflogik der OData-Services in seiner Rolle ausgeprägt haben. Werden hier Authority-Checks ausgeführt, um z.B. Daten auf dem Backend-Server abzufragen oder zu ändern, muss die entsprechende Rolle hierfür berechtigt werden.

Diese Berechtigungen werden durch Berechtigungsobjekte, wie in jedem ABAP-Report auch, in einer Rolle ausgeprägt.

Wenn Sie diese Schritte beachten, sollten Ihre Launchpad-Nutzer die notwendigen Fiori-Berechtigungen besitzen um das Launchpad zu starten, alle relevanten Kacheln zu sehen und die spezifischen Apps mit ihrer Geschäftslogik ausführen zu können.

Wenn Sie Fragen oder Beratungsbedarf haben, schreiben Sie uns gerne eine Mail an info@rz10.de. In unserem Crashkurs S/4HANA und Fiori Berechtigungen erhalten Sie in einem halbtägigen Online-Learning alle nötigen Infos, um das neue Fiori-App-Konzept der SAP und S/4HANA skalierbar und optimal zu berechtigen. Die neuesten Termine und eine Möglichkeit zur Anmeldung finden Sie hier: Mehr Informationen


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Luca Cremer

Autor

Luca Cremer

Fachbereichsleiter Security | Projektleiter | Security Consultant

Fragen? Anmerkungen?
Kontaktieren Sie mich

16 Kommentare zu "Fiori Berechtigungen für Apps und Kataloge im Launchpad"

Eine Frage zu den OData Service,

wo finde ich die Information Kachel -> OData Service.

Muss ich den Entwickler fragen, oder ist das irgendwo im SAP hinterlegt (Tabelle, Quellcode).

gruß

Hallo.
Also die Entwickler können da sicherlich helfen. Wenn Sie nur die Kachel haben, klappt es ja vielleicht auch mit den Debug-Tools des Browsers. Da sieht man dann den Aufruf im Trace. Hier ist eine Beispiel-Anleitung: https://wiki.scn.sap.com/wiki/display/BI/Find+OData+Service+URI+in+a+Fiori+App
Viele Grüße,
Tobias Harmes

Sehr geehrter Herr Harmes,

wie läuft es bei Eigenentwicklungen ab? Also wir haben eine Anwendung mit der Dynpro Technologie und dazu eine mobile Applikation mit der SAPUI Technologie. Müssen bei den AUTHORITY-CHECKs zwischen den Technologien unterschieden werden? Die im GUI erstellen Berechtigungen greifen nicht auf die mobile App zu, wie ist das zu lösen?

Besten Dank für Ihre Hilfe!

Schöne Grüße

Sehr geehrter Herr Hochhard.

Es fällt mir schwer eine pauschale Antwort zu finden. Sie sollten auf jeden Fall die Backend-Berechtigungen (die Geschäftslogik) weiterhin mit AUTHORITY-CHECKS absichern. Die Herausforderung ist dann, dass die User nur die Apps zu sehen bekommen, für die sie die OData-Services nutzen UND auch den Geschäftsprozess im Backend durchführen können. Wenn Sie AUTHORITY-CHECKS bei der Dynpro-Darstellung modelliert haben, müssen die entweder weiter nach hinten ins Backend wandern oder aber sie entfallen. Weil die entsprechende SAPUI5-App typischerweise kleiner geschnitten ist, und ich deshalb auch nicht verschiedene Sichten (User vs. Admin) auf einmal abbilde.
Diese abgesetzte Berechtigungslogik konsistent zu halten erfordert auf jeden Fall ein gutes Berechtigungskonzept, dass sowohl die Software- als auch die Berechtigungs-Entwickler auch beherzigen.

Mit freundlichen Grüßen,
Tobias Harmes

Sehr geehrte Damen und Herren,

kann ich die Katalogberechtigungen jeder beliebigen bestehenden Rolle hinzufügen?

Vielen Dank im Voraus

Mit freundlichen Grüßen

Hallo,
die Katalogberechtigungen können jeder beliebiger Rolle zugewiesen werden – es gibt hier keinen speziellen Rollentyp für Frontend-Rollen. Ist also eine ganz normale PFCG-Rolle.
Je nach Setting des Systems (Embedded oder externes Gateway) ergibt es jedoch durchaus Sinn dedizierte Rollen dafür anzulegen.

Grüße,
Luca Cremer

Moin,
kann man die Kacheln nicht verkleinern um es übersichtlicher zu gestalten ?
Danke

Hallo,
eine Verkleinerung der Kacheln ist vermutlich nur über Umwege möglich und nach Rücksprache mit meinen Mobility-Kollegen nicht empfehlenswert.
Die Übersichtlichkeit können Sie über die Gruppierungen der Kacheln herstellen – wenn das nicht ausreichen sollte, weil immer noch zu viele Kacheln in der Gruppe sind, könnten Sie die Übersichtlichkeit auch durch Hierarchien herstellen. In dem Blogbeitrag meiner Kollegen ist das ganz gut beschrieben: Fiori Launchpad Hierarchie Tool
Grüße,
Luca Cremer

Guten Morgen,
da Sie in den vorherigen Kommentaren sehr hilfreich waren, will ich meine Frage auch stellen:
Ich würde gerne wissen, warum folgende Objekte “zwingend” benötigt werden, um das Fiori Launchpad zu öffnen? Welche Funktion erfüllt das jeweilige Objekte für den gewünschten Aufruf?

Es handelt sich um diese Objekte:
S_RFC / S_RFCACL,
S_Service,
S_Start,
/UI/CHIP,
S_ESH_ADM / S_ESH_CAT / S_ESH_CONN / S_ESH_QL,
S_PROGNAM,
/UI/LREP,
S_PB_CHIP

Vielen Dank für Ihre Mühen im Voraus und viele Grüße!

Hallo,

Vielen Dank für Ihren Kommentar und Ihre Frage. Beim Aufruf des Fiori-Launchpads werden (Release-abhängig) verschiedene Berechtigungsobjekte geprüft. Dabei sind nicht alle Objekte tatsächlich für die Nutzung des Launchpads erforderlich, obwohl sie im Trace oder in der SU53 als Fehler angezeigt werden. Gerne können wir uns das direkt bei Ihnen im System ansehen – melden Sie sich dafür einfach über info@rz10.de bei uns!

Beste Grüße
Luca Cremer

Guten Tag, danke erst einmal für den guten Beitrag. Was mir noch verborgen bleibt, ist der Authority-Check in den OData Services. Frontend und Backend Rolle sind fertig, im Backend sind die mir “gelieferten” oder bekannten Objekte, am besten über die SU24, gepflegt. Aber wie kann ich jetzt prüfen ob der Service auch wirklich auf die Objekte entsprechend prüft? Im R3 gehe ich in die SE38, lasse mir den Quelltext anzeigen und suche halt nach Authority-Check, bei Bedarf im Include oder wenn ich gar nicht weiter komme gehe ich auf den Entwickler zu. Aber wie suche ich selber nach den Authority Checks in den Services ?

Hallo Herr Möller, die Berechtigungsprüfungen für ODATA-Services werden üblicherweise im SAP Gateway Service Builder (Transaktion SEGW) implementiert. Dort können Sie den Quellcode der einzelnen Services einsehen. Die Implementierung von Services entspricht allerdings einem anderen Design-Ansatz, sodass es nicht so ganz einfach ist, den Quellcode “von oben nach unten” zu lesen. Für ODATA-Services gibt es jedoch auch SU24 Vorschlagswerte, die Sie nutzen können. Generell empfehle ich Ihnen aber bei solchen Analysen auf Tools zurückzugreifen, welche eine Quellcode-Analyse ermöglichen – dadurch lassen sich recht leicht die Abfragen erkennen welche dort abgefahren werden. Lassen Sie uns gerne mal über Ihre Situation sprechen bei einem Telefonat.

Beste Grüße
Luca Cremer

Guten Tag,
besten Dank für den informativen Bericht!
Ich habe eine Frage zu der Analyse von Fiori Berechtigungsproblemen. Habe ich in der SU53 einen Service der einem Benutzer fehlt, wie kann ich prüfen, ob dieser schon in einer Rolle vorhanden ist? In der SUIM habe ich hierzu leider nichts gefunden.
Besten Dank
H. Medier

Hallo Herr Medier,

es gibt zum Beispiel die folgenden beiden Möglichkeiten:

1. SUIM -> Rollen nach komplexen Selektionskriterien -> Suchen nach Berechtigungsobjekt S_SERVICE (dieses Objekt steuert, welche Services ein User hat)
2. In S/4HANA Systemen gibt es in der SUIM ebenfalls folgende Option im Abschnitt Rollen: Suche nach Anwendungen im Rollenmenü -> Beim Feld “Typ des Menüeintrags” SAP Fiori App auswählen

Viele Grüße

Hallo Zusammen,
der Artikel hier ist schon etwas älter. Ich suche aktuell eine Möglichkeit einen Service in einen bestehenden oder in einen neuen Katalog aufzunehmen. Hintergrund ist der, dass mein Kunde und ich ein sauber gepflegtes Menü innerhalb der Berechtigungen anstreben.
Gibt es hierzu schon Ansätze?

Vielen Dank und viele Grüße

Hallo und vielen Dank für die Frage.

Die kurze Antwort lautet: Das geht über den Fiori Launchpad Content Manager (Transaktion /ui2/flpcm_cust). Wenn Sie weitere Beratung benötigen, schreiben Sie uns gerne eine Mail an info@rz10.de.

Viele Grüße aus der RZ10-Redaktion

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice