So funktionieren Rollen und Berechtigungen in der SAP Public Cloud Edition

Autor: Lucas Hoppe | 3. Juli 2025

4
Berechtigungen S/4HANA Public Cloud

Wie können Unternehmen das Berechtigungsmanagement in der SAP S/4HANA Public Cloud effizient und transparent gestalten? In diesem Artikel erfahren Sie, wie u. a. vordefinierte Business Roles eine einfache Verwaltung von Berechtigungen ermöglichen.

Was sind SAP Public Cloud Berechtigungen?

Wer aus der klassischen SAP-Welt kommt, denkt bei Berechtigungen sofort an Transaktionen wie PFCG (für Rollenpflege), SU24 (für Berechtigungsvorschläge) oder SU01 (für Benutzerverwaltung). In der SAP S/4HANA Public Cloud unterscheidet sich das Berechtigungskonzept jedoch grundlegend. Statt auf manuelle und technische komplexe Rollenpflege zu setzen, arbeitet die Public Cloud mit einem rollenbasierten Modell, das auf Business Usern und vordefinierten Business Roles basiert.

Das heißt: Wer Zugriff auf bestimmte Funktionen oder Apps benötigt, erhält entweder eine standardisierte Rolle, die SAP passend zum Prozess oder Arbeitsplatz mitliefert, oder eine individuelle Rolle, die von Administratoren flexibel angepasst und erweitert werden kann.

Auch das Lizenzmodell für die Nutzer ist klar strukturiert und transparent: Es gibt verschiedene Lizenzkategorien für die User – , Self-Service, Core und Advanced, die sich in ihren Rechten und Kosten unterscheiden. So behalten Unternehmen nicht nur die Kontrolle über Zugriffsrechte, sondern auch den Überblick über ihre Lizenzkosten und können flexibel auf neue Anforderungen reagieren. Warum das so wichtig ist? Gerade in der Cloud, wo Mitarbeiter ortunabhängig und flexibel arbeiten, ist ein durchdachtes Berechtigungskonzept entscheidend, um Sicherheit und Effizienz zu gewährleistet.

E-Book S/4HANA Berechtigungen

E-Book: S/4HANA Berechtigungen

Im E-Book erhalten Sie Knowhow und Tipps, um Fiori und S/4HANA richtig zu berechtigen.

Was ist ein Business User in der SAP S/4HANA Public Cloud?

Stellen wir uns das einmal an einem Beispiel vor: Lisa arbeitet im Einkauf eines Unternehmens und soll künftig mit der SAP S/4HANA Public Cloud arbeiten. Oder Tobias, ein externer Berater, der nur für ein paar Wochen bei einem Projekt unterstützen soll. Oder Rudi aus der IT, der das System administriert. Alle drei verbindet: Sie benötigen Zugang zum System – und genau hier kommt der Begriff Business User ins Spiel.

Ein Business User ist in der SAP S/4HANA Public Cloud jede natürliche Person, die sich aktiv ins System einloggt und dort auf Basis zugewiesener Rollen bestimmte Aufgaben übernimmt. Ob Mitarbeiter, Administrator oder externer Dienstleister – wer produktiv mit dem SAP S/4HANA Public Cloud System arbeitet, benötigt diesen Status.

In der klassischen On-Premises-Welt spricht man in diesem Zusammenhang oft vom Dialogbenutzer. In der SAP S/4HANA Public Cloud sind vor der ersten Anmeldung jedoch zwei Schritte erforderlich:

  • Zuerst wird der Nutzer als Mitarbeitender (Worker) im System erfasst – inklusive grundlegender Stammdaten wie Name, Nachname und E-Mail-Adresse. Anschließend wird ein Business User angelegt und optional direkt mit den benötigten Rollen versehen.
  • Zum Schluss muss der Benutzer zusätzlich im SAP Identity Authentication Service (IAS) registriert werden – eindeutig identifizierbar über E-Mail-Adresse und Business User ID. Nur so ist eine sichere Authentifizierung gewährleistet.
  • Nach der Anlage im IAS erhalten die Nutzer automatisch eine Einladungsmail, über die sie ihren Zugang aktivieren und ein individuelles Passwort festlegen. Erst dann können sie sich im SAP S/4HANA Public Cloud-System anmelden und mit ihrer Arbeit beginnen.

Ein interessantes Detail: Solange ein Business User weder entsperrt noch mit Rollen ausgestattet ist, fallen keine Lizenzkosten an. Benutzerkonten lassen sich somit frühzeitig vorbereiten und registrieren – ohne unmittelbare Gebühren. Erst durch die Kombination aus Rollenvergabe und Entsperrung wird automatisch die zutreffende Preiskategorie auf Basis der zugewiesenen Rollen ermittelt – und der Nutzer wird lizenzpflichtig.

Rollenpflege in der Public Cloud: Von manueller Arbeit zu vordefinierten Standards

Rollen mühsam in der Transaktion PFCG zusammenbauen, Berechtigungen manuell pflegen, Transaktionen einzeln hinzufügen – das war bis jetzt ein zeitintensiver und fehleranfälliger Prozess.

Dabei soll nun die SAP S/4HANA Public Cloud unterstützen: Statt jedes Mal von Grund auf neu zu beginnen, stehen mehr als 130 vordefinierte Business Roles zur Verfügung. Diese beinhalten alle notwendigen Komponenten wie Fiori-Apps, Spaces & Pages, vordefinierte Restriktionen (Catalog Restrictions) sowie Berechtigungen (Authorizations), die den jeweiligen Geschäftsprozess vollständig abdecken. Hier müsste man nur noch die jeweiligen Organisationseinheiten pflegen. Ob im Einkauf, der Buchhaltung oder der Lagerlogistik – für viele zentrale Geschäftsbereiche sind Standardprozesse bereits abgebildet. Das vereinfacht nicht nur die Erstkonfiguration, sondern sorgt auch für Konsistenz, Transparenz und höhere Sicherheit im System. Sollten individuelle Anforderungen bestehen, lassen sich diese Rollen flexibel erweitern oder anpassen. So unterstützt die Public Cloud ein prozessnahes, standardisiertes und zugleich anpassbares Berechtigungsmanagement.

Business Catalogs: Der Schlüssel zu Apps, Berechtigungen – und Lizenzen

Neben der Business Roles gibt es auch die Business Catalogs. Sie legen fest, welche Anwendungen und Berechtigungen einer Rolle zugewiesen sind, und sind somit das zentrale Element jeder Rolle. Diese Anwendungskataloge steuern in der SAP S/4HANA Public Cloud, welche Fiori-Apps ein Nutzer überhaupt sehen und nutzen darf.

Ein Beispiel zur Veranschaulichung: Jede der rund 130 Standardrollen, die SAP im System bereitstellt, ist bereits mit passenden Business Catalogs ausgestattet. Diese enthalten genau die Anwendungen (Fiori-Apps), die für die Ausführung bestimmter Aufgaben innerhalb eines Geschäftsprozesses benötigt werden – zum Beispiel für das Lieferantenmanagement, die Rechnungsprüfung oder das Angebotswesen. Ein Business Catalog ist also eine thematische App-Sammlung und eine Business Role setzt sich aus mehreren solchen Katalogen zusammen. So entsteht ein klares, modulares Berechtigungskonzept, das sich an den jeweiligen Geschäftsprozessen orientiert und gleichzeitig ein hohes Maß an Wiederverwendbarkeit und Transparenz bietet.

Business Catalogs bilden Business Roles

Besonders relevant ist dabei, dass in der SAP S/4HANA Public Cloud die Lizenzkategorie eines Business Users direkt von den zugewiesenen Rollen und den darin enthaltenen Business Catalogs abhängt. Welche Apps und Funktionen ein User sehen und nutzen darf, bestimmt somit nicht nur seine Berechtigungen, sondern auch seine Lizenzkosten. Das System ermittelt dabei automatisch die passende Preiskategorie basierend auf dem zugewiesenen Funktionsumfang.

Besonders spannend ist, dass mit dem Release 2502 (Februar 2025) in der SAP S/4HANA Public Cloud ein neues Feature für das Berechtigungsdesign eingeführt wird:
Mit dem Konzept der „App Authorization Variants“ können einzelne Fiori-Apps innerhalb eines Business Catalogs gezielt aktiviert oder deaktiviert werden – ganz ohne die gesamte Rolle neu erstellen zu müssen.

Cloud-Landschaften wachsen, neue SAP-Services werden integriert – doch wie bleibt die Identitäts- und Zugriffsverwaltung dabei effizient, sicher und regelkonform? In unserem Webinar erfahren Sie, wie Sie Identity und Access Management (IAM) in der SAP Business Technology Platform (BTP) optimal umsetzen.

Diese granulare Steuerung erfolgt über die Fiori-App „Maintain Business Roles“, die dafür um den neuen Tab „IAM Apps“ erweitert wurde. Damit wird die Business Role nicht länger als monolithische Einheit behandelt, sondern als flexibler Baukasten, bei dem einzelne Apps als kleinste Steuerungseinheit dienen. Das ermöglicht ein präziseres, rollenbasiertes Berechtigungsmanagement mit deutlich mehr Anpassungsmöglichkeiten – ohne die Wartbarkeit zu beeinträchtigen.

SAP Public Cloud Management in der Praxis

In der SAP S/4HANA Public Cloud sind Benutzerlizenzen kein separates Thema mehr, sondern eng mit dem Rollenkonzept verknüpft. Denn die Nutzung der Fiori-Apps hängt davon ab, welche Preiskategorie einem Nutzer basierend auf seinen Rollen zugewiesen wird. Die Zuweisung von Business Roles und den zugehörigen Business Catalogs entscheidet darüber, ob ein Business User als Self-Service-, Core- oder Advanced-User klassifiziert wird.

Mit dem Full Use Equivalent (FUE)-Modell, das SAP im Rahmen von RISE with SAP eingeführt hat, wird die Lizenzverwaltung deutlich flexibler. Statt – wie in der On-Premises-Welt – für jede Nutzerart separate Lizenzen erwerben zu müssen, kaufen Unternehmen nun FUEs: eine Art „Lizenzwährung“, die den Gesamtbedarf abbildet.

Die Umrechnung erfolgt wie folgt:

  • 1 FUE = 1 Advanced User
  • 1 FUE = 5 Core User
  • 1 FUE = 30 Self-Service User

So kann ein Unternehmen flexibel entscheiden, wie es seine Lizenzen auf die jeweiligen Nutzergruppen verteilt. Ein Beispiel verdeutlicht das Prinzip: Enthält eine Business Role mehrere Catalogs, unterschiedlicher Lizenzkategorien, richtet sich die Lizenzstufe des Business Users stets nach der höchsten enthaltenen Preiskategorie. Wird die Rolle einem User zugewiesen, so wird auch seine Preiskategorie am Ende bestimmt und kann jederzeit wieder geändert werden.

Zur Lizenzanalyse bietet SAP die Fiori-App „IAM Key Figures“ (IAM-Kennzahlen) an. Diese ermöglicht Administratoren einen zentralen Überblick über Benutzerkonten und deren Berechtigungen. Dazu gehören u. a.:

  • Anzahl aktiver und inaktiver Nutzer
  • Rollenzuweisungen pro User
  • Letzte Anmeldungen
  • Rollen ohne Einschränkungen
  • Lizenzkategorien aller Benutzer

Quelle: SAP Learning Hub

Ein besonderer Vorteil der App: Sie hilft dabei, Optimierungspotenziale im Lizenz- und Berechtigungsmanagement frühzeitig zu erkennen. So lassen sich etwa ungenutzte Benutzerkonten aufräumen, überflüssige Rollen identifizieren oder Lizenzzuweisungen gezielt anpassen. Gleichzeitig unterstützt die App eine lückenlose Dokumentation – ein entscheidender Aspekt für interne Kontrollen und externe Audits. Damit leistet sie einen wichtigen Beitrag zu Transparenz, Kosteneffizienz und Compliance in der SAP S/4HANA Public Cloud.

Fazit

Insgesamt bietet die SAP S/4HANA Public Cloud eine effiziente und transparente Lösung für das Berechtigungsmanagement. Durch die Nutzung von standardisierten Business Roles und vorkonfigurierten Anwendungen wird der Aufwand für das Rollendesign verringert. Business Catalogs ermöglichen eine klare Berechtigungsstruktur, während das Full Use Equivalent (FUE)-Modell eine flexible Lizenzzuweisung erlaubt. Mit der Fiori-App „IAM Key Figures“ behalten Unternehmen alle wichtigen Kennzahlen zu Benutzern, Rollen und Lizenzen im Blick. So können sie ihr Berechtigungsmanagement in der SAP Public Cloud effektiv steuern und gleichzeitig Transparenz, Sicherheit und Kostenkontrolle gewährleisten.

SAP Cloud Security einfach umsetzen

Wir sorgen dafür, dass Ihre SAP Cloud Security einfach und nachhaltig umgesetzt wird und Ihre Systeme compliant und sicher sind.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Lucas Hoppe

Autor

Lucas Hoppe

B.Sc. Wirtschaftsinformatik

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice