Best Practices – SAP Rollentypen im Überblick
Autor: Luca Cremer | 7. Januar 2019
SAP Berechtigungsrollen können auf verschiedenste Weise genutzt werden. Dazu werden üblicherweise SAP Rollentypen unterschieden. In diesem Beitrag möchte ich Ihnen die von uns am häufigsten genutzten Typen und deren Funktionsweise einmal erklären.
Neben denen im SAP Standard vorgesehenen Rollentypen gibt es Unterscheidungen von Berechtigungsrollen hinsichtlich ihrer Verwendung im Unternehmenskontext. Warum das sinnvoll ist und wie Sie diese Rollen in Ihrem Unternehmen nutzen können, möchte ich Ihnen in dem folgenden Beitrag näher bringen.
SAP Standard Rollentypen
SAP unterscheidet zwischen zwei verschiedenen Typen von Rollen. Hier gibt es die Einzelrollen und Sammelrollen.
Diese unterscheiden sich, da sie SAP-technisch einen anderen Typen widerspiegeln. Sammelrollen sind ein Zusammenschluss von mehreren Einzelrollen. Bei der Zuweisung einer Sammelrolle zu einem Benutzer werden die zugeordneten Einzelrollen erkannt und dem User indirekt über die Sammelrolle zugewiesen.
In der SU01 sieht das dann wie folgt aus:
Hier ist in der rechten Spalte auch die Art der Zuweisung zu erkennen. Die unteren beiden Rollen stammen in diesem Fall aus einer Sammelrolle und sind dem Benutzer damit nur indirekt zugewiesen.
Verwendung von Sammelrollen
Fraglich ist ob und in welcher Form Sammelrollen sinnvoll eingesetzt werden sollten. Ein Szenario, welches wir oft sehen ist die Kombination von verschiedenen Einzelrollen für die Definition eines Arbeitsplatzes. Hier werden dann mehrere Rollen, zur Anzeige und Änderung von unterschiedlichsten Daten kombiniert, um alle Tätigkeiten eines Arbeitsplatzes vollkommen abzubilden.
Diese Art der Verwendung ist durchaus sinnvoll und kann die Arbeit bei der Zuweisung von Rollen, also wenn z. B. ein neuer Mitarbeiter in Ihr Unternehmen kommt, erleichtern.
Problematisch werden Sammelrollen sobald Berechtigungen abgeändert werden müssen und nicht die bereits erstellten Rollen genutzt werden können. Jetzt muss, als erster Schritt, analysiert werden an welcher Stelle die Berechtigungen überhaupt zu ändern sind. Wenn generell Sammelrollen im Einsatz sind, geht hierdurch auch schnell der Überblick verloren welche Auswirkungen die Anpassung einer Berechtigung in einer einzelnen Rolle hat, da die Rolle erstens verschiedenen Benutzern direkt zugewiesen sein kann aber auch zweitens noch in unterschiedlichsten Sammelrollen enthalten sein könnte.
Aufgrund der Übersichtlichkeit und Nachvollziehbarkeit von zugewiesenen Berechtigungen empfehlen wir deshalb die reine Verwendung von Einzelrollen.
Rollentypen – Best Practices
Neben der technischen Unterscheidung von Rollentypen aus dem SAP Standard können Rollen auch zusätzlich aufgrund ihrer Funktion typisiert werden.
Wir nutzen bei unseren Kunden häufig die folgenden Unterscheidungen von Rollentypen:
Referenzrolle
Hierbei handelt es sich um eine Funktionsrolle (Tätigkeitsbezogen) mit den entsprechenden Berechtigungsobjekten, jedoch ohne Ausprägung der Organisationsebenen. Sie dient sozusagen als Vorlage für die später folgenden abgeleiteten Rollen und kann deshalb für verschiedene Organisationseinheiten verwendet werden. Die Referenzrolle wird jedoch aufgrund der fehlenden Ausprägungen der Organisationsebenen niemals einem Benutzer zugewiesen.
Funktionsrolle – abgeleitet
Jede Funktionsrolle ist einer Referenzrolle zugeordnet. Die Funktionsrolle enthält die gleichen Berechtigungsausprägungen wie die Referenzrolle, hat in diesem Fall die Organisationsebenen jedoch ausgeprägt. Sie bildet also die Rolle, welche tatsächlich den Benutzer einer Organisationseinheit zugeordnet wird.
Für die Ableitung von Rollen kann der SAP Standard genutzt werden sowie externe Tools welche hier praktische Funktionen zur Pflege ermöglichen.
Basisrolle
Die Basisrolle enthält grundlegende Berechtigungen, welche jedem Benutzer in einem SAP System zugewiesen ist. Sie beinhaltet deshalb auch keine Ausprägungen von Organisationsebenen und kann direkt als Einzelrolle jedem Benutzer zugewiesen werden.
Werterolle
Eine Werterolle wird in Sonderfällen eingesetzt, um die Ausprägung eines bestimmten Berechtigungsfeldes spezifisch zu ermöglichen. Hierbei handelt es sich nicht um Organisationsebenen, sondern um tatsächliche Felder eines Berechtigungsobjektes. Ein häufiges Einsatzszenario hierfür ist die Festlegung einer Freigabegrenze für Einkäufer. In der dazugehörigen Funktionsrolle für den Einkäufer sind alle notwendigen Berechtigungen mit den Organisationseinheiten schon enthalten, jedoch möchte man hier auf eine globale Freigabegrenze verzichten, da es unterschiedliche Mitarbeiter gibt wo sich lediglich dieser Wert unterscheidet.
In einem solchen Fall wird das entsprechende Feld in der Funktionsrolle mit einer Dummy-Ausprägung versehen. Die Werterolle enthält dann nur das manuell hinzugefügte Berechtigungsobjekt mit der jeweiligen Ausprägung.
Vorteile dieser Unterteilung von Rollentypen
Wichtig bei der Verwendung solcher Rollentypen ist, dass sich die unterschiedlichen Rollentypen anhand des Rollennamens identifizieren lassen. Wir verwenden dazu in unserer Namenskonvention an einer vorgegebenen Stelle ein entsprechendes Kürzel für den Rollentypen.
Durch diese Vorgehensweise lassen sich die Berechtigungen eines Benutzers anhand seiner Rollenzuweisung „ablesen“. Hier ein Beispiel:
Ein Benutzer hat folgende Rollen zugewiesen:
- Basisrolle für jeden SAP User
- Funktionsrolle Einkäufer mit Organisationseinheiten für Deutschland
- Werterolle mit Freigabegrenze 5.000 €
Hierdurch lässt sich sehr schnell erkennen, dass es sich um einen Mitarbeiter im Bereich Einkauf handelt, welcher für Deutschland zuständig ist und bis zu 5.000 € große Einkäufe selbst genehmigen darf.
Behalten Sie ihr Berechtigungskonzept und den Systemstand im Blick: Strategieworkshop SAP Berechtigungen
Unsere Referenzen finden Sie hier.
Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per E-Mail info@rz10.de.
Mich interessieren Ihre Erfahrungen in Bezug auf eine sinnvolle Untergliederung von Rollentypen. Haben Sie noch einen sauberen Überblick über alle verwendeten Rollen in Ihrem System?
Bei Fragen können Sie sich gerne an mich wenden!