Best Practices – SAP Rollentypen im Überblick

Autor: Luca Cremer | 7. Januar 2019

31

SAP Berechtigungsrollen können auf verschiedenste Weise genutzt werden. Dazu werden üblicherweise SAP Rollentypen unterschieden. In diesem Beitrag möchte ich Ihnen die von uns am häufigsten genutzten Typen und deren Funktionsweise einmal erklären.

Neben denen im SAP Standard vorgesehenen Rollentypen gibt es Unterscheidungen von Berechtigungsrollen hinsichtlich ihrer Verwendung im Unternehmenskontext. Warum das sinnvoll ist und wie Sie diese Rollen in Ihrem Unternehmen nutzen können, möchte ich Ihnen in dem folgenden Beitrag näher bringen.

SAP Standard Rollentypen

SAP unterscheidet zwischen zwei verschiedenen Typen von Rollen. Hier gibt es die Einzelrollen und Sammelrollen.

Diese unterscheiden sich, da sie SAP-technisch einen anderen Typen widerspiegeln. Sammelrollen sind ein Zusammenschluss von mehreren Einzelrollen. Bei der Zuweisung einer Sammelrolle zu einem Benutzer werden die zugeordneten Einzelrollen erkannt und dem User indirekt über die Sammelrolle zugewiesen.

In der SU01 sieht das dann wie folgt aus:

SAP Rollentypen

SAP Rollentypen

Hier ist in der rechten Spalte auch die Art der Zuweisung zu erkennen. Die unteren beiden Rollen stammen in diesem Fall aus einer Sammelrolle und sind dem Benutzer damit nur indirekt zugewiesen.

Verwendung von Sammelrollen

Fraglich ist ob und in welcher Form Sammelrollen sinnvoll eingesetzt werden sollten. Ein Szenario, welches wir oft sehen ist die Kombination von verschiedenen Einzelrollen für die Definition eines Arbeitsplatzes. Hier werden dann mehrere Rollen, zur Anzeige und Änderung von unterschiedlichsten Daten kombiniert, um alle Tätigkeiten eines Arbeitsplatzes vollkommen abzubilden.

Diese Art der Verwendung ist durchaus sinnvoll und kann die Arbeit bei der Zuweisung von Rollen, also wenn z. B. ein neuer Mitarbeiter in Ihr Unternehmen kommt, erleichtern.

Problematisch werden Sammelrollen sobald Berechtigungen abgeändert werden müssen und nicht die bereits erstellten Rollen genutzt werden können. Jetzt muss, als erster Schritt, analysiert werden an welcher Stelle die Berechtigungen überhaupt zu ändern sind. Wenn generell Sammelrollen im Einsatz sind, geht hierdurch auch schnell der Überblick verloren welche Auswirkungen die Anpassung einer Berechtigung in einer einzelnen Rolle hat, da die Rolle erstens verschiedenen Benutzern direkt zugewiesen sein kann aber auch zweitens noch in unterschiedlichsten Sammelrollen enthalten sein könnte.

Aufgrund der Übersichtlichkeit und Nachvollziehbarkeit von zugewiesenen Berechtigungen empfehlen wir deshalb die reine Verwendung von Einzelrollen.

Unser E-Book zum SAP Berechtigungskonzept

E-Book SAP Berechtigungskonzept

Wozu ein Berechtigungskonzept? Welche Elemente enthält es idealerweise und welche Tools erleichtern das Berechtigungsdesign?

Rollentypen – Best Practices

Neben der technischen Unterscheidung von Rollentypen aus dem SAP Standard können Rollen auch zusätzlich aufgrund ihrer Funktion typisiert werden.

Wir nutzen bei unseren Kunden häufig die folgenden Unterscheidungen von Rollentypen:

Referenzrolle

Hierbei handelt es sich um eine Funktionsrolle (Tätigkeitsbezogen) mit den entsprechenden Berechtigungsobjekten, jedoch ohne Ausprägung der Organisationsebenen. Sie dient sozusagen als Vorlage für die später folgenden abgeleiteten Rollen und kann deshalb für verschiedene Organisationseinheiten verwendet werden. Die Referenzrolle wird jedoch aufgrund der fehlenden Ausprägungen der Organisationsebenen niemals einem Benutzer zugewiesen.

Funktionsrolle – abgeleitet

Jede Funktionsrolle ist einer Referenzrolle zugeordnet. Die Funktionsrolle enthält die gleichen Berechtigungsausprägungen wie die Referenzrolle, hat in diesem Fall die Organisationsebenen jedoch ausgeprägt. Sie bildet also die Rolle, welche tatsächlich den Benutzer einer Organisationseinheit zugeordnet wird.

Für die Ableitung von Rollen kann der SAP Standard genutzt werden sowie externe Tools welche hier praktische Funktionen zur Pflege ermöglichen.

Weitere Informationen zu SAP Berechtigungstools

Basisrolle

Die Basisrolle enthält grundlegende Berechtigungen, welche jedem Benutzer in einem SAP System zugewiesen ist. Sie beinhaltet deshalb auch keine Ausprägungen von Organisationsebenen und kann direkt als Einzelrolle jedem Benutzer zugewiesen werden.

Werterolle

Eine Werterolle wird in Sonderfällen eingesetzt, um die Ausprägung eines bestimmten Berechtigungsfeldes spezifisch zu ermöglichen. Hierbei handelt es sich nicht um Organisationsebenen, sondern um tatsächliche Felder eines Berechtigungsobjektes. Ein häufiges Einsatzszenario hierfür ist die Festlegung einer Freigabegrenze für Einkäufer. In der dazugehörigen Funktionsrolle für den Einkäufer sind alle notwendigen Berechtigungen mit den Organisationseinheiten schon enthalten, jedoch möchte man hier auf eine globale Freigabegrenze verzichten, da es unterschiedliche Mitarbeiter gibt wo sich lediglich dieser Wert unterscheidet.

In einem solchen Fall wird das entsprechende Feld in der Funktionsrolle mit einer Dummy-Ausprägung versehen. Die Werterolle enthält dann nur das manuell hinzugefügte Berechtigungsobjekt mit der jeweiligen Ausprägung.

Unser E-Book zum SAP Berechtigungskonzept

E-Book SAP Berechtigungskonzept

Wozu ein Berechtigungskonzept? Welche Elemente enthält es idealerweise und welche Tools erleichtern das Berechtigungsdesign?

Vorteile dieser Unterteilung von Rollentypen

Wichtig bei der Verwendung solcher Rollentypen ist, dass sich die unterschiedlichen Rollentypen anhand des Rollennamens identifizieren lassen. Wir verwenden dazu in unserer Namenskonvention an einer vorgegebenen Stelle ein entsprechendes Kürzel für den Rollentypen.

Durch diese Vorgehensweise lassen sich die Berechtigungen eines Benutzers anhand seiner Rollenzuweisung “ablesen”. Hier ein Beispiel:

Ein Benutzer hat folgende Rollen zugewiesen:

  • Basisrolle für jeden SAP User
  • Funktionsrolle Einkäufer mit Organisationseinheiten für Deutschland
  • Werterolle mit Freigabegrenze 5.000 €

Hierdurch lässt sich sehr schnell erkennen, dass es sich um einen Mitarbeiter im Bereich Einkauf handelt, welcher für Deutschland zuständig ist und bis zu 5.000 € große Einkäufe selbst genehmigen darf.

Tobias Harmes
Jetzt Termin vereinbaren
Senior Experte Tobias Harmes

Behalten Sie ihr Berechtigungskonzept und den Systemstand im Blick: Strategieworkshop SAP Berechtigungen

Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per E-Mail info@rz10.de.

Mich interessieren Ihre Erfahrungen in Bezug auf eine sinnvolle Untergliederung von Rollentypen. Haben Sie noch einen sauberen Überblick über alle verwendeten Rollen in Ihrem System?

Bei Fragen können Sie sich gerne an mich wenden!

Sie benötigen Unterstützung in diesem Thema? Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Luca Cremer

Autor

Luca Cremer

Fachbereichsleiter Security | Projektleiter | Security Consultant

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice