Egal ob 100 oder 100.000 – SAP Rollenbau mit sapix – zu Gast: Mathias Weschmann
Autor: Tobias Harmes | 25. September 2020
Bei der Entwicklung von Rollenkonzepten und Berechtigungen ist das Tool Sapix hilfreich. Über die Erstellung von Konzepten, die Funktionsweise sowie Vorteile des Tools spreche ich mit Mathias Weschmann, Gründer der Fa. Asap Professional Security Net.
…auf YouTube
YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms
…als Podcast
Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast
Feedback? harmes@rz10.de
Ach ja, Berechtigungen müssen wir auch noch machen
Folgende Situation: Die Rollenbauer kommen recht spät in ein Projekt rein und wissen nicht so genau, was sie bauen sollen. Ein Berechtigungskonzept wird benötigt, allerdings fehlt die Zeit und das Geld. Dann muss alles schnell gehen und es kommt zu Fehlern. Dazu müssen die Informationen für das Bauen der Rollen zusammengesucht werden. Wenn diese Informationen bekannt sind, beginnt der Rollenbau händisch mit der PFCG. Das ist allerdings sehr zeitaufwändig, häufig fehlerhaft und es muss sich auf Namenskonventionen geeinigt werden.
Wie hilft Sapix beim Rollenbau?
Sapix bietet eine Kombination aus Excel-Vorlage und ABAP-Reports, mit Hilfe derer die Vorgaben und Wünsche aus dem Fachbereich einfach in ein Rollenkonzept überführt werden können. Die gesammelten Informationen werden strukturiert in das SAP eingelesen und PFCG-Rollen dann so angelegt, dass sie bereit zum Test sind. Das Tool nimmt im Projekt dann Entwicklern sehr viel die lästigen Arbeit in der PFCG ab.
Nutzungsszenario S/4HANA
Zum Beispiel ist der Wechsel zu S/4HANA kein Releasewechsel, sondern es ist ein Systemwechsel. Somit kommen neue Objekte mit hinzu. Zwar können zahlreiche Transaktionen, die vorher verwendet werden, auch für S/4HANA genutzt werden. Jedoch müssen die Rollen neu gebaut werden. Durch neue Objekte wie Fiori-Kacheln wird der Aufwand nicht geringer. Da hilft das Tool Sapix, das die Rollen bauen kann.
Wann ist der ideale Startpunkt für die Entwicklung eines Rollenkonzepts?
Am besten ist es, auch direkt am Anfang des Projektes mit dem Rollenkonzept zu beginnen. Dadurch können Berater direkt erfahren, welche Business Functions und Prozesse in dem neuen S/4HANA abgebildet werden und mit welchen Mitteln dies geschieht. Wenn sofort Kenntnis darüber besteht, können die Rollen unmittelbar gebaut und getestet werden.
Ebenso benötigt bspw. ein Kreditorenbuchhalter zahlreiche Transaktionen und Fiori Kacheln, um sein Pensum abdecken zu können. Auch das ist möglich, aber je nachdem wie die Organisation sich die Planung vorgestellt hat, kann das auch mit Risiken behaftet sein. Dies kann zu einem großen Problem werden, wenn Rollen gebaut werden, die schon selbst risikobehaftet sind. Das kann bei kleineren Organisationen zwar vorkommen, diese sollten sich über das Risiko trotzdem im Klaren sein.
Optimal ist es, wenn die Prozessdokumentation im Soll-Zustand vorliegt. Dadurch wird klar, welche Rolle gebaut werden soll und welche Transaktion in das Menü eingegeben werden soll. Im Anschluss kann schon das Profil generiert werden. Mit diesem kann dann bereits der Test durchgeführt werden.
Wie läuft der Rollenbau mit Sapix ab?
Wie bereits erwähnt, müssen zunächst alle Informationen geklärt werden. Wenn eine Transaktion in eine Rolle eingepflegt werden soll, dann kann entweder eine bereits bestehende Rolle verwendet werden oder es muss für einen neuen Prozess eine neue Rolle gebaut werden.
Mithilfe des Tools wird in Excel eine Business Function definiert. Eine Business Function ist ein Prozess oder ein Prozessbündel. Dadurch können bspw. die Prozesse „Kostenstelle anlegen“ und „Kostenstelle ändern“ als Business Function „Pflege Kostenstelle“ bezeichnet werden. Bei dem Bau der Rollen gibt es verschiedene Strategien, sodass jeder Fall unterschiedlich ist. Es kann somit auch sein, dass mehrere Rollen benötigt werden, um jemanden mit all seinen Berechtigungen auszustatten. Das Tool gibt also nichts vor, sondern führt „nur“ aus.
Wie sieht die Aufteilung der Rollen aus?
Wenn die Rollen auf Business Funtion-Ebene eingerichtet werden, gibt es sehr granulare und sehr viele Rollen. Die Rollen können aber auch nach Vorschlägen gebaut werden, wie ein Arbeitsplatz aussehen soll. So können bspw. Rollen für die Benutzung des Firefighters gebaut werden. Diese enthält dann alle Rollen, die FI zugeordnet sind. Es liegt also an der Strategie, wie die Rollen gebaut werden sollen. Mit Sapix können beide Strategien verfolgt werden.
Der granulare Rollenbau ist sinnvoll, da die Rolle dann in Ruhe auf die Richtigkeit geprüft werden kann. Wenn diese Business Function mit einer granularen Rolle möglich ist, dann kann der Inhalt der Rolle auch für das Access Control genutzt werden. Welche Strategie sinnvoller ist, hängt meist von der Größe des jeweiligen Unternehmens und den Auflagen ab. Je größer das Unternehmen, desto granularer die Rollen.
Wie fertig sind Rollen von Sapix? Was muss danach passieren?
Die Rollen müssen selbstverständlich getestet werden. Die Qualität des Profils hängt in erster Linie vom Inhalt der SU24 ab, in der die Berechtigungsvorschläge vorhanden sind. Für diese gibt es keinen globalen Standard – jeder Kunde hat seine eigene SU24. Es gibt zwar eine Auslieferung von der SAP, aber, die aber nicht vollständig ist.
Jedes Unternehmen sollte aus Sicht von Mathias Weschmann bei der SU24 selbst entscheiden, da der Aufwand, diese zu pflegen, groß ist. Aber auch da liegt die Entscheidung bei dem Unternehmen. Wenn die Rollen nach dem Minimalprinzip gut erstellt wurden, dann ist die SU24 weniger wichtig. Wenn die Rollen immer wieder geändert werden müssen, sollte die SU24 gut gepflegt sein. Bei einem guten Konzept muss nur dann nachgebessert werden, wenn neue Prozesse hinzukommen oder sich bspw. die Unternehmensstruktur verändert.
Kann die Rolle im Nachhinein weiterhin gepflegt werden?
Wenn die Rolle mit Sapix angelegt wurde, kann im Nachhinein alles genauso mit der PFCG durchgeführt werden, wie wenn sie händisch erstellt worden wäre. Es gibt also keinen Nachteil im Nachhinein. Alle Transkationen, Funktionsbausteine und Tabellen werden auch von dem Tool verwendet.
Welche Empfehlungen gibt es für das Erstellen eines Rollenkonzepts?
Es ist aus Sicht von Mathias Weschmann empfehlenswert, die Rollen immer granular zu bauen. So kann sichergestellt werden, dass das Minimalprinzip eingehalten wird. Bei einer Rolle von 20+ Transaktionen kann es schnell zu einem Profil kommen, das man nicht mehr überblicken kann. Zudem wird es dann schwieriger den Überblick zu behalten, falls weitere Werte bspw. aus der SU53 eingetragen werden müssen. Dann hat das Konzept schnell nichts mehr mit dem Minimalprinzip zu tun.
Wie werden Funktionstrennungskonflikte verhindert?
Wenn ein Unternehmen über SAP GRC verfügt und die Risikomatrix final existiert, dann können diese Informationen für den Rollenbau genutzt werden. So müsste es mit einem Bündel aus der Abfrage möglich sein, eine Rolle zu bauen. Es wird ein Prozess erstellt, der dann wieder für den weiteren Rollenbau genutzt werden kann. Mit der bestehenden Risikomatrix kann folglich getestet werden, wie viel mit diesen Rollen möglich ist.
Im ersten Schritt ist das Ergebnis bspw.: Der User hat die Möglichkeit, 20 Business Functions abzubilden. Im zweiten Schritt geht es darum, ob die Rollen so ausgestattet, dass es innerhalb eines Buchungskreises stattfindet. In einer Risikomatrix wird dies meist nicht berücksichtigt. Wenn die Rollen granular gebaut werden, ist man eher auf der sicheren Seite.
Zudem ist es wichtig, dass schon während die Rollen gebaut werden, notiert wird, welche Business Functions nicht kombiniert werden dürfen. Dazu sollte die IT immer in Kontakt mit dem Rollenbauer sein, da es ansonsten zu Konflikten wegen „mangelnder Berechtigungen“ kommt.
Sie möchten mehr zu Sapix wissen oder haben eine Frage? Schreiben Sie uns gerne einen Kommentar unter den Beitrag oder eine Mail an info@rz10.de
Sie möchten mehr über sapix erfahren? Jetzt unverbindlich und kostenlos per Klick anfordern: