SAP S/4HANA Berechtigungen: Worauf muss ich achten?
Autor: Tobias Harmes | 16. August 2021
Was ist neu bei SAP S/4HANA hinsichtlich Berechtigungen? Worauf muss ich bezüglich Berechtigungen bei SAP Fiori und HANA DB achten? Ich habe mich mit Thomas Tiede, Geschäftsführer der Firma IBS Schreiber, in Hamburg für ein Gespräch zu diesem Thema getroffen.
… als Podcast
Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast
… auf YouTube
YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms
Feedback? harmes@rz10.de
Was ist neu an S/4HANA und worauf muss ich achten bei Berechtigungen?
Da S/4HANA nicht ein schlichtes Upgrade ist, sondern eine neue Technologie. Dadurch scheinen Berechtigungen im ersten Blick gleich zu bleiben, im zweiten Blick wird allerdings deutlich, dass sie technisch völlig anders aufgebaut sind. Ein gängiger Fehler ist es, die alten Rollen zu übernehmen und nur ein wenig anzupassen. Das führt dazu, dass die Berechtigungen im Projekt nicht ausreichend beachtet werden.
Was sind die größten Probleme?
Eins der größten Probleme ist die Technologie der SAP Fiori Apps. Auch wenn noch viele Transaktionen genutzt werden können, werden neue Funktionen von SAP nicht mehr transaktional ausgeliefert, sondern als SAP Fiori Apps. Diese müssen installiert und anschließend für Front- und Backend berechtigt werden. Da die Berechtigungen nicht mehr transaktional sind, sondern Serviceberechtigungen sind, kann ich sie nicht mehr über die GUI-Oberfläche aufrufen. Folglich gibt es Kachelkataloge, die angepasst werden müssen, was wiederum aufwändig ist. Durch diese Kacheln sieht es allerdings dann wesentlich moderner aus.
Wofür brauche ich Front- und Backend-Berechtigungen?
Damit man nicht unmittelbar aus dem Browser auf die S/4HANA zugreifen kann, empfiehlt es sich eine Verbindung zu einem Frontend-Server aufzumachen. Dieser muss kein einzelner Server sein, sondern kann auch innerhalb der S/4HANA laufen. Der Frontend-Server hat die Verbindung zum Fiori Launchpad, nimmt die Anforderungen entgegen und stellt die Verbindung zum Backend her. Das Backend ist dann die eigentliche S/4HANA. Der Anwender meldet sich folglich nicht direkt ins Backend, sondern im Frontendserver an. Über eine sicher RFC-Verbindung leitet er die Anfrage ins Backend durch, sodass über den Webbrowser kein direkter Zugriff auf die S/4HANA erforderlich ist. Durch ein Gateway wird also der Zugriff vom Gateway in die S/4 abgesichert.
Was sind die Backend-Berechtigungen und kriege ich auch einen S_TCODE?
Nein. Auf dem Frontend berechtige ich die App als Frontend-Version, wo drinsteht, ob ich die App anklicken darf. Falls der Zugriff gewährt wird, ruft die Frontend-App die Backend-App im Backend auf. Dort finden die tatsächlichen Berechtigungsprüfungen statt. Transaktionscodes (S_TCODE) gibt es bei Fiori Apps nicht mehr. Dies ist eine neue Variante. Es gibt aber nicht nur Fiori-Apps, sondern auch Legacy-Apps. In diesen steht die ganz normale S_TCODE Berechtigung dahinter.
Muss man nun mit der PFCG weitermachen?
Das ist eine Möglichkeit, denn im PFCG geht es um Frontend und Backend-Berechtigungen. Ebenfalls bleibt dadurch vieles wie vorher: Man hat eine PFCG, ein Menü, allerdings lädt man sich keine Transaktionen, sondern Apps herunter. Aber es gibt auch die Möglichkeit, einen Mischmodus zu fahren, indem man die Legacy-Apps weiter als Transaktionen nutzen. Dadurch ist der Aufwand nicht so groß. Das bedeutet, dass zwar die PFCG für die Fiori-Apps (2.000 Apps) benötigt wird, aber für die meisten Vorgänge (8.000 Legacy-Apps) in die S/4 können weiterhin die Transaktionen genutzt werden.
Worauf muss ich bei Fiori-Oberflächen achten?
Die Kacheln auf der Oberfläche sind nicht von alleine dort. Folglich müssen zuerst Kachelgruppen erstellt werden. Es muss festgelegt werden, welche Apps in welcher Gruppierung dem Anwender zur Verfügung gestellt werden sollen. SAP bietet dafür auch Standardgruppen an. Allerdings sollte man sich auch meistens eigene Gruppen schaffen, die Standardgruppen nicht zu den Prozessen passen. Wenn ein Benutzer eine Kachelgruppe bekommt, sieht dieser in seinem Frontend genau die Apps, die in dieser Gruppe vorhanden sind. In die Rolle werden dann nachher keine Apps, sondern Kachelgruppen reingezogen. Zusätzlich dazu gibt es noch die Kachelkataloge. In den Katalogen steht die Technik drin bzw. was für ein Service da drunter ist. Später hängen dort die Berechtigungsobjekte auch dort dran. Folglich werden zwei verschiedene Elemente benötigt.
Wer macht die Definition?
Häufig ist es so, dass sich keiner für die Pflege von Gruppen oder Katalogen zuständig, weshalb häufig die Gruppenkataloge nach Vorlage gebaut werden. Das Projekt selber erstellt und legt fest, welche Apps benötigt werden und wie diese gruppiert werden sollen. Wer das technisch dann genau anlegt, ist in den Unternehmen unterschiedlich, zum Teil der Entwickler, zum Teil der Berechtigungsadministrator.
Wie bekomme ich meine Backend-Berechtigungen?
Mit Hilfe von einem Report in S/4HANA kann aus einer Frontend-Rolle eine Backend-Rolle kreiert werden. SAP kennt also die zu der im Frontend installierten App gehörige Backend-App. Wenn man die Frontend-App designt und daraus die Rollen erstellt, dann kann aus dieser Rolle eine Backend-App gebaut werden. Dann werden die entsprechenden Backend-Apps schon gefunden und der Rolle zugefügt. Häufig ist es aber auch gewollt, dass die Backend-Rollen ein bisschen anders aufgebaut sein sollen, als die Frontend-Rollen. Dies macht es dann wiederum etwas aufwändiger. Wenn die App dann im Backend ist, ist es im Prinzip das Gleiche wie bei Transaktionen, da Apps genauso eine SU24-Vorgabe wie Transkationen haben. Außerdem zieht sich die App automatisch den Service runter genauso wie Transaktionen.
Ist es üblich, Ergänzungen für Fiori in der SU24 vorzunehmen?
Gerade bei der Nutzung von Fiori Apps ist es empfehlenswert, die Berechtigungsvorschläge zu pflegen. Es ist sinnvoll alleine aufgrund der Tatsache, dass man an den technischen Aufbau einer Rolle nicht mehr erkennen kann, welche App dahintersteckt. Ein anderer Punkt ist, dass eine Fiori App auch neu ausgeliefert werden kann in einer neuen Version, da eine neue Version eine ganz neue ID bekommt. Also ist es ein ganz neues Element, was auch neu berechtigt werden muss und der Rolle zugewiesen werden muss.
Typische Fehler
Ein häufiger Fehler ist, dass Unternehmen ihre alten Rollen in die S/4HANA zufügen und mit Sternchen versehen, damit alles läuft und nachher ignorieren, anstatt neue Rollen hinzuzufügen. Dies kann dazu führen, dass Mitarbeiter Berechtigungen besitzen, um bspw. alle Apps auszuführen. Wenn diese Rollen am Anfang ausgebaut werden, dann laufen die Anwender auf Fehler, da sie vorher die Projektrollen hatten und alles lief.
Was sind mit S/4HANA die Werkzeuge, mit denen man den Teil „Fiori Berechtigungen“ troubleshooten und tracen kann?
Die SU53 funktioniert natürlich weiterhin. Wenn der Berechtigungsadministrator die SU53 kennt und ein Benutzer hatte einen Fehler, dann kann er über die SU53 zu diesem Benutzer wechseln und diese Fehler anzeigen lassen. Das Problem ist, dass der Benutzer selbst das nicht mehr kann. Der Verantwortliche kann allerdings weiterhin die alten Werkzeuge nutzen. Ansonsten wird es in der Projektphase häufig mit den Traces gemacht, mit denen man nachschauen kann, ob überhaupt noch irgendwas an Fehlern hochkommt.
Gibt es Veränderungen bei den Prüfungen?
Für den Anwender ändert sich gar nichts, aber die Technik hat sich komplett verändert. Deshalb muss auch in den Prüfungen unterschiedlich vorgegangen werden. Eine Alternative dazu ist das Tool CheckAud von IBS Schreiber – dieses erkennt automatisch, ob es sich um ein ERP oder S/4 handelt. Wenn es eine S/4 ist, dann sucht er sich für die jeweilige S/4 Version die entsprechenden Apps raus und prüft die App Berechtigungen dazu mit den Berechtigungsobjekten. Der Endanwender prüft allerdings nach wie vor nur seinen Prozess.
Gibt es ein Äquivalent zu Transaktionen im SAP, mit dem man Analysen durchführen kann?
Nach dem jetzigen Stand ist dies eher schmal. Seit ein paar Jahren gibt es einen Report zum Auswerten von Apps in Rollen, für Benutzer gibt es das nur noch nicht. Wenn überprüft werden soll, ob die Rollen sauber ausgeprägt sind oder es in den Rollen SoD-Konflikte gibt, funktioniert dies im SAP mehr oder weniger gut. Allerdings ist es sehr aufwändig. Die klassische Revision ist jedoch schmal. Es kann nicht nach einer Fiori-App, sondern nur nach einem MD5-Hashwert suchen. Unternehmen, die Access Control einsetzen, können Fiori-Apps als Namen eingeben und können dadurch SoD-Konflikte geprüft werden. In Zukunft werden vermutlich mehr und mehr Tools für die Auswertung verwendet.
Gibt es Ergänzungen für das Berechtigungskonzept speziell für S/4HANA?
Eine neue Komponente ist der Frontend-Server, sofern er nicht im Backend mit installiert ist. Folglich wird ein eigenes Sicherheitskonzept für die Kommunikation zwischen Frontend- und Backendserver benötigt. Ein häufiges Problem bei Unternehmen ist, dass die verschiedenen neuen Apps beantragt werden müssen und dies ein neuer Schritt für den Fachbereich ist. Denn nun müssen sie sich immer mit dem technischen Namen beschäftigen. Wichtig dabei ist, dass die Anträge völlig neu aufgebaut werden müssen.
In unserem Crashkurs S/4HANA und Fiori Berechtigungen erhalten Sie in einem halbtägigen Online-Learning alle nötigen Infos, um das neue Fiori-App-Konzept der SAP und S/4HANA skalierbar und optimal zu berechtigen.
Was sollte ich bei SAP S/4HANA im Bezug auf Security beachten?
Zunächst ist wichtig, dass man mit HANA nun eine neue Ebene hat. HANA ist keine Datenbank, sondern vielmehr eine Applikation, die auch Datenbank sein kann. Somit befindet man sich auch auf einer neuen Ebene der Sicherheit, denn alle Entwickler, die im ABAP arbeiten, sind nun auch in der Datenbank. Folglich sind in der Datenbank nicht mehr nur die Admins, sondern auch zahlreiche Benutzer, weshalb ein Berechtigungs- und Sicherheitskonzept für HANA benötigt wird. Ansonsten könnten in der HANA Datenbank S/4-Daten geändert werden.
Braucht jeder ein Berechtigungskonzept für seine HANA DB?
Ja. Allerdings nutzen viele Kunden die HANA DB nur als Datenbank und haben keine Eigenentwicklungen drauf. Dann benötigen sie nur eine Berechtigungskonzept für ihre Administration. Dieses Konzept legt fest, wer welche Schritte durchführen kann und benötigt jeder Kunde. Wenn keine Anwendungsentwicklung betreibe, dann werden keine Entwicklerberechtigungen benötigt. Das führt dazu, dass es wesentlich übersichtlicher und schlanker ist. Viele Unternehmen nutzen deshalb die gegebenen Funktionen im ABAP Stack, allerdings nicht die Anwendungsentwicklungen in der HANA DB.
Weitere Informationen
Als Berechtigungsadministrator ist ADM945 von der SAP empfehlenswert, da es insbesondere um die S/4HANA-Spezifika mit den Fiori Apps geht. Dort wird genau erläutert, wie Rollen gebaut werden, wie man das Launchpad berechtigen kann und wie Gruppen und Kataloge funktionieren. Für Verantwortliche im Bereich Sicherheit sind Kurse bei IBS Schreiber zu empfehlen. In diesen Kursen wird weniger erklärt, wie man Dinge implementiert, sondern vielmehr, wie man sie prüft.
Report um aus Fiori-Frontend-Rollen Backend-Rollen zu generieren: PRGN_CREATE_FIORI_BACKENDROLES ( siehe Hinweis 2533007 – Übernahme des Rollenmenüs aus Frontend-Server)
Transaktion bzw. SUIM-Unterpunkt, um Berechtigungen für eine App in einer Rolle zu analysieren: RSUSR_START_APP Suche in Rollen nach startbaren Anwendungen 2449011 – SUIM| Suche nach startbaren Anwendungen in Rollen – RSUSR_START_APPL
Links:
- Buch „SAP HANA – Sicherheit und Berechtigungen“ von Thomas Tiede https://www.rheinwerk-verlag.de/sap-hana-sicherheit-und-berechtigungen_4814/
- SAP S/4HANA: https://rz10.de/knowhow/sap-s-4hana/
- FAQ – Wann muss ich auf HANA gehen?: https://rz10.de/sap-basis/sap-s4hana-faq-wann-muss-ich-auf-s4hana-gehen/
- FAQ – Was ist eigentlich dieses HANA?: https://rz10.de/sap-basis/sap-s4hana-faq-was-ist-eigentlich-dieses-hana-mit-ingo-biermann/
- FAQ – Ist das noch ABAP?: https://rz10.de/sap-basis/sap-s4hana-faq-ist-das-noch-abap/
Wenn Sie Fragen oder Beratungsbedarf haben, schreiben Sie uns gerne eine Mail an info@rz10.de. In unserem Crashkurs S/4HANA und Fiori Berechtigungen erhalten Sie in einem halbtägigen Online-Learning alle nötigen Infos, um das neue Fiori-App-Konzept der SAP und S/4HANA skalierbar und optimal zu berechtigen. Die neuesten Termine und eine Möglichkeit zur Anmeldung finden Sie hier: Mehr Informationen