Die Meinung der SAP-Community IT-Security Kolumne MAG 1811

Zu Unrecht unterschätzt: Ein einheitliches SAP User Management

It Security
Geschrieben von Thomas Tiede, IBS

Die Migration auf S/4 Hana steht für alle an, die SAP ERP einsetzen. Eine solche Migration ist ein komplexes Projekt, in dem auch das Berechtigungskonzept angepasst werden muss.

Die Strategie der SAP geht weg von der Nutzung von Transaktionen im SAP GUI und hin zu den Fiori-Oberflächen (Fiori-Apps), die über einen Webbrowser aufgerufen werden. Zusätzlich zu den Fiori-Apps (S/4 Hana 1809: ca. 1300 Apps) bietet SAP eine Vielzahl von Legacy-Apps im SAP Fiori App-Store an (S/4 Hana 1809: ca. 8600 Apps), die bereits dem „Look-and-feel“ von Fiori entsprechen und auch mit derselben Systematik berechtigt werden. Im SAP-Hinweis 2310438 ist beschrieben, wie der „SAP Readiness Check für S/4 Hana“ ausgeführt werden kann.

Viele der Apps können alternativ zu den Transaktionen eingesetzt werden. Allerdings werden Funktionen in S/4 Hana teilweise auch nur noch über Apps zur Verfügung gestellt. Die ERP-Transaktionen dazu sind dann obsolet.

Ein Beispiel dazu sind die Bankenstammdaten. Die „alten“ Transaktionen sind im Rahmen des Kompatibilitätsmodus zwar noch ausführbar, werden aber durch die Fiori-App Manage Banks abgelöst. Auch existiert eine Vielzahl von Transaktionen, die von S/4 Hana nicht mehr unterstützt werden.

Diese Änderungen sind spezifiziert in der „Simplification List for SAP S/4 Hana“, die für jedes Release verfügbar ist. Einen Überblick über die Komponenten, die nicht mehr zum S/4-Hana-Standard-Umfang gehören, aber noch bis zum 31. 12. 2025 genutzt werden können, gibt die Kompatibilitätsumfangsmatrix (SAP-Hinweis 2269324).

Um Zugriffe von einem Webbrowser auf ein S/4-Hana-System abzusichern, kann das bekannte Prinzip von Front-End- und Back-End-Server eingesetzt werden. Der Back-End-Server ist das S/4-Hana-System.

An diesem System melden sich die Anwender nicht direkt an. Der Front-End-Server ist ein meist separates SAP-System, welches über Trusted RFC mit dem Back-End verbunden ist. Benutzer melden sich an dem Front-End-Server an.

Dort erhalten sie auch die Berechtigungen zum Aufruf von Fiori-Apps. Über Rollen werden ihnen Kachelgruppen (Zusammenstellung der Fiori-Apps; jede App wird als einzelne Kachel dargestellt) und Kachelkataloge (enthalten u. a. die erforderlichen Startberechtigungen zur Ausführung der Apps) zugeordnet.

Führt ein Benutzer eine App aus und hat er im Front-End die dafür erforderlichen Berechtigungen, so wird über die Trusted-Verbindung diese App im Back-End ausgeführt. Dort muss ein Benutzerkonto mit identischem Namen existieren.

Im Back-End muss der Benutzer dann ebenfalls die Berechtigung für die App besitzen sowie für die Aktion, die mit der App ausgeführt wird (z. B. Beleg buchen oder Bestellung anlegen).

Beim Einsatz von Apps ändert sich auch die Art der Berechtigung. Transaktionen werden anhand ihres Kürzels (z. B. FK01, ME21N, SU01) berechtigt. Die Fachbereiche kennen ihre Transaktionen, daher sind z. B. Rollenanträge diesbezüglich relativ einfach zu gestalten.

Apps haben ebenfalls technische Kürzel, z. B. FCLM_BAM_FS_BANK_SRV oder FAC_FINANCIALS_POSTING_SRV. Apps werden als Service im SAP-System installiert. Diese erhalten einen individuellen, 30-stelligen Hashwert (z. B. 00015405C7CFB2723B3F7C4340AA24).

Dieser Hashwert wird in den Rollen berechtigt. Daher ist anhand der Berechtigungswerte in den Rollen nicht mehr erkennbar, welche Funktionen damit berechtigt werden.

Der App-Name wird nur noch im Rollenmenü in den Kachelkatalogen angezeigt. Dies stellt insbesondere für die Fachbereiche eine große Umstellung dar, da auch die Rollenanträge entsprechend angepasst werden müssen.

Die Überarbeitung des Berechtigungskonzepts stellt daher einen wesentlichen Teil der S/4-Hana-Migration dar. Zum einen ändert sich die Technik, zum anderen auch die Konzepte und die Antragsverfahren.

Des Weiteren sind die Fachbereiche hinsichtlich der neuen Berechtigungssystematik zu schulen, da sie direkt ins Antragsverfahren und in Rezertifizierungsprozesse zu Berechtigungen eingebunden sind.

Über den Autor

Thomas Tiede, IBS

Thomas Tiede ist Geschäftsführer von IBS Schreiber.

Hinterlassen Sie einen Kommentar

AdvertDie Meinung 2