Suche
Close this search box.

BEST PRACTICE SAP S/4HANA-BERECHTIGUNGSMIGRATION (Teil 2 – BROWNFIELD)

Im ersten Teil dieses Blogs habe ich aufgezeigt, wie Sie Ihr Migrationsprojekt anhand des Greenfield-Ansatzes mithilfe der XAMS methodisch umsetzen können. Hierbei wurde auch erklärt, dass eine einfache Überführung Ihrer bisherigen Rollen in die neue SAP S/4HANA Business Suite nicht ohne Weiteres möglich und eine Anpassung der Rollen somit obligatorisch ist. Anhand der On-Premise Produktvariante habe ich Ihnen exemplarisch Projektansätze für eine Erst- und insbesondere für eine Neuimplementierung dargestellt. Dabei lernten Sie die XAMS-Lösungen für die wichtigen Meilensteine Ihres Migrationsprojekts kennen:

  • das einfache Rollendesign anhand von Statistikdaten und bequeme Identifizierung SAP S/4HANA-bedingter Änderungen
  • die effiziente Durchführung der Testphase
  • die risikoarme Betriebsüberführung mit dem Protected Go-Live

In diesem zweiten Blogteil zeige ich Ihnen eine weitere Berechtigungsmigrationsmöglichkeit auf, den sogenannten Brownfield-Ansatz, und biete Ihnen einen vollumfänglichen Überblick zu den möglichen Projektansätzen. Hierbei werde ich das Vorgehen, Lösungswege und attraktive XAMS-Features anhand von Beispielen vorstellen. Im weiteren Verlauf wird Ihnen sicherlich auffallen, dass die beiden Ansätze, Green- und Brownfield hinsichtlich der Berechtigungsmigration gar nicht so unterschiedlich sind. 

Sie möchten weitere Informationen zu Berechtigungsmigrationsansätzen? Dazu empfehle ich diesen Blogbeitrag:

Bevor ich nun auf den Brownfield-Ansatz eingehe, möchte ich betonen, dass auch hier nahezu alle Geschäftsbereiche Ihres Unternehmens betroffen sind. Für ein nachhaltiges, korrektes Berechtigungskonzept sowie eine hohe Benutzerakzeptanz empfehlen wir daher eine enge Zusammenarbeit mit Ihren Fachbereichen.  

Der andere Weg der Berechtigungsmigration: Brownfield

Beim Brownfield-Ansatz, auch Systemkonvertierung genannt, migrieren Sie das bestehende SAP-System ERP 6.0 auf das neue SAP S/4HANA-Release. Damit setzen Sie auf dem bestehenden Altsystem und gleichsam den Altdaten und Rollen auf. Dieser Weg führt zwar schneller zum SAP S/4HANA-Migrationsziel, da kein neuer Aufbau des gesamten Systems notwendig ist, jedoch werden bei der Systemkonvertierung auch Altlasten beibehalten. Dies erschwert eine Annäherung zum SAP Best Practice und verhindert unter Umständen den Zugang zum vollen SAP S/4HANA-Potenzial. Berechtigungsseitig werden SAP S/4HANA-bedingte Änderungen entweder direkt in den Rollen angepasst oder über neue Rollen bereitgestellt. Bei Bedarf können Sie somit kleine Optimierungen an Prozessabläufen oder Ihrer Berechtigungsstruktur vornehmen. Abhängig von Ihrer Prozessstabilität und Konzeptqualität, gibt es zwei Maßnahmen hinsichtlich Ihrer SAP-Berechtigungen, welche Sie in Abbildung 1 nachvollziehen können:

  • Migration des SAP Berechtigungskonzepts
  • Redesign des SAP Berechtigungskonzepts
Abbildung 1: Projektoptionen Brownfield

Ein Redesign bzw. eine Neukonzipierung der Berechtigungen sollte dann gewählt werden, wenn das Berechtigungskonzept sicherheitsrelevante Anforderungen nicht erfüllt, schwierig zu warten ist oder Prozesse vollumfänglich optimiert werden müssen. Es eignet sich daher hervorragend für Unternehmen, die historisch gewachsene und zu weitreichende Berechtigungen zurücklassen und sich dem SAP Standard wieder annähern möchten. Trifft dies nicht auf Sie zu und es liegen eine gute Konzeptqualität sowie stabile Prozesse vor, stehen Ihnen die Türen für eine standardkonforme Migration Ihres SAP-Berechtigungskonzepts offen. Doch was ist unter einer „guten Konzeptqualität“ zu verstehen? 

Konzeptqualität: Das A und O für eine standardkonforme SAP S/4HANA-Berechtigungsmigration

Zielsetzung sollte stets die Implementierung eines sicheren und wartbaren Berechtigungskonzepts sein. Dies erreichen Sie durch standardisierte und fragmentierte Job-Rollen unter Berücksichtigung sicherheitsrelevanter Anforderungen, intern wie extern. Eine hohe Konzept- bzw. Rollenqualität erfüllt nicht nur Sicherheitsfaktoren wie bspw. die Vermeidung von Funktionstrennungskonflikten oder kritischen Berechtigungen, sie erfordert auch einen SAP-standardkonformen Rollenbau unter strikter Nutzung der Berechtigungsvorschlagswerte (Stichwort Transaktion SU24). Bei der Rollenimplementierung und -wartung wird beim ordnungsgemäßen Rollenbau, bis auf Ausnahmen wie bspw. generierte SAP_ALL-Profile, auf veränderte und manuelle Objekte verzichtet. Insbesondere Rollenprofile mit manuellen Startobjekten (S_TCODE, S_SERVICE, S_START und S_RFC) können nicht im Profilgenerator mit den in der SU24 hinterlegten Vorschlagswerten abgemischt und nach SAP S/4HANA überführt werden. 

Abbildung 2: Beispiel manuelles S_TCODE Objekt

Von einer standardkonformen Migration ausgeschlossen sind außerdem Rollen mit Wertebereichen in den erwähnten Startobjekten, da der Abgleich der Rollenmenüobjekte mit der Simplification List for SAP S/4HANA erschwert oder auch unmöglich ist, siehe Abbildung 2.

Für eine standardkonforme Migration ist dieser beschriebene SAP Best Practice die oberste Prämisse, da die SAP S/4HANA-relevanten Anpassungen direkt in den alten Rollen erfolgen. 

Zusammenfassend ist die Prüfung der technischen Rollenqualität ein entscheidender Faktor für den geeigneten Migrationsansatz. Um die Analyse der Rollenqualität zu vereinfachen, bietet der Role Profiler der XAMS Reports für die Identifizierung manueller Berechtigungen. So können die aktiv zugewiesenen Rollen auf technische Mängel gescannt und schließlich kundenindividuell bewertet werden. Daraus lässt sich erschließen, ob eine Behebung dieser technisch und zeitlich überhaupt möglich ist und somit eine standardkonforme SAP S/4HANA-Migration erfolgen kann. Folgende Abbildung zeigt die Analyse der Rollen im Role Profiler:

Abbildung 3: Auswertung Rollenqualität für manuelle Objekte im XAMS Role Profiler

Möchten Sie weiter in den Best Practice Rollenbau eintauchen? Folgende Blogs bieten einen tieferen Einblick:

BROWNFIELD PROJEKTOPTION 1: Technische Konvertierung – ein Kompromiss

Die technische Konvertierung ist eine Kompromisslösung für Unternehmen, die kein standardkonformes Rollenkonzept besitzen und zeitbedingt keine ganzheitliche Neukonzipierung der Berechtigungsrollen durchführen können. Ein Redesign Ihres gesamten Berechtigungskonzepts muss jedoch mittelfristig in Erwägung gezogen werden, um die Wartbarkeit und Sicherheit der Rollen auch zukünftig gewährleisten zu können. Da das bestehende Rollenkonzept nicht SU24-konform implementiert wurde, hat ein Profilabgleich entsprechend negative Auswirkungen auf die bestehenden Ausprägungen und birgt daher hohe Risiken. Bei der technischen Konvertierung müssen notwendige S/4HANA Applikationen über zusätzliche neue Rollen bereitgestellt und die alten Rollen beibehalten werden. Möglicherweise birgt dieses Vorgehen sogar größeren Aufwand. 

BROWNFIELD PROJEKTOPTION 2: Standardkonforme SAP S/4HANA Berechtigungsmigration – Best Practice

Ganz im Sinne des Xiting Best Practice stelle ich Ihnen nun das Vorgehen der standardkonformen SAP S/4HANA-Migration vor und gehe auf die XAMS Features ein, die Ihnen in den komplexen Arbeitspaketen eine willkommene Hilfe sein können. In Abbildung 4 sind die drei Hauptprojektphasen aufgeführt. Vergleicht man beide Migrationsansätze, Green- und Brownfield, so stellt man fest, dass sie sich in nur in einer Phase voneinander unterscheiden, nämlich der Rollendesignphase. Die Testsimulation und der Protected Go-Live erfolgen analog. Diese beiden Phasen wurden inhaltlich bereits im ersten Blogteil erläutert und werden hier daher nicht näher beschrieben.

Abbildung 4: Projektmethodik Brownfield Standardkonforme Migration

Phase 1 der standardkonformen SAP S/4HANA-Berechtigungsmigration: Rollendesign/Migration

In diesem Projektschritt werden alle SAP S/4HANA-bedingten Änderungen in Ihren Rollen analysiert und schließlich migriert. Informationsgrundlage dafür ist die «Simplification List for SAP S/4HANA» der SAP, welche auch in der XAMS integriert ist und Release-abhängig an Sie ausgeliefert werden kann. Dadurch entfällt für Sie der zeitintensive, manuelle Abgleich Ihrer Rolleninhalte mit der Simplification List.

Mit dem XAMS Role Profiler können bspw. Benutzern zugewiesene Rollen hinsichtlich der in SAP S/4HANA ungültigen Transaktionen geprüft werden. Sie erhalten eine Ergebnisliste mit Rollen, die angepasst werden müssen, wenn Sie diese auch nach der Systemmigration auf SAP S/4HANA verwenden wollen.

Abbildung 5: Auswertung Rollenqualität für manuelle Objekte im XAMS Role Profiler

Ein weiteres attraktives Feature dieses Reports ist die Auflistung neuer Ersatzanwendungen, seien es Transaktionen, SAP-Fiori-Apps oder andere Webapplikationen. Sie erhalten damit, wie in folgender Abbildung zu sehen ist, umfassend notwendige Informationen, welche auch für Ihre Geschäftsbereiche entscheidend sind.

Ein Bild, das Text enthält.  Automatisch generierte Beschreibung
Abbildung 6: Rollenmigration mit dem XAMS Role Profiler

In Abbildung 7 sehen Sie obsolete Transaktionen, bspw. „XK01“ (Anlegen Debitor), welche durch die Transaktion „BP“ (Geschäftspartner bearbeiten), oder bei Bedarf auch durch die Fiori Apps F3163 usw. ersetzt wird. In der Spalte „Anpassen“ können Sie die obsoleten Anwendungen ad-hoc in Ihren Rollen ersetzen oder über die Check-Box in der Spalte „Hinzufügen“ erweitern. Das Rollenmenü in der PFCG wird schließlich angepasst und das Berechtigungsprofil der Rolle kann im Profilgenerator weiterbearbeitet werden.

Abbildung 7: Ad-Hoc-Anpassung im Role Profiler

Hinweis:

Aufgelistete OData Services, die als Ersatz aufgeführt werden, sind ein Indiz dafür, dass SAP-Fiori-Applikationen benötigt werden. Mehr dazu finden Sie in Teil 1 und folgendem Blogbeitrag:

Wie anfänglich erwähnt, können Sie auch beim Brownfield-Ansatz flexibel auf kleine Prozessoptimierungen reagieren, indem Sie bspw. Zusatzrollen erstellen. Nehmen wir als Beispiel die Notwendigkeit einer restriktiven Vergabe der Transaktion „BP“ (Geschäftspartner bearbeiten). Mit dem XAMS Role Profiler erhalten Sie eine Erweiterungsfunktion in der Sie SAP S/4HANA-Neuerungen direkt in eine neue Rolle aufnehmen können: 

Ein Bild, das Text, Tisch enthält.  Automatisch generierte Beschreibung
Abbildung 8: Erstellung neuer Rolle für SAP S/4HANA Neuerungen im XAMS Role Profiler

Zusammenfassend lässt sich also festhalten: Mit der XAMS erhalten Sie für alle Arbeitsschritte dieser Migrationsphase wichtige Werkzeuge unter Berücksichtigung der korrekten Vorgehensweise, um Ihre Rollen bequem und nachhaltig standardkonform zu migrieren. 

Hinweis am Rande – Eigenentwicklungen: Die mit der in SAP S/4HANA erfolgte Umstrukturierung des Datenmodells könnte Seiteneffekte auf Ihre Eigenentwicklungen haben. Kundenprogramme sollten daher auf eine weitere Verwendbarkeit überprüft und gegebenenfalls im Quellcode angepasst werden, bspw. wenn Programme auf in SAP S/4HANA veraltete Tabellen zugreifen.

Fazit: Greenfield oder Brownfield?

Nun haben Sie die Projektoptionen der Greenfield- und Brownfield Berechtigungsmigration unter Einsatz der XAMS kennengelernt. Eine Pauschalempfehlung gibt es bei der Wahl des Ansatzes nicht. Es erfordert die Bewertung vieler, kundenindividueller Faktoren und hängt zuletzt auch von Ihren Präferenzen und Ressourcen ab. Eine umfassende Systemanalyse von Xiting inklusive einem S/4HANA Readiness Check oder der Austausch mit einem unserer erfahrener Berater im Rahmen eines SAP S/4HANA Workshops kann Ihnen bei der Bewertung weiterhelfen. Für beide Ansätze bietet die XAMS praktikable Lösungen. 

Darüber hinaus bietet Xiting ein umfangreiches Service-Angebot zu allen Themen rund um SAP Sicherheit, SAP S/4HANA und SAP-Berechtigungen. Besuchen Sie auch unsere regelmäßigen Webinare im Bereich SAP Security. Kontaktieren Sie uns einfach und stellen Sie Ihre Fragen rund um das Thema Brownfield- und Greenfield-Ansatz an einen unserer Experten und Expertinnen sowie in diesem Zusammenhang zu den Best Practices bei Ihrer Migration der Berechtigungen nach SAP S/4HANA.

Vanessa Albuera
Kontakt

Nehmen Sie Kontakt mit uns auf!

Haben Sie Fragen zu unseren Produkten?

+41 43 422 8803
[email protected]
+49 7656 8999 002
[email protected]
+1 855 594 84 64
[email protected]
+44 1454 838 785
[email protected]
Kontakt
Webinare

Besuchen Sie unsere Live-Webinare und lernen Sie von unseren Experten mehr zu SAP-Berechtigungen, XAMS, SAP IDM und zu vielen weiteren Themen im Kontext von SAP Security.

Hier anmelden