Einzelrollen vs. Sammelrollen – Eine kritische Beleuchtung

SAP-Berechtigungen Mohammed Akram Benbrahim

In diesem Beitrag geht es um ein Thema, womit sich mit Sicherheit jeder Berechtigungsadministrator schon mindestens einmal befasst hat – der Vergleich zwischen zwei verschiedenen Rollentypen: Einzelrollen und Sammelrollen. Macht es Sinn, konzeptionell funktionsbasierte Einzelrollen oder doch eher Sammelrollen im SAP-System zu erstellen? Meine Gedanken und Erfahrungen in Bezug auf diese Fragestellung und die Gründe für eine Bevorzugung von funktionsbasierten Einzelrollen werden in diesem Blogbeitrag veröffentlicht. 

Was sind funktionsbasierte Einzelrollen?

Eine funktionsbasierte Einzelrolle ist eine einzelne Rolle, die all jene Anwendungen und Berechtigungen enthält, die von den jeweiligen Job-Funktionen benötigt werden. Die Job-Funktionen entsprechen dabei nicht zwangsläufig den Arbeitsplatzbeschreibungen im HR, sondern spiegeln vielmehr das Selbstverständnis der einzelnen Abteilungen wider im Hinblick auf deren Tätigkeitsbereiche bzw. deren Aufgabenspektrum innerhalb eines Geschäftsprozesses.

Transaktion PFCG – Änderung von Rollen

Diese beispielhafte Einzelrolle beinhaltet alle Anwendungen und somit auch die Berechtigungen für die Funktion Finanzen-Kreditorenstammdaten. Die SU24 ist Grundlage für ein sicheres und sauberes Rollendesign. Nähere Informationen zum optimalen Rollenbau mit der PFCG & SU24 können Sie dem Blog meines Kollegen Alexander Sambill entnehmen.

Diese Rolle wird dann den Benutzern im SAP-system zugewiesen, die bspw. per Organisationsmanagement oder Arbeitsplatzanalyse als Kreditorenbuchhalter eingeordnet sind. Die Benutzer müssen jedoch darüber hinaus auch weitere Funktionen innerhalb von SAP ausführen. Daher müssen ihnen auch weitere Job-Funktionsrollen zugewiesen werden.

Was ist eine Sammelrolle?

Eine Sammelrolle kann als ein Container von mehreren Einzelrollen verstanden werden. Dadurch können Sie einem Benutzer indirekt mehrere Einzelrollen zuordnen, indem Sie nur die Sammelrolle zuweisen, die die Einzelrollen enthält. Wie es in der SU01 aussieht wird in dem folgenden Beispiel anhand eines Screenshots gezeigt. 

Beispiel: ZP_MS_FI_XXXX_BUCHHALTER – Sammelrolle für Buchhalter

  1. Rolle: ZP_ME_FI_XXXX_BELEGANZEIGE – Einzelrolle für Beleg anzeigen
  2. Rolle: ZP_ME_FI_XXXX_ZAHLUNGSLAUF – Einzelrolle für Zahlungslauf
  3. Rolle: Einzelrolle X, Y, Z etc. für weitere Jobfunktionen oder Zusatzfunktionen
SU01 – Benutzer anzeigen

In diesem Screenshot zur Rollenzuweisung zu einem Benutzer ist in der letzten Spalte die Art der Zuweisung zu erkennen. Die ersten zwei Einzelrollen stammen aus der Sammelrolle ZP_MS_FI_XXXX_BUCHHALTER und sind dem Benutzer damit nur indirekt zugewiesen. Dadurch ist es theoretisch möglich, eine Job-Funktion direkt als Sammelrolle darzustellen, da man die jeweiligen Einzelrollen in diese Rolle integrieren kann.

Konsequenterweise könnten Sie sich jetzt fragen, warum Sammelrollen dann für den Best-Practice-Rollenbau nur bedingt eingesetzt werden?

Was sind die Herausforderungen bei Sammelrollen?

Zunächst werden Einzel- und Sammelrollen von Ihrem SAP-System namentlich nicht unterschieden. Sie sollten sich daher beim Anlegen bzw. bei der Benennung Ihrer Rollen ein Namenskonzept überlegen, welches die Unterscheidung von Einzel- und Sammelrollen ersichtlich macht.

Für die weitere kritische Betrachtung werden neben der Sammelrolle „Buchhalter“ auch noch die Sammelrollen „Vertriebssachbearbeiter“ und „Retourenmitarbeiter“ herangezogen.

Eine Übersicht über die zugeordneten Einzelrollen in den verschiedenen Sammelrollen finden Sie in der folgenden Tabelle:

Nun darf der Vertriebsmitarbeiter nur auf die Belegart DA (Customer Document) zugreifen. Das heißt, Sie müssten jetzt die Berechtigungen in der Einzelrolle Beleg anzeigen auf den Belegtyp DA reduzieren.

Eine Anpassung der Einzelrolle Beleg anzeigen würde sich somit auch auf die Berechtigungen des Buchhalters und des Retourenmanagers auswirken. Auch der Buchhalter, der in unserem Beispiel uneingeschränkten Zugriff auf alle Belege haben soll, könnte dann nur noch auf Belegart DA zugreifen. Dies führt zu einem unerwünschten Berechtigungsfehler für die Buchhalter sowie auch für die Retourenmanager.

Um die Anforderung, die inzwischen eine Dringlichkeitsstufe erreicht hat, umzusetzen ohne Seiteneffekte auf andere Rollen auszulösen, wird erfahrungsgemäß häufig Folgendes gemacht:

Die Einzelrolle Beleg anzeigen ZP_ME_FI_XXXX_BELEGANZEIGE wird kopiert zu Einzelrolle ZP_ME_FI_XXXX_BELEGANZ_ONL_DA und dem Vertriebsmitarbeiter nach erfolgtem Transport zugewiesen. Die ursprüngliche Rolle Beleg anzeigen wird dem Vertriebsmitarbeiter entzogen.

Die neue Rollenzuordnung nach der Anpassung der Einzelrolle Beleg anzeigen finden Sie in der folgenden Tabelle:

Diese Art von Anfragen werden sich mit der Zeit definitiv häufen, so dass man je nach Prozessdynamik den Pfad des Urpsungskonzepts schnell wieder verlassen hat. 

Hier sind noch weitere Ideen, um dennoch am Sammelrollenkonzept festzuhalten: Es lässt sich argumentieren, dass man Einzelrollen mit Sammelrollenbezug erstellt. In der Theorie ist auch das ein gängiger Weg. Wenn Sie jedoch diese Einzelrollen erstellen, könnten Sie auch direkt funktionsbasierte Einzelrollen erstellen und diese würden sogar durch das Weglassen der Sammelrollen eine zusätzliche Ebene der Verwaltung einsparen. Eine funktionsbasierte Einzelrolle für die Buchhalter wäre bspw. die Rolle ZP_ME_FI_XXXX_BUCHHALTER, für die Vertriebsmitarbeiter die Rolle ZP_ME_FI_XXXX_VERTRIEBSMITARBEITER und für die Retourenmanager die Rolle ZP_ME_FI_XXXX_RETOURENMANAGER.

Hinsichtlich des Beispiels des Vertriebsmitarbeiters soll jedoch maximal die Belegart DA eingesehen werden. Bei einem funktionsbasierten Einzelrollenkonzept brauchen wir die gewünschte Anpassung nur in der Rolle ZP_ME_FI_XXXX_VERTRIEBSMITARBEITER umzusetzen und ohne negative Auswirkungen auf andere Rollen befürchten zu müssen.

Anzahl Benutzer – Anzahl Rollen-Verhältnis

Wenn zum Beispiel ein Benutzerbereich von 200 Benutzern berechtigt werden müsste, wäre es ineffizient 50 Sammelrollen zu erstellen, die in sich jeweils 10 Einzelrollen tragen. Im Ergebnis sind 500 Einzelrollen sowie 50 Sammelrollen zu verwalten. Wohl gemerkt, dass im Hinblick auf das erste Beispiel die Anzahl der Einzelrollen stetig steigen würde.

Bei einem funktionsbasierten Einzelrollenkonzept würde man die Job-Funktion identifizieren, die die Benutzer ihrem Selbstverständnis nach in SAP einnehmen. Bei einer Anzahl von 200 Benutzern, die in Ihrem SAP-System verteilt in 6 Modulen (FI, CO, MM, PP, PS, SD) arbeiten, könnten dies ca. 5 Rollen pro Modul sein bzw. ungefähr 30 Rollen.

Fazit: Die Vor- und Nachteile von Einzel- und Sammelrollen auf einen Blick

Vorteile von Einzelrollen

  • Jede Einzelrolle beinhaltet nur die Transaktionen und Berechtigungen, die mit dem Rollennamen, der Rollenbeschreibung, der Einordnung zu einem Prozess und den angegebenen Organisationsebenen und -werten übereinstimmen
  • Einfaches, transparentes Berechtigungskonzept, welches nicht nur die Wartung, sondern auch die Beantragung von Rollen erleichtert.
  • Anzahl der Rollen im System wird reduziert. Das bedeutet, Zeit und Kostenersparnis für die Rollen- und Benutzerverwaltung (Ebenfalls bei EHP-Upgrade und HANA-Migrationen).
  • Möglichkeit zur Optimierung der Gruppierung von Funktionen sowie auch zur Individualisierung von Rollenzuweisungen.
  • Keine Seiteneffekte auf andere Job-Funktionen, da die Jobrolle in sich autark funktioniert.
  • Einhaltung des Datenschutzes auf Rollenebene.

Nachteile von Einzelrollen

  • Modulhoheiten bzw. modulfremde Berechtigungen müssen mit den Verantwortlichen gut abgestimmt werden, da alles in eine Rolle gebaut wird.

Vorteile von Sammelrollen

  • Kombiniert verschiedene Einzelrollen für die Definition eines Arbeitsplatzes.
  • Das Einrichten einer Sammelrolle macht Sinn, wenn ein Mitarbeiter Berechtigungen für mehrere Einzelrollen benötigt. Anstatt den Benutzer in jede benötigte Einzelrolle einzutragen, kann man eine Sammelrolle einrichten und die Benutzer dieser Sammelrolle zuordnen.

Nachteile von Sammelrollen

  • Gefährden die Ziele des Berechtigungskonzepts aufgrund der unbewussten Überlagerung von Berechtigungen.
  • Führen zu unerwünschten Seiteneffekte, wenn Einzelrollen in verschiedenen, im schlimmsten Fall abteilungsübergreifenden Sammelrollen stecken.
  • Die Rollenanzahl im System wird erhöht.
  • Objekt-Duplikation: Je mehr Einzelrollen Sie in einem Sammelrolle haben oder generell einem Benutzer zugeordnet sind, desto mehr Berechtigungsduplikate haben Sie.

Zusammenfassung

Wie Sie sehen, gelten Einzelrollen als Best Practice. Sie bieten die größte Flexibilität und Nachvollziehbarkeit von zugewiesenen Berechtigungen, sowie auch Transparenz hinsichtlich SoD-Konflikten, da alles in einer Job-Rolle steckt und man nicht jeden Benutzer mit seinen Rollenzuweisungen einzeln betrachten muss. Dem gegenübergestellt sind Sammelrollen weniger flexibel, gefährden die Ziele des Berechtigungskonzepts aufgrund der unbewussten Überlagerung von Berechtigungen und führen zu unerwünschten Seiteneffekten bei Änderungen an Einzelrollen. Aus diesem Grund ist die Verwendung von Einzelrollen empfohlen.

Für nähere Hilfestellungen rund um das Thema Einzelrolle und Sammelrolle wenden Sie sich an unseren SAP Security Support. Gerne können Sie sich auch über weitere Services und Produkte im Bereich SAP-Berechtigungen informieren, oder nehmen Sie an einem unserer kostenlosen Webinare teil. Wir unterstützen Sie gerne dabei, ein nachhaltiges Berechtigungskonzept in Ihrem SAP-System zu erstellen. 

Mohammed Akram Benbrahim
Letzte Artikel von Mohammed Akram Benbrahim (Alle anzeigen)
Kontakt

Nehmen Sie Kontakt mit uns auf!

Haben Sie Fragen zu unseren Produkten?

+41 43 422 8803
[email protected]
+49 7656 8999 002
[email protected]
+1 855 594 84 64
[email protected]
+44 1454 838 785
[email protected]
Kontakt
Webinare

Besuchen Sie unsere Live-Webinare und lernen Sie von unseren Experten mehr zu SAP-Berechtigungen, XAMS, SAP IDM und zu vielen weiteren Themen im Kontext von SAP Security.

Hier anmelden