Migration auf SAP S/4HANA (Teil II): Bauen Sie Ihr Berechtigungskonzept einfach & präzise mit XAMS!

In diesem SAP S/4HANA-Blog gehe ich nun speziell auf das Thema der Berechtigungen ein, da die Einführung von SAP S/4HANA nicht nur architektonische und prozessuale Änderungen mit sich bringt, sondern vor allem auch das Berechtigungskonzept im Vergleich zum SAP ERP aufgearbeitet und angepasst werden muss.

Im ersten Teil der Blog-Serie „Migration auf SAP S/4HANA – Basics (Teil I)“ habe ich dargestellt, vor welchen Einsatzszenarien und Ansätzen Sie als SAP-Kunde im Zuge der neuen Produktlinie SAP S/4HANA stehen. Dabei ging es grundsätzlich darum, die konzeptionelle Vorbereitung vor der Einführung zu beleuchten und Ihnen die Herausforderungen und Lösungen in diesem Kontext aufzuzeigen.

Um die Umstellung so komfortabel und zielgerichtet wie möglich zu gestalten, vereint die Xiting Authorizations Management Suite (kurz XAMS) eine Vielzahl an Features, die Ihnen einen umfassenden Anteil der Umstellungsarbeiten abnimmt und während des Alltagsbetriebs unterstützt. Da SAP S/4HANA eine neue Produktlinie und keine Weiterentwicklung des SAP ERP darstellt, ist somit im Umkehrschluss auch keine 1:1 Berechtigungsumstellung zur neuen Businesssoftware möglich. Im Folgenden werde ich zum einen auf die notwendige Standardkonformität eingehen, zum anderen die Migration der Berechtigungen zur vollumfänglichen Nutzung der neuen Lösung erläutern.

Die Herausforderung & Lösung – Standardkonformität

Einer der wichtigsten Vorbereitungsmaßnahmen vor der Überführung des alten SAP ERP zur neuen HANA DB-basierten Lösung ist die Prüfung der Standardkonformität des aktuellen Berechtigungskonstrukts. Je standardkonformer, desto schneller und unterbrechungsfreier kann ein Wechsel erfolgen. Nur was heißt im Kontext der Berechtigungen standardkonform? Hinsichtlich dieser Fragestellung sind folgende Sachverhalte zu beachten:

Standardkonformer Rollenbau

Um den Arbeitsaufwand und die Migration so reibungslos wie möglich zu gestalten, muss Ihr aktuelles Rollenkonzept im Standard gebaut sein. Das heißt im Umkehrschluss, dass keine manuellen oder veränderten Berechtigungsobjekte in den Rollen vorhanden sein dürfen, da sonst eine standardkonforme Migration nicht möglich ist. Dies ist nicht nur aus Security-Sicht wichtig, sondern auch, weil SAP S/4HANA nun auch zwingend eine Standardkonformität voraussetzt und dies für einen bevorstehenden Releasewechsel technisch unabdingbar ist.

Für Sie als Kunde bedeutet das, dass Sie zwangsweise mit der SU24 arbeiten müssen. Hinsichtlich der Berechtigungen ist dies aber Best Practice und absolut notwendig. Besonders unter dem Fokus der Minimierung des Wartungs- und Pflegeaufwands Ihrer Rollen ist die Nutzung der SAP-Vorschlagswerte eine wichtige Voraussetzung. Wie Sie saubere und wartbare Rollen bauen, habe ich bereits in meinem Blog „Xiting Best Practice Rollenbau – Optimaler Rollenbau mit PFCG & SU24“ aufgezeigt. Des Weiteren können Sie die SU24-Optimierungsreports des Xiting Role Profiler nutzen, um schnell und übersichtlich Ihre derzeitige SU24 mit den notwendigen Berechtigungsobjekten, -feldern und -werten, vor allem im Kontext von Eigenentwicklungen, anzureichern.

Validierung der Eigenentwicklungen

Oftmals stellen Eigenentwicklungen nicht nur starke Sicherheitslücken dar, sondern werden auch unzureichend mit SAP-Standard „Authority Checks“ und „BAPIs“ geschrieben. Dies führt bspw. dazu, dass Sie eine Überberechtigung zur Nutzung dieser Eigenentwicklungen provozieren oder bei einem Releasewechsel bestimmte Funktionalitäten nicht mehr nutzen können. Mit SAP S/4HANA werden viele Eigenentwicklungen obsolet, da sie durch die SAP nun bereits im Standard bereitgestellt werden. Außerdem können Eigenentwicklungen, die nicht standardkonform sind, nicht einfach in die neue Lösung überführt werden. Um dies zu analysieren, stellt die SAP ein Standardtool bereit: den „Code Inspector“. Dieses Werkzeug ermöglicht die Analyse Ihrer Eigenentwicklung auf SAP S/4HANA-Kompatibilität. Für Cloudkompatibilität können Sie auch das kostenpflichtige Add-On „Code Vulnerability Analyzer“ nutzen.

Zur zielgerichteten Aufbereitung Ihrer unternehmensspezifischen Entwicklungen im Zuge einer SAP S/4HANA-Migration und zur Aufwertung der Sicherheitskriterien, können Sie mit dem XAMS-Modul ABAP Alchemist Ihre Eigenentwicklungen scannen. Dieses Modul bietet Ihnen eine detaillierte Analyse mit individuellen Scantiefen. Dabei weist er nicht nur auf unzureichende „Authority Checks“ hin, sondern bietet bspw. auch Vorschläge zu fehlenden SU24-Werten und möglichen SAP-Standard „APIs“ als Ersatz für direkte Tabellenzugriffe.

Die Herausforderung & Lösung – Berechtigungsmigration

Eine der wichtigsten Fragen bei der Umstellung der Berechtigungen ist vor allem der Aufwand, dem Sie als Kunde gegenüberstehen. Allerdings lässt sich dieser Aufwand nicht ohne Weiteres beziffern, da er von vielerlei Faktoren abhängig ist. Die folgenden Faktoren gehören zu den Wesentlichsten und sollten als erstes betrachtet werden:

• Umfang der Prozessänderungen bzw. Einführung neuer Prozesse

• Standardkonformität des aktuellen Berechtigungskonzepts

• Ausmaß der Migrationsarbeit unter Einbeziehung der Simplification List

• Anzahl der Eigenentwicklungen, die migriert werden können

• Gesetzliche und interne Vorgaben

• Einsatz von Fiori-Applikationen

Um schnell und einfach eine Berechtigungsmigration durchführen zu können, stellt Ihnen der Role Designer der Xiting Authorizations Management Suite (XAMS) ein umfangreiches Portfolio an unterschiedlichsten Reports für Ihren Rollenbau zur Verfügung. Mit einer integrierten Simplification List sind Sie somit in der Lage, Ihr altes Rollenkonzept mit einem Klick zu validieren und SAP S/4HANA-bedingte Änderungen in Ihr neues Konzept einzubetten.

Je nachdem, ob Ihre aktuelle Berechtigungsstruktur möglicherweise nicht dem Standard entspricht, können Sie auch einfach die Nutzungsdaten (Transaktionen, Reports, Funktionsbausteine u.v.m.) abziehen und ein neues virtuelles SAP S/4HANA-kompatibles Rollenkonzept aufbauen, bevor Sie es dann auf Ihr Entwicklungssystem übertragen. Dabei können Sie in dieser Projektumgebung jegliche Prozessänderungen und gesetzliche Vorgaben integrieren. Zudem können Sie während des Rollenbaus Ihr virtuelles Konzept mit dem Xiting-Regelwerk oder auch Ihrem verbundenen GRC-Regelwerk überprüfen.

Zusätzlich ermöglicht Ihnen unser umfassendes Analysemodul, der Xiting Role Profiler, Ihre komplette HANA DB mittels verschiedener Reports auf Konsistenz, Sicherheit und Privilegien zu überprüfen. Damit können Sie auch Ihr Backend-System jederzeit validieren und gemäß Best Practice anpassen.

Fazit

Eine Überführung in die neue SAP S/4HANA-Welt bedeutet ein nicht unerhebliches Maß an organisatorischer, prozessualer und technischer Arbeit. Die Umsetzung ist gespickt mit vielerlei Herausforderungen, wobei die XAMS Ihnen einen Single-Point-of-Solutions bietet. Mit zahlreichen Features stellt Ihnen diese Suite von der Standardkonformität über eine umfangreiche Analyse Ihrer Menüobjekte oder auch Eigenentwicklungen bis hin zur Migration unter gesetzlichen Gesichtspunkten alles zur Verfügung, was Sie zur Berechtigungsmigration benötigen.

Wir bieten jedoch nicht nur technische und toolbasierte, sondern auch projektbasierte Unterstützung durch erfahrene Berater an, die schon diverse SAP S/4HANA-Projekte erfolgreich durchgeführt haben. Falls Sie mehr über unsere Best-Practice-Vorgehensweise erfahren möchten oder vor einer SAP S/4-HANA Migration oder einem Redesign eine umfassende Beratung benötigen, stehen wir Ihnen gerne zur Verfügung. Darüber hinaus bieten wir Ihnen eine Vielzahl von verschiedenen Services und Produkten an, um Sie bei der Wartung Ihres Berechtigungswesens vollumfänglich zu unterstützen. Schauen Sie doch einfach bei einem unserer wöchentlichen Webinare vorbei und überzeugen Sie sich selbst.

Xiting E-Book:
SAP S/4HANA – Die Zukunft der SAP-Produktpalette

Ein Überblick der neuen Produktlinie der 4. Generation und deren Eigenschaften im Berechtigungskontext

• Über
• Letzte Artikel

Alexander Sambill

Senior SAP Security Consultant | SAP Authorizations bei Xiting GmbH

In his role as SAP Cyber Security & Authorizations expert at the Xiting AG, Alexander Sambill manages a multifaceted portfolio, like leading SAP Fiori projects, steering SAP S/4HANA migration endeavors, ERP authorization redesigns, integrating internal control and compliance systems, and revamping RFC-BATCH authorization frameworks. His final academic foundation is anchored in an MBA from the Technical University Bergakademie Freiberg, Germany. Alexander's proficiency is further validated by his accreditations like an IPMA certificate in Project Management, SAP security certificates by SAP, and an IHK certification as a federal instructor. As an official SAP trainer, he imparts his expertise through SAP authorization courses, to share his knowledge and enable others to maintain an entirely secured SAP system. Beyond his hands-on projects, Alexander contributes to the industry discourse as an SAP Press author and a dedicated blogger, producing specialized SAP publications that drive thought leadership. Outside of the bustling world of SAP, he indulges in table tennis and frequently immerses himself in nature, hiking through serene forests and mountains.

Letzte Artikel von Alexander Sambill (Alle anzeigen)

• Top Pain Points bei SAP Fiori-Berechtigungen und deren Lösungen – ein Erfahrungsbericht - 20. November 2023
• Das Risikoregelwerk CRAF der Xiting AG – Schluss mit kritischen Berechtigungen und SoD! - 20. November 2023
• Die TOP 20 SAP IT Basis-Tabellen mit besonderem Schutzbedürfnis in SAP S/4HANA - 7. September 2023