Orgsetverwaltung und Felderreplikator – Der XAMS Role Replicator

SAP-Sicherheit, XAMS Laura Göthlich

Einleitung

Der Role Replicator bietet in der XAMS-Umgebung verschiedene Tools zur massenhaften Bearbeitung von Benutzern, Rollen, Berechtigungsobjekten und anderen Elementen, die in der Berechtigungsverwaltung von SAP-Systemen notwendig sind. In dieser Serie konzentrieren wir uns heute auf die Orgset-Replikationswerkzeuge.

Die Verwaltung der Organisationsstrukturen und auch der nicht-organisatorischen Felder kann für Unternehmen und ihr SAP-Berechtigungskonzept oft eine Herausforderung darstellen. Im SAP-Standard schafft das Ableitungskonzept zwar Abhilfe, jedoch müssen abgeleitete Rollen manuell angelegt, Änderungen hinsichtlich der Orgebenen oder auch nicht Orgebenen-Felder in jede einzelne Rolle eingepflegt und Differenzen zwischen Quell- und abgeleiteten Rollen manuell identifiziert werden. Zusätzlich bietet die SAP Transaktion PFCGMASSVAL nur im eingeschränkten Rahmen hilfreiche Massenverarbeitungswerkzeuge zur Rollenbearbeitung. Einen tieferen Einblick zu der Funktion PFCGMASSVAL im SAP-Standard, die bei den genannten Themen unterstützen kann, erhalten Sie über einen Blogpost meines Kollegen Erwin Lachenmaier. Mit dem Role Replicator können Berechtigungsabgrenzungen für Organisationsstrukturen und andere Felder schnell und in großem Umfang vorgenommen werden. So ist es beispielsweise möglich, innerhalb kurzer Zeit Buchungskreiswerte für mehrere Rollen festzulegen.

Praxisbeispiel

Im Folgenden soll ein Praxisbeispiel anhand einer fiktiven Produktionsfirma „Xiting“ das Vorgehen im Role Replicator näher erläutern.

Zunächst wird eine Gruppe namens „GLOBAL“ erstellt, der dann verschiedene Produktionsstandorte in verschiedenen Ländern zugeordnet werden können. Mit dieser Gruppe besteht anschließend die Möglichkeit, Rollen so zu replizieren, dass sie die Merkmale aller zugehörigen und untergeordneten Orgsets und Orgsetgruppen erhalten. Dadurch kann beispielsweise einem CEO über eine Rolle mit der Ausprägung der Gruppe die Berechtigung für alle Standorte zugewiesen werden.

Abbildung 1: Beispiel für eine Orgset Modellierung

Als Nächstes kommen die Länder-Orgsetgruppen, die im Fall von Xiting die verschiedenen Standorte weltweit repräsentieren. Es gibt beispielsweise eine Gruppe für die Xiting AG Schweiz, eine für Xiting GmbH Deutschland und ggf. weitere. Dieser Gruppe werden normale Orgsets und referenzierte Orgsets zugeordnet. Das Orgset enthält standortspezifische Werte für Organisationsebenen bspw. Buchungskreis, Werk usw. Es kann bei Bedarf aber auch um Werte für Nicht-Organisationsebenenfelder ergänzt werden. Diese Werte können einfach über einen Rechtsklick hinzugefügt werden. In unserem Beispiel ist das Berechtigungsobjekt V_VBAK_AAT aufgeführt, welches technisch keine Orgebene ist und benötigt wird, um den Zugriff auf die standortabhängige Verkaufsbelegart „ZCH“ bzw. „ZDE“ einzuschränken.

Abbildung 2: Orgstruktur mit Org.-Feldern und Nicht-Org.-Feldern

Das referenzierte Orgset wird in der folgenden Abbildung dargestellt.

Abbildung 3: Referenz-Orgset

Im Referenz-Orgset werden Werte hinterlegt, die standortübergreifend gelten, wie z.B. bei einem Zentrallager, auf welches alle Standorte zugreifen können. Dadurch entfällt die Mehrfachpflege dieser Ausprägungen in jedem einzelnen Orgset. Stattdessen wird ein zentrales Orgset erstellt, in dem diese global gültigen Werte hinterlegt werden, und es wird in andere Bereiche referenziert. Somit können Rollen dann auf die Standortgruppen repliziert werden und erhalten dann die standortspezifischen Orgebenenausprägungen und zusätzlich die Ausprägungen aus dem Zentrallager.

Um den manuellen Pflegeaufwand weiter zu reduzieren, bietet der Role Replicator die einfache und schnelle Massenpflege per Excel-Upload. Dafür steht ein spezieller Upload/Download-Bereich zur Verfügung, in dem Sie Anweisungen zur erfolgreichen Ausführung finden (siehe Abbildung 4). Am einfachsten ist es, wenn Sie ein Beispiel herunterladen und darin weiterarbeiten, da Sie so direkt im richtigen Format arbeiten und eine Orientierung haben.

Abbildung 4: Upload/Download-Bereich

Um die Werte schließlich in die Rollen zu übertragen, wechseln Sie zum eigentlichen Replikator. Hier können Rollenpaare erstellt werden. Diese Paare bestehen aus einer Vorlagerolle, die den funktionalen Umfang definiert, und einer replizierten Rolle, die das Rollenmenü der Vorlage und die gewählten Orgsetwerte übernimmt, ähnlich dem Ableitungskonzept der SAP.

Im folgenden Beispiel wurde eine Buchhaltungsrolle in eine Rolle mit dem Schweizer Orgset repliziert.

Abbildung 5: Rollenreplikation

Durch das Synchronisieren, über einen Doppelklick auf den Pfeil im RRO, werden nach Anlegen des Replikationspaares alle replizierten Rollen in der PFCG angelegt und mit Werten aus der Schweizer oder der Deutschen Orgsetgruppe überschrieben, sowie mit dem Menü der Vorlagerolle versehen.

Der Pfeil oben sorgt dafür, dass alle Rollen synchronisiert werden, mit den anderen Pfeilen darunter kann man gezielt bestimmte Rollen zur Synchronisation auswählen.

Abbildung 6: Synchronisation

In den folgenden Abbildungen wird ein Rollenpaar im Vergleich in der PFCG dargestellt.

test
Abbildung 7: Rollenmenü der Vorlagerolle
Abbildung 8: Berechtigungsprofil der Vorlagenrolle
Abbildung 9: Rollenmenü der replizierten Rolle
Abbildung 10: Berechtigungsprofil der replizierten Rolle

Änderungen in der Vorlagerolle oder den Orgsets können einfach über den Role Replicator verteilt werden. Fehlerhafte Anpassungen, z.B. die Erweiterung einer Organisationsebene in replizierten Rollen, werden direkt angezeigt, um Inkonsistenzen zu vermeiden. Die Synchronisation kann, wie bereits oben beschrieben, durch den Pfeil im Rollenreplikationspaar oder massenhaft für alle Rollen angestoßen werden.

Abbildung 11: Beispiel für Replikationspaare und Synchronisationsmöglichkeiten

In den oben gezeigten Rollenpaaren gibt es einige asynchrone Organisationsebenen, die durch einen roten Kreis in der „Org.“-Spalte markiert sind. Gelbe Dreiecke zeigen an, dass die replizierte Rolle nur Dummywerte aus der Vorlagerolle übernehmen konnte, da es keine Vorgaben im Orgset oder der Orgsetgruppe gibt. Im folgenden Beispiel wird dieser Abgleich veranschaulicht. Die replizierte Rolle übernimmt, wenn nichts im Orgset vorhanden ist, vorübergehend die Werte aus der Vorlagerolle und markiert sie zur späteren Nachverfolgung an der richtigen Stelle.

Abbildung 12: Vergleich der Replikationspaare

Wenn Berechtigungen in der Vorlagerolle angepasst wurden (auch für Nicht-Organisationsebenenfelder), wird dies in der „NOrg.“-Spalte sichtbar (siehe Abbildung 11). Ein roter Kreis zeigt diese Inkonsistenz an.

Der Xiting RRO für Orgsets bietet weitere Werkzeuge zum schnellen Verarbeiten der Paare. Bspw. kann der Bereich der Rollenpflege ebenso wie die Unternehmensstruktur per Excel hochgeladen und heruntergeladen werden.

Abbildung 13: Export und Import von Replikationspaaren

Mit dem neuen Servicepack ist es nun auch möglich, Rollen in Gruppen einzuteilen, um eine übersichtlichere und einfachere Verwaltung zu ermöglichen. Zum Beispiel können alle Rollen je Unternehmensbereich in einer Gruppe zusammengefasst werden. Beim Auswählen dieser Gruppe werden nur deren Inhalte angezeigt.

Abbildung 14: Gruppen im RRO (neues Feature des SP18)

Im XAMS-Customizing gibt es eine Funktion, welche auch SAP-Standardableitungen unterstützt. Dadurch kann eine ableitende PFCG-Rolle direkt als Vorlagerolle festgelegt werden.

Hierbei ist jedoch zu beachten, dass bei der Integration dieser SAP-Standardableitung nur Anpassungen an Organisationsfelddaten möglich sind.

Des Weiteren stehen auch Reportingfunktionen zur Verfügung, mit denen Konsistenzprüfungen der Orgsets und Rollen durchgeführt werden können. Diese erleichtern die Identifizierung von Fehlerquellen oder redundanten Rollenzuweisungen, welche im SAP Standard lediglich über SUIM-Berichte oder Tabellenauswertungen manuell ermittelt werden müssen.

Abbildung 15: Reportingmöglichkeiten im RRO

Das erste Reporting listet replizierte Rollen auf, denen keine Benutzer zugeordnet sind. Bei diesen Rollen kann nun überlegt werden, ob sie überhaupt notwendig sind oder ob sie aus der Systemlandschaft gelöscht werden können. Hierbei sind die Daten aus dem produktiven System entscheidend, weshalb der Report auch dort durchgeführt werden sollte.

Der zweite Report zeigt auf, ob Benutzer über eine Rolle für eine bestimmte Organisationseinheit berechtigt sind, für die sie bereits übergeordnete Berechtigungen durch eine andere Rolle haben. Somit ist die Zuordnung zur untergeordneten Organisationseinheit überflüssig und kann gegebenenfalls entfernt werden, da sie bereits in den übergeordneten Berechtigungen enthalten ist.

Eine Konsistenzprüfung kann mit der letzten Reporting-Möglichkeit durchgeführt werden. Es stehen drei Vergleichsmöglichkeiten zur Auswahl, die einzeln oder auch zusammen ausgeführt werden können. Der erste Vergleich prüft die Organisationsfelder, also die Werte aus der Tabelle AGR_1252, mit den Orgset-Werten aus dem Role Replicator. Die zweite Möglichkeit vergleicht die Menüobjekte der Vorlage mit den replizierten Rollen, und im letzten Vergleich werden die Berechtigungswerte miteinander verglichen, also die Werte aus der Tabelle AGR_1251 mit allen Replikationspaaren.

Die meisten der oben genannten Vergleiche, insbesondere die ersten drei, werden jedoch bereits direkt im Bereich der Replikationen geprüft, wenn die Statusfeststellung eingeschaltet ist. Die Reportingmöglichkeiten stellen daher zusätzliche Funktionen dar, die bei gezielten Ad-Hoc-Auswertungen nützlich sein können.

Fazit: Orgsetverwaltung und Felderreplikator – Der Xiting Role Replicator

Wie man sehen kann, ist der Role Replicator ein hervorragendes Tool zur effizienten Verwaltung von Organisationsstrukturen und nicht-organisatorischen Feldern. Es ermöglicht Ihnen, Ihre Unternehmensorganisation flexibel gemäß Ihrem Berechtigungskonzept abzubilden.

Der eigentliche Replikator ermöglicht schnell und einfach die Erstellung von Rollenpaaren und die Synchronisierung der replizierten Rollen in die PFCG, wobei Inkonsistenzen und fehlerhafte Anpassungen angezeigt werden, um eine konsistente Berechtigungsstruktur effizient sicherzustellen.

Der Xiting Role Replicator in der XAMS-Umgebung stellt eine revolutionäre Lösung für Unternehmen dar, die sich mit der komplexen Herausforderung der Verwaltung von Organisationsstrukturen und nicht-organisatorischen Feldern konfrontiert sehen. Wo der SAP-Standard hinsichtlich Massenbearbeitungswerkzeugen und Ableitungskonzepten Grenzen setzt, erweitert der Role Replicator die Möglichkeiten erheblich:

1.     Effiziente Massenbearbeitung: Durch den Role Replicator können Berechtigungsabgrenzungen für verschiedene Elemente, wie Organisationsstrukturen, schnell und massenhaft durchgeführt werden.

2.     Praxisbezogene Funktionalitäten: Anhand von Praxisbeispielen, wie dem einer fiktiven Produktionsfirma „Xiting“, wird das Potenzial des Role Replicators deutlich. So können Rollen so repliziert werden, dass sie die Merkmale ganzer Orgset-Gruppen übernehmen und somit beispielsweise einem CEO zentral die Berechtigungen für diverse Standorte zuweisen.

3.     Fehleridentifikation und -vermeidung: Eine der größten Stärken des Tools ist die automatisierte Identifizierung von Inkonsistenzen und fehlerhaften Anpassungen, was die Qualität und Sicherheit der Berechtigungsstrukturen erhöht.

4.     Reporting und Analyse: Der Role Replicator bietet umfassende Reportingfunktionen, die eine effiziente Überprüfung der Orgsets und Rollen ermöglichen und Redundanzen oder Fehlerquellen identifizieren.

5.     Flexibilität und Benutzerfreundlichkeit: Funktionen wie Massenpflege über Excel-Uploads, intuitive Synchronisationsoptionen und Unterstützung für SAP-Standardableitungen zeigen, dass der Role Replicator nicht nur leistungsfähig, sondern auch benutzerfreundlich ist.

Zusammengefasst bietet der Xiting Role Replicator eine innovative und effiziente Lösung zur Verwaltung von Organisationsstrukturen und Berechtigungen, wodurch Unternehmen ihre Berechtigungskonzepte optimieren und den administrativen Aufwand erheblich reduzieren können.

Wenn ich Ihr Interesse wecken konnte, können Sie für eine Praxisvorstellung auch auf Anfrage unser individuelles Webinar inklusive Demo besuchen, ein kundenindividuelles Training buchen oder Beratung für eine Implementierung in Ihrem Unternehmen anfragen. Wir stehen Ihnen jederzeit mit Rat und Tat zur Seite, um für Sie die beste Unterstützung zu ermitteln.

Xiting steht Ihnen als 360-Grad-Lösungsanbieter in SAP Security in vielen Herausforderungen mit jahrelanger Expertise und Know-how zur Verfügung. Bringen Sie Ihre SAP-Systeme in eine sichere Umgebung!

  • Durchführung von Berechtigungsprojekten und Berechtigungsprüfungen (SAP Authorizations)
  • Bereinigung von Eigenentwicklungen in ABAP-Umgebungen
  • Beschleunigte S/4HANA-Migration
  • Reduzierung von Risiken beim Go-Live
  • Entwicklung eines SAP-Sicherheitskonzept
  • Prüfung von Zugriffsrechten bei Usern in ERP-Systemen
  • und vieles mehr.
Laura Göthlich
Letzte Artikel von Laura Göthlich (Alle anzeigen)
Kontakt

Nehmen Sie Kontakt mit uns auf!

Haben Sie Fragen zu unseren Produkten?

+41 43 422 8803
[email protected]
+49 7656 8999 002
[email protected]
+1 855 594 84 64
[email protected]
+44 1454 838 785
[email protected]
Kontakt
Webinare

Besuchen Sie unsere Live-Webinare und lernen Sie von unseren Experten mehr zu SAP-Berechtigungen, XAMS, SAP IDM und zu vielen weiteren Themen im Kontext von SAP Security.

Hier anmelden