Schluss mit unsicheren Go-Live-Phasen – Xiting Protected Go-Live

SAP-Berechtigungen, XAMS Manuel Griebel

Die Bereitstellung eines funktionierenden SAP-Berechtigungskonzepts ist organisatorisch wie auch technisch sehr komplex. Es müssen viele lückenhafte oder auch funktionsübergreifende Anforderungen prozessual sowie systemseitig abgedeckt werden. Dies erfordert einen hohen Abstimmungsbedarf mit den Fachabteilungen und Keyusern im Austausch mit der SAP IT. Da oftmals historisch gewachsene Fehlerquellen und Unstimmigkeiten im derzeitigen Berechtigungskonzept vorhanden sind, entschließen sich viele Kunden bspw. vor der SAP S/4HANA-Migration zu einem Redesignprojekt ihrer Berechtigungen.

SAP-Berechtigungsprojekte sind als komplexe Projekte zur Integration eines detailgetreuen Abbildes der Unternehmensprozesse in die SAP-Berechtigungen jedes einzelnen Endbenutzers zu verstehen. Hierbei zählen neben der eigentliche Geschäftsintegration bspw. auch die Einbindung von internen und externen Sicherheitsvorgaben sowie Compliance-Anforderungen. Innerhalb des Projektablaufs werden nicht nur zahlreiche Workshops mit den jeweiligen Fachbereichen bezüglich der umzusetzenden Rolleninhalte sowie der SoD-Vorgaben (Segregation of Duty) durchgeführt. Es werden diese Vorgaben im Verlauf auch entsprechend implementiert, getestet und schlussendlich auf das produktive System überführt – „live“ gesetzt. Mit welchem Vorgehen Sie u.a. die Validierungsphase effizient gestalten können, wurde bereits in dem Blogbeitrag „Produktive Testsimulation – Das neue Testing“ näher beleuchtet.

Die darauffolgende sogenannte Go-Live-Phase ist eine der kritischsten Phasen während eines Projektes, da trotz ausgiebigem Testen durchaus noch negative Seiteneffekten in dieser späten Projektphase entdeckt werden, sodass unter Umständen der reibungslose Betrieb der neuen Rollen nur eingeschränkt möglich ist. Hier bietet Ihnen das XAMS Modul Xiting Times mit dem Feature Xiting Protected Go-Live eine vollumfängliche Unterstützung. Diese Form der Berechtigungsumsetzung reduziert das Risiko einer Betriebsunterbrechung aufgrund von bspw. Berechtigungsfehlern oder unerwarteten Prozessänderungen auf ein Minimum. Gekoppelt wird dies alles mit einem Benutzer Self-Service der alten benutzerspezifischen Berechtigungen, wodurch auch die zeitkritischen Provisionierungsarbeiten der IT-Administration relativiert wird.

Welches Risiko der Go-Live darstellt, welche Vorarbeiten geleistet werden müssen und wie der Prozessablauf des Self-Service ist, werden im Folgenden dargestellt.

Herausforderungen während des Go-Lives

Bei der Umstellung von Berechtigungen müssen Berechtigungsadministratoren schnell agieren. Denn im Worst-Case-Szenario verfügen Benutzer mit dem neuen Rollenkonzept über unzureichende Berechtigungen und können ihrer täglichen Arbeit nicht wie gewohnt nachgehen. Dadurch können Lieferbände stehen bleiben oder LKWs nicht vom Hof fahren können – kurzum, Umsatzgefährdung und Kostengenerierung können daraus resultieren. Diese Fehlerquellen resultieren oftmals aus mangelhafter Implementierungsarbeit, fehlerhaften Abgleich der Nutzungsdaten (ST03N-Daten) sowie organisatorischen Strukturen, kurzen Testphasen oder auch unzureichender Integration von Fachbereichsvorgaben.

Um einen größeren Schaden zu vermeiden, müssen schnell umfangreiche Berechtigungen bereitgestellt werden. Diese Berechtigungen werden oftmals in den wenigsten Fällen temporär vergeben, da die manuelle Fehlersuche zeitintensiv, jedoch die Vermeidung weiterer Fehler notwendig ist. Dadurch werden wiederum unplanmäßige Änderungen am neuen Rollenkonzept durchgeführt, um eine schnelle Fehlerbehebung zu gewährleisten. Auf diese Weise wird das neu aufgesetzte Berechtigungskonzept oftmals schon zu Beginn der Produktivschaltung bereits verwässert.

Mit Hilfe von Xiting Times können Sie in der kritischen Go-Live Phase das Risiko einer Betriebsunterbrechung minimieren, indem den Benutzern im Fehlerfall die alten Berechtigungen für einen vordefinierten Zeitraum bereitgestellt werden.

Vorbereitung des Go-Lives

Damit die Funktionalität des Xiting Protected Go-Live verwendet werden kann, müssen zuerst ein paar wenige Vorbereitungsschritte berücksichtigt werden:

Vor der Zuweisung der neuen Rollen werden alle umzustellenden Benutzer mit Hilfe von Xiting Times geklont. Die geklonten Benutzer sind als Referenzbenutzer angelegt und verfügen über dieselben Berechtigungen wie der Dialogbenutzer. Folglich wird das alte Rollenkonzept aus dem System entfernt und die neu konzipierten Rollen den Dialogbenutzern zugewiesen.

Nachdem diese Schritte erfolgt sind, werden die Referenzbenutzer den jeweiligen Dialogbenutzern zugeordnet. Somit können sich die Benutzer im Berechtigungsnotfall ihre alten Berechtigungen per Referenzbenutzer automatisiert zuweisen und so Betriebsunterbrechungen aufgrund von Fehlern im neuen Rollenkonzept umgehen.

Prozess des Self-Service

Für das Reaktivieren der alten Berechtigungen muss der Endbenutzer lediglich die Xiting-eigene Transaktion „/XITING/TIMES_MULTI“ ausführen.

Beim Beantragen des benutzerspezifischen Referenzbenutzers wird der Endbenutzer daraufhin aufgefordert einen Begründungstext und einen gewünschten Zeitraum zu definieren. Der Begründungstext wird via Mail an eine hinterlegte Verteilerliste oder einen Verantwortlichen geschickt. Der Zeitraum (in Stunden) stellt dabei die Nutzungsdauer der alten Berechtigungen für den jeweiligen Benutzer dar und ermöglich somit ein schnelles Eingreifen im Fehlerfall (Protected Go-Live). Nach Ablauf dieser Zeit wird der Referenzbenutzer automatisiert durch das System entzogen und der Endbenutzer arbeitet wieder mit seinen neu konzipierten Berechtigungen.

Während der Endbenutzer aufgrund seiner alten Berechtigungen nun störungsfrei seiner Tätigkeit nachgehen kann, wird im Hintergrund durch die XAMS (Xiting Authorizations Management Suite) die Diskrepanz zwischen neuen und alten Berechtigungen hinterlegt. Die fehlenden Berechtigungen können daraufhin von entsprechenden Berechtigungsadministratoren während der Protected Go-Live-Sitzung evaluiert und bei Bedarf in die neuen Rollen integriert werden.

Anpassung der neuen Rollen

Der Xiting Protected-Go-Live bietet für die Analyse der Berechtigungsfehler eine detaillierte und intuitive Ergebnisansicht. Er listet Objekt, Feld, Werte und das Fehlen dieser durch passende Icons auf. Zudem werden Sie auch auf organisatorische Fehler hingewiesen. Diese Darstellung erfolgt nicht nur im Kontext des Dialogbenutzers, sondern auch je Menüobjekt.

Das folgende Beispiel zeigt, dass dem Benutzer MGRIEBEL nicht nur der geforderte Buchungskreis DE01 fehlt, sondern im Kontext des Berechtigungsobjektes F_FAGL_LDR das Feld GLRLDNR mit Wert 0L nicht gepflegt ist.

Die neuen Werte können nun in Ruhe evaluiert und ggf. in Absprache mit den Fachbereichen in die entsprechend neue Rolle eingepflegt werden.

Vorteile von Xiting Times auf einen Blick

  • Kein Risiko einer Betriebsunterbrechung im Fehlerfall während des Go-Lives
  • Temporäres Bereitstellen der alten Berechtigungen via Benutzer-Self-Service
  • Implementierung parallel zum laufenden Projekt möglich
  • Nutzung nur nach vorheriger Genehmigung durch optionale Workflows
  • Komplettes Monitoring der laufenden Sitzungen und des Go-Live Setups
  • Unterstützung bei Dialog-Redesigns und Schnittstellenbereinigung (RFC-Redesign)
  • Kompatibel beim Einsatz von Fiori-Applikationen

Fazit

Xiting Times bietet in einer der kritischsten Phasen eines Berechtigungsprojekts enormen Rückhalt und reduziert den Supportaufwand während des Go-Lives. Durch die schnelle Implementierung können auch bereits gestartete Redesign-Projekte unterstützt werden und vom Self-Service-Prozess profitieren. Anhand der granularen Ergebnisanalyse können Sie daraufhin die neuen Rollen exakt anpassen und optimieren.

Neben dem beschriebenen Xiting Protected-Go-Live können noch weitere Szenarien, wie bspw. Notfallbenutzer, Urlaubsvertretung und Produktive Testsimulation mit Hilfe von Xiting Times dargestellt werden.

Die Umstellung der alten Berechtigungen während des Go-Lives ist allerdings nur eine Herausforderung, bei denen wir Sie im Zuge eines Redesign-Projektes unterstützen können. In unseren verschiedenen Anwendungsfällen können Sie weitere nützliche Einsatzszenarien der XAMS entdecken. Lernen Sie auch weitere Services rund um das Thema SAP Security kennen und nutzen Sie unser vielfältiges Angebot, wie unsere öffentlichen und regelmäßig stattfindenden Webinare.

Kontakt

Nehmen Sie Kontakt mit uns auf!

Haben Sie Fragen zu unseren Produkten?

+41 43 422 8803
[email protected]
+49 7656 8999 002
[email protected]
+1 855 594 84 64
[email protected]
+44 1454 838 785
[email protected]
Kontakt
Webinare

Besuchen Sie unsere Live-Webinare und lernen Sie von unseren Experten mehr zu SAP-Berechtigungen, XAMS, SAP IDM und zu vielen weiteren Themen im Kontext von SAP Security.

Hier anmelden