Rollenableitung mit der XAMS inklusive SAP-Ableitungskonzept
Aufgrund von immer komplexeren Vorgaben und ständigen technischen sowie auch organisatorischen Prozessanpassungen stellt die dauerhafte Erstellung und Pflege von Rollen einen wesentlichen Bestandteil der Aufgaben für Berechtigungsadministratoren dar. Im Allgemeinen nimmt die Anzahl der Rollen stetig zu und ein dementsprechender Anstieg des Pflegeaufwandes wie auch ein Verlust der Übersichtlichkeit lässt sich kaum vermeiden.
Um dieser Entwicklung entgegenzuwirken, stellen abgeleitete Rollen einen wichtigen Bestandteil in einem gut etablierten Berechtigungskonzept dar. Mit Hilfe dieser SAP Standard-Funktionalität können durch massenhafte Ableitungen viele manuelle Aufwände eingespart und die Qualität der Rollen konsistent hoch gehalten werden – so zumindest die Theorie.
Leider zeigt die Praxis, dass in vielen Fällen abgeleitete Rollen gegenüber ihren Vorlagerollen bspw. durch direkte manuelle Änderungen in den Rollen Asynchronitäten aufzeigen. Außerdem kommt es des Öfteren auch vor, dass Änderungen an den Vorlagerollen nicht weitervererbt werden. Dieser Schiefstand birgt ein erhebliches Risiko für das komplette Rollenkonzept und den Sinn, der hinter dem Ableitungskonzept steht. Da der SAP Standard keine direkte Überwachung dieser potentiellen Schiefstände bietet, können diese nur aufwändig auf manuellem Wege verifiziert werden. Dies hat zufolge, dass die Mängel oft nicht identifiziert werden und das erarbeitete Konzept ausgehebelt wird, was schlussendlich in einem rapiden Abfall der Rollenqualität mündet.
Dies ist ebenfalls auf eine weitere Fehlerquelle bei der Pflege der Organisationsebenen zurückzuführen, da trotz der Ableitungsfunktionalitäten innerhalb von SAP die Organisationsebenen für jede abgeleitete Rolle manuell nachgepflegt werden müssen. Je nach Anzahl der Rollen bzw. Anzahl der durchzuführenden Änderungen an den Organisationsebenen kann dies einen immensen Aufwand darstellen, welcher zusätzlich aufgrund der manuellen Anpassungen ein erhöhtes Fehlerpotenzial birgt. Abhilfe zu den teils wenigen Standardmöglichkeiten für Rollenableitung schaffen da meistens nur Drittanbieteranwendungen.
Aus diesem Grund soll dieser Blog vor allem die Arbeit und den Nutzen des Role Replicator, welcher ein Modul der Xiting-eigenen SAP-Sicherheitslösung Xiting Authorizations Management Suite (kurz: XAMS) ist, näherbringen. Hierbei wird primär auf die Funktionsweise eingegangen, um ein effizientes und sicheres Arbeiten mit abgeleiteten Rollen umzusetzen. Zusätzlich werden nützliche Analysemöglichkeiten vorgestellt, welche für ein dauerhaft qualitativ hochwertiges Ableitungskonzept unverzichtbar sind.
Inhaltsverzeichnis
Prinzip des Ableitungskonzeptes
Bei einer Ableitung von Rollen wird zuerst eine Vorlagerolle definiert. Eine Vorlagerolle ist technisch gesehen eine Einzelrolle, welche als Vorlage für die weiteren abgeleiteten Rollen verwendet wird. Falls Anpassungen gewünscht sind, werden diese ausschließlich an der Vorlagerolle vorgenommen und dann dementsprechend in die abgeleiteten Rollen vererbt. Hierbei ist zu beachten, dass Anpassungen bezüglich der Organisationsebenen immer direkt in den abgeleiteten Rollen vorgenommen werden, da diese von der Vererbung ausgeschlossen sind.
Damit eine Ableitung zielführend ist, sollten die Rollen so konzipiert sein, dass sie für mehrere Szenarien wiederverwendbar sind. Diese konzeptionelle Vorgabe ist bereits in einem vorherigen Blogeintrag zum Thema „Einzelrollen vs. Sammelrollen“ erläutert worden.
Im Folgenden wird dies an einem einfachen Beispiel erklärt:
Firma X hat drei Buchhalter (BUHA A, BUHA B und BUHA C). BUHA A und BUHA B sind jeweils für einen expliziten Buchungskreis (BUKRS 1000 und BUKRS 2000) zuständig. Der dritte Buchhalter (BUHA C) ist in einer leitenden Position und soll für beide Buchungskreise die nötigen Berechtigungen erhalten.
Da alle drei Buchhalter die gleiche Job-Funktion (bspw. FI Sachbearbeiter) erfüllen müssen, wird eine funktionsbasierte Vorlagerolle mit allen Anwendungen und Berechtigungen für die jeweilige Job-Funktion bereitgestellt. Diese Vorlagerolle wird für die beiden Buchungskreise abgeleitet und den entsprechenden Buchhalter zugewiesen. Für BUHA C muss die Zuweisung beider abgeleiteten Rollen erfolgen bzw. es wird für ihn eine weitere Rolle abgeleitet, welche beide Buchungskreise (BUKRS 1000 & 2000) beinhaltet.
Dies erleichtert nicht nur die Erstellung der Rollen, sondern ebenso deren Wartung und Pflege, da nun alle Änderungen lediglich in der Vorlagerolle durchgeführt und anschließend vererbt werden müssen.
Da der SAP Standard keine Möglichkeit bietet, Rollen anhand einer Organisationsebenenstruktur abzuleiten, müssen die expliziten Organisationsebenen für jede abgeleitete Rolle manuell ergänzt werden. Diese Tätigkeit wiederholt sich bei jeder Änderung bezüglich der Organisationsebenen und kann dadurch zu einem sehr hohen Pflegeaufwand der Rollen führen.
Um diesen manuellen Aufwand zu reduzieren, können Sie Ihre Rollen mit Hilfe des Role Replicators schon beim Erstellen der ableitenden Rollen mit den expliziten Organisationsfeldwerten ausstatten.
Aufbau der Unternehmensstruktur
Eine Unternehmensstruktur besteht aus mehreren Orgsets wie auch meist verschiedenen übergeordneten Orgsetgruppen. Dabei dienen die Orgsetgruppen als Knotenpunkte, welchen beliebig viele Orgsets angehängt werden können. Orgsets stellen das letzte Glied in einer Unternehmensstruktur dar und können mit den jeweiligen Organisationsebenen ausgeprägt werden.
Eine Unternehmensstruktur kann direkt im Role Replicator gebaut oder mit Hilfe einer CSV-Datei hochgeladen werden. Um sich einen ersten Eindruck der vorhandenen Organisationsebenen und deren Zusammenhänge zu verschaffen, gibt es innerhalb des Role Replicator einen Organisationsstruktur-Assistenten. Dieser Assistent bietet die Möglichkeit die definierten Daten aus der Transaktion EC01 auszulesen und dementsprechend in die Unternehmensstruktur zu übernehmen (siehe Abbildung 2).
Rollenreplikation mittels vordefinierter Organisationsstruktur
Vor dem Ableiten der Rollen wird die konzeptionell erarbeitete Organisationsebenen-Vergabe in einer Unternehmensstruktur im Role Replicator abgebildet. Diese kann, je nach Komplexität, aus mehreren Hierarchiestufen bestehen. In dieser Unternehmensstruktur werden die expliziten Organisationsebenen jeweils in den niedrigsten Hierarchiestufen definiert.
Abbildung 3 zeigt wie eine Unternehmensstruktur beispielhaft aussehen kann. Dabei handelt es sich um ein theoretisches Beispiel und entspricht keiner Spiegelung der Realität: Als oberste Hierarchie steht die SAP AG. Diese ist untergliedert in verschiedene Kontinente, Länder und abschließend in Städte/Standorte. Diese anschauliche Übersicht gibt einen klar definierten Aufbau der internen Strukturen sowie die expliziten Organisationsebenen-Werte für die jeweiligen Orgsets wieder (rote Umrandung).
Nach der Definition aller notwendigen Organisationsebenen in der Unternehmensstruktur kann die Vorlagerolle im Kontext der Struktur abgeleitet werden.
Die Vorlagerolle YP_EE_XXXXXX_FI_DEPARTMENT wird, wie in Abbildung 4 abgebildet, nun vier Mal abgeleitet. Dabei werden alle abgeleiteten Rollen automatisch in der Transaktion PFCG erstellt. Dabei beinhalten drei Rollen die expliziten Werte des jeweiligen Orgsets (WDF-FA, WDF-FD und WDF-FK) und eine Rolle wird gemäß der Orgsetgruppe (WDF-01) übergreifend für die gesamte FI-Abteilung in Walldorf abgeleitet.
Wenn die definierten Organisationsebenen der Unternehmensstruktur identisch der vorgesehenen Rollen sind, werden diese mit einem grünen Status markiert (siehe Abbildung 5).
Falls nun bspw. ein neuer Buchungskreis aufgrund von internen Änderungen hinzugefügt wird, wird diese Änderung nicht direkt in den abgeleiteten Rollen vorgenommen, sondern die Änderung wird in der Unternehmensstruktur dementsprechend angepasst. Nach der Anpassung macht sich diese Asynchronität zwischen Orgset und abgeleiteter Rolle mit einem roten Status bemerkbar. Für eine transparente Übersicht werden in der “Vergleich”-Spalte die Unterschiede von Vorlagerolle zu Unternehmensstruktur wie auch der abgeleiteten Rolle gegenübergestellt. Anschließend besteht die Möglichkeit die betroffenen Rollen mit Hilfe der Synchronisations-Pfeile wieder gemäß der Unternehmensstruktur anzupassen (siehe Abbildung 6).
Weitere integrierte Analysemöglichkeiten
Neben den bereits beleuchteten Prüfmöglichkeit, Rollen mit Fokus auf die bestehenden Organisationsebenen zu validieren, bietet der Role Replicator ebenfalls weitere Kontrollmechanismen. Diese sind bspw. die bestehenden Rollen auf Berechtigungsobjekt- bzw. Berechtigungsfeldwerte oder auch redundante Rollenzuordnungen zu prüfen:
- Nicht zugewiesene replizierte Rollen
Hier werden Ihnen alle mit dem Role Replicator abgeleiteten Rollen aufgelistet, die bisher keinem Benutzer zugewiesen sind.
- Redundante Rollenzuordnungen
Der Report listet die Fälle auf, welche dem Benutzer-Zugriff auf eine Organisationseinheit anhand von verschiedenen Rollen unterschiedlicher Hierarchiestufe ermöglichten. In diesem Fall ist die Zuweisung der untergeordneten Rolle redundant und kann entfernt werden.
- RRO- und ORG-Konsistenzprüfungen
Der Bericht bietet eine Konsistenzprüfung zwischen den Vorlagerollen, den replizierten Rollen und den ihnen zugeordneten Organisationssets. Die Kontrollen können aus drei Bereichen der durchgeführten Kontrollen ausgewählt werden:
- Vergleich der Organisationsfelder (Tabelle AGR_1252 vs. XAMS Orgset-Werte).
- Vergleich der Menüobjekte der Vorlagerolle mit den replizierten Rollen.
- Vergleich der Berechtigungswerte (Tabelle AGR_1251 aller Replikationspaare).
Vergleich des Role Replicators von Xiting mit dem SAP Standard
Wie bereits aufgezeigt, gibt es zwischen dem herkömmlichen Ableitungsverfahren der SAP und der Vorgehensweise des Role Replicators wesentliche Unterschiede.
Dabei stellt die technische Implementierung der Unternehmensstruktur seitens des Role Replicators wohl den größten Unterschied sowie den größten Mehrwert zum SAP Standard dar. Weitere Unterschiede werden Ihnen in der folgenden Tabelle aufgezeigt.
Fazit
Eine massenhafte Rollenpflege bezüglich der Organisationsebenen bzw. das Überwachen dieser Rollen ist für alle Unternehmen mit einem Berechtigungskonzept von großer Relevanz. Leider bietet der SAP Standard in diesem Bereich nur rudimentäre Funktionalitäten, so dass oft endlos lange Excel-Listen mit den nötigen Informationen angelegt werden. Leider ist dieses Vorgehen sehr fehleranfällig und die Übersichtlichkeit kann schnell verloren gehen.
Der Role Replicator, ein eigenständiges Modul der Xiting Authorizations Management Suite (kurz: XAMS), kann in diesem Themenschwerpunkt Abhilfe verschaffen, da er Ihrem Unternehmen mit Hilfe der Unternehmensstruktur und den Analysewerkzeugen ein transparentes Rollenkonzept ohne Verlust der Wartbarkeit ermöglicht.
Da die Unternehmensstruktur flexibel aufgebaut werden kann, stellt der Role Replicator nicht nur für Großkonzerne, sondern auch für die kleine und mittlere Unternehmen (KMU) einen großen Mehrwert dar.
Neben den bereits beschrieben Funktionalitäten des Role Replicators, sind auch die weiteren Möglichkeiten dieser umfassenden Anwendung wie den Benutzer-, Rollen-, ABAP Objekt- sowie Fiori-Werkzeuge für ein Redesign-Projekt von großer Bedeutung. Wenn Sie mehr über die XAMS bzw. den Role Replicator und dessen Funktionalitäten erfahren wollen, können Sie gerne eines unserer Webinare besuchen sowie sich über weitere Anwendungsfälle der XAMS informieren.
- Success story: SCHWENK Zement GmbH & Co. KG - 3. Februar 2023
- Success Story: Nordzucker AG - 23. November 2022
- Rollenableitung mit der XAMS inklusive SAP-Ableitungskonzept - 10. Dezember 2020
