/

SAP Knowledge

/

SAP Fiori

/

SAP Fiori Rollen und Berechtigungsverwaltung

SAP Fiori Rollen und Berechtigungsverwaltung

Mit der zunehmenden Bedeutung von SAP Fiori Apps mit dem Fiori Launchpad als Benutzeroberfläche im Zuge einer S/4HANA-Migration wird die Entwicklung eines durchdachten Berechtigungskonzepts essentiell. Die Einführung von SAP Fiori in SAP Berechtigungsrollen verlangt einen strukturierten Ablauf, technische Vorbereitungsmaßnahmen und viel Zeit, da die Komplexität der Berechtigungsverwaltung häufig unterschätzt wird.

Dieser Artikel bietet einen umfassenden Leitfaden zur Erstellung von SAP Fiori Berechtigungsrollen und adressiert die damit verbundenen Herausforderungen in der SAP Fiori Berechtigungsverwaltung.

Vorbereitungsmaßnahmen für die Erstellung von SAP Fiori Rollen

Der erste Schritt für die Erstellung von SAP Fiori Rollen ist, die jeweilige SAP Fiori Applikation, die Sie nutzen möchten, in der SAP Fiori Apps Reference Library zu suchen. 

Die SAP Fiori Apps Reference Library ist Ihre zentrale Anlaufstelle für alle Informationen rund um SAP Fiori Apps. Sie finden hier Details zur Installation, Konfiguration, benötigten Komponenten und vielem mehr. Für den Rollenbau sind insbesondere folgende Informationen relevant:

  • Releasestand/Software Komponentenversion: Prüfung, ob die gesuchte App für Ihr System verfügbar ist.
  • SAP Fiori App ID: Die eindeutige ID jeder App und der App-Typen.
  • Implementierungsinformationen: Informationen zu eventuell notwendigen OData-Services und/oder SICF Knoten, in Abhängigkeit der App-Typen.
  • Target Mapping(s): Beschreiben die möglichen Aktionen innerhalb der App.
  • Related, required Apps: Notwendige verwandte Apps, die technisch ebenso berücksichtigt werden müssen.

Nachdem Sie die notwendigen Informationen aus der SAP Fiori Apps Reference Library gesammelt haben, können Sie mit den technischen Vorbereitungen fortfahren. Diese ermöglichen einen reibungslosen Ablauf beim Bau der SAP Fiori Berechtigungsrollen und der darauffolgenden Anwendung. Erforderliche Maßnahmen umfassen: 

  • Aktivierung von OData-Services und/oder Servicegruppen.
  • Aktivierung der relevanten SICF Knoten.
  • Erstellung von Fiori Business Katalogen und Spaces.
  • Erstellung der PFCG Rolle.

SAP Fiori Businesskataloge erstellen – SAP FLPCM

Der SAP Fiori Launchpad Content Manager (FLPCM) wurde mit dem Release von SAP S/4HANA 1909 (September 2019) eingeführt und hat als Nachfolger des Fiori Launchpad Designers das Ziel, die Verwaltung von Fiori Katalogen zu vereinfachen.

Mittels der Transaktion “/UI2/FLPCM_CUST” für den mandantenabhängigen FLPCM können Sie nun sehr leicht und vor allem SAP GUI-basiert Ihre Businesskataloge (BC’s) erstellen und bearbeiten. Hierfür müssen Sie lediglich einen BC gemäß Namenskonvention erstellen, eine Beschreibung hinterlegen und dann in den Reiter “Kacheln/Zielzuordnungen” wechseln.

Abb. 1: Anlage eines BCs im FLPCM

Hier filtern Sie dann nach der entsprechenden SAP Fiori App ID und fügen die gewünschten Kacheln-/Zielzuordnungen (Target Mappings) mit dem Button “Referenz zu Katalog hinzufügen” hinzu.

Abb. 2: Referenzierung der Ziel-Mappings zum BC

Wählen und bestätigen Sie einen Customizing-Transportauftrag und Ihr Business-Katalog ist für die App-Berechtigung fertig. Die hilfreiche Analysefunktion “Services prüfen” gibt Ihnen die Möglichkeit nachzuvollziehen, ob die benötigten Odata-Services und SICF-Knoten aktiv sind. Die Aktivierung von Odata-Services und SICF-Knoten liegt in der Regel in der Verantwortung des Basis-Teams.

Spaces und Pages

Mit SAP S/4HANA 2020 wurden Spaces und Pages eingeführt, um die Übersichtlichkeit des SAP Fiori Launchpads zu verbessern und eine intuitivere Navigation im Vergleich zu den langen Listen in Fiori-Gruppen zu ermöglichen.

  • Spaces: Ersetzen Fiori-Gruppen und können per Dropdown unterschiedliche Pages aufrufen.
  • Pages: Beinhalten relevante Abschnitte und Kacheln.
  • Sections: Mithilfe von Sections (Abschnitte) können Fiori Apps zusammenhängend gruppiert werden.

Spaces und Pages sind optional, sollten allerdings verwendet werden, da die Weiterentwicklung von Fiori-Gruppen eingestellt wurde. Diese können mit den SAP Fiori Apps “Manage Launchpad Spaces” und “Manage Launchpad Pages” erstellt und bearbeitet werden.

Technisch gesehen stellen Spaces ein gleiches Bauteil wie Businesskataloge oder Fiori-Gruppen dar und müssen der jeweiligen Jobfunktionsrolle hinzugefügt werden. Pages wiederum werden über das Fiori-Launchpad den entsprechenden Spaces zugeordnet.

Abb. 3: Spaces und Pages in SAP Fiori 3.0 (Quelle verlinkt)

Deployment-Optionen für die SAP Fiori Berechtigungsverwaltung

Im Bereich SAP-Fiori werden zwei Deployment-Szenarien unterschieden:

  • Embedded Deployment: Front-End- und Back-End-Server sind auf einer Instanz vereint. Es ist keine Unterscheidung zwischen Front-End- und Back-End-Berechtigungen notwendig. Alle benötigten Berechtigungen werden innerhalb einer Berechtigungsrolle zusammengefasst.
  • Central Hub Deployment: Front-End- und Back-End-Server liegen auf getrennten Instanzen, was eine separate Verwaltung von Front-End- und Back-End-Berechtigungsrollen erfordert.

Rollenbau für SAP Fiori Berechtigungen

Bevor Sie nun die Rollen im Profilgenerator via Transaktion PFCG anlegen, sollten Sie sich bewusst machen, welche konzeptionelle Richtung Sie beim Bau der Rollen einschlagen möchten. Der Best Practice ist wie gehabt, Jobfunktionsrollen zu erstellen.

Das bedeutet eine Zusammenführung der SAP GUI- und Fiori-Berechtigungen in einer Rolle gemäß den Jobfunktionen, da die SAP Fiori-Anwendungen zu eben diesen gehören. Durch das Hinzufügen des Businesskatalogs in das Rollenmenü werden die SAP Vorschlagswerte direkt in die Rollen integriert, wodurch sich der Pflegeaufwand minimiert, da ggf. vorhandene Berechtigungsvorschläge bereits eine benötigte Ausprägung liefern.

Im Kontext des Best-Practice-Ansatzes wird im weiteren Verlauf auf die Integration in eine Jobfunktionsrolle im Embedded Szenario eingegangen:

  • Öffnen Sie die Transaktion PFCG und wählen Sie (falls vorhanden) bspw. die bestehende Jobfunktionsrolle für den „Internal Sales“ aus. Existiert diese noch nicht, sollten Sie eine Einzelrolle für diese Jobfunktion erstellen.
  • Hinterlegen Sie im Rollenmenü nun den erstellten Businesskatalog und den Space für den “Internal Sales”
Abb. 4: Integration aller notwendigen SAP Fiori Applikationsberechtigungen in die Jobfunktionsrolle (Embedded Szenario)

Anschließend müssen Sie ggf. noch notwendige Berechtigungsanpassungen bzw. -ausprägungen vornehmen und das Profil neu generieren. Ihre SAP Fiori Applikation mit den entsprechenden Funktionen ist jetzt mittels der angepassten SAP-Fiori Rolle für das Testing bereit.

Abb. 5: SAP Fiori App zum Anlegen von Fakturen im SAP Fiori Launchpad

Bei Bedarf können Sie auch die Vorlagerollen der SAP nutzen, die neben den Standardkatalogen, -spaces und -gruppen auch in der SAP Fiori Apps Reference Library hinterlegt sind.

Beachten Sie jedoch, dass Sie sich dadurch in Ihrem individuellen Freiraum bei der Ausgestaltung der notwendigen Jobfunktionen und Tätigkeiten begrenzen. Diese sollten im besten Fall nur als Testvorlage dienen, da sie meistens für einen allgemeinen Standard ausgelegt sind, der von Unternehmen zu Unternehmen unterschiedlich ist.

Herausforderungen hinsichtlich SAP Fiori Rollen

Der Wechsel zu SAP Fiori bringt zwar eine verbesserte User-Experience, stellt aber auch die Berechtigungsverwaltung vor neue Herausforderungen. Viele Unternehmen unterschätzen den Aufwand der Umstellung, da die Freischaltung von Fiori Apps komplexer ist als bei klassischen Anwendungen. Zu den Herausforderungen bei der Verwaltung von SAP Fiori Berechtigungen zählen unter anderem:

  • Komplexität der Entwicklungsstruktur: Fiori Apps, deren Kacheln und zugehörige Target Mappings erfordern eine vorrangige Konfiguration durch die Basis, während klassische Anwendungen weiterhin über die PFCG verwaltet werden. Das erfordert eine enge Zusammenarbeit zwischen der Basis- und Berechtigungsadministration.
  • Abhängigkeiten und Voraussetzungen: Die Nutzung von Fiori Apps kann weitere Apps oder technische Komponenten voraussetzen, die erst aktiviert oder transportiert werden müssen. Dadurch wird die Komplexität der Berechtigungsverwaltung erhöht und eine sorgfältige Planung wird erforderlich.
  • Vorschlagswertpflege: Im Gegensatz zu klassischen Anwendungen erfolgt die Pflege von Vorschlagswerten für Fiori Apps indirekt über die zugehörigen OData-Services. Das erschwert die Zuordnung von Berechtigungen zu spezifischen Fiori Apps.
  • Bereitstellung und Frontend-Struktur: Die Einbindung von Fiori Apps erfordert die Erstellung einer Frontend-Struktur mit Spaces, Pages und Sections für eine intuitive Navigation. Änderungen an Businesskatalogen verlangen eine Aktualisierung der betroffenen Rollen, um die Funktionsfähigkeit der Apps sicherzustellen.
  • Transport: Der Transport von Fiori Objekten ist komplexer als bei klassischen Anwendungen, da Abhängigkeiten berücksichtigt werden müssen und manuelle Nacharbeiten erforderlich sein können.
  • Fehleranalyse: Die Gateway-Architektur von SAP Fiori erhöht die Anzahl möglicher Fehlerquellen und erschwert die Fehleranalyse, da Traces nicht mehr den ursprünglichen Anwendungskontext anzeigen. Troubleshooting wird zeitaufwändiger und erfordert spezielle Kenntnisse. 

Integration von SAP Fiori Rollen mit Xiting

Um die Herausforderungen bei der Einführung von SAP Fiori zu meistern, bietet Xiting Ihnen Tools, die den Umstellungsprozess vereinfachen und die Berechtigungsverwaltung optimieren.

  • Xiting Protected Go-Live: Garantiert einen unterbrechungsfreien Go-Live und ermöglicht Fehleranalysen ohne Produktionsstillstand.
  • Xiting Fiori App Tracker: Unterstützt bei der Identifizierung der tatsächlich genutzten Fiori Apps und benötigter Target Mappings, um ein auditkonformes und stellenbezogenes Berechtigungskonzept zu entwickeln.
  • Xiting Role Replicator: Ermöglicht attraktive Massenverarbeitungswerkzeuge sowie den Massentransport von Rollen und den dazugehörigen Fiori Objekten.
Jetzt kontaktieren

Fazit

Die Umstellung auf SAP Fiori bringt zwar viele Vorteile, stellt die Berechtigungsverwaltung jedoch vor komplexe Herausforderungen. Eine sorgfältige Planung und Berücksichtigung individueller Anforderungen sind für die erfolgreiche Erstellung von SAP Fiori Rollen unerlässlich.

Xiting bietet Ihnen umfassende Beratung und Hilfestellung bei der Implementierung und Verwaltung von SAP Fiori Berechtigungen. Mit unterstützenden Tools und informativen Webinaren erhalten Sie die Hilfestellung, die Sie für eine reibungslose und sichere Einführung von SAP Fiori Rollen benötigen.

Bleiben Sie auf dem Laufenden

Melden Sie Sich zu dem Newsletter an, um weitere Informationen zu erhalten.

Anmeldung Newsletter

Folgen Sie @Xiting und @xiting.global auf den Sozialen Medien.