SAP S/4HANA Fiori | SAP Fiori-Berechtigungsrollen und Rollenbau (Teil 3)
Nachdem in den vorherigen Blogs die Grundlagen und Vorbereitungsmaßnahmen im Bereich SAP Fiori erörtert wurden, soll nun in diesem Blog die Erstellung von Fiori-Berechtigungsrollen in den Fokus treten. Nur mithilfe von individuell erstellten sogenannten Business-Katalogen, Business-Gruppen sowie PFCG-Rollen für die SAP Fiori-Applikationen können Sie auch tatsächlich das Fiori Launchpad für die gewünschten Einsatzszenarien vollumfänglich nutzen. Aus meinem Blog „SAP Fiori 3.0 – Das neue Designkonzept von SAP S/4HANA“ haben Sie bereits gelernt, dass es unterschiedliche Arten von SAP Fiori Apps gibt, die in Zukunft seitens der SAP sukzessive die SAP GUI ersetzen sollen. Die SAP UI5 Fiori-Applikationen, welche auf dem HTML5 Coding basieren, sind hierbei die Wesentlichsten. Da durch Sie die Mehrheit der neuen SAP Fiori-Funktionen überhaupt erst genutzt werden können, werden sie somit auch Themenschwerpunkt in diesem Blog sein.
Beim Bau von Berechtigungsrollen mit den notwendigen SAP Fiori-Berechtigungen sind ein strukturierter Ablauf und technische Vorbereitungsmaßnahmen essentiell, da Sie sonst relativ zügig in eine Sackgasse laufen bzw. wichtige Schritte überspringen. Aus diesem Grund können Sie diese Blogreihe, welche von den Grundlagen über die Vorbereitungsmaßnahmen hin zu dem eigentlichen Rollenbau führt, als chronologischen Ablauf sehen.
Im Gegensatz zu bspw. den SAP-On-Premise-Varianten werden Sie im Kontext der SAP S/4HANA Cloud Lösung auf das SAP Fiori Launchpad nicht verzichten können. Mehr und mehr rückt die Nutzung des SAP Fiori Launchpads, welches von der SAP auch als UX (User Experience) der nächsten Generation verstanden wird, in den Vordergrund des mobilen Geschäftsalltags.
Table of Contents
SAP Fiori-Kataloge und Gruppen erstellen
Der erste Schritt für die Erstellung von SAP Fiori-Berechtigungsrollen ist, die jeweilige SAP Fiori-Applikation, die Sie nutzen möchten, in der SAP Fiori Apps Reference Library zu suchen. Gemäß den Vorgaben aus dem Vorbereitungsblog müssen Sie nun die notwendigen Daten herausfiltern. Daraufhin können Sie die notwendigen Business-Kataloge (BCs) und -Gruppen (BCGs) für die entsprechenden SAP Fiori-Anwendungen per SAP Fiori Launchpad Designer (FLD) erstellen. Dafür starten Sie den Transaktionscode „/UI2/FLPD_CUST“ (mandantenabhängig). Gemäß SAP Best Practice werden, wie schon die traditionellen Berechtigungsrollen, die neuen Entitäten wie BCs und BCGs auch mandantenabhängig gebaut. Es öffnet sich Ihr Browserfenster, in welchem Sie links oben den Reiter „Kataloge“ auswählen. Daraufhin fügen Sie per „Pluszeichen“ im unteren Bereich der Auswahl einen neuen Anwendungskatalog im Standard hinzu. Hierbei sollten Sie darauf achten, dass Sie die Namensgebung entsprechend der Jobfunktion wählen, da der Business-Katalog immer eine Jobfunktionsrolle widerspiegeln sollte. Im folgenden praxisnahen Fall steht die App „Sales Order (S/4HANA) for Internal Sales Representative“ mit der App ID “F1814” im Mittelpunkt. Entsprechend der Jobfunktion wird auch der zugehörige Katalog benannt:
Nun erstellen Sie Tätigkeitsreferenzen auf Basis der gewünschten Anwendungen, die durch diesen Katalog ermöglicht werden sollen, von dem technischen Katalog gemäß SAP Fiori App ID zu ihrem Anwendungskatalog. Dazu suchen Sie nach dem entsprechenden technischen Katalog, gehen zur Kachelauflistung und fügen die entsprechenden Kacheln, welche mit einer Tätigkeit gleichzusetzen sind, ihrem eigenen Katalog hinzu.
Daraufhin müssen Sie nun nur noch die entsprechende Zielzuordnung gemäß ihrer hinzugefügten Kachel auf den Anwendungskatalog referenzieren. Dazu wechseln Sie im gleichen technischen Katalog zum Reiter „Zielzuordnung“. Hier wählen Sie das passende semantische Objekt mit zugehöriger Aktion aus. Die jeweiligen Referenzierungen sind notwendig, damit Änderungen seitens der SAP auch direkt in Ihre eigenen Kataloge synchronisiert werden.
Ihr Anwendungskatalog ist nun fertig erstellt. Jetzt müssen Sie im SAP Fiori Launchpad Designer nur noch eine passende Fiori-Business-Gruppe anlegen. Diese bildet die Grundlage für die SAP Fiori-App-Darstellung, also sprich die Kacheln und Reiter, die durch den Endanwender überhaupt einsehbar sein sollen. Gleichzeitig dient sie als logische Anordnung der Applikationen im SAP Fiori Launchpad (vergleichbar mit dem SAP Benutzermenü). Durch die mögliche Aufschlüsselung auf bestimmte Themengebiete innerhalb der Jobfunktion wie bspw. Reporting, Vertriebsinnendienst oder Debitorenbuchungen soll eine intuitive Arbeit mit den Fiori-Applikationen gefördert werden. Durch diese visuelle Funktionsanpassung kann der Endbenutzer dann auf die von der Gruppe angezeigten Funktionen zugreifen. Wie schon bei dem Anwendungskatalog sollte auch hier die Namenskonvention einheitlich sein, da die Gruppe gleichzeitig einen übergeordneten Reiter in dem SAP Fiori Launchpad darstellt. Zur Erstellung einer Gruppe wechseln Sie im SAP Fiori Launchpad Designer vom Reiter Katalog zum Reiter Gruppe in der oberen linken Ecke. Daraufhin gehen Sie wieder auf das Pluszeichen und erstellen eine neue Business-Gruppe. Achten Sie jedoch darauf, dass Sie das Häkchen zur Personalisierung entfernen. Ansonsten können die Endanwender ihre Kachelgruppen selbst anordnen. Dies würde nicht nur Inkonsistenzen in der Darstellung provozieren, sondern möglicherweise auch direkt weitreichende Berechtigungen innerhalb der Jobfunktion zum Vorschein bringen.
Nun referenzieren Sie den vorhin erstellten Business-Katalog auf die Gruppe. Damit schließen Sie eine Brücke zwischen der technischen und visuellen Komponente. Dazu klicken Sie auf das Plus bei „in Kacheln anzeigen“, suchen nach Ihrem Anwendungskatalog und fügen hier nun nach den Vorgaben die jeweiligen Kacheln durch das Pluszeichen hinzu. Damit sind Sie im SAP Fiori Launchpad Designer fertig und können nun zum Rollenbau via Transaktion PFCG übergehen. Vorher sollten Sie jedoch geklärt haben, ob das SAP Fiori Launchpad auf einem dedizierten Frontend-Server läuft (sog. Gateway-System) oder integriert im jeweiligen Backend-Server (z. B. einem SAP S/4HANA-System).
SAP Fiori Kataloge und Gruppen erstellen – SAP FLPCM
Alternativ zum SAP FLPD können Sie ab SAP S/4HANA 1909 FS01 auch den SAP Fiori Content Manager zum Erstellen der Business-Kataloge nutzen. Mittels der Transaktion “/UI2/FLPCM_CUST”, für den mandantenabhängigen FLCM, können Sie nun sehr leicht und vor allem SAP GUI-basiert Ihre BCs erstellen und bearbeiten. Hierfür müssen Sie lediglich eine BC gemäß Namenskonvention erstellen, eine Beschreibung hinterlegen und dann in den Reiter “Kacheln/ Ziel-Mappings” wechseln.
Hier filtern Sie dann nach der entsprechenden SAP Fiori App ID und fügen den gewünschten Kachel-/Ziel-Mappings (Target Mappings) mittels dem Button “Referenz zu Katalog hinzufügen” hinzu.
Bestätigen Sie den Customizing-Transportauftrag und Ihr Business-Katalog ist für die App-Berechtigung fertig.
Beachten Sie jedoch, dass die Business-Gruppen aktuell weiterhin nur im FLPD erstellbar sind.
Spaces and Pages
Mit SAP S/4HANA 2020 haben nun auch die neuen Entitäten im Umfeld SAP Fiori, Spaces und Pages, Einzug gehalten. Hierbei handelt es sich um eine quasi Weiterentwicklung der Business-Gruppen, da viele Endanwender mit einer schier unendlichen Reiterliste (durch sehr viele BCGs) in ihrem SAP Fiori Launchpad zu kämpfen hatten und somit diese nur durch mehrmaliges Scrollen bändigen bzw. ihre gewünschte Gruppe finden konnten. Dies will die SAP, auch im Kontext der neuen intuitiven und frischen UI, jedoch vermeiden. Somit kann der Endbenutzer als Ersatz für die BCGs nun mittels den sogenannten Spaces (ähnlich zu Reitern) per Drop-Down unterschiedliche Pages aufrufen, die wiederum unterschiedliche Sektionen mit den entsprechenden Kacheln beinhalten. Der Arbeitsplatz wirkt nun auch viel aufgeräumter und übersichtlicher. Die Verwendung ist bis dato noch optional. Die neuen Entitäten können mit den SAP Fiori Apps, “Manage Launchpad Spaces” und “Manage Launchpad Pages”, erstellt und bearbeitet werden. Technisch gesehen stellen sie ein gleiches Bauteil wie die BCs oder BCGs dar und müssen dann auch der jeweiligen Jobfunktionsrolle hinzugefügt werden.
Unterschied je Szenario
Bekanntlich unterscheidet man im Bereich SAP Fiori in zwei Szenarien:
- Embedded Deployment (ED)
- Central Hub Deployemnt (CHD)
Je nach Einsatzszenario müssen Sie beim Rollenbau für SAP Fiori-Applikationen auch gewisse Feinheiten beachten. Wie bereits in meinem allgemeinen Blog zu SAP Fiori dargelegt, empfiehlt die SAP das „Embedded Deployment“. Dies ist die Vereinheitlichung des Front-End (FES) und Back-End Servers (BES) auf einer Instanz. Aufgrund dieses Zusammenschlusses müssen Sie auch keine Unterscheidung zwischen Front-End- und Back-End-Berechtigungen treffen, wie es im CHD der Fall wäre. Da die SAP ihre derzeitige Strategie und Vorgaben auf das ED auslegt und dies auch weniger Wartungsaufwand bedeutet, werde ich im weiteren Verlauf den Rollenbau im Embedded-Umfeld erklären. Eine Abstraktion für das CHD ist im Grunde genommen das Aufgleisen der FES- und BES-Berechtigungen auf zwei Rollen.
Rollenbau für SAP Fiori-Berechtigungen
Bevor Sie nun die Rollen im Profilgenerator via Transaktion PFCG anlegen, sollten Sie sich bewusst machen, welche konzeptionelle Richtung Sie beim Bau der Rollen einschlagen möchten. Der Best Practice ist wie gehabt, Jobfunktionsrollen zu bauen. Das bedeutet, die Zusammenführung der SAP ABAP- und Fiori-Berechtigungen in einer Rolle gemäß der Jobfunktionen, da die SAP Fiori-Anwendungen auch zu dieser gehören. Dadurch werden durch die Business-Katalogpflege per Rollenmenü direkt die SAP-Vorschlagswerte in die Rollen integriert und man hat einen geringeren Pflegeaufwand, da ggf. vorhandene Berechtigungsobjekte schon eine bestehende Ausprägung liefern.
Von einer getrennten Behandlung zwischen den ABAP- und SAP Fiori- Berechtigungen in zwei separaten Rollen, durch sogenannte Modulrollen, sollte abgesehen werden. Eine strikte Teilung zwischen technischer (SAP Fiori) und geschäftlicher (Job) Relevanz ist aufgrund der modulübergreifenden Funktionen der SAP Fiori-Applikationen fast nicht möglich.
Im Kontext des Best-Practice-Ansatz werde ich im weiteren Verlauf auf die Integration in eine Jobfunktionsrolle mit Embedded Szenario eingehen. Dafür öffnen Sie die Transaktion PFCG und wählen, falls vorhanden, bspw. die bestehende Jobfunktionsrolle für den „Internal Sales“ aus. Existiert diese noch nicht, sollten Sie eine Einzelrolle für diese Jobfunktion erstellen. Daraufhin hinterlegen Sie im Rollenmenü in einem separaten Ordner alle notwendigen ODATA Services, die Sie der SAP Fiori Apps Reference Library entnehmen können . Hierbei müssen Sie im ED Szenario darauf achten, dass Sie sowohl die Front-End (IWSG) als auch Back-End Services (IWSV) integrieren. Weiterhin muss auch der erstellte BC und BCG in das Rollenmenü aufgenommen werden.
Anschließend müssen Sie ggf. nun nur noch notwendige Berechtigungsanpassungen bzw. -ausprägungen vornehmen und das Profil neu generieren. Ihre SAP Fiori-Applikation mit den entsprechenden Funktionen ist jetzt mittels der angepassten Berechtigungsrolle für das Tagesgeschäft einsetzbar.
Bei Bedarf können Sie auch die Vorlagerollen der SAP nutzen, die neben den Standardkatalogen und -gruppen auch in der SAP Fiori Apps Reference Library hinterlegt sind. Beachten Sie jedoch, dass Sie sich dadurch in ihrem individuellen Freiraum bei der Ausgestaltung der notwendigen Jobfunktionen und Tätigkeiten begrenzen. Diese sollten im besten Fall nur als Maßgabe dienen, da sie meistens für einen allgemeinen Standard ausgelegt sind, der von Unternehmen zu Unternehmen unterschiedlich ist.
Fazit
Mithilfe der Blogserie sollten Sie jetzt in der Lage sein, Ihre ersten Fiori Berechtigungsrollen zu erstellen und dabei auch die individuellen Abstimmungselemente und Vorbereitungsmaßnahmen mit einzukalkulieren. Die zusätzliche Arbeit im SAP Fiori Launchpad Designer oder SAP Fiori Launchpad Content Manager bedarf einer Eingewöhnung, gehört aber in naher Zukunft zum Tageswerk jedes Berechtigungsadministrators. Nichtsdestotrotz bleibt Ihnen zum heutigen Stand der altbekannte Profilgenerator zur Rollenpflege erhalten.
Im Zuge einer SAP S/4HANA-Berechtigungsmigration ist es ratsam, über ein Berechtigungskonzept für die SAP Fiori-Applikationen nachzudenken. Dies sollte man entweder separat oder inkludiert in das vorhandene Rollenkonzept aufgleisen. Mit den neuen SAP Fiori-Oberflächen erhalten Sie die Möglichkeit, in Ihrer SAP-Systemlandschaft, Daten nach bestimmten Sachverhalten, mittels Ihres mobilen Endgerätes, in Echtzeit zu analysieren oder miteinander zu validieren.
Sollten Sie bei der Erstellung von SAP Fiori-Berechtigungsrollen Hilfe benötigen, können Sie uns gerne jederzeit kontaktieren. Die Xiting AG bietet Ihnen umfassende Services rund um das Thema SAP S/4HANA, SAP Fiori-Berechtigungen oder auch SAP HANA Datenbank an. Neben individuellen Sicherheitsprüfungen, Systemanalysen für Projektkalkulationen, SAP S/4HANA Readiness Checks, individuellen Entwicklerarbeiten und vielen mehr, offerieren wir Ihnen auch eine komplette Projektunterstützung im Bereich SAP-Berechtigungen für SAP ERP 6.0 und SAP S/4HANA. Überzeugen Sie sich doch einfach selbst und schauen Sie bei einem unserer vielseitigen Webinare vorbei.
Hier gelangen Sie zu Teil 2 der Blogserie: Vorbereitungen für SAP Fiori-Berechtigungsrollen
Hier gelangen Sie zu Teil 1 der Blogserie: SAP Fiori 3.0 (Basics)
Xiting E-Book:
SAP S/4HANA – Die Zukunft der SAP-Produktpalette
Ein Überblick der neuen Produktlinie der 4. Generation und deren Eigenschaften im Berechtigungskontext
- Top Pain Points bei SAP Fiori-Berechtigungen und deren Lösungen – ein Erfahrungsbericht - 20. November 2023
- Das Risikoregelwerk CRAF der Xiting AG – Schluss mit kritischen Berechtigungen und SoD! - 20. November 2023
- Die TOP 20 SAP IT Basis-Tabellen mit besonderem Schutzbedürfnis in SAP S/4HANA - 7. September 2023