Suche
Close this search box.

Standardisierte Workflows und Self-Services für Ihre Benutzerverwaltung in SAP-ABAP-Systemen

Xiting Central Workflows (XCW) – Eine einfache, unkomplizierte und gleichzeitig moderne Lösung für die Benutzerverwaltung in SAP-ABAP-Systemen. Wenn Sie danach suchen, sind Sie hier genau richtig! Unser Produkt Xiting Central Workflows bietet Ihnen standardisierte Workflows und Self-Services nach SAP Best Practice für die wichtigsten Anwendungsfälle in der Benutzerverwaltung von SAP-ABAP-Systemen.

In diesem Blog zeigen wir Ihnen anhand eines Beispiels, welchen Mehrwert die Xiting Central Workflows gegenüber dem SAP Standard bieten.

Was ist die Herausforderung?

Die Beantragung von Rollen in SAP-Systemen ohne XCW erfolgt in vielen Unternehmen nach dem Motto: „Kann ich bitte die gleichen Berechtigungen wie der Kollege X bekommen?“ Mit solchen oder ähnlichen Anfragen per Zuruf oder E-Mail befassen sich Berechtigungsadministratoren tagtäglich. Dadurch liegt oftmals weder eine Nachvollziehbarkeit vor, warum die Rolle der entsprechenden Person zugeordnet wurde, noch gibt es explizite Genehmigungsverfahren woraus die Verantwortlichkeit der Rollenzuordnung abgeleitet werden kann. Auch eine Konformität für Audits ist dementsprechend nicht gegeben. Außerdem kann je nach Größe und Organisation des Unternehmens das manuelle Zurücksetzen von Passwörtern einen großen Aufwand erzeugen, wodurch nicht notwendige Ressourcen verbraucht werden. Wenn Sie vor genau diesen Problemen stehen, sollten Sie über die Nutzung der Xiting Central Workflows nachdenken.

Wie kann XCW unterstützen?

Viele Kunden stehen vor den gleichen Herausforderungen, weshalb Xiting das Ziel verfolgte, ein Produkt zu entwickeln, welches bei der Benutzerverwaltung in SAP-ABAP-Systemen unterstützt. Denn das eigene Produkt der SAP, die zentrale Benutzerverwaltung (ZBV), wird nicht mehr weiterentwickelt und bietet weder die Möglichkeit Workflows noch Self-Services zu implementieren. Das Ergebnis ist Xiting Central Workflows (XCW) eine schlanke Lösung für die Benutzerverwaltung in SAP-ABAP-Systemen. XCW bietet drei standardisierte Workflows und zwei Self-Services an:

  • Benutzeranlage/-änderung
  • Rollenvergabe/-entzug
  • Benutzeranlage inkl. Rollenvergabe
  • Self-Service: Benutzer entsperren
  • Self-Service: Passwort zurücksetzen

Außerdem können durch die Integration des XAMS-CRAF-Regelwerks bereits bei der Beantragung von Rollen eine Prüfung auf kritische Berechtigungen und SODs erfolgen. Lesen Sie dazu auch gerne den Blog zum Thema Risikoanalyse und SOD-Prüfung mit der Xiting Authorizations Management Suite (XAMS) und die Integration von SAP GRC Access Control. Dabei sind Sie auch frei, Ihre eigenen Regelwerke für die Prüfung zu integrieren. Des Weiteren unterstützt XCW eine revisionskonforme Dokumentation. Durch zahlreiche Customizing-Optionen wird XCW zu Ihrem individuellen Tool für die Benutzerverwaltung Ihrer Systemlandschaft.

XCW eignet sich sowohl für kleine als auch für große Kunden. Es kann als eigenständiges Produkt in Ihre SAP-ABAP-Systemlandschaft integriert oder als Vorprojekt zur Einführung eines SAP Identity Managements (SAP IDM) genutzt werden, um standardisierte Projekte zeitnah zu etablieren. Die für XCW verfügbaren, entwickelten Fiori-Oberflächen sind ähnlich zu den von Xiting entwickelten Fiori-Oberflächen für SAP IDM. Somit können die Anwender ein einheitliches Design verwenden.

XCW kann grundsätzlich in drei verschiedenen Szenarien implementiert werden:

  1. Eigendefinierte und zentrale Systemlandschaft: XCW läuft hier in einem vorher  definierten zentralen System. Die Beantragungen müssen in diesem zentralen System erfolgen.
  2. Zentrale Benutzerverwaltung (ZBV): XCW läuft in einem zentralen System, zusammen mit der ZBV. Die Beantragungen erfolgen aus dem ZBV-Mastersystem oder direkt aus den angebundenen Systemen und die Workflows laufen im ZBV-Mastersystem.
  3. Lokale Benutzerverwaltung: XCW läuft in einem dezentralen System und wird dort auch entsprechend verwaltet.

Nachfolgend werden exemplarisch Anwendungsfälle zur Beantragung eines neuen Benutzers und die Vergabe von Rollen komplett durchgespielt. Das in diesem Blog genutzte Beispiel wird in Szenario 2 (XCW zusammen mit der ZBV) durchgeführt. In dem System erfolgte ein grundlegendes Customizing, u.a. die Pflege der Benutzer- und der Rollenbesitzer. Benutzerbesitzer sind die Personen, die über den Benutzerantrag (neue Benutzer und Benutzeränderung) entscheiden. Rollenbesitzer werden im Customizing auf Basis der Rollennamen definiert und entscheiden im Rollenantrag darüber, ob die beantragten Rollen zugeweisen werden oder nicht. In dem nachfolgend vorgestellten Anwendungsfall werden sowohl die Nutzung per SAP GUI als auch die neu entwickelte Fiori-Oberfläche vorgestellt.

Direkt im System: Antrag zur Benutzeranlage / Benutzeränderung (SAP GUI)

Abbildung 1: XCW Einstiegsmaske

Abbildung 1 zeigt die Einstiegsmaske in der SAP GUI. Darin sind alle verfügbaren Funktionen ersichtlich: von den Dashboards, Workflows bis hin zu den Installationsschritten (inkl. Customizing). Alle Funktionalitäten können zentral von dieser Maske aus gesteuert werden.

Abbildung 2: Antrag Benutzeranlage/-änderung

In Abbildung 2 sehen Sie den Antrag für die Neuanlage von Benutzern bzw. für die Änderung von Benutzerdaten.

  1. Hier können die Benutzer angelegt werden, die entsprechenden Felder wie der Benutzername, Typ, etc. sind individuell anpassbar. Die Felder können hinzugefügt/entfernt und als Pflichtfelder eingestellt werden.
  2. Da es sich um Szenario 2 (XCW mit der ZBV) handelt, sind hier die angebundenen Systeme ersichtlich. Das Empfangssystem ist die SystemID des jeweiligen Systems.
Abbildung 3: Bestätigung Antrag senden

Nach dem Absenden des Antrags öffnet sich ein Popup-Fenster (Abbildung 3). Darin werden die Workitem ID sowie weitere Informationen angezeigt.

Abbildung 4: Dashboard der Benutzeranlage

Nach dem Absenden des Antrages ist der Workflow in dem Dashboard der Benutzeranlage (Abbildung 4) ersichtlich. Der Antrag hat den Status „Wartet auf Entscheidung“. Über einen Doppelklick auf das  Brillen-Icon können sich Details zu dem Antrag angezeigt werden.

Abbildung 5: Details zum Antrag

Die Details zum Antrag beinhalten eine Zusammenfassung des Antrags und die Systeme, in denen der Benutzer angelegt werden soll.

Abbildung 6: Workflow des Genehmiger

Der Benutzerbesitzer kann in der Transaktion “XCW Me” alle Anträge sehen, die ihm zugewiesen sind. Mit einem Doppelklick auf den Status kann er den Antrag öffnen und genehmigen.

Abbildung 7: Entscheidung über den Antrag

Der Benutzerbesitzer sieht den Benutzerantrag und kann diesen (falls mehrere vorhanden sind auch alle) genehmigen. Danach wird der Benutzer in den entsprechenden Empfangssystemen angelegt. Die Genehmigung führt automatisch zur Benutzererstellung mit Einbettung der hinterlegten Stammdaten in der USR02.

Abbildung 8: Dashboard nach der Genehmigung

Der Workflow ist nun im Dashboard mit dem neuen Status „Komplett genehmigt“ ersichtlich. Der neue Benutzer ist in allen ausgewählten Systemen verfügbar.

Abbildung 9: Details zur Genehmigung

Mit dem Doppelklick auf das Brillen-Icon  sind die Details zum Antrags-Workflow ersichtlich und können entsprechend nachvollzogen werden.

Nun haben Sie die Beantragung eines neuen Benutzers in der SAP GUI-Oberfläche gesehen. Als nächstes stellen wir Ihnen unsere XCW Fiori-Oberfläche vor. Durch die  Nutzung der Fiori-Oberfläche bieten wir Ihnen im Zuge der neuen SAP Fiori 3.0 Library eine einfache, mobile und benutzerfreundliche Anwendung. Die Zufriedenheit im Unternehmen steigt durch moderne Benutzeroberflächen und Sie können von jedem Endgerät auf die Funktionalitäten zugreifen – unnötige Wartezeiten werden dadurch deutlich minimiert.

Direkt im System: Antrag zur Rollenzuweisung (Fiori)

Abbildung 10: XCW im Fiori Launchpad

In dem Fiori Launchpad sind alle verfügbaren Funktionen ersichtlich. Das Launchpad kann wie bei anderen Fiori Apps eingestellt und auf Basis des Berechtigungskonzepts benutzerspezifisch angepasst werden.

Abbildung 11: Antrag zur Rollenzuweisung

Im Antrag zur Rollenzuweisung muss der Benutzername (1), das empfangende System (2) und die zu beantragenden Rollen (3) ausgewählt werden.

  1. XCW_USER18
  2. System IDs
  3. Hier: ZSAP_FI_S_WDF-01_KEYUSER
Abbildung 12: Bestätigung Antrag senden

Analog zu der SAP GUI wird auch hier ein Popup-Fenster (Abbildung 12) angezeigt, dass sowohl die Workitem ID als auch weitere Informationen anzeigt.

Abbildung 13: Dashboard der Rollenbeantragung

Das Dashboard (aktuell nur in der SAP GUI verfügbar) zeigt den Status des Workflows. Mit einem Doppelklick auf die Brille sind die Details des Rollenzuordnungsantrags ersichtlich. 

Abbildung 14: Details zum Antrag

Die Details zeigen übersichtlich dargestellt den Benutzer, die beantragten Rollen, die Gültigkeit der Rollen, das Empfangssystem, den Rollentyp sowie den Rollenbesitzer.

Abbildung 15: Entscheidung über den Antrag – Information

Der Rollenbesitzer sieht in seiner XCW Arbeitsliste die beantragten Rollen eines Antrags, zusammengefasst unter der Workitem ID. Zusätzlich werden grundlegende Informationen zum Antrag angezeigt.

Abbildung 16: Entscheidung über den Antrag – Rollen

In den weiteren Tabs sieht der Rollenbesitzer die konkreten Rollen, die genehmigt werden sollen. Falls wie in diesem Beispiel mehrere vorhanden sind, können auch alle genehmigt werden.

Abbildung 17: Dashboard nach der Genehmigung

Das Dashboard (SAP GUI) zeigt, dass der Benutzer nun alle beantragten Berechtigungen in den entsprechenden Systemen hat. Das Brillen-Icon zeigt die Details zum Workflow.

Abbildung 18: Details zur Genehmigung

Aus den Details zum Workflow ist ersichtlich, dass der Workflow genehmigt und erledigt (zugewiesen) wurde.

Fazit

Mit XCW ist neben der gewohnten SAP GUI auch eine moderne SAP Fiori-Oberfläche verfügbar. Das von Xiting entwickelte Benutzer-Provisionierungstool bietet einen Vielzahl an Workflows für die Benutzerverwaltung wie bspw. die Benutzeranlage/Benutzeränderung sowie Workflows für die Rollengenehmigung/Rollenentzug an. Außerdem können auch beide Antragsarten kombiniert werden.

Durch die Integration mit XAMS-CRAF-Regelwerk kann bereits bei der Rollenvergabe auf kritische Berechtigungen und SODs geprüft werden. Mit XAMS CRAF erhalten Sie eine große Anzahl an Regeldefinitionen nach dem DSAG-Prüfleitfaden, welche jedoch auch durch eigene Regeln angereichert werden können.

Durch das individuelle Customizing von XCW kann ein mehrstufiges Eskalationsverfahren mit Stellvertretern und weiteren Hierarchiestufen aufgebaut werden. Auch Self-Services für das Zurücksetzen von Passwörtern oder dem Entsperren von Usern sind verfügbar. Des Weiteren gibt es drei unterschiedliche Implementierungsmöglichkeiten, um sicherzustellen, dass sowohl Kunden mit und ohne ZBV XCW einsetzen können. Die autonome Nutzung von XCW in einem lokalen System ist ebenfalls möglich und eignet sich für einen Proof of Concept. Der bereits vorhandene SAP Standard wurde an vielen Stellen genutzt und ist z. B. bei den benötigten RFC-Verbindungen ersichtlich.

Für ein optimales Monitoring der Anträge gibt es Dashboards zu allen drei Workflows. Diese sind für die Administratoren und Genehmiger verfügbar. Zusätzlich kann mit XCW ein umfassendes Rolleneigentümerkonzept inkl. Stellvertreterregelung implementiert werden; dadurch entsteht automatisch das 4-Augenprinzip wodurch die Funktionstrennung gewahrt wird.

Haben Sie dazu Fragen oder haben wir Ihr Interesse an unserem Produkt Xiting Central Workflows (XCW) geweckt? Dann informieren Sie sich auf unserer Website oder besuchen Sie eines unserer speziellen Webinare zu diesem Thema. Sie können uns auch gerne direkt unter [email protected] kontaktieren.

Valerie Neunheuser
Kontakt

Nehmen Sie Kontakt mit uns auf!

Haben Sie Fragen zu unseren Produkten?

+41 43 422 8803
[email protected]
+49 7656 8999 002
[email protected]
+1 855 594 84 64
[email protected]
+44 1454 838 785
[email protected]
Kontakt
Webinare

Besuchen Sie unsere Live-Webinare und lernen Sie von unseren Experten mehr zu SAP-Berechtigungen, XAMS, SAP IDM und zu vielen weiteren Themen im Kontext von SAP Security.

Hier anmelden