Top Pain Points bei SAP Fiori-Berechtigungen und deren Lösungen – ein Erfahrungsbericht

SAP Fiori ist ein Produkt bzw. genauer gesagt ein UI (user interface) welches in der SAP-Welt bereits nicht nur für die Endbenutzer, sondern auch Administratoren zu viel Staunen, Rumoren und Diskussionen geführt hat. Vor allem mit SAP S/4HANA hat dieses UI einen tiefgreifenden Einfluss auf das Alltagsgeschäft in Ihrem SAP-System. SAP Fiori hat das Ziel, die Benutzerfreundlichkeit bei der Arbeit mit SAP S/4HANA auf eine ganz neue Stufe anzuheben. Jedoch nicht nur dass, sondern mehr Agilität und Flexibilität zu ermöglichen sowie Big Data Management und Echtzeitanalysen ganzheitlich zu verbessern. Somit ist in der heutigen Geschäftswelt mit SAP S/4HANA die Implementierung des SAP Fiori Launchpads und SAP Fiori-Anwendungen – sogenannten Fiori Apps – von entscheidender Bedeutung, um die Benutzerproduktivität zu steigern und das Benutzererlebnis zu verbessern. Viele mögen vielleicht denken, diese Benutzeroberfläche gibt es erst mit SAP S/4HANA, aber sie existiert bereits seit 2013 in der 1. Version. Nichtsdestotrotz sollten Sie sich immer wieder vor Augen halten, es ist eine Frontend-Technologie für neue oder altbewährte Geschäftsprozesse, wenn auch ein ganzheitlich Neuartiges seit SAP Fiori 3.0.

Jeder, der sich mit der Herausforderung einer SAP S/4HANA Migration konfrontiert sieht, hat bestimmt auch schon einmal das SAP Fiori Launchpad mit den verschiedenen Kacheln, dem integrierten Mobilitätsgedanken, modernen Layout und integralen Funktionen gesehen. Dies soll nun eine neue „User Experience“ im Alltagsgeschäft der Endanwender mit SAP hervorrufen, wie in Abbildung 1 zu sehen. Nun ist SAP Fiori leider technisch und konzeptionell nicht so gestrickt, dass man die SAP Fiori Apps wie früher in der „alten SAP GUI Welt“ mit Transaktionen schnell berechtigen kann. Wenngleich mit SAP Fiori weiterhin im Backend-System mit ABAP-Berechtigungen gearbeitet wird, hat es gesamtheitlich einen tiefgreifenden Einfluss auf die Gestaltung und Umsetzung Ihrer SAP-Berechtigungen.

Daher möchte ich in diesem Blog vor allem auf den berechtigungsseitigen Paradigmenwechsel sowie Hürden in der Berechtigungskonzipierung, -implementierung und -aktivierung eingehen. Für Sie als interessierten Leser soll beispielhaft das Bild klarer werden, vor welchen elementaren Berechtigungsherausforderungen und Berechtigungsproblemen Sie mit der Implementierung von SAP S/4HANA mit SAP Fiori stehen werden.

Denn eins kann ich Ihnen mit Gewissheit schon bereits jetzt sagen, die Berechtigungsverwaltung wird nicht nur komplexer und aufwendiger, sondern SAP Fiori wird mit den neusten SAP S/4HANA Releases ein Muss für Ihr SAP-System sein. Sie berechtigen nicht nur Kacheln, Sie müssen eine komplett neue Benutzeroberfläche in Ihr bestehendes Konzept integrieren.

Falls Sie vor eine SAP S/4HANA Migration stehen und dafür noch nach einer geeigneten Lektüre für Ihre best practice Berechtigungsimplementierung für SAP S/4HANA mit SAP Fiori suchen, kann ich Ihnen unser SAP Press Buch „Authorizations in SAP S/4HANA and SAP Fiori“ von meinem Kollegen Alessandro Banzer und mir, ans Herz legen. Hier gehen wir von den Grundlagen hin zur best practice SAP S/4HANA Berechtigungsimplementierung über spezielle Härtefälle sowie SAP Fiori Berechtigungen, aber auch SAP GRC, Analyse von Risiken bis auf Ebene der Berechtigungsobjekte und -werte, CDS Views Berechtigungen, Berechtigungsvorschlagswerte oder Debugging ein. Sprich alles, was ihr Berechtigungsherz in die Höhe springen lässt.

Berechtigungsseitiger Paradigmenwechsel bei der SAP FIORI UI

In unseren vielen erfolgreich gemeisterten SAP S/4HANA Migrationsprojekten gibt es in Bezug zu SAP Fiori und der einhergehenden Berechtigungsimplementierung immer wieder viele Diskussionen und Fragezeichen. Daher möchte ich es ganz klar nochmal herausstellen, SAP Fiori ist eine:

• Frontend-Server Technologie, die in das gesamte (bestehende) Berechtigungskonzept integriert werden muss

• es muss kein separates oder parallellaufendes Berechtigungskonzept geschaffen werden

Kurzum, viele Funktionen, die Sie früher per SAP GUI mit bspw. Transaktionen oder Web Dynpros ausgeführt haben, bewerkstelligen Sie nun durch OData Services über das Frontend SAP Fiori Launchpad per SAP Fiori Apps.

In der „alten SAP GUI Welt“ hat man im SAP Standard per Transaktion PFCG einer Einzelrolle über das Rollenmenü eine Transaktion hinzugefügt und dadurch kamen die Transaktion SU24 Berechtigungsvorschlagswerte direkt in das Berechtigungsprofil (siehe Abbildung 2). Diese hat man dann im Berechtigungsprofil ausgeprägt und schlussendlich das Rollenprofil generiert, die Rolle getestet und der Benutzer konnte dann auf der Produktion per SAP GUI arbeiten.

Mit SAP Fiori stellt sich das Bild aber jetzt anders und vor allem komplexer dar, wie sie der Abbildung vermutlich unschwer entnehmen können.

Nun sind nicht nur einige Komponenten hinzukommen, die man nicht mehr wie gewohnt als Anwendung per Transaktion PFCG direkt in das Rollenmenü pflegen kann, sondern Sie müssen auch die technischen Entitäten für SAP Fiori Apps wie bspw. ODATA Services aktivieren und implementieren (Stichwort IWSV und IWSG Gateway Services). Zudem müssen Sie für ein vollumfängliche Nutzung per Weboberfläche sogar kritische ICF-Knoten je nach Bedarf aktivieren. Beachten Sie bitte, es nicht möglich, einfach eine SAP Fiori App in das Rollenmenü einzufügen, wie bei einer Transaktion. Es werden nun neuen Berechtigungskomponenten, wie der SAP Fiori Businesskatalog sowie Gruppen oder Bereiche und Seiten benötigt. Zusätzlich müssen Sie nun auch den Backend-System Teil, die Berechtigungen und den Frontend-System Teil, das SAP Fiori Launchpad und deren SAP Fiori App Nutzung beachten. Hier ist Ihr Berechtigungs- und Rollenkonzept also das, wo diese beiden Teile zusammenlaufen. Deshalb darf man auch nicht von einem SAP Fiori Konzept sprechen, sondern wenn überhaupt von einem SAP Fiori basierten Berechtigungskonzept, welches alle Anwendungstypen (Transaktionen, WebDynpros, ODATA Services durch SAP Fiori etc.) vereint. Unterm Schnitt lässt sich somit festhalten, die Implementierung von SAP Fiori Berechtigungen mit den all den neuen und unterschiedlichen Komponenten führt zu großen Mehraufwänden im Verhältnis zur SAP GUI Arbeit.

Für eine tiefgreifende Erläuterung zu diesem Paradigmenwechsel im Berechtigungsumfeld mit SAP Fiori schauen sich doch gerne den umfassenden Blog meines Kollegen Stefan Wohlschlag zum Thema „Über die Komplexität der Berechtigungsverwaltung in SAP Fiori“ an.

SAP Fiori Pain Points

Die Berechtigungs-Pain Points bei SAP Fiori sind vielfältig und reichen von der komplexen Rollen- und Berechtigungsverwaltung bis hin zur Sicherstellung, dass Benutzer nur auf diejenigen SAP Fiori-Anwendungen und -Funktionen zugreifen können, für die sie autorisiert sind. Darüber hinaus muss die Sicherheit gewährleistet sein, um unerlaubten Zugriff zu verhindern, während gleichzeitig die Benutzerfreundlichkeit erhalten bleiben muss. Die Lösung dieser Pain Points erfordert eine präzise Berechtigungsstruktur, Dokumentation und regelmäßige Prüfungen, um sicherzustellen, dass die Berechtigungen den geschäftlichen Anforderungen entsprechen und Compliance-Anforderungen erfüllen.

Schauen Sie sich gerne auch meine weiterführenden Blogs zu dem Thema SAP Fiori an:

• SAP Fiori 3.0 | Das neue Designkonzept von SAP S/4HANA (Basics, Teil 1)
• SAP S/4HANA Fiori | Vorbereitungen für SAP Fiori-Berechtigungsrollen (Teil 2)
• SAP S/4HANA Fiori | SAP Fiori-Berechtigungsrollen und Rollenbau (Teil 3)

Protected Go-Live in Berechtigungsprojekten mittels SAP Fiori Launchpad

Eine der kritischsten Phasen in einem Projekt ist bekanntlich immer der Go-Live. Das neue Berechtigungskonzept wird das erste Mal in einer produktiven Umgebung live gehen und man hat nun tendenziell immer die Sorge, dass unvorhersehbare Show Stopper kommen, die man nicht direkt in der Sekunde auch bewältigen und lösen kann. Hier schafft der Xiting Times Self Service, welcher basierend auf der SAP GUI und SAP Fiori genutzt werden kann, Abhilfe (Abbildung 4). Er ermöglicht einen hundertprozentig unterbrechungsfreien Go-Live, in dem sogar die fehlgeschlagenen Berechtigungsprüfungen technisch automatisch genauestens bis auf die Ebene der fehlenden Berechtigungsobjekte, -felder und -werte mit aufgezeichnet werden.

Für weitere Details zum Thema Xiting Protected Go-Live schauen Sie sich gerne den Blog meines Kollegen, Manuel Griebel, „Schluss mit unsicheren Go-Live-Phasen – Xiting Protected Go-Live“ an. Beachten Sie hierbei, dass wir nun auch die Nutzung des Protected Go-Live in der SAP Fiori Umgebung zur Verfügung stellen.

Identifizierung der genutzten SAP Fiori Apps

Oftmals ist es vor allem am Anfang in einem SAP S/4HANA System schon seitens des Fachbereichs schwer, die genauen und benötigten SAP Fiori Apps für die Geschäftsprozesse zu identifizieren. Die ausgelieferten SAP Business Kataloge sind für die Nutzung im Alltagsgeschäft keine Lösung, sondern sollten lediglich für Funktionstests genutzt werden, da sie einen zu hohen Anwendungsumfang bei 1:1 Übernahme darstellen. Somit stellt sich dann die Herausforderung, welche SAP Fiori Apps brauche ich wirklich und welche habe ich auch ausgeführt bei meinen Tests? Im Standard können Sie diese Frage nur durch Zuhilfenahme mehrerer Informationsquellen, wie der SAP Fiori App Library und S/4HANA Simplification List in Verbindung mit einem ausführlichen Testing prozessual beantworten. Technisch lässt sich im Standard aber nicht auf die tatsächlich genutzten SAP Fiori Apps eingrenzen, da das die heutigen Trace-Möglichkeiten im Standard nicht hergeben. Zusätzlich kommen dann auch noch sogenannte „related Apps“ dazu und das Chaos ist komplett. Hierfür haben wir bei der Xiting unseren Xiting Fiori App Tracker entwickelt. Er ermöglicht Ihnen eine automatisierte Identifizierung notwendiger Fiori Apps inkl. deren Zusatzinformationen auf Benutzerebene, siehe Abbildung 5. Zudem können Sie durch das integrierte App-Tracking und die Simulation von Backend-Rollen ein auditkonformes und Fiori-basiertes Berechtigungskonzept entwickeln.

Erstellen von konsistenten Rollentransporten inkl. SAP-Fiori- Objekten

Dieser Pain Point mag vielleicht für manche zunächst irritierend sein, da es sich doch eigentlich „nur“ um Transporte handelt. Bei SAP Fiori hat sich auch hier die Komplexität drastisch erhöht. Allein schon, wenn eine Transaktion „fiorisiert“ werden muss, also eine Legacy App erstellt wird, müssen min. fünf verschiedene Objekte transportiert werden. Sie müssen hier den technischen Fiori-Katalog, Business Fiori-Katalog, Spaces, Pages und die Rolle an sich in Transportaufträge aufnehmen. Tendenziell können es auch noch mehr werden, wenn man die UI5 Apps hinzunimmt. Sollten Sie nur eine Komponente vergessen, wird Ihr Test tendenziell nicht erfolgreich verlaufen. Zudem gibt es auch unterschiedliche Objekttypen, je nachdem, ob Sie bspw. Transaktionen per SAP Fiori Launchpad Designer oder App Manager „fiorisieren“. Dies ist vor allem bei großen Projekten ein echter Show Stopper, wenn es auch noch mehrere Bearbeiter für die gleichen Rollen gibt. Dafür gibt es im SAP Standard leider kein Massenverarbeitungs-Tool. Transportaufzeichnungen erfolgen für SAP Fiori Objekte nur bei Änderungen und man kann sie nicht einfach nochmal, wie bspw. bei Rollen, direkt anstoßen.

Eine Lösung bietet hier der Xiting Role Replicator, für einen massenhaften Transport jeglicher Art. Hier können sie aus einer Vielzahl an Selektionskriterien wählen, wie bspw. auch die Rolle an sich, siehe Abbildung 6.

Wie in Abbildung 7 zu sehen, können Sie dadurch alle dazugehörigen Objekte, welche im SAP Fiori Kontext benötigt werden, auch direkt und einfach per Klick in den Transport aufgenommen werden.

Massenhafte Aktivierung von Services

Jeder der schon einmal eine SAP Fiori App berechtigen musste, kennt den Fall: Es werden Apps vom Fachbereich vorgeschlagen und nun sollen diese funktionsfähig zur Verfügung gestellt werden. Klingt soweit erst einmal einfach, ist es aber weiß Gott nicht. Man muss nun vor der ganzen Rollenarbeit auch erst einmal die notwendigen technische Elemente ausarbeiten (Stichwort Rolle, Kataloge, Spaces/ Pages oder Gruppen). Darüber hinaus ist es auch sehr wichtig, vor allem die notwendigen App-relevanten ICF-Knoten sowie dazugehörigen OData Services zu aktivieren. Für eine SAP Fiori App mag das vielleicht über die Transaktionen IWFND/MAINT_SERVICES oder SICF funktionieren, aber nicht für zig verschiedene SAP Fiori Apps, die nicht aus der gleichen Rolle kommen. Das kann dann sehr schnell sehr aufwendig werden.

Dafür gibt es im SAP Standard die Transaktion STC01. Hier können Sie die folgenden Tasks nutzen:

• Task – Aktivierung per Rolle: SAP_FIORI_FCM_CONTENT_ACTIVATION
• Task – Aktivierung für ODATA Services: SAP_GATEWAY_ACTIVATE_ODATA_SERV
• Task – Aktivierung für ICF-Knoten: SAP_BASIS_ACTIVATE_ICF_NODES

Allgemein ist auch das Troubleshooting bei SAP Fiori im Vergleich zu SAP GUI Transaktionen um ein Vielfaches komplexer geworden, da es hier viele verschiedene Tools und Funktionen für die Analyse bestimmter Entitäten gibt. Sie brauchen nun nicht nur die Transaktionen SU53 oder STAUTHTRACE für Ihre Fehlersuche, sondern eine Vielzahl mehr.

Berechtigungsdifferenzierung einer SAP-Fiori-App durch Transaktion SU24-Varianten

Mein „Authorization Tool of the year 2022“ ist mit Abstand die aktualisierte Transaktion SU24 mit der neuen Funktion, Vorschlagsdatenvarianten (auch Applikationsvarianten genannt) zu erstellen. Ich bin wirklich begeistert von dieser neuen Möglichkeit, komplexe Berechtigungsdifferenzierung nun sauber lösen zu können. Das Problem der Berechtigungsdifferenzierung per Vorschlagswerte innerhalb einer Transaktion, bspw. Cockpit Transaktion wie der Transaktion MIGO, gab es schon in SAP ERP. Mit SAP Fiori Apps hat sich dieses Problem nun dramatisch vergrößert, da es nun bspw. keine Anzeige-, Änderungs- und Anlage-Transaktionen separiert gibt, sondern diese Funktionen in einer SAP Fiori App oder Transaktion vereinheitlicht wurden wie bspw. beim Geschäftspartner (Transaktion BP). Mit Hilfe der neuen Funktion in der Transaktion SU24 können Sie dieser komplexen Differenzierung nun Herr werden. Dadurch können Sie auf Basis der Vorschlagswerte bspw. die Transaktion BP in Varianten für Kreditoren und Debitoren oder auch in verschiedene Aktivitäts- oder Zugriffszenarien innerhalb der Berechtigungsobjekte unterteilen.

Da dieses Thema immer wichtiger wird und zudem auch nun durch die Erweiterung der SAP-Standardfunktionen besser darstellbar ist, haben wir uns dieser Möglichkeit der Berechtigungsdifferenzierung direkt angenommen und Ihnen in unserer XAMS Suite optimierte Massenfunktionen bereitgestellt. Denn genau eine massenhafte Bearbeitung von multiplen Vorschlagsdatenvarianten ist im SAP Standard nicht möglich, jedoch ungemein wichtig für eine Zeit und ressourcenschonenden Bearbeitung dieser Thematik. Mit unseren neu entwickelten Funktionen können Sie nun nicht nur Ihre SU24-Varianten gesamtheitlich verwalten, sondern auch per Up-/Download Möglichkeiten massenhaft diese Applikationsvarianten erstellen, kopieren und löschen (siehe Abbildung 8).

In meinen beiden folgenden Blogs erfahren Sie mehr, wie Sie sich diese Varianten nutzbar machen können:

• Die neue Transaktion SU24N (Teil 1)
• Erstellung und Nutzung einer Transaktion SU24N Vorschlagsdatenvariante (Teil 2)

Fazit

Wichtig ist es nochmals klar herauszustellen, SAP Fiori mit der SAPUI5 Technologie ist eine „neue“ Benutzeroberfläche und muss in das bestehende Berechtigungskonzept integriert werden. Die SAP-Fiori-Berechtigungsverwaltung ist hochkomplex und technisch vielschichtig, welche einiges an Training erforderlich macht. Durch immer schnellere SAP-Release-Zyklen und Innovationen sind auch SAP Fiori und damit einhergehende Tools schnelllebig, weshalb tiefgreifende Änderungen an der Tagesordnung sind. Für eine vollumfängliche SAP Fiori Berechtigungsimplementierung und -verwaltung bedarf es viel Expertenwissen, welches up-to-date sein muss. Vor allem ist es nun wichtiger denn je, die SAP-Berechtigungsintegration schon während der SAP-Fiori-Geschäftsprozessetablierung mit einzubinden. Für Ihre rudimentären Funktionstests wird Ihnen auch das Testen mit dem manuellen Profil SAP_ALL nicht mehr viel helfen.

In diesem Erfahrungsbericht habe ich die Top Pain Points bei SAP Fiori-Berechtigungen beleuchtet und Lösungen zur Bewältigung dieser Herausforderungen aufgezeigt. Eine zentrale Lösung für den reibungslosen Übergang von Test- zur Produktionsumgebungen ist der Xiting Protected Go-Live mittels SAP Fiori Launchpad. Er ermöglicht es unterbrechungsfrei weiterzuarbeiten, während die IT-Administration im Hintergrund die Möglichkeit hat, sorgfältige Fehleranalysen und Korrekturen der Berechtigungen ohne Produktionsstillstand durchzuführen. Durch den Xiting App Tracker ist es uns zudem gelungen, Ihnen ein Tool an die Hand zu geben, mit welchem die Identifizierung der genutzten SAP Fiori Apps bspw. während Ihrer Funktionstests nun ein Leichtes ist und dies einen maßgeblichen Vorwärtsschub in Ihrer SAP S/4HANA Migration inkl. SAP Fiori darstellt. Daneben ist die Erstellung von konsistenten Rollentransporten, die auch SAP-Fiori-Objekte umfassen, entscheidend, um sicherzustellen, dass Benutzer in verschiedenen Umgebungen konsistente Zugriffsrechte haben. Dies ermöglicht Ihnen die Funktionen unserer Xiting Role Replicators. Des Weiteren wurde die massenhafte Aktivierung von Services angesprochen. Hierbei ist es wichtig, Automatisierungstools und Prozesse zu nutzen, um zeit- und ressourceneffizient die benötigten Services für SAP Fiori-Anwendungen zu aktivieren. Schließlich ist die Berechtigungsdifferenzierung einer SAP-Fiori-App durch SU24-Varianten von Bedeutung. Dies ermöglicht die Feinabstimmung von Berechtigungen auf die spezifischen Anforderungen einer Anwendung und trägt zur Minimierung von Berechtigungsfehlern und Zugriffsrisiken bei.

Insgesamt ist die effiziente Verwaltung von SAP Fiori-Berechtigungen entscheidend, um Sicherheits- und Compliance-Anforderungen zu erfüllen und gleichzeitig ein benutzerfreundliches Erlebnis zu gewährleisten. Die oben genannten Lösungen und bewährten Praktiken bieten einen Leitfaden für Unternehmen, um diese Pain Points erfolgreich zu bewältigen und den vollen Nutzen aus ihren SAP Fiori-Implementierungen zu ziehen.

Ich lade Sie recht herzlich zu einen unserer wöchentlichen Webinare ein, um mehr über unsere SAP Fiori Tools und XAMS Suite zu erfahren. Da wir auch schon eine Vielzahl von SAP S/4HANA Migrationen mit SAP Fiori bei kleinen, aber auch großen Konzernunternehmen erfolgreich durchgeführt haben, kommen Sie gerne auf uns zu, wenn Sie gerade vor der Herausforderung einer SAP S/4HANA Migrationen oder auch einem vorgelagerten SAP ERP Redesign stehen. Wir stehen Ihnen dabei mit unserem jahrzehntelangen Expertenwissen im Bereich SAP Security zur Seite. Dieses Wissens können wir Ihnen auch im Kontext einer vollumfänglichen SAP HANA Datenbankabsicherung zur Verfügung stellen.  Zudem bieten wir auch eine Vielzahl von verschiedenen Services und Produkte an, um Sie bei der Wartung Ihres Berechtigungswesen zu unterstützen.

• Über
• Letzte Artikel

Alexander Sambill

Senior SAP Security Consultant | SAP Authorizations bei Xiting GmbH

In his role as SAP Cyber Security & Authorizations expert at the Xiting AG, Alexander Sambill manages a multifaceted portfolio, like leading SAP Fiori projects, steering SAP S/4HANA migration endeavors, ERP authorization redesigns, integrating internal control and compliance systems, and revamping RFC-BATCH authorization frameworks. His final academic foundation is anchored in an MBA from the Technical University Bergakademie Freiberg, Germany. Alexander's proficiency is further validated by his accreditations like an IPMA certificate in Project Management, SAP security certificates by SAP, and an IHK certification as a federal instructor. As an official SAP trainer, he imparts his expertise through SAP authorization courses, to share his knowledge and enable others to maintain an entirely secured SAP system. Beyond his hands-on projects, Alexander contributes to the industry discourse as an SAP Press author and a dedicated blogger, producing specialized SAP publications that drive thought leadership. Outside of the bustling world of SAP, he indulges in table tennis and frequently immerses himself in nature, hiking through serene forests and mountains.

Letzte Artikel von Alexander Sambill (Alle anzeigen)

• Top Pain Points bei SAP Fiori-Berechtigungen und deren Lösungen – ein Erfahrungsbericht - 20. November 2023
• Das Risikoregelwerk CRAF der Xiting AG – Schluss mit kritischen Berechtigungen und SoD! - 20. November 2023
• Die TOP 20 SAP IT Basis-Tabellen mit besonderem Schutzbedürfnis in SAP S/4HANA - 7. September 2023