Zwei Wege einer SAP S/4HANA Berechtigungsmigration (Teil 1 – Greenfield)

Mit S/4HANA bietet SAP eine neue Business Suite, die nicht nur architektonische Veränderungen hinsichtlich der Datenbanktechnologie und erweiterte Produktvarianten zu Cloud-Lösungen bietet, sondern auch für die On-Premise-Lösung zahlreiche neue Funktionalitäten mit sich bringt.

Darüber hinaus gewinnt das SAP Fiori Launchpad als Benutzeroberfläche zunehmend an Bedeutung. Die Neuerungen, je Release-Stand in der «Simplification List for SAP S/4HANA» dokumentiert, wirken sich auf das Berechtigungskonzept aus, wodurch auch unter Umständen prozessuale Anpassungen notwendig sind. Es gibt Transaktionen, die in SAP S/4HANA nicht mehr unterstützt und durch neue Anwendungen bspw. über Transaktionen oder SAP-Fiori-Applikationen ersetzt werden. Die Überführung des Berechtigungskonzepts von SAP ERP 6.0 nach SAP S/4HANA ist daher, anders als bei einem ERP-Upgrade, nicht ohne weiteres möglich, sondern setzt voraus, dass das bestehende Berechtigungskonzept überarbeitet wird. Die wichtigste Entscheidung, die Unternehmen hinsichtlich der S/4HANA-Migration treffen müssen, betrifft den Migrationsansatz: Greenfield oder Brownfield? Welcher Ansatz für Sie passend sein kann, hängt von kundenindividuellen Faktoren ab und bedarf daher weiterer Analysen (bspw. eine umfassende Systemanalyse von Xiting). Es gibt nicht den einen richtigen universalen Weg, sondern den kundenabhängig individuell passenden Weg. Wenn Sie genauer erfahren möchten, warum eine Migration notwendig ist und welche Ansätze möglich sind, lade ich Sie zu unseren Blogreihen von meinem Kollegen Alexander Sambill gerne dazu ein:

• Warum ist für SAP S/4HANA eine Migration der Berechtigungen notwendig?
• Migration auf SAP S/4HANA – Basics (Teil 1)
• Migration auf SAP S/4HANA: Bauen Sie Ihr Berechtigungskonzept einfach & präzise mit XAMS! (Teil 2)

In diesem zweiteiligen Blog möchte ich Ihnen – basierend auf der On-Premise-Produktvariante – aufzeigen, wie Sie Ihr Migrationsprojekt methodisch umsetzen und das Vorgehen dabei mithilfe der Xiting Authorizations Management Suite (XAMS) vereinfachen können. Anhand beider Migrationsansätze – Greenfield und Brownfield – werde ich Ihnen exemplarisch Lösungswege aufzeigen. An dieser Stelle möchte ich betonen, dass eine S/4HANA-Berechtigungsmigration nahezu alle Geschäftsfelder Ihres Unternehmens betrifft und keineswegs als reines IT-Projekt verstanden werden darf. Die sich durch S/4HANA teils verändernden Prozesse erfordern die Integration der Fachbereiche. Dies erhöht nicht nur die Benutzerakzeptanz, sondern ist auch essenziell für ein nachhaltiges, funktionierendes und wartbares Berechtigungskonzept.

Greenfield: Ein Weg der Berechtigungsmigration

Wie der Name schon sagt, fangen Sie bei diesem Ansatz auf der grünen Wiese mit einem neu implementierten SAP S/4HANA-System an. Notwendige Daten können hierbei aus einem Altsystem übernommen werden. Die Greenfield-Migration bietet somit die Möglichkeit eines Data-Clean-Ups in der Sie Altlasten zurücklassen und sich wieder dem SAP Standard annähern. Bestandteil des Clean-Ups ist auch das Redesign der Berechtigungen. Zielsetzung sollte ein sicheres und wartbares Berechtigungskonzept sein. Dies erreichen Sie, indem Sie standardisierte und fragmentierte Job-Rollen erstellen und dabei gleichzeitig sicherheitsrelevante Anforderungen, intern wie extern, berücksichtigen. Unter Einhaltung des Xiting Best Practice mit SU24-konform erstellten Rollen, eröffnet sich beim Redesign gleichzeitig die Chance ein langfristig wartbares Rollenkonzept zu entwickeln. Näheres zum Thema Best Practice Rollenbau unter Einhaltung der SU24 finden Sie im folgenden Blog „Xiting Best Practice Rollenbau – Optimaler Rollenbau mit PFCG & SU24“.

Auch die Erstimplementierung von SAP S/4HANA fällt unter den Greenfield-Ansatz. Da Statistikdaten, auch ST03N-Daten genannt, hierbei nicht als optimale Grundlage für das Aufsetzen des neuen Berechtigungskonzepts genutzt werden können, so bietet Xiting auch hierzu eine Lösung. Mit XAMS Quick Start können Sie „out of the box“ Vorlagerollen nutzen und direkt loslegen.

Hier sehen sie beide Greenfield-Ansätze im Vergleich. Weitere Informationen hierzu finden Sie außerdem in diesem Blog.

Im Folgenden, siehe Abbildung 2, sehen Sie die drei wichtigsten Projektphasen einer Greenfield-Neuimplementierung. Dabei gehe ich auf XAMS Features ein, mit denen Sie gerade herausfordernde und oftmals langwierige manuelle Schritte effizient bewältigen können.

Phase 1: Rollendesign

In dieser Projektphase führen Sie die konzeptionellen Arbeiten durch und modellieren gemeinsam mit Ihren Fachbereichen ein stellenbezogenes und regelkonformes Rollenkonzept. Ein stellenbezogenes Rollenkonzept orientiert sich an den Arbeitsplätzen (Job-Funktion), die ein Benutzer innehat. Die Neukonzipierung funktionierender SAP-Berechtigungen ist technisch wie organisatorisch komplex, gerade im Hinblick auf den inhaltlichen Abgleich mit der SAP Simplification List, die die SAP S/4HANA-relevanten Änderungen dokumentiert. Die Bedarfsermittlung erfordert einen hohen Abstimmungsgrad mit dem Business, um notwendige Transaktionen, SAP Fiori-Apps und Prozesse berechtigungsseitig zu identifizieren. Mithilfe des Role Designer der XAMS kann die Projektphase vereinfacht werden, da dieses Modul Ihnen direkt verschiedenste Modellierungs- und Migrationsfunktionen für Rollen und Statistikdaten anbietet. Der Role Designer bietet die Möglichkeit Benutzerstatistikdaten aus dem Altsystem anhand der definierten Stellen zu gruppieren und den funktionalen Rollenumfang zu entwerfen. Mit der integrierten SAP Simplification List entfällt des Weiteren der manuelle Abgleich S/4HANA-bedingter Änderungen, wodurch Sie maßgeschneiderte und gleichzeitig SAP S/4HANA-migrierte Rollen erstellen können.

Wichtig zu erwähnen ist: Die gesamte Rollenmodellierung im Role Designer erfolgt während der Konzipierungsphase in einer virtuellen Projektumgebung, sodass erst nach finaler Abnahme der Berechtigungsinhalte durch die Fachbereiche die eigentliche Erstellung der Rolle in der Transaktion PFCG erfolgt. Dies hat den Vorteil, dass Sie Was-wäre-wenn-Szenarien und integrierte Analysewerkzeuge für Abdeckungsgrad sowie das XAMS-Regelwerk für kritische Berechtigungen nutzen können, bevor der eigentliche Rollenbau überhaupt beginnt.

Im Folgenden sehen Sie ein Beispiel anhand der Transaktion „BP“, Business Partner, die die alten Transaktionen zur Pflege von Stammdaten für Debitoren und Kreditoren in S/4HANA ablöst. Die Transaktionen zur Pflege der Debitorenstammsätze, „FD01“, „FD02 usw., wurden im alten System verwendet und sind für die Funktion „Debitorenbuchhaltung“ vorgesehen.

Abhängig vom System-Release, liefert die Xiting im Role Designer den passenden Content aus der SAP Simplification List. In unserem Beispiel bietet das Tool ad-hoc die Transaktion „BP“ als Ersatz für die „FD01“, „FD02“ usw. an:

Wie in Abbildung 5 ersichtlich, ist ein Teil der verwendeten Daten durch die SAP S/4HANA-Migration betroffen und wird durch neue Anwendungen abgelöst:

SAP Fiori Integration in der XAMS: Welche SAP Fiori App darf es sein?

Das SAP Fiori Launchpad als neue UX (User Experience) rückt in SAP S/4HANA als Benutzeroberfläche in den Fokus. Es soll ein vereinfachtes und benutzerfreundlicheres Nutzungserlebnis mit vielen intuitiven Funktionen generieren. Welche Apps nun genau benötigt werden, ist eine der zentralen Fragestellungen bei der Migration und kann über die SAP Fiori Apps Reference Library herausgefunden werden. Dort haben Sie die Möglichkeit passende Applikationen bspw. anhand der Nutzungsdaten zu ermitteln. Dieses Mapping ist auch im Role Profiler der XAMS eingebettet, welcher ad-hoc anhand der ST03N Daten SAP Fiori Apps vorschlägt, welche alternativ oder additiv zu den verwendeten Transaktionen genutzt werden können.

Die Design-Phase wird abschließend ganzheitlich vereinfacht, indem die Bedarfsermittlung aller relevanten Applikationen zentral durch die XAMS unterstützt wird. Somit liegen alle wichtigen Informationen vor und die Abstimmungen mit den Fachbereichen können beginnen.

Fiori Administration – Ein kleiner Hinweis am Rande

Anders als ABAP-Berechtigungen, werden SAP Fiori App-Berechtigungen nicht allein in der Transaktion PFCG administriert, sondern über Tools wie den SAP Fiori Launchpad Designer oder den SAP Fiori Content Manager, auch in der Blog Serie „SAP S/4HANA Fiori | SAP Fiori-Berechtigungsrollen und Rollenbau“ beschrieben. Gerade zu Beginn des Projekts müssen Fiori Kataloge, Gruppen oder Spaces massenhaft erstellt werden. Die XAMS bietet mit dem Role Designer und Role Replicator attraktive Features, die bei der Massenverarbeitung von SAP Fiori-Katalogen und Aministration der Rollen Abhilfe schaffen. Mit integrierten Status Checks über den Role Profiler haben Sie zudem die Möglichkeit, Inkonsistenzen hinsichtlich Ihres SAP Fiori Set-Ups aufzudecken. Wenn es genau an dieser Stelle noch Klärungs- oder Handlungsbedarf gibt, kommen Sie gerne auf uns zu, wir haben eine Lösung für Sie.

Phase 2: Testsimulation

Die Testphase ist grundlegend für eine reibungslose Betriebsüberführung des migrierten Rollenkonzepts. Das Vorbereiten der Testszenarien ist jedoch zeitintensiv und die Durchführung der Tests erfolgt leider oftmals nicht immer vollständig. Zudem erhalten Sie auch mit einer SU24-basierten Rollenpflege offene Berechtigungsobjektvorschläge im Rollenprofil, deren Ausprägungswerte Sie spätestens durch diese Tests ermitteln müssen. Mit Standardwerkzeugen beginnt nun ein langwieriges und ressourcenintensives „Trial And Error“-Verfahren zwischen Test-Benutzer und Rollen-Administrator. Die Produktive Testsimulation der XAMS schafft da Abhilfe. Sie steigert die Testeffizienz, indem den Benutzern weitreichende Projektrollen zugewiesen werden und im Hintergrund, über die Zuweisung eines Referenzbenutzers, die neue Rolle getestet wird. Durch die Projektrolle sind die Benutzer ausreichend für unterbrechungsfreie Tests berechtigt. Die fehlenden Berechtigungen der neuen Rolle werden protokolliert und können anhand übersichtlicher, detaillierter Ergebnismasken ausgewertet werden. Parallel zur Testauswertung können Sie auch direkt die passenden Berechtigungsvorschlagswerte aus der XAMS heraus in die Transaktion SU24 pflegen und gewährleisten damit eine technisch hohe Rollenqualität. Mit der XAMS können Sie zudem während, aber auch im Alltagsgeschäft, detaillierte Analysen der Rollen bspw. hinsichtlich kritischer Berechtigungen und SoDs fahren, sodass Risiken frühzeitig erkannt und nach Bedarf eliminiert oder mitigiert werden können. Sie erhalten somit die notwendige Rundumhilfe für die Pflege von technisch wartbaren und sicheren Rollen. Das gesamte Vorgehen und Aufsetzen der Testszenarien wird in diesem Blogbeitrag meiner Kollegin Jennifer Kraft ausführlich geschildert:

Hinweis: Für den Rollout neuer Prozesse bietet der SAP Best Practice Explorer nützliche Lösungspakete für SAP Best-Practices an, wie bspw. Testskripts und Businessrollen für gängige Geschäftsprozesse.

Phase 3: Protected Go-Live

Eine fehlerfreie und reibungslose Betriebsüberführung der neuen Rollen ist gerade bei der Greenfield Neuimplementierung kaum möglich. Viel zu hoch ist die Wahrscheinlichkeit, dass sich S/4HANA-bedingte Neuerungen hinsichtlich der Prozesse oder Anwendungen negativ auf den Go-Live auswirken. Um das Risiko einer Betriebsunterbrechung zu minimieren und gleichzeitig einen effizienten Support im Fehlerfall zu garantieren, setzen wir den Protected Go-Live mit der XAMS ein. Hierbei können sich Benutzer über einen Self-Service erweiterte Berechtigungen, bspw. die weitreichende Projektrolle aus der Testphase, sofort und für einen vorher definierten Zeitraum zurückholen. Diese Funktion ist mit der XAMS sowohl in der SAP GUI als auch im SAP Fiori Launchpad möglich. Der Anwender arbeitet unmittelbar nach dem Antrag fehlerfrei weiter, während die Berechtigungen im Hintergrund mittels Trace mitgeschrieben werden und so fehlende Berechtigungen identifiziert und korrigiert werden können. Die Analyse der Fehler erfolgt wie bei der produktiven Testsimulation. Auch für diesen Projektmeilenstein möchte ich auf einen Blog zum Thema „Protected Go-Live“ von Manuel Griebel verweisen, in welchem detailliert auf die Funktionsweise eingegangen wird:

FAZIT

Sie haben nun einen Einblick erhalten, wie eine Greenfield Neuimplementierung unter Einsatz der XAMS erfolgt. Auch wenn mit diesem Ansatz längere Projektlaufzeiten verbunden sind, ist die Greenfield-Berechtigungsmigration als langfristige Investition zu betrachten in der Sie Ressourcen einsparen können. Trotz des erhöhten strukturellen und organisatorischen Komplexitätsgrads ist eine Annäherung am SAP Standard sowie das Aufsetzen auf einer hohen Daten- und Rollenqualität möglich. Die XAMS unterstützt Sie dabei diesen Komplexitätsgrad zu reduzieren und die Rollen nicht nur nach dem Minimalprinzip sicher aufzubauen, sondern auch im Hinblick darauf SAP S/4HANA relevante Applikationen zu identifizieren und Ihre Rollen entsprechend zu migrieren.

Xiting bietet ein vielfältiges Angebot zum Thema SAP S/4HANA Migration an. Haben Sie Interesse mehr Informationen zu erhalten? Dann schauen Sie gern in unsere Services rein und erhalten Sie in einem unserer XAMS Best-Practice Workshops mit einem unserer erfahrenen Berater einen direkten Einblick in die XAMS.

Weitere nützliche Links zu dem Thema:

• SAP Bestpractice Explorer
• SAP Fiori Apps Library

Wie der Blogtitel vermuten lässt, gibt es einen zweiten Migrationsansatz, auf den ich eingehen werde: Brownfield. Worin sich dieser unterscheidet und welche Methodik sich dahinter verbirgt, erfahren Sie im zweiten Teil dieser Blogreihe.