Mit Einführung der Fiori-Apps lieferte die SAP® eine neue Kategorie Anwendungen aus, mit denen Geschäftsprozesse durchgeführt und bearbeitet werden können. Die fortschreitende Migration der alten ERP-Systeme auf die aktuelle S/4HANA-Systemlandschaft, sowie Neueinführung von S/4HANA bei den Kunden führt zu einer immer häufigeren Verwendung der Fiori-Apps. Viele altbewährte Transaktionen werden sukzessive durch Apps abgelöst. Neue Funktionen werden größtenteils nur noch als Fiori-Anwendung entwickelt. Ebenso werden auf neuen S/4HANA-Systemen von Kunden und Beratungshäusern kundeneigene Programme nur noch für Fiori und nicht mehr auf Transaktionen implementiert. Daher rücken die Fiori-Apps auch immer mehr in den Fokus der SAP®-Systemprüfungen.
Diese neue Technologie hat hinsichtlich der Berechtigungen und Implementierung in Rollen einiges mit der alten Welt der Transaktionen gemein, unterscheidet sich aber auch in einigen Gesichtspunkten gravierend. Aus diesem Grund soll mit dieser Newsletter-Serie ein Einblick in den technischen Hintergrund der Fiori-Berechtigungen gegeben werden, sowie auf die Besonderheiten bei einer Prüfung hingewiesen und mögliche Ansätze erläutert werden.
Im vorliegenden Newsletter soll dargestellt werden, welche Möglichkeiten der Recherche direkt im SAP-System der Launchpad-Content-Manager im Fiori-Umfeld bietet.
Was ist der Launchpad-Content-Manager?
Die SAP® bietet mit der dem Launchpad-Content-Manager ein mächtiges Werkzeug, das in erster Linie für die Pflege der Inhalte des Fiori-Launchpads gedacht ist. Dies bedeutet, dass Kataloge angelegt, Kacheln und Zielzuordnungen dazu hinzugefügt oder entfernt und sogar Rollen bearbeitet werden können. Damit handelt es sich in erster Linie um eine administrative Funktion. Es gibt hierfür zwei unterschiedliche Transaktionen.
Transaktion | Beschreibung |
|---|---|
/UI2/FLPCM_CUST | FLP-Content-Manager: Mandantenspezifisch |
/UI2/FLPCM_CONF | FLP-Content Manager: Mandantenübergreifend |
Im Regelfall werden die Inhalte des Launchpads immer mandantenabhängig angelegt. Daher empfiehlt es sich die Transaktion /UI2/FLPCM_CUST für die mandantenabhängige Sicht zu verwenden.
Der Launchpad-Content-Manager ermöglicht aus der SAP-GUI heraus einen Blick auf Fiori-Kataloge und deren Inhalte, sowie die Verwendung der Kataloge in Berechtigungsrollen. Besonders interessant für den Auditor ist hierbei, dass die Recherche von jedem dieser drei Bereiche ausgehen kann und dass dabei kein Zugriff auf die Weboberfläche des Launchpad-Designers notwendig ist.
Diese Transaktion kann trotz ihrer weitreichenden administrativen Möglichkeiten auch an Auditoren vergeben werden. Voraussetzung dafür ist, dass in den anhängigen Berechtigungsobjekten /UI2/CHIP und S_WDR_ADM lediglich die Aktivität ‚03‘ (Anzeigen) vergeben ist und der Benutzer keine Berechtigungen zum Anlegen von Transporten hat. Weiterhin dürfen keine Berechtigungen auf die Services ZPAGE_BUILDER_CUST_0001 und ZPAGE_BUILDER_CONF_0001 vergeben sein. Unter diesen Voraussetzungen sind keine Änderungen mit dieser Transaktion möglich.
Informationen aus dem Reiter „Kataloge“
Im oberen Bereich dieses Reiters findet man eine Auflistung sämtlicher Kataloge, die für diesen Mandanten angelegt wurden. Zusätzlich hat man die Möglichkeit, nach Katalogen sowohl mit vollständigem Namen als auch mit Wildcards zu suchen. Zur Suche sei gesagt, dass hier die Transaktion nicht nur im technischen Namen, sondern auch im Titel der Objekte sucht. Die Suchfunktion ist in allen drei Reitern identisch.
Die Inhalte des unteren Bereichs können ausgewählt werden. Entweder kann man sich die Inhalte des Katalogs oder die Verwendung in Rollen anzeigen lassen. Diese Option ist, wie in Abbildung 1: Reiter „Kataloge“ – oberer Bereich gezeigt, wählbar und kann jederzeit auch umgeschaltet werden.
Lässt man sich den Inhalt des Katalogs anzeigen, so erhält man Informationen zu allen enthaltenen Kombinationen von Kachel und Zielzuordnung, sowie zusätzlicher Zielzuordnungen ohne Kachel. Letzteres ist beispielsweise notwendig, wenn aus einer Fiori-Anwendung in eine andere abgesprungen werden soll, das Sprungziel aber nicht direkt als Kachel aufgerufen werden soll oder zusätzliche Funktionen innerhalb einer App dadurch ermöglicht werden sollen. Ebenso erfährt man, ob die zugeordneten Anwendungen reine Fiori-Apps, Transaktionen oder von einem anderen Typ sind.
Wählt man die Anzeige der Verwendung in Rollen, so erhält man eine Auflistung sämtlicher Rollen, in welchen der ausgewählte Katalog enthalten ist. Sofern die Berechtigungen hierfür vorliegen, kann auch direkt in die Anzeige der Rolle in der Transaktion PFCG abgesprungen werden.
Dieser Reiter ist der beste Ansatzpunkt, wenn man beispielsweise eine Auswahl an Katalogen aus Tickets und dergleichen vorliegen hat und deren Inhalte bzw. Rollenzuordnung prüfen möchte.
Informationen aus dem Reiter „Kacheln/Zielzuordnungen“
In diesem Reiter bietet der obere Bereich eine Auflistung sämtlicher Kacheln, Zielzuordnungen bzw. deren Kombinationen. Direkt startbar sind i.d.R. nur Apps, mit einer Kombination von Kachel und Zielzuordnung.
Neben diversen technischen Informationen findet man auch, um welchen Typ es sich bei der App handelt. Hierüber geben die Spalten App-Typ, Anwendungsressource, SAP-Fiori-ID und Transaktion Aufschluss.
Die Inhalte des unteren Bereiches sind auch hier wieder über eine Auswahl oben wählbar. Man kann festlegen, ob man angezeigt bekommt, in welchen Katalogen oder in welchen Rollen der Eintrag des oberen Bereiches verwendet wird. Ein Absprung in die Rollenansicht der PFCG ist ebenfalls möglich.
Für Recherchezwecke zu Apps ist dieser Reiter wohl am interessantesten, da man hier direkt nach den technischen IDs der Apps suchen kann. Dies führt besonders schnell ans Ziel, da die Funktionen des SAP-ALV-Grids – allen voran Suchen und Filtern – hier zur Verfügung stehen.
Sucht man beispielsweise alle Kataloge, in denen die App F0717 – Buchungsbelege verwalten enthalten ist, so kann man einen entsprechenden Filter auf die Spalte „SAP-Fiori-ID“ setzen. In der Trefferliste sollte sich dann auf die Einträge „Kachel + Zielzuordnung“ konzentriert werden.
Sucht man nach Legacy-Apps, so muss der Filter in der Spalte „Transaktion“ gesetzt werden; für Webdynpro-Anwendungen oder URLs in der der Spalte „Anwendungsressource“.
Da man in diesem Reiter direkt nach Anwendungen suchen kann, ist er der beste Einstiegspunkt für Recherchen. Die Inhalte aus dem unteren Detailfenster (Kataloge/Rollen) können einfach über die Einzelauswahl herauskopiert werden und für weiterführende Nachforschungen in die beiden anderen Reiter übernommen werden.
Informationen aus dem Reiter „Rollen“
Wie auch in den beiden anderen Reitern, findet sich hier im oberen Bereich eine umfassende Liste aller Rollen im Mandanten. Diese bietet allerdings deutlich weniger Detailinformationen. Größter Unterschied ist, dass hier vier Detailsichten für den unteren Bereich ausgewählt werden können.
Dabei gilt es zu beachten, dass die Optionen „Gruppen anzeigen“ und „Bereiche anzeigen“ für die Recherche des Auditors vernachlässigt werden können. Sie bieten lediglich eine Übersicht, welche Fiori-Launchpad-Groups und -Spaces in den Rollen enthalten sind. Diese sind lediglich zur optischen Gliederung gedacht und daher für die Berechtigungsprüfung nicht relevant.
Die beiden damit verbliebenen Optionen zeigen im unteren Bereich, welche Kataloge bzw. Kacheln und Zielzuordnungen in der gewählten Rolle enthalten sind. Die dargestellten Inhalte sind mit denen der beiden anderen Reiter identisch.
Der Reiter „Rollen“ ist damit der beste Einstiegspunkt, wenn man an anderer Stelle auf bestimmte Rollen aufmerksam geworden ist und deren Inhalte prüfen möchte.
Fazit
In aktuellen SAP-Systemen trifft man immer häufiger auf die Verwendung von Fiori-Apps. Mit fortschreitender Zeit wird sich deren Anteil gegenüber den Transaktionen noch deutlich erhöhen. Damit rücken sie immer mehr in den Fokus von Prüfungen der SAP-Systeme.
Der Auditor steht damit vor der Herausforderung die Zuordnung der Fiori-Apps zu Rollen und Katalogen und letzten Endes zu Benutzern zu ermitteln. Dass der Recherche Ansatz aus unterschiedlichen Richtungen kommen kann („Wo ist die App Fxxxx verbaut?“, „Welche Kataloge enthält die Rolle XXX?“, etc.), macht die Aufgabe nicht leichter. Der Launchpad-Content-Manager ist hierfür ein sehr gutes Werkzeug, da man die komplette Kette von der App bis zur Rolle (und damit zum Benutzer über den Absprung in die PFCG) nachvollziehen kann.
Als Wermutstropfen muss man allerdings anführen, dass man als Auditor wohl nicht ohne Weiteres Zugriff auf diese Transaktion erhalten wird, die Recherche doch auch etwas umständlich und daher zeitaufwändig ist und man letzten Endes für die Recherche auf Basis von Rollen und Katalogen i.d.R. wieder auf Input seitens der Administration (z.B. Konzepte) angewiesen ist.
