Mit Einführung der Fiori-Apps lieferte die SAP® eine neue Kategorie Anwendungen aus, mit denen Geschäftsprozesse durchgeführt und bearbeitet werden können. Die fortschreitende Migration der alten ERP-Systeme auf die aktuelle S/4HANA-Systemlandschaft, sowie Neueinführung von S/4HANA bei den Kunden führt zu einer immer häufigeren Verwendung der Fiori-Apps. Viele altbewährte Transaktionen werden sukzessive durch Apps abgelöst. Neue Funktionen werden größtenteils nur noch als Fiori-Anwendung entwickelt. Ebenso werden auf neuen S/4HANA-Systemen von Kunden und Beratungshäusern kundeneigene Programme nur noch für Fiori und nicht mehr auf Transaktionen implementiert. Daher rücken die Fiori-Apps auch immer mehr in den Fokus der SAP®-Systemprüfungen.
Diese neue Technologie hat hinsichtlich der Berechtigungen und Implementierung in Rollen einiges mit der alten Welt der Transaktionen gemein, unterscheidet sich aber auch in einigen Gesichtspunkten gravierend. Aus diesem Grund soll mit dieser Newsletterserie ein Einblick in den technischen Hintergrund der Fiori-Berechtigungen gegeben werden, sowie auf die Besonderheiten bei einer Prüfung hingewiesen und mögliche Ansätze erläutert werden.
Im vorliegenden Newsletter soll dargestellt werden, in welcher Art und Weise die Elemente, die der SAP-Standard liefert, im Betrieb verwendet werden sollten. Auch wenn es sich hierbei um ein eher administratives Thema handelt, so liefert es dennoch wichtige Hintergrundinformationen für den Auditor, das für seine prüferischen Handlungen als Grundlage dienen kann.
Welche Elemente liefert der SAP-Standard?
Wie im ersten Teil dieser Newsletterserie dargestellt, liefert der SAP-Standard Kataloge und Rollen aus.
Die Kataloge untergliedern sich auf technische Kataloge und Businesskataloge.
Technische Kataloge können für Berechtigungen nicht verwendet werden. Sie bilden die technische Basis der Fiori-Apps, auf welche in den Businesskatalogen zurückgegriffen wird. Ihr technischer Name startet mit dem Präfix „SAP_TC“.
Businesskataloge (mit dem Präfix „SAP_BC“) beinhalten keine technischen Apps. Vielmehr referenzieren sie auf die Apps und deren technische Eigenschaften in den technischen Katalogen. Die enthaltenen Fiori-Apps stellen eine Sammlung von Werkzeugen dar, welche für den jeweiligen Anwender zur Erfüllung seiner Aufgaben notwendig sein können. Sie werden für die Berechtigung verwendet und dazu in die entsprechenden Berechtigungsrollen aufgenommen.
Die Berechtigungsrollen des SAP-Standards im Kontext der Fiori-Apps nennt man „Business Roles“. Sie sind genau auf einen von der SAP definierten Arbeitsplatz zugeschnitten und enthalten sämtliche Businesskataloge, Webdynpro-Applikationen und Transaktionen, die die Person auf dem Arbeitsplatz zur Erfüllung ihrer Aufgaben benötigt bzw. benötigen könnte. Ihr technischer Name beginnt mit „SAP_BR“.
Die eben erwähnte Erfüllung der Aufgaben bezieht sich auf eine Person, die im SAP-Standard arbeitet. Entsprechend weit gefasst sind auch die Inhalte der Businesskataloge und -rollen.
Dos and Donts in der Administration
Betrachtet man die Kataloge und Rollen des SAP-Standards, so kann man festhalten, dass die SAP die Kunden mit einem sehr umfangreichen Set im SAP-Standard versorgt. Nun stellen sich natürlich die Fragen „Was nützt der SAP-Standard?“ und „Wie kann ich ihn verwenden?“.
Auch hierzu gibt die SAP ganz klare Empfehlungen:
- Die Business Roles des SAP-Standards sollen keinesfalls produktiv verwendet werden.
- Ein eigenerstellten Berechtigungsrollen sollen keinesfalls Businesskataloge des SAP-Standards aufgenommen werden.
Bei einem Blick auf die analoge Empfehlung der SAP für die Verwendung der SAP-Standardrollen aus der Zeit vor den Fiori-Apps, sind die beiden genannten Empfehlungen nicht verwunderlich. Entsprechend liegt diesen Empfehlungen die gleiche Ursache zugrunde, wie bei der Verwendung der „alten“ SAP-Standardrollen.
- Da die Fiori-Apps und damit auch die Kataloge (hier relevant sind die Businesskataloge) im Standard permanent überarbeitet und weiterentwickelt werden, kann es sein, dass einem Standard-Businesskatalog Apps hinzugefügt oder daraus entfernt werden oder sogar der komplette Katalog obsolet und damit aus dem System entfernt wird.
- Für die Business Roles des SAP-Standards verhält es sich genauso. Im Zuge der Überarbeitung und Weiterentwicklung können sich die Standardrollen teilweise mit einem Patch oder Upgrade inhaltlich gravierend verändern. Bei den Rollen des SAP-Standards kommt auch die Tatsache hinzu, dass diese weder über ein Profil noch über ausgeprägte Berechtigungen verfügen. Die Erstellung eines Profils und die Ausprägung der Berechtigungen hier wäre allerdings problemlos möglich (Keine Modifikation!).
Wie in der alten Welt auch, können diese Umstände zu unvorhergesehenen und v.a. unerwünschten Nebenwirkungen führen. Der Anwender kann plötzlich Anwendungen nicht mehr ausführen, die aber für seine tägliche Arbeit essentiell sind. Oder aber ihm stehen plötzlich Apps zur Verfügung, die noch nicht getestet sind oder nicht zum implementierten Prozess im Unternehmen passen. Schließlich könnte der Benutzer auch über veränderte Vorschlagswerte auch plötzlich über deutlich mehr Berechtigungen verfügen, als es eigentlich laut Konzept und Design erwünscht ist.
Berechtigterweise stellt sich an dieser Stelle nun die Frage, was man denn mit diesen Katalogen und Rollen aus dem SAP-Standard anfangen soll, wenn man sie nicht direkt verwenden soll. Und auch zu dieser Frage lohnt sich ein Blick auf die alte Welt.
Das empfohlene Vorgehen zu den SAP-Standardrollen war dort, diese als Vorlagen zu verwenden. Allerdings sollten diese nicht als Kopiervorlage verwendet werden, wie es bei den Rollen der alten Welt ohne größere Probleme möglich war. Eine Kopie in den Kundennamensraum oder ein manuelles Nachbauen macht allerdings an dieser Stelle keinen Sinn. Denn dies würde dazu führen, dass auch die Standard-Businesskataloge der originalen Rolle ebenfalls in die kundeneigene Rolle übernommen würden. Wie an anderer Stelle erwähnt, ist eine direkte Zuordnung von Apps zu Rollen nicht möglich. Dies kann ausschließlich über die Integration von Katalogen in die Rollen erfolgen. Das bedeutet, dass man sich bei der Übernahme der Rolleninhalte aus der Vorlage zunächst Gedanken über die Funktionen machen muss, die über die Rolle bereitgestellt werden sollen. Im Anschluss daran stehen noch vor den Rollen die Kataloge im Fokus.
Im Hinblick auf den Umgang mit den Standard-Katalogen muss man wieder zwischen den Businesskatalogen und den technischen Katalogen differenzieren. Die Businesskataloge können im Gegensatz zu den Business Roles als direkte Kopiervorlage verwendet werden und damit, falls dies gewünscht ist, auch mit deren komplettem Inhalt in den Kundennamensraum kopiert werden. Ebenso können diese selbstverständlich auch nur als Anregung für die Inhalte eines komplett eigenerstellten Businesskatalogs verwendet werden. Bei technischen Katalogen hat man es als Administrator leichter. Es ist nicht notwendig, diese anzupassen oder zu kopieren, da diese ja die eigentliche Auswahl an Fiori-Apps abbilden. Damit referenzieren die Apps aus den Businesskatalogen des Standards, wie auch die aus den individuell erstellten Businesskatalogen auf die Apps in den technischen Katalogen. Damit dienen sie bei der Ausgestaltung der kundeneigenen Businesskataloge ebenso nur als Referenzpunkt.
Zusammengefasst kann man damit festhalten, dass Kataloge und Rollen des SAP-Standards nicht verwendet und zugeordnet werden sollen. Vielmehr sollen sie als Anregungen und Kopiervorlagen dienen.
Implementierungsansätze für Rollen mit Fiori-Apps
Laut Empfehlung der SAP sollten die Business Roles (sowohl im Standard als auch kundeneigen erstellte) direkt auf die jeweiligen Funktionen der Mitarbeiter zugeschnitten sein. Sie enthalten damit einen oder mehrere Kataloge. In hybriden Szenarien, in denen neben Fiori-Apps auch Transaktionen über die SAP-GUI im Unternehmen im Einsatz sind, enthält das Rollenmenü zusätzlich zu den Katalogen auch Transaktionscodes.
Es kann auch vorkommen, dass der Kunde einen Implementierungsansatz wählt, bei dem ausschließlich Fiori-Apps verwendet werden sollen. Eine Verwendung von Transaktionen wird damit explizit ausgeschlossen. Hierbei spricht man von einem sog. „Fiori-only-Ansatz“ bzw. einer „Fiori-only-Implementierung“. Es gibt aber auch Funktionen, die bisher von Transaktionen abgebildet wurden, für die es (noch) keine entsprechende Fiori-App gibt. In solchen Fällen werden die Transaktionen in die Businesskataloge aufgenommen. Genau betrachtet handelt es sich in diesen Fällen dann nicht mehr um Implementierungen ausschließlich mit Fiori-Apps, aber die Transaktionen werden mit dem beschriebenen Vorgehen nicht mehr in der SAP GUI ausgeführt, sondern in einer Web-GUI, die über das Fiori Launchpad im Browser ausgeführt wird. Sofern der „Fiori-only-Ansatz“ implementiert wurde, müssen drei Punkte beachtet werden.
Zum einen dürfen Prüfungshandlungen auf Transaktionen (Berechtigungsobjekt S_TCODE) nicht entfallen. Auch wenn Transaktionen über Kataloge in Rollen aufgenommen werden, erfolgt deren Berechtigung weiterhin im gewohnten Vorgehen (S_TCODE, SU24, etc.), denn auch bei einer Ausführung in der Web-GUI werden die gleichen Programme und
- Funktionsbausteine im Backend durchlaufen, wie auch bei Aufruf der gleichen Transaktion in der alten SAP GUI.
- Es gibt in den Fachbereichen weiterhin Transaktionen, die (noch) nicht durch Fiori-Apps abgelöst wurde und daher weiterhin verwendet werden müssen.
- Da die Transaktionen nicht direkt dem Rollenmenü zugeordnet sind, sondern über die Kataloge in die Rolle kommen, ist bei einer Prüfung bzw. Recherche darauf zu achten, dass zwar die Berechtigungsobjekte für Start- und Anwendungsberechtigungen entsprechend ausgeprägt sind, allerdings Auswertungen, welche Transaktionen in Rollenmenüs suchen und auflisten, nicht zum Ziel führen. Diese werden die Transaktionen nicht finden, da sie nicht direkt dem Menü der Rollen zugeordnet sind.
Da aber meist von den Kunden kein reiner „Fiori-only-Ansatz“ im System umgesetzt wird, trifft man in der Realität zumeist auf die eingangs erwähnten hybriden Szenarien. Dies entspricht auch den gängigen Empfehlungen und Best-Practice-Ansätzen im Rollendesign: die Einzelrollen enthalten zusätzlich zu den verwendeten Transaktionen, die noch in der SAP GUI ausgeführt werden, auch alle Kataloge, die entsprechend des Tätigkeitsfeldes der Rolle zusammengestellt wurden. Die Kataloge in den Rollen enthalten in diesem Fall normalerweise nur Fiori-Apps. Die Transaktionen sind weiterhin direkt dem Rollenmenü zugeordnet. Die Betonung liegt hier auf „normalerweise“. Auch in hybriden Szenarien kann es vorkommen, dass Transaktionen auch über die Kataloge zur Ausführung in der Web-GUI zur Verfügung gestellt werden. Abhängig von der Umsetzung müssen daher ggf. auch die eben aufgeführten drei Punkte aus dem Fiori-only-Ansatz ebenfalls berücksichtigt werden. Im Regelfall wird aber in hybriden Szenarien darauf geachtet, nur die Fiori-Apps über die Kataloge auszurollen und Transaktionen direkt ins Rollenmenü aufzunehmen, da eine Vermischung des Transaktionsstart zu Verwirrungen bei den Anwendern führt. Dennoch gibt es keine absolute Sicherheit, welcher Weg im hybriden Szenario umgesetzt worden ist.
Grundsätzlich sollte die Entscheidung für die Umsetzung und den Umgang mit Fiori-Apps in Rollen im schriftlichen Konzept für Eigenentwicklungen bzw. für die Rollenadministration oder für das Berechtigungskonzept festgehalten sein. Sofern keines dieser Dokumente vorhanden ist oder diese Themen darin nicht enthalten sind, hilft nur das Interview mit den jeweiligen Verantwortlichen. Trotz allem kann es sein, dass es Abweichungen von den schriftlichen Konzepten gibt – bewusste oder auch unbewusste – oder dass die Informationen, die man eingeholt hat nicht abschließend korrekt sind. Daher schadet es nicht, in jedem Fall etwas detektivische Gespür zu entwickeln und die entsprechenden Methoden für derartige Prüfungen zu beherrschen.
Fazit
In aktuellen SAP-Systemen trifft man immer häufiger auf die Verwendung von Fiori-Apps. Mit fortschreitender Zeit wird sich deren Anteil gegenüber den Transaktionen noch deutlich erhöhen. Damit rücken sie immer mehr in den Fokus von Prüfungen der SAP-Systeme.
Aufgrund des umfangreich dimensionierten Inhalts von Businesskatalogen und -rollen im SAP-Standard ist die Administration versucht, diese auch direkt zu verwenden. Und immer wieder trifft man in produktiven Umgebungen auf einsatzbereite oder sogar zugewiesene Standard-Business-Roles oder in kundeneignen Rollen integrierte Businesskataloge aus dem SAP-Standard. Da beides nach Empfehlungen der SAP nicht der Fall sein dürfte, obliegt es dem Auditor in seinen Prüfungshandlungen diese Konstellationen zu berücksichtigen. Hierbei spielt es keine Rolle, ob die betroffenen Rollen an Anwender zugeordnet sind oder nicht.
Natürlich geht die mit Abstand größte Gefahr von zugewiesenen Rollen aus, aber dennoch kann eine vorhandene Rolle jederzeit auch zugeordnet werden. Sehr oft werden in Entwicklungssystemen die Standard-Businessrollen in Kombination mit umfangreichen Start- und Anwendungsberechtigungen verwendet, um mit der Implementierung zu starten. Die nun mit Profilen ausgestatteten Standardrollen werden oft unbemerkt und unbeabsichtigt mit den Projekttransporten in die Folgesysteme importiert. Da diese einsatzbereiten Standard-Rollen gar nicht in produktiver Umgebung existieren sollten, sollte von vornherein darauf geachtet werden, dass diese nicht in die Folgesysteme transportiert werden. Aber hierfür bleibt leider i.d.R. nur eine organisatorische Vorgabe.
