SAP Fiori Berechtigungen optimal verteilen

​​​SAP Fiori: Das optimale Berechtigungskonzept

28.11.2019 | Markus Schütz

Beim Download einer SAP-Fiori-App wird ein kompletter SAP-Fiori-Katalog sowie die SAP-Fiori-Gruppen und technischen Rollen mit allen „verwandten Apps“ heruntergeladen und als Teil der SAP UI „Add-On“ Software Komponente auf dem SAP Frontend Server installiert.

Wenn Sie nun einem Benutzer eine neu installierte technische SAP-Fiori-Standard-Rolle zuweisen, enthält diese Menü-Rolle in ihrem Standard SAP-Fiori-Katalog und seinen Gruppen auch Apps (Kacheln/Tiles) die Sie in ihrem Unternehmen gar nicht einsetzen wollen.

Der Benutzer sieht aber solche Kacheln, oder kann sich diese über die SAP-Fiori-Launchpad-Personalisierung einblenden. Sobald er auf eine nicht konfigurierte App klickt, erhält er eine Fehlermeldung wie z.B. "Cannot load tile" und wendet sich an den Support.

Um den Support zu entlasten und ihr SAP-Fiori-Einführungsprojekt reibungsloser zu gestalten, empfehlen wir daher die SAP Standard Fiori Rollen, Kataloge und Gruppen auf kundeneigene Objekte zu kopieren und anzupassen.​
SAP Fiori Berechtigungen

Warum SAP Fiori nicht "einfach so" eingeführt werden kann.

SAP Frontend Server und Backend System müssen wie Stecker und Steckdose zusammenarbeiten, damit ein Anwender eine App auswählen und dann auch korrekt ausführen kann:

  • Der Anwender muss auf beiden Systemen mit identischen Benutzernamen angelegt sein.
  • Die Berechtigung für die App muss sowohl im Frontend wie im Backend aufgebaut sein und zusammenpassen.

Das stellt die bisherige Vorgehensweise auf den Kopf:

  • Zukünftig müssen zuerst genau die richtigen Berechtigungen gebaut werden, bevor auch nur mit einem Test begonnen werden kann. Es gibt im SAP-Fiori-Umfeld nicht die Möglichkeit, einfach mal so "alles" zu berechtigen. Jede App muss spezifisch und ausdrücklich berechtigt werden.
  • Um nun eine SAP-Fiori-Berechtigung bauen zu können, sind diverse Vorarbeiten sowohl auf Backend- wie auch Frontend-Server notwendig, daher gibt es nicht den "evolutionären" Prozess wie in der Vergangenheit, sondern es muss sehr viel als Grundlage von vorne herein definiert sein. Ist dies nicht gut und gründlich definiert, gibt es Mehrfachaufwände, da auch Anpassungen bei nachträglichen Veränderungen aufwändig sind.​

SAP-Fiori-Kataloge, -Gruppen und -Apps

Zuordnung von Katalogen und Gruppen 

Eine SAP-Fiori-App wird von SAP innerhalb eines Kataloges ausgeliefert.

Ein Katalog ist eine Sammlung von Anwendungen (Apps), die ein User verwenden und seiner Homepage hinzufügen kann.

Eine Gruppe ist ein definierter Satz von Kacheln, die ein User auf seiner Homepage sieht.

SAP Fiori Katalog

Im obigen Beispiel enthält ein FI Business Katalog die App 1,2,3 und 4.

Dieser Katalog (Z_BC_FI) ist dem User A über eine Rolle "Z_FI_Aufgabe1" zugewiesen.

Zusätzlich enthält diese Rolle die Gruppe "Z_FI_fuer_Aufgabe1".

Der gleiche Katalog (Z_BC_FI) ist dem User B über eine Rolle "Z_FI_Aufgabe2" zugewiesen.

Zusätzlich enthält diese Rolle die Gruppe "Z_FI_fuer_Aufgabe2".

Der User A sieht somit aufgrund seiner Gruppe die App1 und 4, kann sich aber via Personalisierung noch die App 2 und 3 einblenden, weil in seiner Rolle ja der Katalog Z_BC_FI alle 4 Apps anbietet.

Der User B sieht somit aufgrund seiner Gruppe die App2 und 3, kann sich aber via Personalisierung noch die App 1 und 4 einblenden, weil in seiner Rolle ja der Katalog Z_BC_FI alle 4 Apps anbietet. 

Tools zur Erstellung von Katalogen und Gruppen 

Mit dem Launchpad Designer erstellt der „Content Administrator“ eigene Kataloge und Gruppen

Dabei kann man SAP Standard Kataloge und Gruppen kopieren und referenzieren

  • Transaktion /UI2/FLPD_CONF (systemweit)
  • Transaktion /UI2/FLPD_CUST (mandantenabhängig)​​

Empfehlungen für SAP-Fiori-Berechtigungen

Achtung: Nur die Fachabteilung (Key User) weiß: WER-BRAUCHT-WAS

  • Am besten definiert man im Unternehmen eine neue Job Description "SAP-Fiori-Administrator"
  • Der "SAP-Fior-Administrator" ist zuständig für Erstellung kundeneigener Kataloge und Gruppen sowie technischer SAP-Fiori-Menü-Rollen
  • Die Key User müssen festlegen, wer welche App benutzen soll
  • Aufgrund der Definition der Key User kann der SAP-Fiori-Administrator dann die Kataloge, Gruppen und Rollen erstellen

Empfohlene Vorgehensweise für Kataloge:

  • Ein Kunden-eigener Katalog wird aus einem oder mehreren SAP-Standard-Katalogen kopiert und dann reduziert auf das was tatsächlich benutzt wird
  • Es wird mindestens ein Business Katalog und ein technischer Katalog pro Zuständigkeitsbereich (Modul) angelegt, z.B. für HR, FI, MM
  • Eine Kachel ist immer genau einem technischen Katalog zugeordnet. Somit werden alle Apps pro Zuständigkeitsbereich zusammengefasst und damit gemeinsam berechtigt.
  • Eine Kachel darf mehr als einem Business Katalog zugeordnet werden
  • Ein Business Katalog darf keine Kacheln von anderen Modulen enthalten
  • Pro Modul gibt es mind. einen Katalog, der anderen Modulen zur Verfügung steht, z.B. ZFI_FOR_ALL, ZFI_FOR_SD

Empfohlene Vorgehensweise für Gruppen:

  • Eine Gruppe darf auch Kacheln von anderen Domains enthalten
  • Eine Gruppe darf auch Business Kataloge von anderen Modulen enthalten, aber nur solche die Z<Modul>_FOR_ALL oder Z<Modul>_FOR_<Modul> enthalten
  • Eine Gruppe kann z.B. einen Prozess darstellen, z.B. Rechnungsfreigabe
  • Empfohlene Vorgehensweise für Rollen
  • Die Fachbereiche werden über SAP-Fiori-Gruppen berechtigt.
  • Pro Gruppe werden eigene Frontend- und Backend- Berechtigungsrollen gebaut, somit erzielt man maximale Transparenz
  • Pro Modul eine eigene Frontend-Rolle für den Zugriff auf den technischen Katalog Personenkreis: alle User aus dem zuständigen Anwendungsteam, Entwickler sowie entsprechend zugeordnete IT-Berater
  • Pro Modul eine eigene Backend-Rolle für den Zugriff auf den technischen Katalog Personenkreis: alle User aus dem zuständigen Anwendungsteam, Entwickler sowie entsprechend zugeordnete IT-Berater
TAGS
Rechtemanagement; SAP Fiori; Security
Ja
SAP