Anpassung der Berechtigungsrollen im SAP S/4HANA-Projekt

Denken Sie in Ihrem SAP S/4HANA-Projekt an das Updaten der Berechtigungsrollen!

Viele Unternehmen stehen aktuell vor der Aufgabe, ihre SAP-Systeme auf S/4HANA zu konvertieren, da die ERP-Wartung in absehbarer Zeit ausläuft. Bei der Projektplanung finden jedoch meist nur die technischen und organisatorischen Komponenten Berücksichtigung, wichtige Security-Themen sind dabei zu niedrig priorisiert. So wird auch die Umsetzung des Berechtigungskonzeptes mit Anpassung der Berechtigungsrollen allzu oft hintenangestellt.

Ein Stolperstein: Fehlende Objekte in den Berechtigungsrollen

SAP Upgrades oder Releasewechsel beinhalten üblicherweise Fehlerkorrekturen. Insbesondere bei der Migration von ERP zu S/4HANA sind allerdings Erweiterungen von Funktionalitäten sowie komplett neue Funktionen verfügbar. Beispielsweise rückt die User Experience und Optik durch Fiori stärker in den Fokus. Aber nicht nur das Aussehen, sondern auch Tabellenstrukturen und in Programmen eingebaute Berechtigungsprüfungen aktualisieren sich bei einem Upgrade auf S/4HANA. Das kann dazu führen, dass Transaktionen um weitere Felder abgeprüft werden, die im ERP-System keine Relevanz hatten. Verwenden Benutzer nach der Migration diese Transaktion, sind sie in ihrer Arbeit stark beeinträchtigt. Um dem Stolperstein der fehlenden Objekte in Berechtigungsrollen zu entgehen, empfehlen wir Ihnen das Updaten der Berechtigungsrollen.

Wie lassen sich die Berechtigungsrollen mit neuen Berechtigungsobjekten aktualisieren?

Hierbei ist die Ausgangslage des ERP-Systems mit den entsprechenden Berechtigungsrollen entscheidend. Die Transaktion SU24 ermöglicht Ihnen, die von der SAP-Entwicklung ausgelieferten Vorschlagswerte nachzubearbeiten oder Vorschlagswerte für Ihre selbst entwickelten Anwendungen zu hinterlegen. Mit korrekter Pflege eigenentwickelter Transaktionen und Programme in der SU24 bekommen Sie zutreffende Berechtigungsobjekte in der PFCG vorgeschlagen.

Die SU24-Vorschlagswerte sind dann in den Customer Tabellen USOBT_C und USOBX_C aufgelistet und in der Regel bei der Migration übertragbar. Es besteht zudem auch die Möglichkeit, gepflegte Vorschlagswerte aus der SU24 herunterzuladen und in das neue S/4HANA-System hochzuladen.

Sind die gepflegten ERP-Vorschlagswerte, insbesondere die Ihrer Eigenentwicklungen, im neuen S/4HANA-System hinterlegt, ist über die Transaktion SU25 eine Anhebung auf S/4HANA möglich.

SU25 ist ein Transaktionscode, der bei der Erstimplementierung von SAP und auch bei jedem Upgrade Anwendung findet. Dieser Transaktionscode besteht aus 6 verschiedenen Schritten, Sie brauchen jedoch nicht alle auszuführen. Wir fokussieren uns hierbei nur auf die Schritte 2a bis 2c.

Mit der Ausführung von 2a werden die S/4HANA-Berechtigungsvorschlagswerte in die SAP-Tabellen USOBT und USOBX geschrieben. Aus diesen Tabellen übertragen Sie sie dann in die zuvor genannten Custom Tabellen USOBT_C und USOBX_C. Dazu führen Sie den Schritt 2b aus, der die SAP-Standard-Tabellen mit den Custom Tabellen vergleicht.

Die rote Ampel meldet im ERP-System gepflegte Transaktionen mit abweichenden Berechtigungsobjekten. In dieser Ansicht lassen sich die Abweichungen analysieren und nach Bedarf bearbeiten.

Der Schritt 2c dient zur Identifizierung der Rollen, die von den zuvor geänderten Berechtigungsvorschlagswerten betroffen sind. Die SU25 zeigt Ihnen hier diejenigen Rollen an, die erneut mit den neuen Berechtigungsobjekten abzumischen sind. Im Expertenmodus „Alten Stand lesen und mit den neuen Daten abgleichen“ können Sie die korrekten Vorschlagswerte laden – vorausgesetzt die Transaktionen wurden beim Anlegen der Rollen im Menü eingefügt.

Beachten Sie, dass Rollen mit gelöschten Berechtigungsobjekten nach dem Abmischen automatisch neue Objekte erhalten. Setzten Sie diese dann auf „inaktiv“. Ihre Rollen sind nun auf Berechtigungsobjektebene mit den korrekten Objekten ausgestattet.

Bei der Umstellung auf S/4HANA sind allerdings nicht nur Änderungen der Berechtigungsobjekte, sondern auch Änderungen auf transaktionaler Ebene erforderlich, die Sie mit dem Ausführen von 2d angezeigt bekommen. Da dieser Report nicht alle Modifizierungen berücksichtigt, empfehlen wir Ihnen zusätzlich die Tabelle PRGN_CORR2 zu betrachten.

Passend hierzu bieten wir Ihnen mit unserem Role Conversion-Service optimale Lösungen an. Sie helfen Ihnen bei der Migration Ihrer Rollen und sind zentraler Bestandteil eines jeden S/4HANA-Migrationsprojekts, sowohl für wichtige Änderungen auf transaktionaler Ebene als auch zum Identifizieren passender Fiori Apps.

Nutzen Sie unser Experten-Know-How

Die Praxiserfahrungen zeigen, dass Unternehmen die Role Conversion mit ihren vielen nötigen Vorbereitungsschritte allzu oft unterschätzen. So sind im Finanzwesen und insbesondere im Business Partner Bereich neben der Durchführung transaktionaler Änderungen auch ganze Prozesse neu zu konzipieren.

Wenn auch Sie Unterstützung im Rahmen Ihres SAP S/4HANA-Projektes benötigen, nutzen Sie unser Know-how! Unsere SAP Security Consultants sind erfahrende Experten für Berechtigungskonzeptionen und Rollouts, sie blicken bereits auf eine Vielzahl erfolgreicher S/4HANA-Kundenprojekte zurück. Informieren Sie sich vorab auf unserer Website oder nehmen Sie Kontakt mit uns auf.

Paul Michaelis (Consultant SAP Authorizations, Pathlock Deutschland)

Lesen Sie einen weitere Praxistipps: