Die Umstellung auf SAP S/4HANA ist für viele Unternehmen eine Notwendigkeit, da die Wartung ihrer bisherigen ERP-Systeme bald ausläuft. Während die Projektplanung oft technische und organisatorische Aspekte in den Vordergrund stellt, werden entscheidende Sicherheitsthemen häufig vernachlässigt. Dies führt dazu, dass die Implementierung des Berechtigungskonzepts und die Anpassung von Berechtigungsrollen bis zum Schluss aufgeschoben werden. Ein kritischer Stolperstein dabei sind fehlende Objekte in den Berechtigungsrollen, die die Arbeit der Anwender nach der Migration erheblich beeinträchtigen können.
Der Stolperstein: Fehlende Objekte in den Berechtigungsrollen
SAP-Updates und Release-Upgrades beinhalten in der Regel Fehlerkorrekturen. Die Migration von ERP zu SAP S/4HANA bringt jedoch auch Erweiterungen bestehender Funktionen sowie gänzlich neue Funktionalitäten mit sich. Die Fiori-Apps legen beispielsweise einen stärkeren Fokus auf die Benutzerfreundlichkeit und das Erscheinungsbild. Doch nicht nur die Optik: Auch Tabellenstrukturen und in Programmen implementierte Berechtigungsprüfungen werden während eines Upgrades auf SAP S/4HANA aktualisiert. Dies kann dazu führen, dass Transaktionen auf zusätzliche Felder geprüft werden, die im vorherigen ERP-System keine Rolle spielten. Anwender, die diese Transaktionen nach der Migration ausführen, werden in ihrer Arbeit stark eingeschränkt. Um diesen Stolperstein fehlender Objekte in den Berechtigungsrollen zu vermeiden, ist eine Aktualisierung der Berechtigungsrollen unerlässlich.
Erfahren Sie, wie Pathlock den Prozess der Rollengestaltung und -prüfung automatisiert, wodurch Sicherheitsteams das Projekt zur Neugestaltung von Rollen deutlich schneller abschließen können, was sowohl Zeit als auch Kosten spart.
Download the Solution Brief
Wie können Berechtigungsrollen mit neuen Berechtigungsobjekten über SU25 aktualisiert werden?
Die Ausgangssituation im ERP-System und die entsprechenden Berechtigungsrollen sind hierbei entscheidend. Die Transaktion SU24 ermöglicht es Ihnen, die von der SAP-Entwicklung ausgelieferten Standardwerte zu modifizieren und auch Standardwerte für selbst entwickelte Anwendungen zu definieren. Wenn die von Ihnen entwickelten Transaktionen und Programme korrekt in SU24 gepflegt sind, werden die entsprechenden Berechtigungsobjekte in der Transaktion PFCG vorgeschlagen.
Die SU24-Standardwerte werden dann in den kundeneigenen Tabellen USOBT_C und USOBX_C aufgeführt und können in der Regel während der Migration übernommen werden. Eine weitere Möglichkeit besteht darin, die in SU24 gepflegten Standardwerte herunterzuladen und in das neue SAP S/4HANA-System hochzuladen.
SU25 Authorization
Nachdem die gepflegten ERP-Standardwerte im neuen SAP S/4HANA-System definiert wurden, insbesondere jene für Ihre Kundenentwicklungen, können Sie die Transaktion SU25 verwenden, um sie auf SAP S/4HANA zu aktualisieren.
SU25 transaction
SU25 ist ein Transaktionscode, der sowohl bei der initialen Implementierung eines SAP-Systems als auch bei jedem nachfolgenden Upgrade verwendet wird. Dieser Transaktionscode besteht aus sechs verschiedenen Schritten, die Sie jedoch nicht alle durchlaufen müssen. Wir konzentrieren uns hierbei ausschließlich auf die Schritte 2A bis 2C, wie in der obigen Abbildung gezeigt:
- 2A. Vorbereitung: Vergleich mit SAP-Werten
- 2B. Vergleich betroffener Transaktionen
- 2C. Zu prüfende Rollen
Wenn Sie Schritt 2A ausführen, werden die Standard-Berechtigungswerte von SAP S/4HANA in die SAP-Tabellen USOBT und USOBX geschrieben. Anschließend übernehmen Sie den Inhalt dieser Tabellen in die bereits erwähnten kundeneigenen Tabellen USOBT_C und USOBX_C. Hierfür führen Sie Schritt 2B aus, der die Standard-SAP-Tabellen mit den kundeneigenen Tabellen vergleicht.
Ein rotes Licht signalisiert Transaktionen, die im ERP-System mit anderen Berechtigungsobjekten gepflegt wurden. Diese Ansicht ermöglicht es Ihnen, Abweichungen zu analysieren und diese bei Bedarf zu bearbeiten.
SU25-Vergleich
Schritt 2C dient dazu, die Rollen zu identifizieren, die von den im vorherigen Schritt geänderten Standard-Berechtigungswerten betroffen sind. Hier zeigt Ihnen SU25 die Rollen an, die mit den neuen Berechtigungsobjekten erneut zusammengeführt werden müssen. Im Expertenmodus „Alten Status lesen und mit neuen Daten zusammenführen“ können Sie die korrekten Standardwerte laden – vorausgesetzt, die Transaktionen wurden beim Anlegen der Rollen ins Menü aufgenommen.
SU25-Rollenprüfung
Bitte beachten Sie, dass Rollen mit gelöschten Berechtigungsobjekten nach der Zusammenführung automatisch neue Objekte erhalten. Diese Objekte sollten Sie auf „inaktiv“ setzen. Ihre Rollen verfügen nun über die korrekten Objekte auf Ebene der Berechtigungsobjekte.
Die Konvertierung zu SAP S/4HANA erfordert jedoch nicht nur Änderungen auf Ebene der Berechtigungsobjekte, sondern auch auf Transaktionsebene, was Sie durch die Ausführung von Schritt 2D anzeigen lassen können. Da dieser Report nicht alle Modifikationen berücksichtigt, empfehlen wir zusätzlich die Prüfung der Tabelle PRGN_CORR2.
Zur Unterstützung bieten wir Ihnen mit unserem Pathlock Rollenkonvertierungsservice optimale Lösungen an. Diese helfen Ihnen bei der Migration Ihrer Rollen und sind ein wesentlicher Bestandteil jedes SAP S/4HANA-Migrationsprojekts, sowohl für kritische Änderungen auf Transaktionsebene als auch zur Identifizierung geeigneter Fiori-Apps.
Profitieren Sie von unserer Expertise
Unsere Praxiserfahrung zeigt, dass die Rollenkonvertierung mit ihren vielen notwendigen Vorbereitungsschritten von Unternehmen häufig unterschätzt wird. Neben der Durchführung von Transaktionsänderungen müssen ganze Prozesse im Finanzwesen und insbesondere im Bereich der Geschäftspartner neu gestaltet werden.
Wenn Sie Unterstützung für Ihr SAP S/4HANA-Projekt benötigen, profitieren Sie von unserer Expertise! Unsere SAP Security-Berater sind erfahrene Experten für Berechtigungskonzepte und Rollouts, die bereits zahlreiche erfolgreiche SAP S/4HANA-Kundenprojekte durchgeführt haben.
Kontaktieren Sie uns, um mehr zu erfahren.