Immer mehr Unternehmen setzen auf SAP FIORI: FIORI-Apps sind übersichtlich, leicht zu bedienen und ideal für mobile Endgeräte. Berechtigungen für FIORI funktionieren allerdings anders als bei den ERP-Transaktionen, deshalb ist ein durchdachtes FIORI-Berechtigungskonzept essenziell. Eine Suche nach fehlenden Berechtigungen im laufenden Betrieb und nachträgliche Berechtigungserweiterung kann zum Show Stopper werden.
Es ist kein Geheimnis, dass SAP-Berechtigungen in einem Implementierungsprojekt oft stiefmütterlich behandelt werden. In der „Vor-FIORI-Zeit“ ging man häufig mit einem groben Berechtigungskonzept live, das nach und nach verfeinert wurde. Das lief dann so, dass der Anwender bei einer fehlenden Berechtigung die Transaktion SU53 aufrief und einen Screenshot davon an das Berechtigungsteam schickte. Es ermittelte damit das fehlende Berechtigungsobjekt, fügte es der Berechtigungsrolle hinzu, und schon konnte der Anwender weiterarbeiten. Dieses Vorgehen hat das Berechtigungsteam zwar in den ersten Tagen und Wochen nach dem Go-Live stark ausgelastet, bewährte sich aber in vielen Projekten.
Nun wird im Unternehmen FIORI eingeführt, und warum sollte man bei den FIORI-Berechtigungen anders vorgehen als bei ERP-Transaktionen? Wer so denkt, den bestraft das Leben – spätestens beim Go-Live. Die Herausforderung bei der Suche nach den fehlenden Berechtigungen in FIORI ist groß, zeitaufwändig und kann meistens nicht so leicht wie gewohnt vom Berechtigungsteam bewältigt werden. Grund: Die Screenshots aus der SU53 helfen dem Berechtigungsteam meist nicht mehr, fehlende Berechtigungen zu identifizieren.
FIORI-Berechtigungen funktionieren anders
Dies ist der Technologie geschuldet, auf der die FIORI-Anwendung aufbaut. Der Anwender arbeitet mit der FIORI-Oberfläche, in die er seine Daten eingibt. Das ist unser Frontend, das in einem Browser ausgeführt wird. Die Anfrage aus der FIORI-App wird an das SAP-System adressiert, denn dort befindet sich nach wie vor die Datenbank, die unsere Anfrage bearbeitet. Das ist das Backend-System. Die eingegebenen Daten in der FIORI-App werden also an das Backend übermittelt, und zwar mittels einer Schnittstelle namens OData. Berechtigungen in FIORI sind also auf verschiedene Ebenen aufgeteilt. Durch die technologischen Gegebenheiten eines Front- (Gateway) und Backend-Systems müssen in beiden Systemen Berechtigungen vergeben werden - sofern kein Embedded Gateway genutzt wird.
Zum einen muss dafür gesorgt werden, dass die relevanten FIORI-Apps für den User im FIORI-Launchpad nutzbar sind. Dafür werden dem User der FIORI-Katalog und die entsprechende FIORI-Gruppe zugewiesen.
Zum anderen muss der User für die Kommunikation zwischen Front- und Backend-System berechtigt und die von der App genutzten OData Services aktiviert werden.
Fehlen dem Anwender beim Ausführen einer FIORI-App diese Berechtigungen, versagt die Transaktion SU53 oft, denn nicht alle Berechtigungen werden von der SU53 getrackt. Wenn das der Fall ist, greift man zu weiteren Werkzeugen wie Transaktionen /N/IWFND/ERROR_LOG oder /N/IWBEP/ERROR_LOG. Führt auch das zu keinem Erfolg, kommt man oft am Debuggen nicht vorbei. Dass die Berechtigungsanpassung dann um ein Vielfaches aufwändiger wird, versteht sich von selbst. Multiplizieren Sie den Aufwand mit der Anzahl der Fehler, ergibt sich eine äußerst ungünstige Situation im laufenden Betrieb. Wie kann diese vermieden werden?
Was zu einem soliden FIORI-Berechtigungskonzept verhilft
Lassen Sie es erst gar nicht so weit kommen, dass im laufenden Betrieb aufwändige Berechtigungsanpassungen an die Tagesordnung kommen. Ein durchdachtes Berechtigungskonzept ist für eine erfolgreiche Nutzung von FIORI das A und O. Die gute Nachricht lautet, dass die SAP hier ein hilfreiches Werkzeug entwickelt hat: Die FIORI Apps Library. Die Library ist eine öffentlich zugängliche Sammlung aller FIORI-Applikationen, die zur Verfügung stehen. Neben der Beschreibung der Applikation finden sich dort weitere Informationen, die für Verwendung und Implementierung der App, aber auch für die Erstellung eines Berechtigungskonzepts hilfreich sind.
Und so funktioniert das: Sie geben in die FIORI Apps Library einen Suchbegriff ein, sagen wir, „Bestellung anlegen“ oder „ME21N“. Mit Enter wird Ihnen eine Trefferliste aller zum Suchbegriff passenden FIORI Apps angezeigt. Wählen Sie die gesuchte App, und Ihnen werden unter anderem wichtige Informationen zu den Berechtigungen angezeigt:
- Für die App benötigte ICF-Knoten und OData Services
- Benötigte Zielzuordnungen für den FIORI-Katalog
- Von der SAP im Standard bereitgestellte Kataloge und „ready-to-use“ Business-Rollen
Haben Sie eine Businessrolle identifiziert, die Sie in Ihrem Unternehmen abbilden wollen, enthält diese bereits die meisten dafür notwendigen Applikationen. Es empfiehlt sich dabei, nur die tatsächlich benötigten FIORI-Apps zu aktivieren.
Ein Einstieg in die FIORI App Library ist des Weiteren über Branchen, Rollen, SAP Best Practices und andere Objekte möglich. Die Erfahrung zeigt: Um das Risiko im laufenden Betrieb zu minimieren, lohnt es sich, sich im Vorfeld intensiver mit den FIORI-Berechtigungen zu beschäftigen.
Ausprobieren geht auch ohne
Aber gerade zum Start eines S/4HANA-Projekts möchte man möglichst schnell einen Einblick in die vorhanden FIORI Apps bekommen - auch wenn das Berechtigungskonzept noch nicht erstellt ist. Muss hier von Anfang das Berechtigungsteam mit eingebunden werden? Oder kann einfach das SAP_ALL vergeben werden?
Beide Fragen können mit einem „Nein“ beantwortet werden. SAP_ALL-Berechtigung ist zwar die bewährte Lösung in Sandbox-Systemen, um den Berechtigungsproblemen aus dem Weg zu gehen, jedoch werden Sie auch mit SAP_ALL keine FIORI Apps im Launchpad sehen. FIORI-Kataloge und Gruppen sind nicht Teil der SAP_ALL-Berechtigung.
Um nun kein aufwändiges Berechtigungskonzept in der Anfangsphase erstellen zu müssen, können Sie Ihren Usern einfach die Standard-SAP-Business-Rollen zuordnen, die Sie in der FIORI Library finden. Damit werden dem User alle Berechtigungen verliehen, um FIORI Apps im Launchpad anzuzeigen und diese auch fehlerfrei auszuführen. Zudem können alle nötigen Konfigurationsschritte für die in der Business Rolle enthaltenen FIORI Apps über eine sogenannte Task-List durch die SAP Basis schnell und einfach durchgeführt werden.
Zusammenfassend ist somit zu sagen, dass ein detailliertes FIORI-Konzept essenziell für den Erfolg Ihrer S/4HANA-Einführung mit FIORI ist. Zum Start des Projekts reicht es aber völlig aus, mit den von der SAP zur Verfügung gestellten Business-Rollen zu arbeiten, um FIORI Apps schnell kennenzulernen.
Da Berechtigungen in FIORI auf verschiedenen Ebenen gepflegt werden, ist ein ausgereiftes Berechtigungskonzept essentiell. Die FIORI Apps Library von SAP ist ein hilfreiches Werkzeug, das bei der Konzepterstellung und Implementierung der Apps unterstützt.
