Einrichtung und Vergabe von SAP-Berechtigungen in SAP Fiori-Apps

SAST Blog: Einrichtung und Vergabe von SAP-Berechtigungen in SAP Fiori-AppsSeit einigen Jahren verfolgt die SAP im Hinblick auf die Interaktion der SAP-Anwender mit der Software eine neue Strategie. Komplexe SAP-Anwendungen werden in rollenbasierte SAP Fiori-Apps untergliedert, wodurch sich die Bedienung vereinfachen und die User Experience steigern soll. Immer mehr Firmen ziehen den Einsatz von SAP Fiori-Apps in Erwägung und stehen vor der Frage, welche Berechtigungen sie ihren Mitarbeitern für den App-Zugriff zuweisen müssen.

Im Folgenden wird zwischen Frontend- und Backend-Berechtigungen unterschieden. Diese Differenzierung ist für Sie lediglich dann relevant, wenn Sie sich für ein Central Hub Deployment entscheiden. Wenn Sie ein Embedded Deployment wählen, ist eine Trennung zwischen Frontend- und Backend-Berechtigungen nicht von Nöten und Sie können alle Berechtigungen in eine Rolle aufnehmen.

Grundlegende Berechtigungen für den Zugriff auf das SAP Fiori Launchpad

Das SAP Fiori Launchpad gilt als zentraler Einstiegspunkt für alle Fiori-Apps. Folgende Berechtigungen müssen einem Benutzer für den Launchpad-Zugriff zugewiesen werden:

Frontend-Berechtigungen:

  • Transaktion /UI2/FLP: Diese Transaktion ermöglicht den direkten Aufruf des Launchpads aus dem SAP GUI heraus.
  • Das Berechtigungsobjekt S_SERVICE muss für die SAP-Fiori-Launchpad-OData-Services folgendermaßen ausgeprägt werden:

SAST Blog: Einrichtung und Vergabe von SAP-Berechtigungen in SAP Fiori-Apps

Es ist wichtig, dass sowohl die IWSV- als auch die IWSG-Services über das Rollenmenü eingebunden werden. Hierzu werden der Berechtigungsvorschlag TADIR-Service, die Programm-ID R3TR und der entsprechende IWSV- bzw. IWSG-Service ausgewählt.

  • Das Berechtigungsobjekt /UI2/CHIP wird für die Transaktion /UI2/FLP und einige der oben aufgeführten Services benötigt und daher automatisch in folgender Ausprägung mit in die Rolle aufgenommen:

SAST Blog: Einrichtung und Vergabe von SAP-Berechtigungen in SAP Fiori-Apps

Die SAP-Standardrollen SAP_UI2_USER_700 und SAP_UI2_USER_750 gelten als vordefinierte SAP-Fiori-Rollen für Benutzer und können als Kopiervorlage verwendet werden. Allerdings verfügen sie lediglich über die IWSV-Einträge, sind somit nicht vollständig und müssen um die oben aufgeführten IWSG-Einträge erweitert werden.

Backend-Berechtigungen:

  • Um den Zugriff auf den Backend-Server über eine vertrauenswürdige RFC-Verbindung zu ermöglichen, werden die Berechtigungsobjekte S_RFC und S_RFCACL benötigt.

App-spezifische Berechtigungen für den Zugriff auf einzelne Fiori-Apps

Um im SAP Fiori Launchpad auf einzelne Fiori-Apps zugreifen zu können, werden App-spezifische Berechtigungen benötigt. Die relevanten Berechtigungen für alle zur Verfügung stehenden SAP Fiori-Apps werden in der Fiori Apps Library aufgelistet.

Die Darstellung des Frontends hängt von den zugeordneten Fiori-Katalogen und -Gruppen ab. In den Konfigurationseinstellungen der Fiori Apps Library werden die Gruppen und Kataloge angegeben, die zum Zugriff auf die jeweilige App benötigt werden.

Fiori-Kataloge sind eine Sammlung von logisch zusammengehörenden Apps. In ihnen werden die Kacheln (z.B. Titel, Symbol) und die Zielzuordnung definiert. Zum Beispiel:

SAST Blog: Einrichtung und Vergabe von SAP-Berechtigungen in SAP Fiori-Apps

Fiori-Gruppen stellen Sammlungen von logisch zusammengehörenden Apps dar, welche die Fiori-Launchpad-Einstiegsseite definieren. Die Apps, die zu einer Gruppe gehören, können aus mehreren Katalogen stammen. Einem Benutzer werden auf dem Launchpad lediglich die Apps angezeigt, für die er aufgrund seiner Gruppen- und Katalogzuordnung berechtigt ist.

Die SAP Fiori-Kachelkataloge und -gruppen werden über das Rollenmenü eingebunden. Durch das Einbinden des Katalogs werden die zum Start der Fiori-App benötigten IWSG-Services und die zum Abrufen der Geschäftsdaten benötigten IWSV-Services in die Rolle aufgenommen (Berechtigungsobjekt S_SERVICE).  Wenn diese Services SU24-Berechtigungsvorschlagswerte aufweisen, sind diese ebenfalls Bestandteil der Berechtigungsrolle.

Einbindung von Fiori-Gruppen und -Kataloge der App-spezifischen Berechtigungen

Im Folgendem wird die Zusammensetzung der App-spezifischen Berechtigungen zusammenfassend dargestellt:

Frontend-Berechtigungen:

  • Einbindung der benötigten Fiori-Gruppen über das Rollenmenü.
  • Einbindung der benötigten Fiori-Kataloge über das Rollenmenü.

Dadurch werden automatisch die zum Start der Fiori-App benötigten IWSG-Services mit in die Rolle aufgenommen (Berechtigungsobjekt S_SERVICE).

Backend-Berechtigungen:

  • Einbindung der benötigten Fiori-Kataloge über das Rollenmenü

Dadurch werden automatisch die zum Abrufen der Geschäftsdaten benötigten IWSV-Services mit in die Rolle aufgenommen (Berechtigungsobjekt S_SERVICE). Weitere betriebswirtschaftlichen Berechtigungen wie z.B. Berechtigungsvorschlagswerte aus der SU24 werden ebenfalls übernommen.

Es ist zu empfehlen, die technischen Kataloge und Gruppen der SAP als Referenz zu nehmen, sie in den kundeneigenen Namensraum abzuspeichern und sie – sofern möglich – aus Performancegründen zu verschlanken.

Stellen Sie vor der Implementierung der App-spezifischen Berechtigungen sicher, dass die Frontend- und Backend-Komponenten Ihres SAP-Systems den benötigten Status haben und dass die relevanten SAPUI5 Applikationen und OData Services aktiviert wurden.

Wenn Sie Unterstützung bei der Einrichtung von SAP Fiori Berechtigungen benötigen, können Sie sich gerne bei uns melden: sast@akquinet.de. Weitere Informationen zu uns finden Sie auf der SAST SOLUTIONS Homepage.

Alina-Demuth (SAST-SOLUTIONS)
Alina Demuth (SAP S/4HANA Consultant, SAST SOLUTIONS)

 

Mehr zum Thema SAP-Berechtigungen:

SAP S/4HANA-Berechtigungen und die Qual der Wahl: Brownfield oder Greenfield

Kritische SAP-Berechtigungen ohne Betriebsstörungen reduzieren