Rollentypen in SAP-Systemen

SAP-Berechtigungen funktionieren über die Zuweisung von Rollen, die wiederum Berechtigungen enthalten. Nun kennt SAP aber ganz unterschiedliche Rollentypen. Wir erklären, welche SAP-Rollen es gibt und wie Sie sie verwenden können.

Stellen Sie sich vor, Sie sollen in einem Unternehmen mit 200 Filialen die FI-Berechtigungen neu aufbauen. Aus Datenschutzgründen muss gewährleistet sein, dass die Mitarbeiter jeweils nur die Buchungen der eigenen Filiale sehen und bearbeiten können. Außerdem sollen die Mitarbeiter Zugriff auf Berichte bekommen und auch hier soll jeder nur die Kennzahlen sehen, die zu seinem Bereich gehören. Außerdem soll gewährleistet sein, dass Mitarbeiter mit demselben Aufgabenprofil auch dieselben Rechte haben.

All diese Anforderung können Sie über individuelle Einzelrollen abbilden. Allerdings sitzen Sie dann Wochen an der Umsetzung und haben am Ende eine riesige Rollenlandschaft, die niemand mehr überblicken kann. Aber wenn Sie mit unterschiedlichen Rollentypen arbeiten, hält sich das Chaos in Grenzen:

Einzelrollen

Einzel- und Sammelrollen sind die Basis der SAP-Rollenlandschaft. Einzelrollen sind die kleinste Einheit. Sie enthalten Berechtigungen und können den Usern direkt zugewiesen werden. Auf diese Weise können Sie theoretisch für jeden Mitarbeiter ein eigenes Set an Berechtigungen aufbauen, in dem Sie für jeden eine eigene Einzelrolle bauen. Damit haben Sie die maximale Kontrolle und vermeiden ungewollte Überberechtigungen – solange jeder nur eine einzige Einzelrolle bekommt und Sie den Überblick über die darin enthaltenen Berechtigungen haben.

Und da liegt in der Praxis oft das Problem: In der Regel hat ein Mitarbeiter mehrere Einzelrollen. Da SAP Berechtigungen additiv ausliest, können Mitarbeiter damit überberechtigt werden, ohne dass Sie es merken.

Stellen Sie sich vor, Sie vergeben in einer Einzelrolle nur Leserechte für ein Berechtigungsobjekt, in einer anderen Rolle prägen Sie das Objekt aber mit Bearbeitungsrechten aus. Nun weisen Sie einem User (versehentlich, weil zeitversetzt) beide Rollen zu. Dann kann er nun automatisch auch bearbeiten, weil die weitreichendere Berechtigung aus Rolle 2 die Einschränkung aus Rolle 1 aufhebt.

Sammelrollen

In Sammelrollen fassen Sie mehrere Einzelrollen zusammen. Sammelrollen selbst enthalten keine Berechtigungen, sie sind nur die Hülle für die Einzelrollen. Allerding werden dem User nicht unendlich viele Einzelrollen direkt zugewiesen, sondern eben nur eine überschaubare Anzahl an Sammelrollen.

So könnten Sie beispielsweise eine Sammelrolle für alle FI-Mitarbeiter in der Steuerabteilung bauen. Die enthält alle notwendigen Einzelrollen. Den Usern wird aber die Sammelrolle direkt zugewiesen. Das System erkennt die enthaltenen Einzelrolle und weist sie dem User indirekt zu.

Sammelrollen werden – ebenso wie Einzelrollen – in jedem System und jedem Mandanten einzeln angelegt. Sie funktionieren nicht mandantenübergreifend.

Der große Vorteil von Sammelrollen liegt darin, dass Ihre Rollenlandschaft damit deutlich übersichtlicher wird. Und auch die Ausstattung neuer Mitarbeiter mit den passenden Berechtigungen geht schneller, wenn Sie nur die jeweiligen Sammelrollen zuweisen müssen.

Problematisch sind Sammelrollen aber unter Umständen, wenn Sie häufig Berechtigungen ändern oder hinzufügen müssen. In diesem Fall müssen Sie analysieren, ob die neue Berechtigung die alten beeinträchtigen. Das passiert auf Einzelrollenebene. Wenn Sie dann eine Einzelrolle anpassen, müssen Sie aber auch prüfen, in welchen Sammelrollen diese verbaut ist und ob es da eventuell zu Konflikten kommt. Hier kommt also bei Änderungen unter Umständen ein relativ großer Aufwand auf Sie zu.

Businessrollen

Businessrollen wirken auf den ersten Blick wie Sammelrollen: Sie umfassen ein ganzes Set an Berechtigungen, sammeln zum Beispiel alle notwendigen Berechtigungen für einen Arbeitsplatz. So brauchen dann etwa die Steuermitarbeiter aus unserem Beispiel nur noch die Business-Rolle „Steuerbearbeiter“. Um das zu gewährleisten, können Businessrollen aber nicht nur SAP-Einzelrollen enthalten, sondern auch alle anderen (systemfremden) Anwendungen, die der User braucht.

Wichtig: Business-Rollen können nur über IAM-Lösungen vergeben werden (etwa SAP IDM, SAP GRC oder entsprechende externe Tools). Businessrollen können nämlich im Gegensatz zu Sammelrollen system- und mandantenübergreifend angelegt werden. Das bedeutet also, wenn ein neuer Mitarbeiter ins Unternehmen kommt, bestellt er sich über die IAM-Anwendung die passenden Businessrollen und wird darüber auf allen Systemen und Mandanten berechtigt, zu denen er Zugriff haben muss.

Gut zu wissen: Bitte verwechseln Sie Businessrollen nicht mit Businesspartnerrollen. Diese, auch Geschäftspartnerrollen genannt, sind keine Berechtigungsrollen. Vielmehr werden damit externe Partner im System erfasst und klassifiziert. So kann es etwa Geschäftspartnerrollen wie „Auftraggeber“, „Lieferant“ oder „Vermieter“ geben. Die Rolle enthält Attribute, die für jeden Geschäftspartner erfasst werden und für das Geschäftsverhältnis relevant sind. Sie steuern darüber aber keine Systemberechtigungen.

Abgeleitete Rollen

Nehmen wir an, Sie haben eine Einzelrolle mit den Berechtigungen zur Buchung von Geldeingängen gebaut. Diese sollen alle FI-Mitarbeiter bekommen. Allerdings sollen die Mitarbeiter in den jeweiligen Filialen nur die Belege buchen (und sehen) dürfen, die in Ihrem Unternehmensbereich anfallen. Sie könnten jetzt die Einzelrolle für jede Filiale kopieren und jeweils zum Beispiel den Buchungskreis oder die Kostenstelle (also die relevante Orgebene) individuell ausprägen. Dann müssen Sie aber bei jeder künftigen Berechtigungsanpassung auch jede Einzelrolle neu bearbeiten.

Oder Sie nutzen die fertige Einzelrolle als Masterrolle und leiten die Rollen für die einzelnen Filialen einfach nur ab.

Gut zu wissen: Um Ableitungen zu erstellen, erstellen Sie in der PFCG die Kindrolle (in unserem Fall also die Rolle für eine Filiale) und geben im Reiter „Beschreibung“ im Feld „Ableiten aus Rolle“ den Namen der Masterrolle ein, von der das Menü und die Berechtigungen übernommen werden sollen.

Der große Vorteil: Künftige Änderungen in den Berechtigungen müssen Sie nur noch in der Masterrolle vornehmen. Alle abgeleiteten Rollen werden automatisch ebenfalls mit den Änderungen versorgt.

In den einzelnen Kinderrollen (also hier den Filialrollen) pflegen Sie jetzt nur noch die Orgebenen, um den Zugriff auf die Daten einzuschränken.

Wichtig: Steuern Sie die Orgebenen immer über die entsprechende Schaltfläche (PFCG -> Rolle aufrufen -> Reiter Berechtigungen -> im Bearbeitungsmodus öffnen -> Schaltfläche Orgebenen) aus. Die Orgebenen sehen Sie auch als Feldwerte in Berechtigungsobjekten. Doch wenn Sie die Orgebenen in diesen Berechtigungsfeldern anpassen, werden Sie jedes Mal überschrieben, wenn die Masterrolle geändert wird und die Änderungen auf die Kinderrollen übertragen werden. Nur wenn Sie die Orgebenen über die entsprechende Schaltfläche anpassen, bleibt diese Ausprägung erhalten, auch wenn die Berechtigungen geändert werden.

Wichtig: In abgeleiteten Rollen dürfen Sie das Menü nicht ändern. Menüanpassungen erfolgen immer in der jeweiligen Masterrolle.

Werterollen

Werterollen erscheinen auf den ersten Blick wie abgeleitete Rollen, doch der Unterschied liegt im Detail. Auch Werterollen werden eingesetzt, um den Zugriff auf Daten einzuschränken. Sie kommen allerdings zum Einsatz, wenn diese Einschränkung über einzelne Berechtigungsobjekte statt Orgebenen gesteuert werden soll.

So könnten es sein, dass Ihre Filialen nach Finanzstellen getrennt werden statt nach Buchungskreis oder Kostenstelle. Sie können nun das Berechtigungsfeld Finanzstelle zur Orgebene erheben. Das ist aber nicht ganz unkompliziert. Alternativ bauen Sie wieder eine Masterrolle, prägen allerdings Berechtigungen UND Orgebenen aus. In dem Berechtigungsobjekt, das die Berechtigungsprüfung auf die Finanzstelle steuert, geben Sie im entsprechenden Feld allerdings nur einen Dummy-Wert ein. Den korrekten Wert für die Finanzstelle der jeweiligen Filiale prägen Sie dann in der jeweiligen Werterolle aus, die darüber hinaus keine weiteren Berechtigungen enthält.

Beispiel: Das Objekt F_FICA_FSG bekommt in der Masterrolle im Feld FM_AUTHGRC den Wert <DUMMY>. In der Werterolle für die jeweilige Filiale ist dann lediglich dieses Objekt enthalten, das allerdings im Feld FM_AUTHGRC die Berechtigungsgruppe enthält, die alle Finanzstellen für diese Filiale umfasst.

Menürollen

Sie können Rollen auch in Menürollen und funktionale Rollen unterscheiden. In diesem Fall gibt es eine Rolle, die die Berechtigungen in den jeweils korrekten Ausprägungen enthält. Das Benutzermenü ist allerdings in einer separaten, sogenannten Menürolle gepflegt.

Dabei können in der Menürolle die jeweils berechtigten Transaktionscodes zusammengefasst werden. Wichtig: Bei diesem Vorgehen müssen die Vorschlagswerte für die Transaktionscodes deaktiviert werden, weil sonst die jeweiligen Berechtigungsobjekte mit in die Rolle gezogen werden. Diese sollen aber in der funktionalen Rolle ausgeprägt werden.

Menürollen kommen auch im BW-Umfeld zum Einsatz. Dann sind statt der Transaktionscodes die jeweiligen Berichte im Menü gepflegt, auf die der User Zugriff haben soll.

Wichtig: Eine Menürolle kann nie allein vergeben werden. Damit der User auf Daten zugreifen kann, braucht er ergänzend immer eine funktionale Rolle.

Frontend- und Backendrollen

Mit der Einführung von FIORI kamen in SAP zwei neue Rollentypen hinzu: Frontend- und Backendrollen. Wobei die strikte Trennung aufweicht, wenn Sie FIORI in einem Embedded-Szenario betreiben. Das bedeutet, dass Frontend und Backend bei Ihnen in einem System zusammengefasst werden.

Arbeiten Sie allerdings mit zwei getrennten Systemen, ist auch die Rollenunterscheidung wichtig für Sie. Grundsätzlich gilt: Die Frontendrolle steuert die Startberechtigungen für die OData-Services und das FIORI-Launchpad und enthält neben den Katalogen mit den FIORI-Kacheln auch die Gruppen. Die Frontend-Rolle ist also verantwortlich dafür, was der User sieht, wenn er sein Launchpad öffnet. Der Datenzugriff allerdings wird über die Backendrolle und darin über „normale“ Berechtigungsobjekte gesteuert.

Portalrollen

Portalrollen sind Sonderrollen, die Sie nur brauchen, wenn Sie an Ihr ABAP-System ein NetWeaver-Portal (JAVA) anbinden. In diesen Rollen sammeln Sie zum Beispiel Berechtigungen für iViews oder Ordnerzugriffe. Sie legen – ähnlich wie die Frontend-Rolle in FIORI-Umgebungen – fest, was der User sieht, wenn er das Portal öffnet.

Dafür erstellen Sie in der PFCG eine Portalrolle, die im Menü die URL zur jeweiligen Landingpage im Portal enthält. Anschließend müssen Sie eine Systemverbindung zwischen Portal und jeweiligem Backend-System anlegen, bevor Sie die Portalrolle aus der PFCG ins Portal hochladen. Das passiert über die Content Administration im Portal.

Achtung: Wenn Sie den Web Dispatcher verwenden, sind unter Umständen zusätzliche Schritte notwendig!

Anschließend können User Ihre Arbeit über das Portal erledigen und dafür Daten aus dem Backend nutzen, ohne ins Backend abzuspringen.

UME-Rollen

UME-Rollen sind ebenfalls Rollen, die Sie nur in JAVA-Umgebungen, also im Portal, benötigen. Im Gegensatz zur Portalrolle sammeln Sie darin allerdings die Berechtigungen. Dabei können zum einen Aktionen berechtigt werden. Grob gesagt steuern Aktionen, welche WebDynpro-Anwendungen der User im Portal nutzen kann. Gleichzeitig können UME-Rollen auch Java-Sicherheitsrollen (J2EE-Rollen) enthalten.

UME-Rollen werden über Identity Management auf dem AS Java angelegt und verwaltet.

J2EE-Rollen

Diesen Rollentyp erwähnen wir nur der Vollständigkeit halber. Als Berechtiger oder Berechtigerin haben Sie mit der Verwaltung dieser Java-Sicherheitsrollen in der Regel wenig zu tun. Da sie aber Bestandteil der UME-Rollen sein können, sollten Sie sie kennen.

Mit Sicherheitsrollen kann der Entwickler den Zugriff auf bestimmte Webressourcen wie URL oder EJB-Methoden (Java-Server-Komponenten) einschränken.

Ein Kommentar zu “Rollentypen in SAP-Systemen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert