Einrichten und Zuweisen von SAP-Berechtigungen in SAP Fiori Apps

Seit einigen Jahren verfolgt SAP eine neue Strategie in Bezug auf die Interaktion der SAP-Anwender mit der Software. Komplexe SAP-Anwendungen werden in rollenbasierte SAP Fiori Apps aufgeteilt, um die Bedienung zu vereinfachen und die Benutzererfahrung zu verbessern. Immer mehr Unternehmen erwägen den Einsatz von SAP Fiori Apps und stehen vor der Frage, welche Berechtigungen sie ihren Mitarbeitern für den Zugriff auf die Apps zuweisen müssen.

In diesem Artikel entscheiden wir zwischen Frontend- und Backend-Berechtigungen. Diese Unterscheidung ist für Sie nur relevant, wenn Sie sich für ein Central Hub Deployment entscheiden. Wenn Sie ein Embedded Deployment wählen, ist die Differenzierung nicht notwendig und Sie können alle Berechtigungen in einer Rolle zusammenfassen.

Basisberechtigungen für den Zugriff auf das SAP Fiori Launchpad

Das SAP Fiori Launchpad ist der zentrale Einstiegspunkt für alle Fiori Apps. Die folgenden Berechtigungen müssen einem Benutzer für den Zugriff auf das Launchpad zugewiesen werden:

Frontend-Berechtigungen:

• Transaktion /UI2/FLP: Diese Transaktion ermöglicht den direkten Aufruf des Launchpads aus dem SAP GUI heraus.
• Das Berechtigungsobjekt S_SERVICE muss für die SAP-Fiori-Launchpad-OData-Services wie folgt ausgeprägt sein:

Wichtig ist, dass Sie sowohl die IWSV- als auch die IWSG-Dienste über das Rollenmenü einbinden. Dazu wählen Sie den Berechtigungsvorschlag TADIR-Service, die Programm-ID R3TR und die entsprechende IWSV- bzw. IWSG-Service aus.

• Das Berechtigungsobjekt /UI2/CHIP wird für die Transaktion /UI2/FLP und einige der oben genannten Services benötigt und ist daher automatisch in folgender Ausprägung in der Rolle enthalten:

Die SAP-Standardrollen SAP_UI2_USER_700 und SAP_UI2_USER_750 gelten als vordefinierte SAP-Fiori-Rollen für Benutzer, Sie können sie als Kopiervorlage verwenden. Sie enthalten jedoch nur die IWSV-Einträge, sind also nicht vollständig und eine Erweiterung um die oben genannten IWSG-Einträge ist erforderlich.

Backend-Berechtigungen:

• Um den Zugriff auf den Backend-Server über eine vertrauenswürdige RFC-Verbindung zu ermöglichen, werden die Berechtigungsobjekte S_RFC und S_RFCACL benötigt.

App-spezifische Berechtigungen für den Zugriff auf einzelne Fiori-Apps

Damit Sie im SAP Fiori Launchpad auf einzelne Fiori-Apps zugreifen können, sind App-spezifische Berechtigungen erforderlich. Entsprechende Berechtigungen für alle verfügbaren SAP Fiori Apps sind in der Fiori Apps Library aufgelistet.

Abhängig von den zugewiesenen Fiori-Katalogen und Gruppen wird das Frontend unterschiedlich dargestellt. Die für den Zugriff auf die jeweilige Anwendung erforderlichen Gruppen und Kataloge werden in den Konfigurationseinstellungen der Fiori Reference Apps Library eingetragen.

Fiori-Kataloge sind eine Sammlung von Apps, die logisch zusammengehören. In ihnen werden die Kacheln (z.B. Titel, Icon) und die Zielzuordnung definiert.

Fiori-Gruppen sind ebenfalls Sammlungen von Apps, die in einem logischen Zusammenhang stehen. Sie definieren die Startseite des Fiori Launchpad. Die zu einer Gruppe gehörenden Apps können aus mehreren Katalogen stammen. Ein Benutzer sieht im Launchpad nur die Apps, für die er aufgrund seiner Gruppen- und Katalogzuordnung berechtigt ist.

Die SAP Fiori Kachelkataloge und Gruppen werden über das Rollenmenü eingebunden. Durch die Integration des Katalogs sind die zum Starten der Fiori-App benötigten IWSG-Services und die zum Abrufen der Geschäftsdaten benötigten IWSV-Services in der Rolle enthalten (Berechtigungsobjekt S_SERVICE). Wenn diese Services SU24-Berechtigungsvorschlagswerte haben, sind diese ebenfalls Bestandteil der Berechtigungsrolle.

Zusammenfassung, wie die App-spezifischen Berechtigungen zusammengehören

Berechtigungen am Frontend:

• Integration der benötigten Fiori-Gruppen über das Rollenmenü.
• Einbinden der benötigten Fiori-Kataloge über das Rollenmenü.

Dadurch werden die IWSG-Services, die zum Starten der Fiori-App erforderlich sind, automatisch in die Rolle aufgenommen (Berechtigungsobjekt S_SERVICE).

Berechtigungen am Backend:

• Integration der benötigten Fiori-Kataloge über das Rollenmenü

Dadurch werden die für den Zugriff auf die Geschäftsdaten notwendigen IWSV-Services automatisch in die Rolle aufgenommen (Berechtigungsobjekt S_SERVICE). Weitere betriebswirtschaftliche Berechtigungen, wie z.B. Berechtigungsvorschlagswerte aus SU24, sind ebenfalls enthalten.

Wir empfehlen Ihnen, die technischen Kataloge und Gruppen von SAP als Vorlage zu verwenden, diese in Ihrem eigenen Namensraum abzulegen und aus Performancegründen nach Möglichkeit zu verschlanken.

Stellen Sie vor der Implementierung der applikationsspezifischen Berechtigungen sicher, dass die Frontend- und Backend-Komponenten Ihres SAP-Systems den erforderlichen Status haben und die relevanten SAPUI5-Applikationen und OData-Services aktiviert sind.

Wenn Sie Unterstützung bei der Einrichtung von SAP Fiori Berechtigungen benötigen, nehmen Sie Kontakt mit uns auf.

Alina Demuth (Deputy Head of Consulting, Pathlock Deutschland)

Das könnte Sie auch interessieren: