07.07.2021

Wie man S/4HANA-Berechtigungsprojekte sicher und zügig meistert.

Im Interview mit dem it management erläutert unser SAP Security-Experte Roozbeh Noori-Amoli, mit welcher Vorgehensweise die Role Conversion erfolgreich umgesetzt werden kann.

Die Einbettung des Berechtigungskonzeptes stellt eine der Kernaufgaben bei der S/4HANA-Einführung dar und ist ein häufiger Grund dafür, dass diese als Ganzes scheitert. Wie aber ist mit Konflikten wie Ressourcenengpässen, Prioritätenverschiebungen bei Teilprojekten, Änderungen bei Tasks und Tests umzugehen? Warum neben Ansatz und Projektmanagement das richtige Berechtigungskonzept über Erfolg und Dynamik der Transformation entscheidet, erklärt Roozbeh Noori-Amoli, Deputy Head SAST CONSULTING, im Interview im it management-Herausgeber Ulrich Parthier.

Ulrich Parthier: Herr Noori-Amoli, Sie haben gerade erfolgreich eine globale Role Conversion mit PUMA SE abgeschlossen. Was sind die wichtigsten Überlegungen, die man vor der S/4HANA-Migration anstellen sollte?

Roozbeh Noori-Amoli: Zuerst natürlich, welcher Ansatz dem Projekt gerecht wird, also etwa Green-, Brown- oder Bluefield. Beim Vorgehen muss zwischen klassischem und agilem Projektmanagement entschieden werden. Und dann folgt schon die Frage: Wie sieht mein Berechtigungskonzept aus? Richtet es sich wie häufig nach dem einzigen Vorschlag eines Beraters oder einem Best-Practice-Ansatz ohne Bezug auf das Unternehmen und die projektspezifischen Bedürfnisse? Dann ist das schon der eigentliche Kardinalfehler: Denn man muss sich die Vorund Nachteile der verschiedenen Konzepte vorher bewusst machen, die ja alle je nach Situation ihre Daseinsberechtigung haben. Hat man die falsche Wahl getroffen, erkennt man das häufig erst nach etlichen Tagen, die bereits für die Implementierung aufgewendet wurden, oder schlimmer noch, erst später im Alltag. Die nachträgliche Korrektur kann dann hohe Aufwände und Kosten bedeuten.

Ulrich Parthier: Aber wie lässt sich angesichts der Vielfalt das richtige Berechtigungskonzept finden?

Roozbeh Noori-Amoli: Dafür müssen von Beginn an die wichtigsten Fragen geklärt werden: Wie ist der tatsächliche Unternehmensbedarf, was sind die Projektziele und wie hoch ist das Sicherheitsbedürfnis? Wie sind Budget sowie zeitliche und personelle Ressourcen bemessen? Limitierende Faktoren wie die bestehenden organisatorischen Strukturen und Prozesse, die Anzahl der SAP-User sowie grundsätzlich die Art und Architektur des Systems geben bereits einen festen Rahmen vor. Die Priorisierung der Ziele wird dann von der jeweiligen IT-Strategie bestimmt. Die Wahl des Berechtigungskonzepts ist so letztlich eine Abwägung zwischen dem Bedürfnis nach hoher Sicherheit mit passgenauen Berechtigungen und dem Wunsch nach minimalem Administrationsaufwand. Als Zielkonflikt könnte man die minimale Vergabe von Berechtigungen vs. die Vereinheitlichung von Prozessen formulieren.

Ulrich Parthier: Können Sie uns ein paar Szenarien nennen, wann welches Konzept Sinn macht?

Roozbeh Noori-Amoli: Also, bei einer internationalen Organisation mit vielen gleichen Unternehmensteilen und wiederkehrenden Prozessen funktioniert zum Beispiel der Template-Rollenansatz mit Ableitungen nach organisatorischen Einheiten oder das Menu/Value-Rollenkonzept. Bei einem sehr hohen Sicherheitsbedürfnis und dem Wunsch nach präziser Vergabe der Berechtigungen und gleichzeitig einer niedrigen Anzahl verwendeter Transaktionen je User und einem System mit wenigen, aber unterschiedlichen Prozessen empfiehlt sich stattdessen das Konzept 1 Transaktion – 1 Rolle.

 

[Lesen Sie das ganze Interview kostenlos online auf it-daily.net / it management in der Ausgabe Juli/August 2021]

Beitrag teilen

Zurück

Datenschutzeinstellungen

Klicken Sie auf »Info«, um eine Übersicht über alle verwendeten Cookies zu erhalten. Sie können Ihre Zustimmung nur zu den erforderlichen Cookies oder auch zu den Cookies für Statistiken geben. Die Auswahl erfolgt freiwillig. Sie können diese Einstellungen jederzeit ändern bzw. die Cookies im Browser nachträglich jederzeit löschen. Wählen Sie die Option »Statistik« aus, so erstreckt sich Ihre Einwilligung auch auf die Verarbeitung in den USA, die vom Europäischen Gerichtshof als Land mit unzureichendem Datenschutzniveau eingeschätzt werden. Weiterführende Informationen finden Sie in unseren Datenschutzhinweisen und im Impressum.
In dieser Übersicht können Sie einzelne Cookies einer Kategorie oder ganze Kategorien an- und abwählen. Außerdem erhalten Sie weitere Informationen zu den verfügbaren Cookies.
Gruppe Externe Medien
Name YEXT - Suchleiste
Technischer Name yext
Anbieter Yext GmbH
Ablauf in Tagen 0
Datenschutz https://www.yext.de/privacy-policy/
Zweck Ermöglicht die intelligente Suche über YEXT.
Erlaubt
Gruppe Externe Medien
Name Podigee
Technischer Name Podigee
Anbieter Podigee GmbH
Ablauf in Tagen 0
Datenschutz https://www.podigee.com/de/about/privacy
Zweck Ermöglicht die Nutzung des Podigee Podcast Players.
Erlaubt
Gruppe Externe Medien
Name Google Maps
Technischer Name googleMaps
Anbieter
Ablauf in Tagen 6491
Datenschutz
Zweck Ermöglicht die Nutzung von Google Maps.
Erlaubt
Gruppe Externe Medien
Name YouTube
Technischer Name youTube
Anbieter Google LLC
Ablauf in Tagen 0
Datenschutz https://policies.google.com/privacy
Zweck Ermöglicht die Nutzung des Youtube Videoplayers.
Erlaubt
Gruppe Statistik
Name Google Analytics
Technischer Name _gid,_ga,1P_JAR,ANID,NID,CONSENT,_ga_JT5V6CR8ZH,_gat_gtag_UA_133169400_1,_gat_gtag_UA_141664271_1,_gat_gtag_UA_127185455_1,_gat_gtag_UA_127561508_1,_gat_gtag_UA_194226577_1
Anbieter Google LLC
Ablauf in Tagen 730
Datenschutz https://policies.google.com/privacy
Zweck Cookie von Google für Website-Analysen. Erzeugt anonyme statistische Daten darüber, wie der Besucher die Website nutzt.
Erlaubt
Gruppe Essenziell
Name Contao CSRF Token
Technischer Name csrf_contao_csrf_token
Anbieter
Ablauf in Tagen 0
Datenschutz
Zweck Dient zum Schutz der Website vor Fälschungen von standortübergreifenden Anfragen. Nach dem Schließen des Browsers wird das Cookie wieder gelöscht
Erlaubt
Gruppe Essenziell
Name Contao HTTPS CSRF Token
Technischer Name csrf_https-contao_csrf_token
Anbieter
Ablauf in Tagen 0
Datenschutz
Zweck Dient zum Schutz der verschlüsselten Website (HTTPS) vor Fälschungen von standortübergreifenden Anfragen. Nach dem Schließen des Browsers wird das Cookie wieder gelöscht
Erlaubt
Gruppe Essenziell
Name PHP SESSION ID
Technischer Name PHPSESSID
Anbieter
Ablauf in Tagen 0
Datenschutz
Zweck Cookie von PHP (Programmiersprache), PHP Daten-Identifikator. Enthält nur einen Verweis auf die aktuelle Sitzung. Im Browser des Nutzers werden keine Informationen gespeichert und dieses Cookie kann nur von der aktuellen Website genutzt werden. Dieses Cookie wird vor allem in Formularen benutzt, um die Benutzerfreundlichkeit zu erhöhen. In Formulare eingegebene Daten werden z. B. kurzzeitig gespeichert, wenn ein Eingabefehler durch den Nutzer vorliegt und dieser eine Fehlermeldung erhält. Ansonsten müssten alle Daten erneut eingegeben werden.
Erlaubt
Gruppe Essenziell
Name FE USER AUTH
Technischer Name FE_USER_AUTH
Anbieter
Ablauf in Tagen 0
Datenschutz
Zweck Speichert Informationen eines Besuchers, sobald er sich im Frontend einloggt.
Erlaubt
Gruppe Statistik
Name Google Repcatcha
Technischer Name googleRepcatcha
Anbieter Google LLC
Ablauf in Tagen 0
Datenschutz https://policies.google.com/privacy
Zweck Anti-Spam Schutz.
Erlaubt
Gruppe Statistik
Name ClickDimensions
Technischer Name cuvid,cusid,cuvon,cd_optout_accountkey
Anbieter ClickDimensions
Ablauf in Tagen 730
Datenschutz https://clickdimensions.com/solutions-security-and-privacy/
Zweck Cookie von ClickDimensions für Website-Analysen. Erzeugt anonyme statistische Daten darüber, wie der Besucher die Website nutzt.
Erlaubt