Direkte vs. indirekte Rollenzuweisung

In diesem Beitrag werden wir die Unterschiede zwischen direkten und indirekten Rollenzuweisungen im Kontext des SAP Berechtigungswesens näher unter die Lupe nehmen. Jede Zuweisungsmöglichkeit hat dabei Vorzüge, aber auch Nachteile. Es ist außerdem möglich sich nicht nur für eine Zuweisungsform zu entscheiden, sondern beide Formen miteinander zu kombinieren. Dadurch kann man die Vor- und Nachteile miteinander ausgleichen.

Was sind direkte Rollenzuweisungen?

Die rollen- und profilbasierten Berechtigungen sind einem Benutzer direkt durch bspw. spezifische Transaktionen (SU01/SU10/PFCG), SAP Access Control (GRC – Access Request Management Modul), der zentralen Benutzerverwaltung (ZBV/ CUA) oder anderen Tools, wie dem SAP IDM (Identity Management) zugewiesen. Somit bekommen die Benutzer mittels Rollen und Profilen SAP Zugriffsberechtigungen, die direkt mit ihrer Benutzer-ID verknüpft sind.

Was sind die Vorzüge?

  • Flexibilität – Einem Benutzer, der in verschiedenen Tätigkeitsfeldern des Unternehmens arbeitet, kann man unterschiedliche Berechtigungen zuweisen.
  • Meistgenutzt – Es ist der „Best-Practice“ – Ansatz und wird komplett durch SAP Access Control (GRC) und SAP IDM unterstützt.
  • SAP Access Control Access Risk Analysis (ARA) und das Customizing erfolgen auf der Benutzerebene.
  • Ein HR – Benutzeradministrator wird nicht benötigt (es handelt sich lediglich um ein SAP Benutzerkonto)

Was sind die Nachteile?

  • Historisch gewachsene Rollen- und Profilzuweisungen bleiben oft unentdeckt und dies führt zu einer langen Berechtigungsprüfung.
  • Rollenadministratoren müssen möglicherweise den Benutzern separat die gleichen Berechtigungen zuweisen, obwohl sie die gleiche Tätigkeit verrichten.
  • Rollen/ Profile müssen manuell angefragt und zugewiesen werden.

Was sind indirekte Rollenzuweisungen?

Die rollen- und profilbasierten Berechtigungen sind mit Positionen, Mitarbeitern oder organisatorischen Einheiten in der Unternehmensstruktur verknüpft. Der Endnutzer bekommt seine Zugriffsrechte auf Basis seiner Position in der HR Organisation. Somit wird er nur mit den SAP Zugriffsrechten ausgestattet, die er gemäß der HR Vorgaben auch wirklich bekommen soll. Es erfolgt daher keine direkte Vergabe über den Benutzerkontext, sondern wird anhand der HR – Richtlinien entsprechend implementiert.

Was sind die Vorzüge?

  • Es ist möglich gleiche Berechtigungen für jeden Benutzer, welche die gleichen Jobrollen besitzen, zu bauen.
  • Berechtigungen werden automatisch entzogen, falls die Person die Organisationseinheit wechselt.
  • Neue Berechtigungen werden automatisch einer Person zugewiesen, falls diese die Organisationseinheit wechselt.
  • Weniger Aufwand für Administratoren bei der Verwaltung von Zugriffsrechten.

Was sind die Nachteile?

  • Unflexibel – Jeder Benutzer mit der gleichen Unternehmensposition bekommt die gleichen Berechtigungen (Berechtigungsunterschiede sollten separat zugewiesen werden).
  • Jeder SAP – Nutzer muss auf dem HR – System mit seiner Position hinterlegt sein.
  • Veränderungen in der Organisationsstruktur haben direkten Einfluss auf die Benutzerrechte.
  • Zusätzliche Trainings für Administratoren und Genehmiger müssen durchgeführt werden.
  • Verleitet dazu, Sammelrollen zu nutzen (à Best practice: „Einzelrollenkonzept“).
  • Bedeutet einen Mehraufwand bei der Verwaltung der Unternehmensdaten für die HR-Abteilung, obwohl das Verwalten keinen Mehrwert für die Unternehmensprozesse erzeugt.
  • Funktioniert weitestgehend nur in Organisationen mit einer geringen Fluktuation (z.B. bei Organisationen im öffentlichen Sektor).

Die Verbindung von direkten und indirekten Rollenzuweisungen

Es ist aber auch möglich, beide Zuweisungsformen miteinander zu kombinieren. Dadurch können sich einige Einschränkungen der jeweiligen Formen gegenseitig aufheben. Die Verbindung beider Szenarien (direkte und indirekte Rollenzuweisung) bedeutet, dass Basisberechtigungen indirekt durch die Jobrollen zugewiesen werden. Alle weiteren benötigten Zugriffsrechte werden dem Benutzer dann direkt gegeben.

Wie sieht solch eine Form der Zuweisung aus?

Ein Benutzer bekommt seine SAP – Zugriffsrechte auf Grundlage seiner Position(en) in der HR – Organisation und gleichermaßen durch Rollen und Profile, die ihm direkt in seinem Benutzerstammsatz hinterlegt werden.

Was sind die Vorzüge?

  • Kombination der Vorteile beider Szenarien.
  • Fördert eine höhere Flexibilität beim Rollendesign im Vergleich zum indirekten Rollenbau.
  • Automatische Generierung von Basisrechten mit dem Vorteil, bei Bedarf jedem Nutzer auch noch erweiterte Rechte zuzuordnen.

Was sind die Nachteile?

  • Falls der Zugriff auf Basis der HR – Position nicht vollständig gewährleistet wird, müssen Rollen und Profile individuell angefragt werden.
  • Wenn ein SAP Access Control im Unternehmen genutzt wird, müssen die Rolleninhaber sich ihrer Rollenzuweisungsform bewusst sein (entweder wird eine Rolle dem Benutzer direkt zugewiesen oder durch die HR – Position, die wiederum Einfluss auf mehrere Endnutzer haben kann).
  • HR Administratoren und SAP Benutzer-/ Berechtigungsadministratoren müssen enger zusammenarbeiten.

Fazit

Beide Formen der Zuweisung von Rollen und Profilen und damit einhergehenden Berechtigungen für den Endnutzer haben ihre Vor- und Nachteile. Daher ist es schwer pauschal zu sagen, die eine Möglichkeit ist besser als die andere. Wenn man jedoch seinen Fokus auf ein ausgebautes HR – Management legt und daher die Rollen je nach Position zuweist, ist vermutlich dies die beste Option. Dahingehend sollte man sich eher für einen direkten Rollenbau entscheiden, wenn die HR – Daten nicht oder nur unzureichend regelmäßig gepflegt werden. Die Hybridvariante (die Kombination aus direkter und indirekter Rollenzuweisung) ist in den meisten Fällen eine häufig angewendete Methode um eine reine indirekte Form zu umgehen. Die Xiting hat schon einige Hybridmodelle erfolgreich bei ihren Kunden implementiert. Dabei wurden die Basisrechte indirekt (z.B. ESS/ MSS Berechtigungen) und zusätzliche Rollen direkt durch die SU01 oder auch durch Workflows zugewiesen.