SAP Screen Personas 3.0: Frontend gut und schön, aber was ist mit Administration? – Teil 2
Es gibt viele Präsentationen und Informationen rund um die Möglichkeiten, die SAP Screen Personas 3.0 in Bezug auf Oberflächenanpassungen und Automatisierung bietet. Doch eine zentrale Frage zur Entscheidungsfindung bleibt dabei meist nur rudimentär oder gar nicht beleuchtet: Wie steht es um den Mehraufwand auf der Administrationsseite? Was bietet SAP für Möglichkeiten, SAP Screen Personas und alle betroffenen Objekte und Rollen zu verwalten?
Im ersten Teil dieses Blogbeitrags habe ich Ihnen bereits im Überblick die Anbindung von SAP Screen Personas an das Transportsystem (CTS) vorgestellt. Zudem bin ich kurz auf die Detailpflege und Verarbeitungsmöglichkeiten von Objekten wie Themes oder Flavors eingegangen.
In diesem zweiten Teil des Beitrags zur Administration möchte ich Ihnen jetzt eine zentrale Neuerung mit Version 3.0 vorstellen:
Die Verwaltung von SAP Screen Personas Berechtigungen über Rollen und Berechtigungsobjekte.
Was liefert die SAP von Haus aus mit?
Bereits mit der Installation des Addons SAP Screen Personas 3.0 werden drei Standard-Rollen sowie drei Berechtigungsobjekte mitgeliefert. Für den Einstieg können die drei Rollen durchaus verwendet werden, für einen Produktivbetrieb ist aber in der Regel eine granularere Rechtevergabe gewünscht. Die drei mitgelieferten Rollen decken die folgenden Funktionen ab:
- /PERSONAS/ADMIN_ROLE à Vollzugriff auf alle Funktionen
- /PERSONAS/EDITOR_ROLE à Vollzugriff auf alle Funktionen im Frontend-Editor, keine Administrationsrechte
- /PERSONAS/CONSUMER_ROLE à Standard-Benutzer mit Rechten zur Flavor-Verwaltung, keine Bearbeitungs- oder Administrationsrechte
An diese Rollen angelehnt können mit den drei folgenden Berechtigungsobjekten weitere Rollen mit weiter spezifizierten Rechten erstellt werden:
Ausgelieferte Berechtigungsobjekte mit SAP Screen Personas 3.0
Diese Objekte erlauben die Einschränkung der folgenden Funktionen:
- P_ADMIN à Einschränkung der Administrationsfunktionen. Dabei wird zum Beispiel zwischen Administration, Support und Übersetzung unterschieden.
- P_EDIT à Einschränkung der Bearbeitungsmöglichkeiten eines Flavors in Kombination mit der Transaktion und dem Framework (Dynpro oder WebDynpro)
- P_RUNTIME à Einschränkung der möglichen Aktivitäten in SAP Screen Personas im Frontend wie die Flavor-Verwaltung und Anlegen von Skripten oder Themes
Mit diesen Berechtigungsobjekten können Sie ein klares Rollenkonzept aufbauen. Sie können User alle Entscheidungsrechte für die Flavor-Verwaltung entziehen und nur zugeteilte Flavor als Standard anzeigen lassen oder auch für bestimmte Transaktionen zusätzlich Bearbeitungsrechte zugestehen. Dabei können Sie mit Hilfe der SAP Screen Personas eigenen Rollenverwaltung und der “Ränge” mehrere Rollen vergeben, sodass zum Beispiel ein Benutzer fast überall nur das Standard-Flavor sehen kann, außer in Transaktion VA02, in der er oder sie sich sogar ein eigenes Flavor erstellen darf.
Wie funktioniert die Rollenverwaltung in SAP Screen Personas?
Die Rollenverwaltung von SAP Screen Personas erreichen Sie entweder über die zentrale Admin-Transaktion /PERSONAS/ADMIN oder direkt über /PERSONAS/ROLES. Ich habe den direkten Einstieg gewählt und nach dem einfachen “Ausführen” auf dem Einstiegsbild erhalte ich eine Liste aller bereits für SAP Screen Personas verfügbar gemachter Rollen:
Rollenverwaltung in SAP Screen Personas 3.0
In dieser Übersicht können Sie weitere Rollen hinzufügen, die Konsistenz prüfen, eine oder mehrere Rollen einem Transport hinzufügen oder den Rang erhöhen oder verringern. Neben diesen Standard-Aktionen hat das Hinzufügen von Rollen in dieser Übersicht eine ganz besondere Funktion: Bei der Objektverwaltung über die Admin-Transaktionen können Sie diesen Rollen zusätzlich zu den Standard-Berechtigungsobjekten auch die Objekte direkt zuteilen, womit diese für alle Benutzer dieser Rolle mit den berechtigten Aktivitäten verfügbar werden. Durch diese Möglichkeit lässt sich recht komfortabel eine Massenpflege von Personas-Objekten und –Berechtigungen durchführen: Sie teilen Ihren Benutzern auf dem gewohnten Weg die Rollen zu und im Hintergrund findet durch das Mapping von Rollen zu Objekten direkt die notwendige Rechtevergabe für SAP Screen Personas statt. Diese Objekt-Rechte werden in SAP Screen Personas eigenen Tabellen hinterlegt und nicht über Berechtigungsobjekte abgebildet.
SAP Screen Personas 3.0 ist damit erstmals echt in die Standard-Berechtigungsverwaltung integriert und kann in Ihrem Rollenkonzept entsprechend hinterlegt werden. Typischerweise werden für bestimmte Benutzer- und Prozessgruppen Rollen definiert, die dann für diese Gruppe maßgeschneiderte Flavors enthalten.
Meiner Meinung nach hat die SAP beim Thema Berechtigungen und Administration einen guten Schritt in die richtige Richtung gemacht. Der Komfort und die Übersichtlichkeit der Einstellungen wurden deutlich verbessert im Vergleich zu Version 2.0. Wie sehen Sie das? Wo besteht Ihrer Meinung nach noch Verbesserungsbedarf? Was ist Ihnen noch unklar? Hinterlassen Sie mir gerne einen Kommentar!
