- SAP Managed Tags:
简介
作为一种云解决方案,SAP S/4HANA Cloud Public Edition每年的二月和八月都会进行主要升级。除了引入新的创新之外,身份和访问管理(IAM)领域也有很多变化。在上线并实施顾问离开项目后,大多数客户由于缺乏资源和专业知识,忽视了IAM领域。感谢我的同事,George Yu用两篇相关的博客来填补这个空白。下面是基于George的两篇英语博客的中文翻译版,您也可以在文章的最后找到英语版的博客。
第一篇博客,“在SAP ERP公有云进行主要升级前,审查业务角色的变化”,解释了在进行主要升级之前你需要做什么。除了用它们的后继者替换被弃用的业务目录外,还需理解围绕业务角色的变化,尤其是那些已在生产租户中使用的角色。一些决策需要与业务用户一起做出。
第二篇博客(即此篇)通过示例解释了在主要升级后业务角色的适应性工作。
业务角色的构建块
SAP S/4HANA Cloud Public Edition中的授权结构基于被称为限制类型字段、限制类型、业务目录、业务角色模板和业务角色的构建块,这些构建块被分配给业务用户。这些构建块形成了一个授权组件的层次结构(见下图)。
在这些层次结构中的授权组件中,任何在较低级别的更改都会对较高级别的组件产生连锁反应。根据排列组合理论,最终在业务角色级别可能发生的更改可能是呈指数型增长。在一个案例中,我有11,000+种可能的更改业务角色。这是很大的一笔工作。由于在限制类型和业务目录中的许多更改并未在客户的系统中使用,处理所有这些更改实际上是一种效率上的浪费。我将更多地从业务角色的角度处理这些更改,并且只关注在此博客中使用的业务角色。这样我们可以大幅度地减少工作量。
审查业务角色相关的变更
幸运的是,有一个名为升级后管理业务角色的应用,可帮助我们查看层次结构中不同级别的更改。我通常使用此应用浏览所有更改,但在即将讨论的其他应用中进行更改。
注释 1:在 SAP Fiori 应用参考库中,该应用自 2308 版本起标记为已弃用。回答错误。该应用没有要停用的计划。
注释 2:本博客中的屏幕截图来自启动系统,但标记为“测试 VHE/100”。在客户站点,我们应在定制独立测试环境中执行所有业务用户角色调整工作,然后创建传输以将更改传输到测试和生产租户。
注意 3:如果您的系统使用多年,并且您在几次过去的升级后没有进行任何调整工作,则在启动“升级后管理业务角色”应用时,可能需要一些时间来启动数据。
要浏览更改,您可以从五个不同的角度进行浏览,因此五个标签:限制类型、业务目录相关性、已弃用业务目录、业务角色模板和受影响的业务角色。
限制类型 - 此标签(请参阅上图)列出了所有更改的限制类型及其受影响的业务目录。例如,对价格元素的限制类型访问有三个行项目,每个行项目代表一个唯一的更改(为写入和读取添加限制类型、为读取添加限制类型、移除限制类型)及其对业务目录集的影响。如果要了解其对业务角色的进一步影响,可以按照“>”符号获取下图。此处列出三个受影响的业务角色。
业务目录相关性 - 此标签列出业务目录相关性更改、添加新相关性或移除现有相关性。在下图中,我使用过滤器“已移除更改 = 相关性”列出已移除相关性的业务目录。
还可以通过选择业务目录并单击“>”图标来观察此更改的影响。下图显示了一个业务角色 BR_OVERHEAD_ACCOUNTANT,通过移除业务目录工人 - 付款信息显示(上图中的最后一个业务目录)中的相关性而受到影响。所需业务目录标识为 SAP_CMD_BC_BP_DISP_PC。
注意:当业务目录 A 与 B 具有相关性时,使用 A 的业务角色还应包含 B 作为前提条件。有时,尽管两个业务角色都包含 A,但是在一个业务角色中却看不到其他业务角色中的 B。原因是某些相关性是可选的。可选相关性有时没有明确标记。
已弃用业务目录 - 此标签提供两个重要信息:首先,宣布弃用版本。例如,业务目录 SAP_FIN_BC_FCCO_ADMIN_PC 的弃用在版本 2308 中宣布。其次,如果已弃用业务目录是否具有后继。例如,业务目录 SAP_FIN_BC_FCCO_ADMIN_PC 的弃用没有后继。但是,弃用业务目录 SAP_HCM_BC_EMP_DSP_PC 具有后继 SAP_WFD_BC_EMP_DSP_PC。事实上,此业务目录名称更改是由命名从人力资本管理 (HCM) 更改为劳动力部署 (WFD) 引起的。
同样,还可以通过选择业务目录 SAP_HCM_BC_EMP_DSP_PC 并单击“>”图标来观察此变更的影响。五个业务角色受到影响。
通过查看版本不赞成使用列,您会注意到发行版本范围相当宽,从 2105 年初到最新的 2402 年。所有弃用的对象(应用、业务目录、业务角色模板)将在六个月内移除,即在下一次主要升级期间移除。为什么这里不是这样?让我们看一看业务目录 SAP_CA_BC_IC_LND_FIN_EPIC_PC,该目录在版本 2105 中已声明为已弃用。通过浏览受影响的业务角色,我们了解到,由于在业务角色 Z_Test 中使用了受影响业务角色,因此无法在系统中移除业务目录 SAP_CA_BC_IC_LND_FIN_EPIC_PC。
如果从业务角色 Z_Test 中移除业务目录 SAP_CA_BC_IC_LND_FIN_EPIC_PC,则应在下次升级期间删除该业务目录。
经验教训:如果在每次主要升级后立即调整业务目录更改,系统中不会存在非常旧的已弃用业务目录。
业务角色模板 - 我们通常建议我们的客户通过从标准 SAP 业务角色模板中进行复制来创建新的业务角色。随着时间的推移,此模板已更改为适应新的特性和功能。但复制的角色不会反映此更改;换句话说,它会保留原始模板中的过期内容。但是,系统会跟踪从原始业务角色模板复制的业务角色。模板内容更改时,此标签会列出这些模板,以便您可以相应地调整业务角色。
可以观察此模板更改的影响。例如,我们选择 业务角色模板管理员 - 应付账款和应收账款 (FI-CA) ,单击“>”图标,然后会显示受影响的业务角色 BR_ADMIN_APR_FICA。您可以通过选择此业务角色来浏览更改的内容,然后单击按钮与业务角色模板比较。
在此示例中,仅从模板中复制了一个业务角色。在其他情况下,可能会列出多个角色,因为它们都是从同一模板复制的。
在下一部分,我将详细讨论如何执行比较,并采取必要的操作调整业务角色。
受影响的业务角色 – 还记得我上面提到的术语“差异和组合”?就是这样。此标签中有超过 6290 个行项目。它以某种方式列出所有受影响的业务角色,每个更改都是行项目。业务角色 AP_PARK 具有 12 个行项目。
在过滤器已更改对象类型中,列出了三种类型:限制类型、业务目录和业务角色模板。对这些类型中的一种或多种类型的任何更改都会导致业务角色发生变化。其中,限制类型会导致大多数更改(即 5602)、业务目录 (608) 和业务角色模板 (69)。
通过将此列表下载到 Excel 文件并删除重复的业务角色名称,我发现有 133 个唯一业务角色。从 6290 开始大幅减少。现在,您可以更轻松地呼吸。
此外,我们通过单击超链接详细了解业务角色 AP_PARK。它将打开“维护业务角色”应用,我将很快详细介绍该应用。
单击显示升级后的更改按钮。您将在右侧看到 升级后的更改 部分。有四个更改的区域:
- 限制类型
- 业务目录相关性
- 不赞成使用的业务目录
- 业务角色模板(此处不显示)
更改的限制类型列表很长,但业务目录依赖性和弃用的业务目录中不会列出任何内容。因此,我们只需要关注限制类型。
单击超链接显示限制。结果是,没有为此业务角色设置限制类型,或者下图中已声明/显示的“业务角色无限制”。
现在,我们可以轻松得出结论:对业务角色 AP_PARK 的更改都发生在限制类型中;因为角色 AP_PARK 未设置任何限制;我们不需要进行任何调整。太棒了!
仅剩下的工作是编辑此角色,不执行任何操作,然后保存。这将从我们的待办事项列表中删除此业务角色。下图显示了业务角色 AP_PARK 的大多数行项目均按预期消失。唯一的剩余更改是在业务目录 SAP_MM_BC_INV_PARK_PC 中逐步淘汰的限制类型。
注意:主要升级后,您可以在管理升级后的业务角色更改应用中查看哪些业务角色,或在维护业务角色应用中看到显示升级后更改按钮。但是,一旦编辑并保存此业务角色(重复,保存),这些指示就会消失。它们仅显示一次。
调整业务用户角色相关更改
完成上述探索工作后,我们将通过相关应用进入三个领域的调整和采用阶段:业务目录、业务角色模板和业务角色。
从广义上讲,适应和采用这个词是不同的。我在这篇文章中发现了很好的解释:
适应与采用:
进行更改时,可以使用调整,使某些内容更适合特定用途或调整为新位置。当所选内容被接管、选择、接受或批准时,将使用采用。
按照此定义,我们将采用 SAP 定义的对象(如业务目录和业务角色模板),并调整用户定义的对象,如业务角色。
使用业务目录的业务目录采用应用
您可以通过两种方式访问业务目录应用:使用屏幕顶部的应用查找器或按照空间管理进行页面身份和访问管理。我选择后一种方法。在 部分分析 中,您可以找到 业务目录 应用。
应用上有一个数字 30。这表示仍在使用 30 个已弃用的业务目录。这就是我们的目标。
打开业务目录应用后,将显示 2418 个条目。此数量因系统而异。基本上,您在中央业务配置 (CBC) 中激活的范围项目越多,获得的权限对象越多,包括业务目录。
应用过滤器状态 = 已弃用,您将看到 63 个条目。然后添加另一个在业务角色中使用的过滤器,并将值设置为大于 1,现在您将获得 30 个已弃用的业务目录,该业务目录至少在一个业务角色中使用。这与上面显示的数字匹配。
为了在主要升级后感兴趣,我们只关注一个或多个业务角色使用的这些已弃用业务目录。对于已弃用但未使用的业务角色,我们不担心,因为它们将在下次主要升级期间移除。
在这些已弃用的业务目录中,我们可以将其替换为其后继,或在未列出后继时将其从业务角色中移除。
让我们以其中多个业务目录为例。首先,确保屏幕宽度足以显示所有列。否则,您将看到更多按钮,如果屏幕不够宽,该按钮可用于添加在业务角色中使用和在业务角色模板中使用的两列。
示例 1:业务目录电子支付集成(中国)(EPIC) - 配置(已弃用)
在屏幕上,您可以看到此业务目录具有零后继和一个业务角色。
检查业务角色 Z_TEST,其已分配 23 个业务目录,但未分配用户。显然,它曾经被用作测试业务角色,但之后被放弃。我们正在处理的业务目录已明确标记为在 2105 中弃用。我们应执行垃圾收集作业:删除此业务角色。在下一次主要升级期间,由于没有更多业务角色正在使用此业务目录,因此将从系统中移除。
另一个垃圾清理选项是在业务目录应用中使用命令采用更改。它有效调整业务角色 Z_TEST。这将从业务角色中移除无后继业务目录,如下图所示。制造故障业务目录已消失。业务目录的数量从 23 个减少到 22 个。
示例 2:业务目录资源管理(基本)- 基于项目的服务(已弃用)
此业务目录相对简单。其具有一个后继,用于一个业务角色 (BR_RESOURCE_MANAGER)。我们需要做的就是通过选择业务角色“资源管理器”并单击“采用更改”按钮,将弃用的业务角色替换为其后继。系统负责替换。
示例 3:业务目录员工 - 显示(已弃用)
很多时候,为了满足新命名规则的要求,SAP 更改了业务目录标识名称。此业务目录具有旧标识 SAP_HCM_BC_EMP_DSP_PC。其新标识为 SAP_WFD_BC_WRK_DSP_PC。这就是弃用原因。我们可以选择所有五个业务角色,然后单击“采用更改”按钮。
注意:执行“采用更改”按钮时,我注意到仅调整了前三个角色(尽管消息显示所有这些角色均已调整)。我必须再次调整其余两个业务角色。它不应该这样表现。
使用业务角色模板应用的 SAP 业务角色模板采用
打开业务角色模板应用时,我们注意以下两个条件:使用中和业务角色模板不同。
使用量在“业务角色”列中,可通过应用筛选业务角色=使用中筛选掉。这会将列表模板的总数量从 252 减少到 101。
作为最佳实践,我们建议客户通过从 SAP 业务角色模板复制来创建用户角色,以便于创建和维护。执行此操作时,系统会跟踪根据角色模板创建的角色。随着时间的推移,SAP 会更改业务角色模板,并且我们正在使用的业务角色不再与最新版本的模板同步。这反映在“不同于业务角色”列中。
为了找出我们感兴趣的业务角色模板,我们设置了过滤器 显示业务角色模板 = 不同于业务角色。
现在,列表模板的总数量从 101 进一步减少到 55。
要应用的下一个过滤器为 更改自 。如果我们在每次主要升级时继续采用模板更改,则不应有如此多的与业务角色不同的模板。此系统的版本为 2402。2308 升级后应发生任何更改。我们应用自 2023 年 8 月 1 日起更改的过滤器。现在,列表模板的总数为 21。使用模板要少得多!
注意:在您自己的系统中,尝试处理与业务角色不同的所有旧业务角色模板,以便在下次主要升级后不再显示。我故意筛选掉 2308 升级之前更改的模板,以便得到我的观点。
让我们看两个示例:
示例 4:业务角色模板维护计划员 SAP_BR_MAINTENANCE_PLANNER
此模板只有一个正在使用的业务角色。您可以通过单击“>”图标进行访问。选择角色,然后单击比较按钮。
目前,模板 SAP_BR_MAINTENANCE_PLANNER 具有 58 个业务目录,但业务角色 BR_MAINTENANCE_PLANNER 具有 56 个业务目录。可通过向下滚动业务目录清单观察到这一点。业务角色 列中的两个复选框为空。您可以单独选中复选框,或单击全部应用按钮。不要忘记点击 保存 按钮生效。
注意:如果要将上述业务目录添加到业务角色中,则取决于您的业务场景。添加后,新应用可能会根据需要显示。如果这次没有添加,此模板将在下次主要升级后再次显示为“与业务角色不同”。提供适当的文档作为未来参考。
示例 5:业务角色模板成本会计 - 间接费用 SAP_BR_OVERHEAD_ACCOUNTANT
此模板具有三个业务角色。第一个角色完全匹配模板,第三个角色有意离开许多业务目录。要调整这些业务角色,您需要仔细咨询业务用户以做出正确的决策。理想情况下,记录查找结果和解决方案,以便下次主要升级后无需返回。
使用维护业务角色应用调整业务角色
由于主要升级后的主要目标是调整业务角色,因此维护业务角色应用是工具。
首次启动维护业务角色应用时,确保选择两列业务目录弃用计数和升级后的更改,如上所示。然后按业务目录弃用计数列对数据进行排序。这突出显示了我们需要使用已弃用的业务目录进行调整,或限制类型更改的业务角色。让我们看一个示例:
示例 6:业务角色总账会计 BR_GL_ACCOUNTANT
通过单击显示升级后更改按钮,我们可以看到以下更改和潜在操作项目:
- 限制类型:已添加或移除许多限制类型。--> 我们需要转到“编辑”。
- 已添加一个相关业务目录。--> 确保此相关业务目录是业务角色定义的一部分。
- 有四个业务目录在没有后继的情况下弃用。-->确保将其移除。
业务角色模板与业务角色 --> 进行比较并进行必要的调整。
获得有关潜在更改的良好概览后,我们单击编辑 -->管理升级后更改。在右侧的升级后的更改部分中,我们可以展开四个区域并采取必要的操作。
业务目录相关性:选择 SAP_FIN_BC_SRF_RUN_PC 并单击采用更改。所需业务目录 SAP_FIN_BC_MWTI_COMMON_PC 与 SAP_FIN_BC_SRF_RUN_PC 一起添加到业务角色定义。现在,业务目录总数从 41 增加到 42。
已弃用业务目录:选择四个已弃用业务目录 SAP_FIN_BC_FCCO_XXX 并单击采用更改。移除这四个业务目录。现在,业务目录总数从 42 减少到 38。
- 限制类型:单击维护限制按钮。仅读取、值帮助受限制。通过选择读取限制作为过滤器并逐个选择限制类型,我在限制字段中看不到任何值。我可以将读取、值帮助更改为不受限制,但最好与业务用户和管理员讨论如何定义此业务角色。记录未来参考目的的原因。
注意:保存此业务角色时,我收到警告消息:“业务角色 BR_GL_ACCOUNTANT 包含未维护的读取限制”。这是应移除此限制的另一个指示。
- 业务角色模板:我们仍然可以看到注释“业务角色与模板不同”。使用业务角色模板应用与模板 SAP_BR_GL_ACCOUNTANT 进行最终比较,我们看到以下内容:
- 模板中有两个新的业务目录,但不是 业务角色。我们需要在咨询业务用户后添加它们。
- 模板中的“不包括”了底部的五个业务目录,我们应在咨询业务用户后取消选择它们。后四个业务目录已弃用。我们只是在之前的讨论中删除了它们。
还有两个业务角色 Z_BR_GL_ACCOUNTANT_REQ 和 Z_BR_GL_ACCOUNTANT,我们可以进行类似的调查。
创建传输以将更改传输到测试和生产租户
在开发 (D) 系统的定制独立测试环境中进行所有业务角色调整后,我们需要创建传输以将其传输到测试和生产租户。这通过在导出软件集合应用中创建新软件集合来完成。
创建传输后,单击添加项目按钮。使用过滤器功能选择这些相关业务角色:
- 类型:业务角色 (IAM_BROL)
- 最后更改人:George Yu
业务角色 BR_GL_ACCOUNTANT 是更改的角色之一。
现在,包含业务角色 BR_GL_ACCOUNTANT 的软件集合“Biz 角色传输 1”已准备好导出。
结论
本博客解释并演示了在主要升级后调整业务角色的原因和方式。这是使业务角色与SAP S/4HANA Cloud Public Edition的最新和最大同步的必要步骤,尤其是在身份访问管理区域中。
George Yu的英语版博客:
https://community.sap.com/t5/blogs/blogworkflowpage/blog-id/erp-blog-sap/article-id/55791
