Berechtigungskonzept-Redesign bei S/4-Migration
S/4-Migration ist der seltene Moment, in dem ein gewachsenes PFCG-Konzept auf grünem Boden neu aufgesetzt werden kann. Wir inventarisieren die heutigen Pauschal-Rollen, mappen Fiori-Apps auf Tätigkeitsprofile, integrieren IAS/IPS mit Ihrem Konzern- Identity-Provider und richten SSO/SAML/OAuth für Launchpad und BTP-Apps ein. Optional GRC Access Control für SoD-Pflicht- Fälle.
Die seltene Chance der S/4-Migration
Berechtigungskonzepte wachsen über Jahre. Aus zwei Standard- Rollen werden 47 Pauschal-Rollen, jede mit ihrer eigenen Geschichte und ohne Dokumentation. Niemand traut sich, eine davon zu kürzen – die Konsequenzen wären unvorhersehbar. Bei der S/4-Migration ändern sich die Apps (Fiori statt SAPgui), die Berechtigungs-Objekte und die Identity-Anbindung – das ist das seltene Zeitfenster, in dem ein Redesign sauber landet.
Wir bringen ein S/4-konformes PFCG-Modell mit, mappen es auf Ihre Tätigkeitsprofile (nicht auf Organigramm-Boxen) und integrieren die Identity-Schicht so, dass sie nicht in zwei Tools doppelt gepflegt wird.
So gehen wir vor
1. Pauschal-Rollen-Inventur (Discover)
Wir laufen über die heutigen PFCG-Rollen. Welche sind aktiv? Wer hat sie zugewiesen? Welche Berechtigungs-Objekte sind faktisch genutzt vs. mitgegeben (SU24/SU25-Tracedaten)? Daraus entsteht eine Rollen-Karte: pro Rolle Eigentümer, faktische Nutzung, Risiko-Bewertung und Migrations-Empfehlung (übernehmen, splitten, ablösen).
2. Tätigkeitsbasiertes Rollen-Modell
Statt "Alles für die Finance-Abteilung" definieren wir Tätigkeitsprofile: Kreditoren-Buchhalter, Debitoren- Buchhalter, Anlagenbuchhalter, GL-Spezialist, FI-Reviewer, etc. Pro Profil eine schlanke PFCG-Rolle mit den Apps und Objekten, die für diese Tätigkeit nötig sind. Eine Person bekommt dann eine Kombination von Profilen, nicht eine Sammelrolle.
Das löst zwei Probleme: die Dokumentation wird natürlich (Tätigkeit = Rolle), und das Onboarding neuer Mitarbeiter wird schneller (Profile zuordnen, nicht Rolle bauen).
3. Fiori-Launchpad-Tile-Set pro Profil
Fiori-Apps werden über Catalogs und Groups zugeordnet. Pro Tätigkeitsprofil definieren wir das Tile-Set – keine "alle Apps für alle"-Pauschal-Anbindung. Das hält das Launchpad nutzbar und reduziert Support-Anfragen.
4. IAS/IPS-Integration mit Konzern-IdP
Identity Authentication Service (IAS) und Identity Provisioning Service (IPS) integrieren mit Ihrem Konzern- Identity-Provider (Active Directory, Entra ID, Okta). User- Provisionierung läuft einseitig (IdP → IPS → SAP-Systeme), Authentifizierung läuft über SAML oder OAuth. Ein User- Lifecycle, gepflegt im IdP, ausgerollt in alle SAP-Systeme (S/4, BTP, Datasphere, etc.).
5. SSO/SAML/OAuth einheitlich
SAP Fiori Launchpad mit SSO, externe BTP-Apps mit OAuth, legacy SAPgui mit SNC/Kerberos wo unvermeidbar. Wir bauen die Auth-Schicht so, dass der User einmal anmeldet und in jedem SAP-Tool eingeloggt ist – kein erneutes Passwort, kein Kontext-Verlust.
6. Optional: GRC Access Control
Wenn Segregation of Duties Pflicht ist (FINMA, SOX, Konzern-Policy), kommt GRC Access Control dazu. Wir arbeiten dabei mit einem GRC-Senior aus dem Partner-Netz – kein Kerngeschäft, aber mit verlässlicher Anbindung. Risiko- Matrix, SoD-Konflikte-Erkennung, Genehmigungs-Workflow für konfliktbehaftete Zuordnungen.
Wer mit uns arbeitet
Dieses Angebot richtet sich an SAP-Basis-Leads, Security-Officer und IT-Leiter mit Compliance-Mandat. Ein Architektur- Review (30 Min) für das aktuelle PFCG-Bild ist meist der Einstieg. Bei laufender S/4-Migration empfiehlt sich eine Standortbestimmung (60 Min) mit Identity-Provider-Map.
Stand: 2026-06-25
