Auf dem Markt findet sich derzeit eine ganze Reihe von verschiedenen Unternehmensportalen. Der Großteil davon basiert auf der J2EE-Technik von Sun Microsystems, dazu zählt unter anderen auch das SAP- Enterprise-Portal. Die gemeinsame technische Basis hat zur Folge, dass die Entscheidung für oder gegen einen der Anbieter weniger von der Technik als vielmehr durch die Integrationsmöglichkeiten der Lösungen in die bestehende Unternehmenslandschaft bestimmt wird.
www.computerwoche.de/go/
573485: SAP-Frontends;
572096: Microsofts ERP-Interfaces;
568479: SAP will Analyse und Prozesse vereinen;
567617: Open-Source-Portale im Anmarsch.
Hier lesen Sie …
Servicekonfiguration bei der Migration der Rollen
Systemadministration ‹ Systemkonfiguration ‹ Detailnavigation: Servicekonfiguration com.sap.pcd.rolemigration rechte Maustaste: Objekt bearbeiten
Eigenschaft Standardeinstellung Empfohlene Einstellung
Activate detailed False Dieser Eintrag schaltet die Protokollierung im Log des Service ein. Das ist dann hilfreich, information for wenn Fehler beim Upload auftreten. Solange keine Fehler auftreten, sollte die Standard- debugging einstellung beibehalten werden, da die Protokollierung sehr viel Ressourcen erfordert.
ID Prefix for Leer Hier kann ein Vorschlagswert für ein Präfix der zu migrierenden Objekte eingetragen werden. migration objects. Bsp: de.<Firmenname>.roles.<Systemname>.<Rolle>. Der Präfix und der Name der importierten Rolle sollten gemeinsam nicht mehr als 100 Stellen haben. Sonst ist der Upload nicht möglich.
Restrict user assign- true Mit diesem Eintrag wird gesteuert, ob die Zuordnung der Benutzer zu den Rollen aus ments according dem Backend-System übernommen werden soll oder nicht. Mit dem Standardeintrag back-end system "true" werden im Portal abweichende Zuweisungen überschrieben.
Role target folder false Im Falle mehrerer angeschlossener Backend Systeme kann es vorkommen, dass gleich check collision benannte Rollen aus verschiedenen Systemen hochgeladen werden. Wenn ein ein- inactive heitliches Präfix für alle Systeme verwendet wird, können Namensgleichheiten entstehen.
Root path for portal_content/com. Hier kann der Standardpfad für die physische Speicherung der Rollen festgelegt werden. migration objects sap.portal.migrated/ Die Empfehlung lautet, einen Pfad nach dem Muster portal_content/<land>/<Company>/ SAPComponentSystems/ an dieser Stelle als Default-Wert vorzugeben.
Use always master false Der Standardeintrag "false" bewirkt, dass die Standardsprache des Backend-Systems beim language from Upload übernommen wird. Der Eintrag "true", bewirkt, dass die Sprache der zu importieren- upload option den Rollen während des Importes vom Benutzer festgelegt wird.
Use default alias false Systeme werden im Portalsystem Landscape Directory über die logischen Systemnamen as system identifier angesprochen (Tabelle T300). Der Eintrag "true" veranlasst, die Adressierung des Zielsystems über den System-Alias. Dies funktioniert nur im Fall identischer Systemnamen und Aliase.
Detaileinstellungen beim Upload der Rollen
Systemadministration ‹ Transport ‹ Detailnavigation: Rollen-Upload
Eigenschaft Standardeinstellung Empfohlene Einstellung
Upload User Mapping nicht ausgewählt Damit werden die Benutzerzuordnungen zu den Rollen aus dem Backend ebenfalls importiert. Die Portal- und die Backend-Benutzer müssen gleich benannt sein.
Upload included ausgewählt Alle in der Rolle enthaltenen Objekte wie Transaktionen und Services Bereichsmenüs werden importiert. Andernfalls werden ledig- lich die Rollenmenüs übernommen, die Berechtigungsprofile werden weiterhin in den Backend-Systemen gepflegt.
Migrate First Folder ausgewählt Für jeden Ordner des Rollenmenüs wird ein Entry Point ange- Level as Entry Point legt. Dies ist dann empfehlenswert, wenn die Rollenmenüs zuvor detailliert im SAP-Backend gepflegt wurden.
Convert Roles to nicht ausgewählt Der Import der Rollen aus dem SAP-System in Portal Work- Worksets sets ermöglicht eine flexible Gestaltung der Navigationsstruktur.
Target Folder for Roles leer Hier sollte der Vorschlagswert aus der Servicekonfiguration für jeden Import um die SID des Systems, aus dem sie importieren möchten, nach dem Muster, zum Beispiel portal_ content/<land>/<company>/<SID>, ergänzt werden.
Save ID for backend leer Über diesen Parameter können Sie auswählen, in welcher roles in role name Form die importierten Rollen benannt werden sollen.
Integration bestimmt die Auswahl
Um eine Auswahl aus dem vielfältigen Angebot treffen zu können, sind für die potenziellen Interessenten in erster Linie Gesichtspunkte wie Anwenderfreundlichkeit, Skalierbarkeit sowie Integrationstiefe in bestehende Unternehmensanwendungen relevant. Darüber hinaus spielt bei der Wahl einer neuen Portallösung aber auch die Integration bestehender Berechtigungskonzepte eine zentrale Rolle.
Der Ansatz der SAP AG, die mit ihrem Composite Application Framework und der Ausrichtung auf ihre Enterprise Services Architecture (ESA) nicht nur die vorkonfigurierte Integration in ihre eigenen Produkte forciert, sondern auch die Einbindung in Applikationen von Fremdanbietern bietet, ist sicherlich viel versprechend. Inwieweit es den Walldorfern gelingt, diesen Ansatz in die Praxis umzusetzen, wird sich jedoch erst in der nahen Zukunft zeigen.
Das SAP-Enterprise-Portal bietet ab der Version 6.0 und damit in der ebenfalls aktuellen Version Netweaver 2004 eine Vielfalt an vorkonfigurierten Integrationsmöglichkeiten. In diesem Artikel soll der Import der Rollen aus bestehenden SAP-R/3- oder Mysap-ERP-Systemen näher beleuchtet werden.
Durch den Import der Rollen aus den bestehenden SAP-Systemen lässt sich die verschachtelte und tiefe Struktur der klassischen SAP-GUI-Menüs in neue, ergonomischere Navigationsstrukturen auflösen. Dies hat in verschiedenen Projekten die Akzeptanz der Lösung sowohl bei Administratoren als auch bei Anwendern gesteigert.
Das SAP-Enterprise-Portal bietet die Möglichkeit, Benutzerrollen aus SAP R/3 oder Mysap ERP zu extrahieren und zu migrieren. Wesentlich dabei ist die Unterscheidung zwischen Berechtigungsprofilen im SAP-System und den entsprechenden Benutzerrollen. Berechtigungsprofile legen die tatsächlichen Zugriffsberechtigungen der Nutzer auf SAP-Elemente wie Organisationsebenen, Transaktionscodes, ABAP-Dictionary-Tabellen und ABAP-Objekte fest. Demgegenüber lassen sich verschiedene Berechtigungsprofile in Rollen zusammenfassen. Diese legen dann die künftigen Navigationsstrukturen in SAP R/3 oder Mysap ERP nach der Migration in das Enterprise-Portal fest.
An dieser Stelle entstehen allerdings oft die ersten Probleme. Deswegen ist eine klare Abgrenzung der verschiedenen Begriffe notwendig. Eines der häufigsten Missverständnisse bei der Rollenmigration soll hier gleich am Anfang ausgeräumt werden: Die Migration der Rollen umfasst nicht, wie vielfach angenommen wird, auch die Migration der Berechtigungsprofile. Diese verbleiben in den SAP-Back- end-Systemen. Das Portal stellt allerdings verschiedene Funktionen für die Pflege der Berechtigungsprofile im Backend zur Verfügung.
Vor der Migration sollte man sich darüber im Klaren sein, dass alle im Portal vorgenommenen Änderungen an den Rollen mit den jeweiligen Back- end-Systemen synchronisiert werden müssen. Die Synchronisation erfolgt jedoch nicht automatisch, sondern muss für jedes Backend-System über die Transaktion "WP3R" einzeln angestoßen werden.
Da die Synchronisation mit dem Backend nicht automatisiert ist, gilt es, eine Migration auch organisatorisch gut vorzubereiten. Bevor man sich entscheidet, die Rollen in das SAP-Enterprise-Portal zu migrieren, müssen Unternehmen folgende Frage beantworten: Kann organisatorisch gewährleistet werden, dass die Rollenpflege zentral, die Pflege der Berechtigungsprofile aber dezentral in den verschiedenen Backend-Systemen vorgenommen wird?
Regeln für Rollen und Profile
Zwar entspricht diese Vorgehensweise durch die Trennung der Generierung von Berechtigungsprofilen und der Zuweisung der Rollen den gängigen Anforderungen an ein internes Kontrollsystem (IKS) und auch den Forderungen des Sarbanes-Oxley Act. Trotzdem führte dieses Thema in Projekten aller Größenordnungen oft zu weitläufigen Diskussionen. Insbesondere die Notwendigkeit wiederholter manuell angestoßener Neugenerierungen von Berechtigungsprofilen sollte den Anwendern klar kommuniziert werden.
Benutzerstammdaten synchronisieren
Üblicherweise wird die Benutzerverwaltung des Portals an die Abap-Benutzerverwaltung einer zentralen SAP-Installation beziehungsweise an ein unternehmens- oder abteilungsweites Lightweight-Directory-Access-Protocol-System (LDAP) gekoppelt. In der zuletzt genannten Konstellation sollte allerdings berücksichtigt werden, dass die Benutzernamen sowohl in den SAP-R/3- oder Mysap-ERP-Systemen als auch im Portal vor und nach der Migration synchron gehalten werden müssen. Dies lässt sich am besten durch eine zentrale Benutzerverwaltung für alle SAP-Systeme, vorzugsweise mit einem SAP Solution Manager oder durch eine konsequente Anbindung aller SAP-Systeme an ein LDAP gewährleisten.
Um den Import der Daten in das neue SAP-Portal sicher zu stellen, müssen bestimmte Voraussetzungen gegeben sein:
• Enterprise-Portal-Plugin: Anwender benötigen dafür das SAP-Enterprise-Portal Plugin für das Backend SAP R/3 oder SAP ERP 2004/2005. Bis einschließlich Basis Release 6.20 ist das SAP Enterprise Portal Plugin für Mysap-ERP erforderlich.
• Berechtigungen im Backend-System: Um die Berechtigungen im Backend-System setzen zu können, müssen ebenfalls dedizierte Rahmenbedingungen erfüllt sein: Innerhalb von SAP R/3 (ab Release 4.6C) oder Mysap ERP wird ein RFC-Benutzer benötigt, dem das Berechtigungsobjekt S_RFC mit der Funktionsgruppe PWP2 zugewiesen wurde.
• Portalinstallation: Voraussetzung für den Import der SAP-R/3-Rollen sind die Portalkomponenten "Knowledge Management" und "Collaboration" sowie der kompletten Portalplattform (Portal Content Directory). Das Knowledge Management beinhaltet das "iView" für die Anzeige der Portalfavoriten und die dazugehörigen Java-Objekte.
• Eintrag im Portalsystem Landscape Directory: Im Portalsystem Landscape muss je ein System-Alias für das oder die Backend-System(e) angelegt werden. Der Import der Rollen funktioniert nur, wenn der System-Alias genau dem logischen System des Backend entspricht.
• Servicekonfiguration: Vor dem Upload sollten einige Einstellungen am Portal-Service com.sap. pcd.rolemigration vorgenommen werden. Zuvor ist festzulegen, ob man komplette Rollen, Transaktionen oder Mini-Applikationen hochladen möchte.
• Der Import der Rollen: Bei der Auswahl der zu importierenden Rollen, sollten die Anwender beachten, dass die Rollen paketweise importiert werden. Bei mehr als 50 Rollen in einem Upload-Paket läuft der Import Manager üblicherweise in einen Time-Out Fehler.
Nacharbeit ist angesagt
Mit dem Import der Rollen und der folgenden Synchronisation allein ist es jedoch nicht getan. Nach der erfolgreichen Migration der Rollen in das Netweaver- Portal sind nicht zu unterschätzende Nacharbeiten notwendig. Dies liegt an den unterschiedlichen Rollenkonzepten in SAP R/3 beziehungsweise Mysap ERP auf der einen Seite und im Netweaver-Portal auf der anderen Seite.
In der klassischen SAP-R/3-Denkweise gliedern Rollen im wesentlichen Transaktionen nach organisatorischen Kriterien wie etwa Einkauf, Controlling oder auch Produktionsplanung. Demgegenüber liegt der Nutzen des Portals darin, dass es die Möglichkeit bietet, Rollen nach funktionalen Gesichtspunkten auch über Systemgrenzen hinweg anzulegen.
Rollendefinitionen im R/3-System verfügen zudem in den meisten Fällen über eine sehr tiefe Navigationsstruktur, die in der Browser-basierten Portalanwendung eher hinderlich wäre. Auch hier müssen die Anwender Hand anlegen.
Um den Anwendern einen wirklichen Mehrwert zu vermitteln, bieten sich neben der Wiedererkennbarkeit der aus SAP R/3 bekannten Navigationsstrukturen auch die zusätzliche Einbindung von so genannten Übersichts-iViews an. Diese ähneln den von Websites bekannten Sitemaps und geben einen Überblick über die in den jeweiligen Rollen enthaltenen Transaktionen. Ein Übersichts-iView wird direkt unter dem Einstiegspunkt der Rolle dargestellt und hilft vor allem weniger versierten Anwendern, sich schneller im Menü zurechtzufinden.
Voraussetzung für das Einfügen dieses Übersichts-iView (Workset iView) ist, dass die Anwender beim Import der Rollen in das Portal die Eigenschaft "Convert Roles to Worksets" aktivieren. Für jedes Workset lässt sich eine eigene Übersichts-iView generieren, die alle enthaltenen Objekte darstellt und kurze Erläuterungen zu den Funktionen gibt. Die Beschreibung der Funktionen muss dabei allerdings manuell gepflegt werden.
Die Funktionen, um Rollen, Worksets und iViews zu erstellen und zu strukturieren, finden sich im "Portal Content Directory". Dieses können Anwender über das Menü "Content Administration", unter dem Eintrag "Portal-Content" aufrufen.
Neben der Möglichkeit, verschiedene Systeme in ein einheitliches Benutzer-Interface zu integrieren, stellen auch die Bedienungsfreundlichkeit und die Möglichkeit der einfachen und schnellen Navigation wesentliche Erfolgsfaktoren bei Portalprojekten dar. Die Akzeptanz des Portals als zentraler Einstiegspunkt in die Menüs und Rollen der unterschiedlichen Systeme lässt sich durch eine einheitliche Übersichtsfunktion beim Einstieg in die Navigation deutlich erhöhen. (ba)