Die SAP GRC-Lösung (Governance, Risk and Compliance) ermöglicht es Unternehmen, Vorschriften und Compliance zu verwalten und Risiken bei der Verwaltung der wichtigsten Vorgänge von Organisationen zu beseitigen. Ich werde in diesem Beitrag keine der GRC Module, wie zum Beispiel Zugriffskontrolle (Access Control) oder Prozesssteuerung (Process Control), ansprechen. Vielmehr erfahren Sie etwas über die Aufbau der SAP GRC Navigation. Also die NWBC Oberfläche, wie Sie diese über die PFCG in Ihren Rollen gestalten und wie Sie die Berechtigungsobjekte zu den einzelnen Menüelementen finden können. Um die verwendeten Berechtigungsobjekte zu analysieren ist es natürlich am einfachsten einen Berechtigungstrace (Transaktion STAUTHTRACE oder ST01) durchzuführen. Dieser zeigt die geprüften Objekte. Wird vermutlich auch am häufigsten genutzt.
Navigation
Die direkte NWBC Navigation zu den einzelnen Komponenten aus den Bereichen Process (PC)- oder Access Control (AC) erfolgt über die Berechtigungen der Anwender. Zur Gestaltung der PFCG Rollen gibt es unterschiedliche Ansätze. Zum Beispiel eine Menürolle die alle Bestandteile enthält welche von AC / PC gemeinsam genutzt werden. So habe ich bei einem Kunden eine solche Rolle nur mit Anzeigeberechtigungen und unternehmensspezifischen Anwendungen ausgestattet. Menüerweiterungen, Ausführungsberechtigungen werden über zusätzliche Rollen vergeben und für die jeweiligen Arbeitsbereiche / Businessanforderungen in einer Sammelrolle zusammengefaßt. Der Aspekt des Pflegeaufwands sollte bei der Gestaltung der SAP GRC Navigation immer mit betrachtet werden.
Details
Starten Sie den Business Client durch Aufruf der Transaktion „NWBC“ oder durch den entsprechenden Link direkt im Browser (Sie ersparen sich so die Anmeldung im GRC-System (Backend)). Ohne Single Sign-On (SSO) Implementierung erhalten Sie im Browser natürlich auch ein Login-Popup.
Je nach Konfiguration Ihrer Menürolle könnte die Einstiegsseite Ihrer GRC Oberfläche so aussehen.
Hinweis
Es ist durchaus möglich dass nach Aufruf der Transaktion NWBC das „Launch“ Fenster des Business Clients gezeigt wird. Dieses könnte dann ggf. so aussehen. Um auf das Work Center zuzugreifen klicken Sie auf die Option „/NWBC“ hinter Cockpit. Sie werden dann weitergeleitet. Die anderen Einträge zeigen die Ihnen zugewiesen PFCG-Rollen.
Dieser Zwischenschritt kann durch die Deaktivierung des Services „nwbc_launch“ im ICF (Internet Communication Framework), Transaktion SICF, entfernt werden. NWBC startet dann direkt im Work Center.
Navigation (technisch)
Kommen wir wieder zurück zum GRC Work Center, dem Arbeitsbereich. Diese Oberfläche mit all ihren Menüeinträgen wird im Backend über die Transaktion PFCG zusammengestellt. In dem vorliegenden Beispiel wurde die SAP Standardrolle „SAP_GRAC_NWBC“ verwendet.
Schauen wir uns die Einträge unter dem Hauptmenü „My Home“ einmal genauer an. Dazu klicke ich mit der rechten Maustaste auf eines der Menüelemente. Im Beispiel wurde der Menüblock „My Delegation“ genutzt. Im Popup nutzen Sie den Eintrag „Technical Help“.
Im nächsten Bild werden technische Informationen zur WebDynpro Komponente und der Applikation gezeigt. Für die weiteren Schritte ist der markierte Bereich interessant. Im Beispiel wird die Applikation „GRFN_SERVICE_MAP“ mit der Konfiguration „GRAC_FPM_AC_LPD_HOME“ aus der Komponente GRC genutzt.
Weitere Details finden wir über die Komponenten Konfiguration (siehe blaue Markierung).
In der Zeile „Component Configuration“ den farbige Eintrag wählen. Das nächste Fenster zeigt die Details der Komponente „Home Page“.
Nun kennen wir die Rolle der „My Home“ Navigation, sie lautet „GRACHOME“. Über den Button „Configure“ gelangen Sie in die Launchpad Konfiguration.
ANMERKUNG: Im Backend „SAPGUI“ können die nächsten Schritte auch über die Transaktion LDP_CUST ausgeführt werden.
Konfiguration
Wir befinden uns jetzt im Änderungsbereich der Launchpad-Rolle „GRACHOME“. Im verwendeten Beispiel wurde der Menüblock „My Delegation“ verwendet. Öffnen Sie diesen und klicken auf den Eintrag „Approver Delegation“. Im rechten Programmbereich öffnen wir den Parameterbereich „Show Advanced (Optional) Parameters“.
In diesem Bereich ist die Zeile „Add Information“ und der darin enthaltene Wert interessant. Für diesen Menüeintrag ist hier der Wert „MENUITEM=0GRACCUPAPPROVDELE“ eingetragen. Um das Berechtigungsobjekt zu diesem Eintrag sichtbar zu machen erfolgt jetzt ein Sprung ins Backend, genauer gesagt in die Transaktion SM34 mit dem Viewcluster „GRFNVC_ITEMAUTH“.
Gesucht wird nun die Menu Item ID „0GRACCUPAPPROVDELE“. Markieren und in der Navigation links auf den Eintrag „Authorizated Objects“ klicken. Der Bereich rechts zeigt dann das verwendete Objekt mit einer vorhandenen Vorbelegung.
Fazit
Wie bereits zu Anfang angesprochen ist ein Berechtigungstrace mit Hilfe der beiden Transaktionen ST01 oder STAUTHTRACE viel einfacher. Die SAP GRC Navigation mit den Standard Service Maps, die im Menü der Rolle Anwendung finden, sind inhaltlich sehr umfangreich. Wer sich von diesem Standard lösen möchte benötigt somit die einzelnen Web Dynpros, die sich hinter den einzelnen Menüeinträge der jeweiligen Service Maps verbergen.