En la primera parte de este blog, presenté el enfoque Greenfield y mostré cómo puede implementar metódicamente su proyecto de migración con la ayuda de las funcionalidades de las herramientas XAMS. También resalté que una simple transferencia de sus roles anteriores a la nueva SAP S/4HANA Business Suite no se puede hacer fácilmente, por lo que un ajuste de roles es absolutamente obligatorio. Basado en la variante del producto on-premise, he presentado algunos enfoques de proyecto como ejemplo para una implementación inicial y, particularmente, para una nueva implementación. En nuestra publicación de blog anterior, descubrimos las soluciones XAMS, que pueden ayudarlo con hitos importantes de su proyecto de migración a la experiencia del usuario en la nube de S/4HANA:
En esta segunda parte del blog, lo guiaré a través de otra opción de migración de autorización, la llamada Enfoque de migración brownfield. Presentaré el procedimiento, las soluciones y las características apropiadas de XAMS para ofrecerle una descripción completa de los posibles enfoques del proyecto y proporcionar ejemplos relevantes. Además, notará que los dos enfoques, el Greenfield y el campo baldíono son tan diferentes de una hoja de ruta cuando se trata de una migración de autorización.
Antes de centrarme en el enfoque Brownfield, me gustaría enfatizar que, al igual que en el primer caso con el enfoque Greenfield, casi todas las áreas comerciales de su empresa se ven afectadas por la migración. Esta no es una simple actualización de software, sino una consolidación de las soluciones de SAP para mover a los usuarios finales a la nube para una experiencia de usuario más en tiempo real. Le recomendamos que trabaje en estrecha colaboración con sus áreas comerciales durante este proyecto para crear un concepto de autorización sostenible y correcto de los procesos comerciales requeridos y lograr un alto nivel de aceptación de los usuarios de los clientes de SAP.
Con el enfoque Brownfield, también conocido como conversión del sistema, migra el SAP ERP 6.0 actual a la nueva empresa inteligente SAP S/4HANA. Al hacer esto, confía en el sistema heredado existente y, al mismo tiempo, en los datos y roles antiguos. Aunque este enfoque lleva a completar las tareas de autorización de migración de SAP S/4HANA más rápido, dado que no es necesario reestructurar todo el sistema, los problemas heredados también se importan durante la conversión del sistema. Esto dificulta la optimización y el cumplimiento de las mejores prácticas de SAP y puede impedirle utilizar todo el potencial de las funciones de autorización del sistema de base de datos de SAP HANA. Cuando se hace referencia a las autorizaciones, los cambios relacionados con SAP S/4HANA se ajustan directamente en los roles o se ponen a disposición a través de nuevos roles. Si es necesario, puede realizar pequeñas mejoras en los flujos de proceso o en su estructura de autorización. Según la estabilidad de sus procesos y la calidad de su concepto de autorización, hay dos enfoques disponibles, que puede ver en la figura 1:
Se debe elegir la opción de un rediseño de autorización si el concepto de autorización de SAP ECC no cumple con los requisitos relacionados con la seguridad, es difícil de mantener o los procesos deben optimizarse por completo. Esto es ideal para empresas que han experimentado un crecimiento sustancial a través de adquisiciones, lo que resulta en una complejidad repetida en las autorizaciones y desean adoptar los estándares de SAP para la conversión a S/4HANA. Si este no es el caso y el concepto de autorización es de buena calidad, mientras que los procesos también son estables, las puertas están abiertas para usted para una migración conforme a los estándares de su concepto de autorización de SAP. Pero, ¿qué es un “buen concepto de autorización”?
El objetivo siempre debe ser la implementación de un concepto de autorización seguro y mantenible. Puede lograr esto mediante la creación de roles de trabajo estandarizados y simplificados, al mismo tiempo que tiene en cuenta los requisitos relacionados con la seguridad, tanto internos como externos. Un concepto o diseño de roles de alta calidad no solo cumple con factores de seguridad, como evitar conflictos de segregación de funciones o problemas críticos de autorización que se pueden identificar con una herramienta GRC, sino que también requiere un diseño de autorización de roles compatible con el estándar SAP con un uso estricto de el objeto de autorización y los valores predeterminados del campo (transacción de palabra clave SU24). En el caso de un mantenimiento de roles adecuado, no se utilizan objetos de autorización modificados o agregados manualmente durante la migración y el mantenimiento de roles, con excepciones como los perfiles SAP_ALL generados. En particular, los perfiles de roles con objetos de inicio manual (S_TCODE, S_SERVICE, S_START y S_RFC) no se pueden fusionar en el generador de perfiles con los valores predeterminados almacenados en SU24 y transferidos a SAP S/4HANA.
Los roles con rangos de valores en los objetos de inicio mencionados anteriormente también se excluyen de una migración compatible con el estándar, ya que la comparación de los objetos del menú de roles con la lista de simplificación para SAP S/4HANA es difícil o incluso imposible de identificar el mapeo adecuado sin intervención manual. Consulte la figura 2.
Para una migración que cumpla con los estándares, las mejores prácticas de SAP son la máxima prioridad, ya que los ajustes relevantes de SAP S/4HANA ocurren directamente en los roles anteriores.
Finalmente, verificar la calidad técnica de los roles es un factor crucial antes de elegir el enfoque de migración de caso de negocio adecuado para su entorno de sistema SAP ERP. Para simplificar el proceso de análisis de la calidad de los roles, el módulo Xiting Role Profiler de las herramientas XAMS proporciona informes que lo ayudan a identificar las autorizaciones manuales. Al hacerlo, el análisis le permite escanear las deficiencias técnicas de los roles asignados activamente y evaluar los roles individualmente. Este análisis le muestra si es técnica y eficientemente posible remediar las deficiencias técnicas y, dependiendo de estos resultados, si se puede realizar o no una migración SAP S/4HANA que cumpla con los estándares. La siguiente figura muestra el análisis de roles en Xiting Role Profiler:
La conversión técnica es una solución de compromiso para las empresas que no tienen un concepto de rol que cumpla con los estándares y no pueden llevar a cabo un rediseño holístico de los roles de autorización debido a limitaciones de tiempo y posibles tiempos de inactividad. Sin embargo, en última instancia, se debe considerar un rediseño de todo su concepto de autorización para poder garantizar la mantenibilidad y la seguridad de los roles en el futuro. Dado que el concepto de rol existente no se implementó de manera compatible con SU24, una comparación de perfiles tiene un impacto negativo correspondiente en las características existentes y, por lo tanto, contiene altos riesgos. Durante la conversión técnica, las aplicaciones S/4HANA necesarias deben proporcionarse a través de nuevos roles adicionales y los roles antiguos deben conservarse. Este procedimiento puede implicar un esfuerzo aún mayor en su transformación digital.
Totalmente de acuerdo con las mejores prácticas de Xiting, mostraré el procedimiento para una migración de SAP S/4HANA que cumpla con los estándares y entraré en las características de XAMS que pueden ser una ayuda bienvenida en el manejo de paquetes de trabajo complejos. La figura 4 muestra las tres fases principales del proyecto. Si compara ambos enfoques de migración, Greenfield y Brownfield, encontrará que difieren entre sí en una sola fase, a saber, la fase de diseño de roles. La simulación de prueba y la puesta en marcha protegida se llevan a cabo de manera similar. Estas dos fases ya se han explicado en la primera parte del blog y, por lo tanto, no se describen en detalle aquí.
En este paso del proyecto, todos los cambios relacionados con SAP S/4HANA en sus roles se analizan y finalmente migran en función de la «Lista de simplificación para SAP S/4HANA», de SAP, que también está integrada en el XAMS y se le entrega en un base de liberación. Esto le ahorra la ardua tarea de comparar manualmente el contenido de su función con la lista de simplificación.
Por ejemplo, con XAMS Role Profiler, los roles asignados a los usuarios se verifican en busca de transacciones no válidas en SAP S/4HANA. Recibirá una lista de resultados con roles que deben ajustarse si desea usarlos después de la migración del sistema a SAP S/4HANA.
Otra característica atractiva de este informe es la lista de nuevos objetos de reemplazo, por ejemplo, transacciones, aplicaciones SAP Fiori u otras aplicaciones web. Como puede verse en la siguiente figura, recibirá información completa que también es crucial para sus áreas de negocio.
En la Figura 7 se pueden ver las transacciones obsoletas, por ejemplo, “XK01” (Crear cliente), que es reemplazada por la transacción “BP” (Editar socio comercial), o, si es necesario, por las aplicaciones Fiori F3163. En la columna «Personalizar», puede reemplazar las aplicaciones obsoletas ad hoc en sus roles o ampliarlas usando la casilla de verificación en la columna «Agregar». Finalmente, el menú de roles en PFCG se ajusta y el perfil de autorización del rol se puede procesar más en el generador de perfiles.
Nota:
Servicios de OData que se enumeran como reemplazos que indican que se requieren aplicaciones SAP Fiori de interfaz de usuario.
Como se mencionó al principio, también puede reaccionar de manera flexible a pequeñas mejoras de procesos con el enfoque Brownfield, por ejemplo, mediante la creación de roles adicionales. Tomemos como ejemplo la necesidad de una asignación restrictiva de la transacción «BP» (interlocutor comercial de proceso). Con XAMS Role Profiler, obtiene una función de extensión en la que puede agregar criterios de SAP S/4HANA directamente a un nuevo rol:
En resumen, se puede afirmar lo siguiente: Con el XAMS recibe herramientas importantes para todos los pasos de trabajo de esta fase de migración, teniendo en cuenta el procedimiento correcto, para migrar sus roles de manera conveniente y sostenible de acuerdo con el estándar.
Nota al margen: desarrollos internos: la reestructuración del modelo de datos que tuvo lugar en SAP S/4HANA podría tener efectos secundarios en sus desarrollos internos. Por lo tanto, los programas del cliente deben verificarse para una mayor usabilidad y, si es necesario, ajustarse en el código fuente, por ejemplo, si los programas acceden a tablas obsoletas en SAP S/4HANA.
Ahora conoce las opciones de proyecto de los enfoques de migración de autorización Greenfield y Brownfield mediante el uso de XAMS. No hay una recomendación general al elegir el enfoque correcto. Esta toma de decisiones requiere la evaluación de muchos factores específicos del cliente y, en última instancia, depende de sus preferencias y recursos. Un análisis integral del sistema realizado por Xiting, incluida una verificación de preparación de S/4HANA o compartir conocimientos sobre este tema con uno de nuestros consultores experimentados como parte de un taller de SAP S/4HANA, puede ayudarlo a tomar la decisión correcta. El XAMS ofrece soluciones prácticas para ambos enfoques.
Además, Xiting ofrece una amplia gama de servicios en todos los temas relacionados con la seguridad de SAP, SAP S/4HANA y las autorizaciones de SAP. También puede asistir a nuestros seminarios web regulares centrados en diferentes temas relacionados con la seguridad de SAP. No dude en contactarnos y preguntar a uno de nuestros expertos sobre los enfoques Brownfield y Greenfield y sobre las mejores prácticas al migrar sus autorizaciones a SAP S/4HANA.
Consultor de Seguridad SAP | Autorizaciones SAP a Xiting GmbH
Vanessa Albuera se desempeña como SAP Security Consultant y SAP Trainer para Xiting en Alemania desde 2015. Especializada en temas relacionados con el rediseño de autorizaciones ERP, migración SAP S/4HANA y autorizaciones SAP Fiori, lidera a diferentes clientes de Xiting a través de sus proyectos.
Calle Eloy Gonzalo, 27
Madrid, Madrid.
Código Postal 28010
Paseo de la Reforma 26
Colonia Juárez, Cuauhtémoc
Ciudad de México 06600
Real Cariari
Autopista General Cañas,
San José, SJ 40104
Av. Jorge Basadre 349
San Isidro
Lima, LIM 15073