简介
作为一种云解决方案,SAP S/4HANA Cloud Public Edition每年在二月和八月进行主要升级。除了引入新的创新之外,身份和访问管理(IAM)领域也有许多变化。在实施完成并且实施顾问离开项目之后,大多数客户由于缺乏资源和专业知识,忽视了IAM领域。感谢我的同事,George Yu用两篇相关的博客来填补这个空白。下面是基于George的两篇英语博客的中文翻译版,您也可以在文章的最后找到英语版的博客。
第一篇博客(即此篇)旨在解释你在主要升级前需要做什么。除了用后继者替换已弃用的业务目录,还需要了解围绕业务角色,特别是已在生产租户中使用的角色,需要改变什么。一些决定需要与业务用户一起制定。
第二篇博客“在SAP ERP公有云进行主要升级后,审查和调整业务角色”用示例解释了主要升级后业务角色的适应性工作。
为了方便讨论,除非特别指出,我使用的是在升级到2402版本之前的2308版本的E7Z/100系统。
业务角色的构建块
SAP S/4HANA Cloud Public Edition中的授权结构基于被称为限制类型字段、限制类型、业务目录、业务角色模板和业务角色的构建块,这些构建块被分配给业务用户。这些构建块形成了一个授权组件的层次结构(见下图)。
授权组件的层次结构
在这些层次结构中的授权组件中,任何在较低级别的更改都会对较高级别的组件产生连锁反应。根据排列组合理论,最终在业务角色级别可能发生的更改可能是呈指数型增长。在一个案例中,我有11,000+种可能的更改业务角色。这是很大的一笔工作。由于在限制类型和业务目录中的许多更改并未在客户的系统中使用,处理所有这些更改实际上是一种效率上的浪费。我将更多地从业务角色的角度处理这些更改,并且只关注在此博客中使用的业务角色。这样我们可以大幅度地减少工作量。
在主要升级中调整业务角色的过程
主要升级过程从测试租户开始,在三周后移至开发和生产租户。在主要升级之前、期间和之后,我们从IAM(身份和访问管理)角度出发,有一系列任务要执行。这些任务都在下图中进行了说明。
在主要升级中调整业务角色的过程
本博客主要关注升级前的任务:
- 检查并替换D/T/P租户中已弃用的业务目录
- 通过SAP Note 2975653确定初步的IAM更改
- 通过What’s New Viewer确定初步的IAM更改
升级后的任务在博客"SAP S/4HANA Cloud Public Edition中的主要升级后的业务角色审查和调整"中有所描述。
替换已弃用的业务目录
打开业务目录应用后,我们需要设置过滤器状态为“已弃用”。在这个系统中,我有13个“已弃用”的业务目录,全部在2308版本中公布。这意味着它们将在2402版本升级期间过时。其中,有四个没有在任何业务角色中使用。对于这些,我不需要做任何事情。升级过程将自动删除它们。
找到已弃用的业务目录
我需要注意那些在业务角色中使用的业务目录。如果我不替换它们,或者仍然在业务角色中使用它们,系统将不会按照计划将它们设为“已弃用”。下图显示的是属于不同版本的已弃用的业务目录,早至2108版本(示例来自2402版本的系统)。
早期版本的已弃用业务目录
让我们以几个业务目录为例进行操作。
业务目录端到端实施经验 - 功能管理(已弃用)
当我们打开这个业务目录时,我们注意到以下信息。
- 已在版本2308中弃用
- 后继者:1
- 在业务角色中使用:1
- 在业务角色模板中使用:0
已弃用的业务目录 SAP_CA_BC_FM_DAD_PC
这告诉我们,我们需要用其后继者 SAP_CA_BC_IC_LND_FTG_PC(在后继者标签下)替换已弃用的业务目录 SAP_CA_BC_FM_DAD_PC,在业务角色 BR_BPC_EXPERT 中。为了替换这个已弃用的业务目录,我选择了业务角色 BR_BPC_EXPERT,并点击了采纳更改按钮。业务目录在业务角色 BR_BPC_EXPERT 中被替换。业务目录应用在业务角色列表中显示为零。
没有更多的业务角色在使用业务目录端到端实施经验 - 功能管理(已弃用)
业务目录可扩展性 - 情况处理(已弃用)
当我们打开这个业务目录时,我们注意到以下信息。
- 在版本 2308 中弃用
- 后继者:1
- 在业务角色中使用:1
- 在业务角色模板中使用:0
已弃用的业务目录 SAP_CA_BC_EXT_SIT_PC
这告诉我们,我们需要将已弃用的业务目录 SAP_CA_BC_EXT_SIT_PC 替换为其在业务角色 BR_EXTENSIBILITY_SPEC 中的后继者 SAP_CORE_BC_EXT_SIT_PC。
这次我将展示替换已弃用业务目录的另一种方式,即在维护业务角色应用中操作。
要替换已弃用的业务目录,点击在业务角色中使用的选项卡,然后点击业务角色 ID 的超链接。这将打开维护业务角色应用。点击编辑按钮,然后点击管理升级后的变更按钮。
在维护业务角色应用中管理升级后的变更
在打开的窗口中,右侧有一个名为升级后的变更的部分。有四个可能的变更区域。对于这个业务角色,只有在业务目录 SAP_CA_BC_EXT_SIT_PC 上发生变更。通过选择业务目录并点击采纳变更按钮,系统将这个已弃用的业务目录替换为其后继者。
采纳对已弃用业务目录的变更
替换后,后继业务目录在已分配业务目录列表中显示,即可扩展性 - 情况处理 SAP_CORE_BC_EXT_SIT_PC。在已弃用业务目录的部分下再也没有条目。已分配业务目录的总数仍为26。替换成功。
后继业务目录在已分配业务目录列表中显示。
最后,不要忘记点击保存按钮以完成此更改。保存操作后,该业务角色不再在升级后的待办事项列表中,且管理升级后的变更的超链接将永久灰色不可用。
业务目录销售 - 客户360视图显示(已弃用)
当我们打开这个业务目录,我们注意到它更复杂了:
- 在2308版本中被弃用
- 限制类型:8
- 依赖项:8
- 后继者:1
- 在业务角色中使用:1
- 在业务角色模板中使用:0
关于限制类型,它们是什么以及如何使用它们,请参阅我的博客如何使用限制来增强SAP S/4HANA Cloud Public Edition中的用户授权。
依赖项是指当我们使用业务目录SAP_SD_BC_CUST_SLSOVP_DSP_PC时,需要另一个业务目录存在。在这种情况下,需要有八个业务目录。
业务目录SAP_SD_BC_CUST_SLSOVP_DSP_PC的依赖项
由于这次有依赖项,所以当你点击接受更改按钮时,系统会提示你确认将依赖项添加到后继业务目录中。
确认将依赖项添加到后继业务目录
注意:依赖项有两种类型:强制性和可选性。对于强制性依赖项,你可以在业务角色定义中看到业务目录及其所需的业务目录。对于可选依赖项,你可能看不到所需的业务目录。
通过重复上述步骤来处理每个已弃用的业务目录,最终我用其相应的后继者替换了所有正在使用的已弃用的业务目录。已弃用的业务目录不再在业务角色中使用。
业务角色中不再使用已弃用的业务目录。
请查看“新功能”文档
在测试租户升级的四周前,我们建议客户查看下一个版本的“新功能”查看器,以了解即将推出的新功能。您需要设置几个过滤条件,如下:
- 有效日期:SAP S/4HANA Cloud 2402
- 本文档:IAM
- 有效日期:SAP S/4HANA Cloud 2402
- 本文档:IAM
现在,您可以在“新功能”查看器中找到与2402版本相关的所有IAM更改。
在类型下,您有六种可能性:- 已更改
- 已删除
- 已废弃
- 升级后的必需任务
- 必须了解
- 新的
- 已删除
- 已废弃
- 升级后的必需任务
- 必须了解
- 新的
在这些类型中,您可以忽略“新的”,因为它们还未在系统中。从升级准备的角度来看,您不需要担心它们。所有其他的都需要您的注意。
确定受IAM更改影响的业务角色
2975653 Identity and Access Management (IAM): Change Overview for SAP S/4HANA Cloud
在这个SAP Note中,它列出了每个版本的相关SAP Note。例如,SAP Note 3404825是针对版本2402的。它的主要内容包括两个Excel文件,您需要下载它们:- Delta_S4CE_2402-2308.xlsx
- Delta_S4CE_BR_2402-2308.xlsx
第一个Excel文件列出了新版本2402相对于版本2308引入的IAM更改,这些更改影响了应用程序,业务目录,业务角色模板,限制类型分配,空间和页面,以及页面模板。此列表并非特定于客户,而是适用于所有客户。
第二个Excel文件只列出了与业务角色相关的IAM变更。我们应该专注于这个文件,因为我们可以插入我们自己的数据来创建一个真实的画面,反映出我们在IAM变更方面的实际情况。
请注意:文件Delta_S4CE_BR_2402-2308.xlsx的工作表被分为三组:
- 橙色工作表:这些工作表是空白的,供用户输入。
- 绿色工作表:显示基于用户输入的分析结果。实际上,只有BRsChanged工作表是与客户有关的。其它四个工作表由SAP提供。
- 灰色工作表:存储即将发布的版本中改变的IAM信息。
这个Excel文件的主要目的是,如其文件名所示,创建一个从2308版本到2402版本变化的业务角色列表,以及变化的原因。为了实现这个目的,我们需要创建一个在客户生产租户中现有的业务角色列表。基于SAP已知的事实,即应用程序、业务目录、业务角色模板、限制类型分配的变化,我们可以在BRsChanged工作表中创建一个影响列表。
创建变化的业务角色列表的步骤:
步骤1:打开IAM信息系统应用。进入业务角色 - 业务目录标签页。这个标签页展示了业务角色和底层业务目录之间的关系。有1275个条目。点击导出表格按钮,将整个列表下载到Excel文件。将数据复制到Customer_BRBC工作表。
业务角色与业务目录标签页
步骤2:进入业务角色 - 业务角色模板标签页。这个标签页展示了业务角色和SAP提供的业务角色模板之间的关系。有49个条目。点击导出表格按钮,将整个列表下载到Excel文件。将数据复制到Customer_BRBRT工作表。
业务角色与SAP提供的业务角色模板
步骤3:进入Customer_BRBC工作表,将业务角色和业务角色ID列复制到Customer_BR工作表。在Customer_BR工作表中,删除重复条目,创建一个唯一的现有业务角色列表。你可以通过执行命令Data → Data Tools → Remove Duplicates来实现这一点。结果就是系统中的业务角色列表。在这个例子中,这个列表有51个条目,比Customer_BRBC工作表中的1275个条目大幅减少。
系统中存在的唯一业务角色列表
步骤4:基于你的输入,内嵌的功能创建了BRsChanged工作表的内容。通过打开BRsChanged工作表,我们可以看到一些业务角色发生了变化,以及变化的原因,例如BR_MAINT_SUPERVISOR;有些业务角色完全没有变化,例如BR_PRODN_OPTR_LEAN_MFG;有些业务角色并非源自业务角色模板,但仍受到限制类型变化的影响,例如YU_TEST_ROLE。
变化的业务角色列表
从C列到O列的每一列代表Excel文件中可用的一个工作表。这些列被分为四个类别,每个类别代表一个对象(我改变了Excel工作表中的类别颜色以便于查看):
- 业务角色模板(C列和D列)
- 业务角色(E列到I列)
- 应用程序(J列到M列)
- 描述重命名(N列和O列)
第3行给出了对该对象发生了什么事情的简短描述。例如,C列用于向业务角色模板添加业务目录;D列用于从业务角色模板中删除业务目录。
第4行显示了此次更改影响的业务角色数量。
条目“Yes”表示这个业务角色发生了变化。点击单元格,你可以看到一个IF语句,用于确定这个业务角色是否在RTsNew-Changed工作表中列出:
点击超链接名称(第5行),它会跳转到包含特定类别更详细信息的工作表,例如RTsNew-Changed工作表。
为了进一步利用这个工作表准备即将进行的升级,你可以继续在每个类别上进行以下工作。
业务角色模板类别,查看BRTsBCsAdded和BRTsBCsRemoved工作表
- 在业务角色ID列中,使用过滤器去除“空白”,以查看哪些业务角色受到添加或删除业务目录的影响。
业务角色类别,查看RTsNew-Changed工作表
- 过滤出生产租户中存在的业务角色(在业务角色ID列中去除空白)并在变更类型列中设置过滤器为“新”。这将显示所有新分配限制类型的业务角色。
- 在Phase-in列中设置过滤器为“No”,列出升级后立即生效的限制类型变化。如果是“Yes”,那么意味着这些变化在升级后不会立即生效。
- 所有未维护的限制类型应在升级后直接维护(包括Phase-In限制类型)。IAM Key Figures应用可以用来检查生产租户中未定义的限制。
应用程序类别,查看AppsAdded, AppsDeprecated, AppsDeleted-Moved工作表
- 在业务角色ID列中过滤出“空白”,以识别受影响的角色。应用程序的变化主要由业务目录的变化驱动。
- 在升级前,与业务用户一起查看这些工作表中的结果,讨论可能的影响。
新范围(业务线的可选服务)
- 在AppsAdded工作表中,过滤业务角色ID列为“空白”,查看哪些应用程序没有分配给任何业务角色。使用应用程序组件列将应用程序与业务线关联起来。
- 在BRTsBCsAdded工作表中,过滤业务角色ID列为“SAP_BR_BPC_EXPERT”,列出所有新添加的配置业务目录。使用应用程序组件2、国家2、范围项目2列将业务目录与业务线关联起来。
- 在升级前,与业务用户一起查看这些工作表中的结果,讨论可能的影响。
结论
本博客从IAM的角度解释了SAP S/4HANA Cloud Public Edition主要升级的一般过程。除了替换已被弃用的业务目录外,您的主要关注点是确定需要更改的业务角色,并在升级后规划这些更改。与业务用户的紧密协作是必不可少的。
George Yu的英语版博客:
- SAP Managed Tags:
