Salesforce & SAP Security Beratung

Im Rahmen dieses Projektes habe ich die nationalen und internationalen SAP Systeme des Kunden im Bereich des Berechtigungwesens betreut. Hierzu habe ich Service Requests, Incidents und Changes über den HP Service Manager abgewickelt und gelöst. In diesem Kontext ging es insbesondere um die Umsetzung von Berechtigungskonzepten, der Analyse von Berechtigungsproblemen und der Anpassung von Systemrollen inklusive des Transports in nachgelagerte Systeme. Neben dieser Tätigkeit habe ich aktiv im Migrationsprojekt SAP Access Control mitgearbeitet. Ziel des Projektes war die Einführung der neuen Access Control 10.0 Lösung der SAP und die Migration der Daten aus dem Access Control 5.3. Zu den durchgeführten Tätigkeiten gehörten die Installation der Plugins auf den Satellitensystemen sowie die Anbindung der Systeme an das zentrale Access-Control-System. Darüberhinaus habe ich die Daten aus dem Altsystem exportiert und in das neue System importiert. Weiterhin habe ich RFC-Verbindungen eingerichtet und die benötigten technischen User sowie Firefighter-Kennungen auf den angebundenen Satellitensystemen erstellt. Des Weiteren habe ich Hintergrundjobs zur Synchronisation der einzelnen Satellitensysteme mit dem Zentralsystem eingeplant. Abschließend habe ich einzelne Anmeldeprobleme in der neuen Access Control 10 Anwendung analysiert und die zugrunde liegenden Probleme gelöst.

In diesem Projekt war es meine Aufgabe, die Ersteinführung eines SAP ERP Systems bei einem weltweit agierenden Nutzfahrzeugzulieferanten im Bereich SAP Basis und Berechtigungsadministration zu unterstützen. Neben der reinen Administration des SAP ERP Systems war es meine Aufgabe, den Mitarbeitern der IT beratend zur Seite zu stehen und den Aufbau von Knowhow im Bereich Administration und Berechtigungsadministration zu fördern. Zu diesem Zweck habe ich die Mitarbeiter geschult und den Wissenstransfer mit Hilfe eines eigens angefertigten HowTo’s auch langfristig sichergestellt. In Bezug auf die Berechtigungsadministration habe ich kundenspezifische Anforderungen in einem Berechtigungskonzept umgesetzt. Das Berechtigungskonzept wurde im Anschluss daran in den entsprechenden Rollen umgesetzt und hierfür eigene Berechtigungsobjekte erstellt. Um die Rollen konsistent zu halten, habe ich Vorschlagswerte gepflegt. Durch den Einsatz von Berechtigungstraces konnte ich fehlende Berechtigungsobjekte ausfindig machen und so ggf. Rollen anpassen oder erweitern und darüber hinaus sicherstellen, dass jeder Mitarbeiter nur die Berechtigungen bekommt, die er für seine zugewiesene Business-Rolle benötigt. Im Bereich SAP Basis habe ich den Prozess zur Einplanung von Jobs neustrukturiert und die Steuerung und Planung sämtlicher Jobs sichergestellt. In diesem Zuge habe ich neben kundenspezifischen Jobs, insbesondere SAP Standardjobs definiert, die den reibungslosen Betrieb eines SAP Systems sicherstellen. Hierzu zählt beispielsweise das Definieren eines periodisch laufenden Jobs, der nicht mehr benötigte Application Logs (SLG) löscht, um einer Verschwendung von Speicherressourcen vorzubeugen. Zusätzlich habe ich an der Anbindung von Druckern an das SAP System partizipiert und die Überwachung der Spool-Ausgabesteuerung betreut. Weiterhin habe ich das Drucker-Statuspolling via SNMP konfiguriert. Zu den täglichen Aufgaben zählten außerdem die Überwachung des Systemlogs und die Analyse der Systemperformance.

Im Anschluss an die Ersteinführung eines SAP ERP Systems bei einem international agierenden Nutzfahrzeug-Zulieferanten habe ich die SAP PI und den elektronischen Nachrichtenaustausch über das SAP ERP hinsichtlich Administration und Monitoring betreut. Auf der Seite des SAP ERP Systems war es meine Aufgabe, den elektronischen Datenaustausch hinsichtlich der IDoc-Verarbeitung zu überwachen. Hierbei bestand meine tägliche Tätigkeit aus der Analyse und Bereinigung fehlerhafter IDocs mithilfe des Statusmonitor für ALE-Nachrichten (BD87). Vorallem unmittelbar nach der Einführung des SAP ERP Systems konnte ich somit beispielsweise feststellen, dass diverse Stammdaten nachgepflegt werden mussten. Auf dieser Grundlage habe ich Partnervereinbarungen (WE20) und die Nachrichtensteuerung (NACE) gepflegt, um den Nachrichtenaustausch mit Kreditoren und Debitoren fehlerfrei zu gestalten. Weiterhin habe ich die in der BD87 dargestellten, fehlerhaften IDocs klassifiziert und das Vorgehen zum Bereiningen der Fehlerfälle in einer Fehlerübersicht dokumentiert. Auf Basis der Fehlerübersicht habe ich einen Workflow aufgebaut, welcher beim Eingang fehlerhafter Idocs entsprechende Workitems generiert und per E-Mail an definierte Ansprechpartner versendet. Der andere Part meiner Tätigkeit war auf der SAP PI angesiedelt. Auch hier habe ich das tägliche Monitoring übernommen und den fehlerfreien Nachrichtenaustausch überwacht. Dabei habe ich sowohl die Integration Engine durch die SXMB_MONI überwacht als auch das Message- und Kommunikationskanalmonitoring auf der Adapter Engine übernommen. Wenn es fehlerhafte oder hängengebliebene Nachrichten auf der SAP PI gab habe ich diese analyisiert und die Fehlersituation gelöst. Bei den fehlerhaften Nachrichten handelte es sich meist um Rechnungen (INVOIC), Bestellungen (ORDERS), Lieferavisen (DESADV) und Lieferungen (SHPMNT), welche nach Korrektur erneut verarbeitet werden konnten. Um den fehlerfreien Zustand der SAP PI zu gewährleisten, habe ich auch die RFC-Schnittstellen mithilfe der Transaktionen SMQ1, SMQ2 (qRFC Monitor) und SM58 (Monitor: Transaktionale RFC) überwacht. Außerdem habe ich den fehlerfreien Zustand des Laufzeit-Cache der Integration Engine durch die Transaktion SXI_CACHE sichergestellt und die Services des Internet Communication Managers (ICM) durch die Transaktion SMICM überwacht. Zum Abschluss meiner Projekttätigkeit habe ich ein Betriebshandbuch für die Administration und das Monitoring der SAP PI und des elektronischen Nachrichtenaustausches verfasst und in Form einer Schulung an die Mitarbeiter des Unternehmen übergeben.

Als Berechtigungsadministrator für die nationalen sowie internationalen SAP ERP Systeme eines Finanzdienstleisters war ich mit der berechtigungsseitigen Betreuung der SAP Anwender auf allen Systemlinien betraut. Hierbei habe ich insbesondre technische User und sogenannte Super-User (User mit weitreichenden Berechtigungen) administriert. Zum Tagesgeschäft im SAP Authority Team zählte sowohl die Umsetzung von Berechtigungsanforderungen in Form von Rollen- und Profilanpassungen als auch die Zuweisung und Administratation neuer und bestehender Rollen an die SAP Benutzer. Neben den Rollen und Berechtigungen im SAP ERP System habe ich mithilfe des BEx QueryDesigners auch Analyseberechtigungen für das Business Warehouse angelegt und via RSECADMIN sowie Pflege spezieller Tabellen via SM30 in das SAP ERP System implementiert. Anschließend habe ich die Änderungen sowohl mit der klassischen Transportsteuerung (STMS) als auch im SAP ChARM-Umfeld in die nachgelagerten Systeme verteilt. Neben den alltäglichen Anforderungen in Form von Service Requests, Change Requests und Work Orders aus dem HP Service Manager habe ich auch dringende Anforderungen im Sinne von Incidents bearbeitet. Bei den Incidents war sowohl eine schnelle sowie priorisierte Analyse der Störung als auch eine anschließende, aussagekräftige Dokumentation des Vorgehens das Ziel. Weiterhin war ich mit der Konzeption von neuen Berechtigungen beauftragt. Für dieses Ziel habe ich sowohl im SAP NetWeaver AS ABAP als auch im SAP NetWeaver AS Java neue Rollen gebaut, getestet und in alle nachgelagerten System-Stages verteilt. Im Zuge dieser Tätigkeit habe ich beispielsweise die Berechtigungen von Entwicklern auf den Entwicklungs- und Testsystemen einer Systemlinie neu konzipiert. Des Weiteren habe ich neue Systemlinien in Hinblick auf Berechtigungen eingerichtet und freigegeben. Zu diesem Zweck habe ich den Rollenpool hochgeladen und die Rollen auf den neuen Systemlinien generiert. Anschließend habe ich Basis- und Berechtigungsadministratoren, technische User und Benutzergruppen angelegt und ihnen die zuvor eingerichteten Rollen zugewiesen. Darüberhinaus hab ich das Security Audit Log (SAL) via SM19 konfiguriert, um alle Aktionen von Administratoren aber auch Systemusern wie DDIC aufzeichnen zu können. Letztendlich habe ich Benutzersperrjobs und Jobs zum Benutzerabgleich eingeplant. Zustätzlich zu der Berechtigungsadministration war ich im Bereich SAP Access Control tätig. Im Rahmen der Nacharbeiten der Migration von SAP GRC5.3 auf SAP GRC10.0 habe ich weitere Systemlinien an GRC10.0 angebunden und einsatzbereit gemacht. Hierfür mussten beispielsweise die Satellitensysteme konfiguriert und die RFC-Verbindungen zur Zentralinstanz eingerichtet werden. Weiterhin habe ich die Migration der Benutzer- und Firefighterdaten mithilfe der GRC-Migrationstransaktion GRAC_DATA_MIGRATION durchgeführt. Außerdem habe ich die generelle Administration von FireFightern und FireFighter-Benutzern durchgeführt. Hierbei habe ich beispielsweise die Zuordnungen von Firefightern zu Benutzern, Ownern und Controllern im Netweaver Business Client gepflegt.

Im Rahmen dieses Projektes habe ich den Kunden bei der Umsetzung des Berechtigungskonzepts im Organisationsmodell unterstützt. Hierbei ging es einerseits darum, das bestehende Organisationsmodell vollständig umzubenennen und zu reorganisieren als auch neue Organisationseinheiten, Stellen und Planstellen zu erstellen. Weiterhin habe ich neue Rollen konzipiert, angelegt und im Organisationsmodell zu Stellen zugeordnet. Im Zuge der Reorganisation des Organisationsmodells war es zusätzlich meine Aufgabe, die Detailinformationen, Attribute und Perioden von Organisationseinheiten anzupassen. Das Ergebnis war das produktive, reorganisierte Organisationsmodell, das die neue Abteilungsorganisation des Kunden im SAP-System abbildet.

Im SAP NetWeaver Application Server Java sollten technische als auch personifizierte User analog der jeweiligen User im SAP NetWeaver Application Server ABAP neu konzipiert und administriert werden. Hierfür habe ich mithilfe der User Management Engine (UME) neue Benutzer und zugehörige Berechtigungen angelegt und administriert. Weiterhin habe ich passende Aktivitäten in Rollen zusammengefasst und anschließend zu Berechtigungsgruppen aggregiert. Diese Berechtigungsgruppen wurden anschließend den User zugeordnet, sodass diese alle notwendigen Berechtigungen erhalten haben.

Im Rahmen dieses Projektes habe ich die zentrale Systemvermessung eines großen Finanzdienstleisters mit Hilfe des SAP Solution Manager eingeführt. Zuvor wurde die jährliche Systemvermessung durch einzelne Mitarbeiter in jedem zu vermessenden System (und Mandant) manuell in der Transaktion USMM gestartet, heruntergeladen und im SAP Solution Manager konsolidiert. Hierdurch stellte die jährliche Systemvermessung einen erheblichen Aufwand für die betroffenen Mitarbeiter da. Zu Beginn habe ich alle zu vermessenden Systeme am SAP Solution Manager angebunden. Hierfür habe ich für jedes Systeme entsprechende RFC-Verbindungen in der SM59 konfiguriert. Zusätzlich habe ich technische User eingerichtet, die passenden Berechtigungsrollen angelegt und in den jeweiligen RFC-Verbindungen hinterlegt. Um passgenaue Berechtigungsrollen zu gewährleisten, habe ich diese auf Grundlage von stufenweisen Berechtigungstraces (ST01) erstellt. Anschließend habe ich die zu vermessenden Systeme und ihre RFC-Verbindungen in der Transaktion SLAW konfiguriert. Die Transaktion SLAW bietet anhand der darin abgebildeten Remote Aktionen die Grundlage für eine zentrale Systemvermessung. Bereits die nächste unternehmensweite Lizenzvermessung konnte erfolgreich zentral durchgeführt werden. Zum Abschluss des Projektes habe ich einen Workshop für die Fachabteilung „Lizenzmanagement“ durchgeführt und die jeweiligen Mitarbeiter im Umgang mit der neuen Methode zur Systemvermessung schulen. Insgesamt konnte der Aufwand der Systemvermessung durch Einführung einer zentralen Systemvermessung drastisch reduziert werden, sodass sich die Mitarbeiter auch nach Anforderung einer unternehmensweiten Systemvermessung weiterhin auf ihre Kernaufgaben konzentrieren können.

Das Ziel des Projektes war die vollständige Anbindung eines südamerikanischen Standortes an die Access Control Funktion des SAP GRC 10.0, um den Entwicklern den Zugriff auf privilegierte Notfalluser (sogenannte FireFighter) zu ermöglichen. In diesem Projekt war es meine Aufgabe, die Zusammenarbeit zwischen Fachbereich, Entwicklern, Projektleitern und mir als umsetzenden Berechtigungsadministrator zu koordinieren. Während der Vorbereitungsphase habe ich gemeinsam mit den involvierten Bereichen die notwendigen FireFighter und Berechtigungsrollen abgestimmt und konzipiert. Im Rahmen der Umsetzung habe ich die Berechtigungsrollen auf dem südamerikanischen SAP-System bereitgestellt und die FireFighter-User angelegt. Anschließend wurde der GRAC_REP_OBY_SYNC Job ausgeführt, um die neuen FireFighter auch java-seitig im NetWeaver Business Client (NWBC) zur Verfügung zu stellen. Somit konnte die Einrichtung der FireFighter im NetWeaver Business Client realisiert werden. Zu der Einrichtung gehört unter anderem die Zuordnung von Verantwortlichen (FF Owner), Kontrolleuren (FF Controller) und Usern und der Bereitstellung von Reason Codes. Das Ergebnis des Projektes war die erfolgreiche Anbindung des südamerikanischen SAP Systems an die Access Control Funktion von SAP GRC 10.0, sodass die Entwickler in Zukunft in Notsituationen auf die privilegierten FireFighter zugreifen können.

Meine Aufgabe war es, die Berechtigungen im Business Warehouse in Form von Analyseberechtigungen zu pflegen. Hierfür habe ich das SAP Tool Business Explorer Query Designer genutzt, um neue InfoProvider anzulegen. Auf dem ABAP System wurden mithilfe der Transaktion RSECADMIN neuen Analyseberechtigungen angelegt. Anschließend habe ich die InfoProvider mithilfe von Customizing-Tabellen im ABAP-System mit den Analyseberechtigungen verknüpft. In einigen Analyseberechtigungen mussten ebenfalls Hierarchieberechtigungen gepflegt werden. Letztendlich konnten die Analyseberechtigungen in Berechtigungsrollen hinterlegt werden, um den Zugriff von Usern auf das Business Warehouse anhand originärer Berechtigungsrollen zu steuern.

Das Ziel des Workshops war es, die neuen Kollegen in der Berechtigungsadministration kurzfristig in die Thematik einzuführen und einsatzbereit zu machen. Hierfür habe ich einen Einarbeitungsplan entwickelt und einen Workshop zu den Grundlagen der Berechtigungsadministration und den zugehörigen Prozessen abgehalten. Im Rahmen dieses Workshops habe ich unter anderem den Zusammenhang von Berechtigungsrollen und –Profilen, Berechtigungsobjekten, -feldern und –werten erläutert. Weiterhin habe ich besondere und kritische Berechtigungsobjekte dargestellt und Hinweise zur Vergabe gegeben. Zusätzlich habe ich die Fehlersuche im Berechtigungswesen anhand von Berechtigungstrace, Berechtigungsdaten zum User (SU53), Dump-Analyse (ST22) ,Systemlog (SM21) und Benutzerinformationssystem (SUIM) erläutert.

Im Rahmen dieses Projektes war es meine Aufgabe die administrativen Konfigurationen hinsichtlich Benutzer und Berechtigungen durchzuführen. Um die Verbindung zwischen SAP BW und SAP BO herzustellen, wurden zunächst Berechtigungsrollen im ABAP-Quellsystem erstellt. Anschließend wurden diese Berechtigungsrollen im SAP BO als Benutzergruppen importiert. Auf Grundlage der importierten Benutzergruppen wurden die Zugriffe auf Ordner-, Dimensions- und Anwendungsebene erteilt. Hierfür wurden die Benutzergruppen den einzelnen Ebenen als Prinzipale hinterlegt. Um nicht nur den Zugriff an sich, sondern auch die Tätigkeiten der Benutzergruppen zu administrieren, wurden sogenannte Accesslevel erstellt und den Prinzipalen zugeordnet. Weiterhin wurde den jeweiligen Ebenen Queries bzw. Reports zugeordnet. Abschließend wurde die Zuordnung von Benutzern zu Benutzergruppen vorgenommen. Das Ergebnis meines Einsatzes war es, dass alle Benutzer, die fortan Zugriff auf SAP BO hatten, nur jene Tätigkeiten durchführen konnten, die sie auch tatsächlich sollten.

Die Ausgangssituation für dieses Projekt waren die Ergebnisse eines Penetrationstests über alle SAP Systeme eines großen Finanzdienstleisters. Im Rahmen dieses Penetrationstests wurde unter anderem festgestellt, dass die RFC-Schnittstellen nicht ausreichend gesichert sind. Stattdessen waren RFC-Benutzer mit sehr weitreichenden Berechtigungen ausgestattet, sodass diese im Falle eines Missbrauchs einen erheblichen finanziellen Schaden hätten ausrichten können. Im Zuge des Projektes sollten alle betroffenen RFC-User hinsichtlich ihrer Berechtigung angepasst werden. Das Ziel waren passgenaue Berechtigungsrollen für alle RFC-User. Im Rahmen des Projektes habe ich die Aufgabe der operativen Projektleitung übernommen. Das Ziel meiner Rolle war die Koordination der Kommunikation zwischen allen betroffenen Fachabteilungen, den Systemverantwortlichen und dem Dienstleister, der das Tool zur Bereinigung der RFC-Berechtigungen bereitstellte. Für die Bereinigung der RFC-Schnittstellenberechtigungen kam das Tool Xiting Authorization Management Suite (XAMS) zum Einsatz. Zu Beginn des Projektes habe ich den Release des Tools auf allen zu bereinigenden Systemen koordiniert und erfolgreich durchgeführt. Im Anschluss konnte ich die Bereinigung der RFC-Schnittstellen beginnen. In der Analysephase habe ich zunächst die Statistikdaten aus der ST03N verwendet, um die neuen, optimierten Berechtigungsrollen initial zu befüllen. Mithilfe der XAMS habe ich weitere Aktivitäten der RFC-User einen Zeitraum von ca. 4 Monaten getraced und stufenweise in die neuen Berechtigungsrollen eingepflegt. In der anschließenden Simulationsphase konnte ich die passgenauen Berechtigungsrollen testen, ohne dass die produktiven RFC-User beeinträchtigt wurden. Durch den Einsatz des Simulationsfeatures konnte somit sichergestellt werden, dass die neuen Berechtigungsrollen zum Go-Live einen hohen Genauigkeitsgrad hinsichtlich der Passgenauigkeit aufwiesen. Anschließend konnte ich die neuen Rollen im Zuge eines „Protected Go-Live“ stufenweise in die Produktion überführen. Mithilfe des Deltarollen-Verfahrens, welche die XAMS bietet, konnte ich somit auch während der Produktivsetzung der neuen Rollen sicherstellen, dass die RFC-User jederzeit alle notwendigen Berechtigungen zur Verfügung hatten, um Systemabbrüche zu verhindern. Letztendlich konnten alle betroffenen RFC-User wie geplant umgestellt werden, sodass die Absicherung der RFC-Schnittstellen erfolgreich durchgeführt wurde.

Im Rahmen dieses Projektes war es meine Aufgabe alle technischen RFC- und Batch-User einer spezifischen Systemlinie zu bereinigen. Die Ausgangssituation waren ca. 150 technische User, die größtenteils sehr viele verschiedene Berechtigungsrollen zugewiesen hatten und die somit über­berechtigt waren. Das Ziel des Projekts war es, dass alle betrachteten technischen User nur noch eine spezifische Berechtigungsrolle gemäß Minimalprinzip hatten. Zu Beginn des Projektes habe ich analysiert, welche technischen User tatsächlich bereinigt werden sollen. Hierfür habe ich anhand der ST03N Statistikdaten eine Auswertung über den Aktivitätsstatus sowie die ausgeführten Transaktionen und Reports der jeweiligen User erstellt. Anschließend wurden in Abstimmung mit dem Fachbereich die zu bereinigenden technischen User definiert. Im Rahmen der Umsetzung wurden alle Berechtigungsrollen eines spezifischen technischen Users zunächst zu einer spezifischen Berechtigungsrolle zusammengeführt. Anschließend wurde mithilfe von Berechtigungstraces und den Statistikdaten ein Aktivitätsprofil jedes Users erstellt und die spezifische Rolle nach und nach reduziert. Nach einer gewissen Testphase wurden schließlich die alten Berechtigungszuweisungen eines jeden technischen Users entfernt, sodass anschließend nur noch die spezifische Berechtigungsrolle zugeordnet war. Jeder umgestellte User wurden während einer Hypercare-Phase mithilfe von Berechtigungstrace auf Berechtigungsfehler geprüft. Am Ende des Projektes konnten 90% aller technischen User erfolgreich auf eine spezifische Berechtigungsrolle umgestellt werden. Die restlichen 10% werden im Rahmen eines Folgeprojektes gesondert betrachtet, da die Umstellung dieser User als zu hohes Risiko eingestuft wurde.

Im Rahmen des zugrundeliegenden Projektes wurde das Unternehmen gesellschaftlich umstrukturiert, wodurch zwei Bereiche des Unternehmens separiert werden mussten. Diese Separierung hat dazu geführt, dass die Zugriffe auf Business Applikationen und Daten getrennt werden mussten. Die Aufgabe meines Teilprojektes war es, diese Trennung technisch durchzuführen, indem eine Vielzahl von Berechtigungsrollen und Analyseberechtigungen auf unterschiedlichen Systemlinien neu erstellt bzw. neu abgeleitet werden mussten. Meine Aufgabe war es, das Projektteam zu leiten und alle Mitarbeiter zu koordinieren. Hierzu habe ich Anforderungstermine mit den Fachbereichen organisiert, Arbeitspakete erstellt und delegiert und die komplette Umsetzung sowie die Testphase begleitet. Anschließend war ich für die Qualitätssicherung sowie die Produktivsetzung und Übergabe der neu erstellten Berechtigungen und Berechtigungskonzepte verantwortlich. Das Ergebnis des Teilprojektes waren fristgerecht getrennte Berechtigungskonzepte, sodass das Hauptprojekt erfolgreich und pünktlich beliefert werden konnte.

Im Rahmen dieses Projektes habe ich die Projektleitung für die Design-Phase der neuen technischen Berechtigungsrollen übernommen. Für eine Vielzahl technischer User mussten aus den gesammelten Statistikdaten unter Zuhilfenahme der XAMS neue Berechtigungsrollen entwickelt werden. Die Herausforderung war die Ausprägung der Berechtigungsrollen auf Ebene der verwendeten Funktionsbausteine. Das XAMS Modul Xiting Times hat diese Design-Phase unterstützt, in dem die technischen Berechtigungsrollen im Hintergrund des Produktivsystems angereichert und entwickelt werden konnten, ohne dass es zu produktiven Ausfällen kam.

Mit dieser kreativen Auszeit vom beruflichen Alltag habe ich mir meinen Wunsch erfüllt, mich einem halben Jahr vollumfänglich meinem Interesse für Reisen und fremden Kulturen zu widmen. Im Rahmen des Sabbaticals habe ich mich auf die Reise durch Mittel- und Südamerika begeben. Auf meinem Weg durch lateinamerikanische Länder lag mein persönliches Ziel insbesondere auf dem Ausbau meiner spanischen Sprachkenntnisse. Nach meiner Auszeit konnte ich um viele Erfahrungen bereichert, motiviert in die Projektleitung für Redesigns von SAP Berechtigungen zurückkehren.

Im Rahmen dieses Projektes habe ich die Projektleitung für das Redesign der SAP Berechtigungen übernommen. Im Scope des Projektes lagen ca. 1200 Dialoguser in 14 verschiedenen Fachbereichen. Im ersten Schritt wurden vorhandene Berechtigungs- und Userstrukturen analysiert und in einem gemeinsamen Strategieworkshop das Vorgehen für das Redesign erarbeitet. Die erste Phase des Projektes bestand aus der Konzeption neuer Berechtigungen. Hierfür wurde zunächst ein übergreifendes Sicherheitskonzept entwickelt. Anschließend wurden in sogenannten Fachbereichs-Workshops und in Zusammenarbeit mit den Fachbereichen passgenaue Funktionsrollen erarbeitet. Die Erstellung neuer Funktionsrollen erfolgte mithilfe des XAMS Moduls Role Designer. Nachdem die Rollen entwickelt und technisch im System angelegt wurden, folgte die produktive Testsimulation der neuen Berechtigungsrollen. Die produktive Testsimulation ist eine Möglichkeit der XAMS neu gebaute Berechtigungsrollen im Produktivsystem zu testen, ohne dass betroffene User in die Tests involviert werden oder Auswirkungen in ihrer täglichen Arbeit befürchten müssen. Nach Abschluss der produktiven Testsimulation folgt typischerweise der geschützte GoLive, welcher in diesem Projekt für das Q2/2019 vorgesehen ist.

Ziel des Projektes war die Bereinigung der SAP Berechtigungen von RFC- und Batchusern. Hierfür wurden die technischen Tätigkeiten der jeweiligen User über mehrere Monate mithilfe der XAMS mitgeschnitten. Anschließend wurden die Tätigkeiten hinsichtlich RFC- und/oder Batch-Funktionalität unterschieden und in entsprechende technische Funktionsrollen übersetzt. Das Ziel war es, für jeden technischen User exakt eine SAP Berechtigungsrolle bereitzustellen. Mithilfe der XAMS konnten letztendlich die Anforderungen erfolgreich umgesetzt werden. Am Ende des Projektes konnten alle technischen User auf ihre jeweilige, individuelle Berechtigungsrolle umgestellt werden. Meine Aufgabe war die technische Umsetzung aller Anforderungen aus dem Projektverlauf.

Nachdem Pilot-Projekt am Hauptstandort des Kunden, sollten die neu entwickelten Berechtigungsrollen auch an weitere Standorte ausgerollt werden. Hierfür war es erneut notwendig, mit den jeweiligen Fachbereich an den Standorten in Fachbereichsworkshops die konkreten Anforderungen aufzunehmen. Die neuen Rollen konnten zu einem großen Teil aus dem Hauptstandort übernommen werden. Hinsichtlich der Orgebenen und Kostenstellen mussten jedoch weitere Unterscheidungen in den Funktionsrollen getroffen werden. Diese Unterscheidungen wurden im Rahmen der produktiven Testsimulation sowie einer Verifikationsphase herausgestellt und umgesetzt. Letztendlich konnten die Rollen erfolgreich an weitere Standorte ausgerollt werden. Meine Aufgabe im Projekt war die operative Projektleitung auf Dienstleister-Seite sowie unterstützende Tätigkeiten in der technischen Umsetzung mithilfe der XAMS.

Meine Aufgabe im Projekt war die operative Projektleitung auf Dienstleister-Seite. Das Ziel des Projektes war das Redesign der SAP Berechtigungen von ca. 3600 SAP Usern weltweit. Die Herausforderung des Projektes war die Konsolidierung aller notwendigen Informationen zur Durchführung der Rollenkonzeption. Insgesamt wurden zahlreiche Vor-Workshops durchgeführt, um die Fachbereichsworkshops sukzessive vorzubereiten. Während des Projektes wurde entschieden, zunächst mit einigen kleineren Fachbereichen eine sogenannte Pilotphase zu starten. In dieser Pilotphase wurden bereits erste Rollenkonzepte in der produktiven Testsimulation verprobt. Hierdurch sollten Informationen für die kommenden Fachbereiche gesammelt werden. Das Ziel der Pilotphase ist die Durchführung von Rollenbau und Go-Live für zwei exemplarische Business-Bereiche. Das Projekt wurde für zwei Pilotfachbereiche erfolgreich umgesetzt. Die noch offenen Fachbereiche werden mit den Erfahrungen aus dem Pilotprojekt nun sukzessive umgesetzt.

Beim Kunden wurde salesforce neu ins Unternehmen integriert. Meine Aufgabe war es, das neu aufgesetzte salesforce-System an die Berechtigungsanforderungen des Kunden anzupassen. Hierfür habe ich die in salesforce notwendigen Objekte genutzt, um die Anforderungen an das Berechtigungswesen umzusetzen. Aufgrund der unterschiedlichen Anwender und Anwendungsfälle wurde zunächst ein sehr restriktives Berechtigungskonzept umgesetzt. Hierfür wurden die Organisationsweiten Freigabeeinstellungen weitesgehend auf Privat gesetzt. Mithilfe von Sharing Rules, Profilen und eine Rollenhierachie wurde das salesforce System anschließend sukzessive für die jeweiligen Anwender geöffnet.

In diesem Projekt habe ich im Auftrag des Kunden eines SAP Security Check durchgeführt. Das Ziel des Security Checks war die jährliche Prüfung der Produktivsysteme. Das Ergebnis war die Gegenüberstellung der vergangenen Prüfung zur aktuellen Situation und die Erarbeitung von geeigneten Maßnahmen zur Mitigation oder Bereinigung der Feststellungen.

Im Rahmen dieses Projektes wurde eine neue salesforce-Org in Deutschland initiiert und konfiguriert. Das Ziel war es, den Standort in Deutschland auf eine eigeneständige salesforce-Org zu migrieren und somit unabhängiger vom Hauptstandort zu gestalten. Meine Aufgabe war es, die jeweiligen Anforderungen des Businesses in Form von Flows und Apex-Programmierungen umzusetzen. Ich habe an der Entwicklung des Trigger-Frameworks mitgewirkt sowie Apex-Trigger codiert. Außerdem habe ich mithilfe des Flow Builders diverse Prozesse in der Datenerfassung abgebildet und technisch umgesetzt. Für die meisten Anforderungen mussten weiterhin Custom Objects angelegt werden und in die bestehende Objekthierarchie integriert werden.

In diesem Projekt habe ich den Kunden im Coaching-Format hinsichtlich seiner aktuellen Engpässe beraten und betreut. Es ging einerseits um die Schulung von Features rund um die Xiting Authorization Management Suite (XAMS) und andererseits auch um die generelle Beratung hinsichtlich anstehender Audits und weiterer Entscheidungen im Berechtigungskontext.

Im Rahmen dieses Projektes war es meine Aufgabe, die Weiterentwicklung der Salesforce Org zu verantworten. Hierfür wurden im Vorjahr drei relevante Teilprojekte definiert, die bis Ende 2021 umgesetzt sein sollten. Gemeinsam mit einem Projektteam, wurde gemäß PRINCE2 die fristgerechte Umsetzung der Teilprojekte sichergestellt. Durch die erfolgreiche Umsetzung des Projektes, konnten u.a. Verträge digitalisiert, digital erstellt und über Salesforce bereitgestellt und unterschrieben werden.

Im Rahmen dieses Projektes wurde das bestehende, nicht-restriktive Zugriffskonzept vollständig abgelöst und durch ein neues, restriktives Zugriffskonzept ersetzt. Die Herausforderung bestand darin, dass der Zugriff zuvor weitreichend für alle User gegeben war. Im Zuge des Projektes wurde dieser Zugriff auf ein Minimum beschränkt. Neben einem schriftlichem Zugriffskonzept wurden alle definierten Maßnahmen auch technisch im System konfiguriert, getestet und produktiv gesetzt.

Das Ziel des Projektes war es, dass kritische Bugs im Salesforce-System des Kunden schnellstmöglich behoben werden konnte. Meine Aufgabe als Projektleiter war es, die Anforderungen mit dem Kunden abzustimmen und zwischen den jeweiligen Stakeholdern zu delegieren und zu kommunizieren. Weiterhin war ich selbst in der technischen Umsetzung involviert und habe bei der Behebung der kritischen Mängel im Front- als auch im Backend mitgewirkt. Darüber hinaus habe ich zuvor in Excel durchgeführte Reports des Kunden ins Salesforce-System übertragen, in dem passende Reports & Dashboards entwickelt wurden.

Im Rahmen dieses Projektes wurden relevante Dashboards und damit zusammenhängende Reports für das Management überarbeitet. Das Ziel war es, dass die Dashboards direkt für das Reporting im Management-Kreis verwendet werden konnten. Zusätzliche Anforderungen wie die Darstellung Historischer Trends von Opportunities und Opportunity-Pipeline konnten ebenfalls umgesetzt werden. Gleichzeitig musste sichergestellt werden, dass bestimmte Informationen auf dem Dashboard analog des Zugriffskonzeptes nur für berechtigte User sichtbar waren.