News

Jetzt müssen wir nur noch die Berechtigungen einrichten.

Vorschriften, Richtlinien und Gesetze – nicht nur im alltäglichen Leben, sondern auch im Umgang mit ERP Systemen stellen gewisse Regeln und Rechte einen ausschlaggebenden Faktor dar.


Genauso wie im Alltag gilt es auch in einem ERP System abzuklären, wer was machen und wer was auf gar keinen Fall machen darf. Auf den ersten Blick erscheint die Beantwortung dieser Fragen eine
leichte Aufgabe zu sein.

Doch wie sieht das in der Praxis aus?

Mit der Erkenntnis, dass das Berechtigungssetup im ERP System fehlt, beginnt die Definition der zukünftigen Hauptverantwortlichen. An dieser Stelle dürfen sich meist die Mitarbeiter aus der IT- Abteilung freuen, da sie oftmals die glücklichen Auserwählten sind. Und selbst wenn sich die anfängliche Freude darüber noch in Grenzen hält, „kann die Berechtigungsvergabe ja eigentlich nicht so schwierig sein“.

Aber hoppla… bis zu dem genannten Zeitpunkt war die IT-Abteilung in Wahrheit nur mäßig am ERP-Implementierungsprojekt beteiligt. Die Prozesse und Funktionalitäten in Dynamics 365 sind dadurch den frisch gebackenen Berechtigungs-Verantwortlichen größtenteils gar nicht im Detail bekannt. Das erste daraus resultierende To-do für die IT ist der Aufbau des benötigten Wissensstandes – durch die Hilfe von Schulungen, Whitepapers, etc. Das benötigte Basis-Prozess- Wissen kann durch gemeinsame Abstimmungen mit den Prozessverantwortlichen entwickelt werden.

Soweit die ersten Startschwierigkeiten überwunden sind, können die IT-Verantwortlichen ja mit der Berechtigungsvergabe loslegen. Erster logischer Schritt hierbei ist die Zuordnung der Standard- Sicherheitsrollen von Microsoft Dynamics 365 for Finance & Operations (Enterprise Edition) zu den Benutzern.

Hindernisse am Weg

Aus technischer Sicht resultieren an dieser Stelle folgende Probleme:

  • Die Standard Rollen stimmen häufig nicht mit den tatsächlich benötigten Rollen des Unternehmens überein.
  • Damit ein User trotzdem die benötigten Rechte erhält, erfolgt eine Zuweisung mehrerer Standard-Rollen.
  • Da der Inhalt der Standard-Rollen sehr umfangreich ist, werden einem Benutzer oftmals mehr Berechtigungen zugeteilt, als für die alltägliche Arbeit tatsächlich erforderlich.
  • Nicht nur der breite Umfang einer Standard-Rollen selbst, sondern auch die damit verbundene Anzeige unzähliger, in Wahrheit nicht benötigter Buttons, Funktionen und Masken stellt ein Problem dar. Denn auch die Übersichtlichkeit stellt ein Ziel bei der Berechtigungsvergabe dar.
  • Wurden einem User mehrere Rollen zugewiesen, verstärkt sich dieser Effekt wiederrum.
  • Berechtigungen auf einzelne Felder werden in den Standard-Rollen kaum berücksichtigt.
  • Und auch die Berechtigung auf Zeilen-Ebene ist ohne Programmierung nur eingeschränkt möglich.

Selbst mit kniffligen administrativen Herausforderungen ist man konfrontiert:

  • Die zur Verfügung stehenden Tools bieten im Detail nur wenig sprechende Bezeichnungen oder weiterführende Infos für die Elemente, die berechtigt werden können.
  • Eigenentwicklungen werden häufig nicht korrekt in die bestehenden Aufgaben und Rollen integriert, weshalb sie nachträglich manuell berechtigt werden müssen.

Hinsichtlich der ERP-Implementierung resultieren ebenfalls aus dem üblichen Projektablauf-Schwierigkeiten:

  • Häufig sind die Berechtigungen ein Thema, das erst recht spät im Projekt auftaucht. Grund dafür ist, dass zuerst die Detailabstimmung der Prozesse und erst danach die Rechtevergabe stattfindet. Genau deshalb herrscht oftmals zum Zeitpunkt der Berechtigungsvergabe ein gewisser Zeitdruck. Denn entweder nahen die großen Meilensteine wie beispielsweise der Integrationstest oder der GoLive hat gar schon stattgefunden.
  • Als für die Berechtigungen verantwortliche Abteilung kann die IT die vergebenen Rechte in Wahrheit gar nicht testen. Denn auch an dieser Stelle fehlt das benötigte Detailprozess-Wissen sowie das Detail-Wissen bezüglich der Verantwortlichkeiten und der Schnittstellen zwischen den Abteilungen.
  • Eine Fremdvergabe des Berechtigungs-Setups ist auch nicht wirklich möglich, die Aufgabe muss vom Unternehmen selbst übernommen werden. Gründe dafür sind die verbundene Verantwortung, der entstehende Aufwand sowie die ebenfalls erforderlichen Wartungs- und Änderungsarbeiten über die gesamte ERP Lebenszeit.

Im Großen und Ganzen ist die Berechtigungsvergabe in Implementierungsprojekten ein eher wenig beliebtes Thema, da sie aufwendig, testintensiv und wenig produktiv ist. Oftmals werden Dinge durch gesetzte Berechtigungen noch komplizierter, oder bereits laufende Prozesse und Funktionen funktionieren danach nicht mehr so wie zu Beginn.

Endlich am Ziel?

Trotz all dieser Komplikationen, stellt die IT-Abteilung am Ende heilfroh fest, dass das Berechtigungs-Setup fertig ist.

„Endlich schauen unsere Rollen so aus, wie wir das wollen!“

Viel später, bei der Kontrolle der benötigten Lizenzen oder Subscriptions, erhält die IT dann die ultimative Hiobsbotschaft: alle erstellten Rollen benötigen die Lizenz des Unternehmensbenutzers bzw. die Subscription für Unified Operations Plan / Dynamics 365 Plan – die teuerste Variante pro Benutzer.

Im Konkreten bedeutet das für die IT:

„Nach all den Strapazen, nochmal zurück zum Start“.

Wie kann man diese Situation verhindern und wie geht man am besten mit dem Berechtigungsthema um?

Im Idealfall kommen die Standard-Rollen bereits zu Beginn des Projektes zum Einsatz, sodass bereits alle Schulungen, Test- und Prozessdurchläufe mit den vergebenen Rechten durchgeführt werden. Auch die Sicht auf Lizenz / Subscription sollte immer im Hinterkopf behalten werden. Diese Vorgehensweise stellt sich aus Berechtigungssicht zwar als ideale Methode heraus, bringt allerdings eine zusätzliche Komplexitätsebene in einem ohnehin schon umfassenden Projekt mit sich.

Die empfohlene Vorgehensweise zur Berechtigungsvergabe gestaltet sich deshalb wie folgt:

  • Ein Konzept zur Verwaltung der Berechtigungen spielt bei der Implementierung eine bedeutende Rolle. Deshalb ist es bereits in einer frühen Projektphase wichtig, Überlegungen zutreffen, welche Mitarbeiter welche Sicherheitsrollen benötigen und welche Rolle überwelche Berechtigungen verfügen muss.
  • Im Rahmen der Konzeption gilt es auch eine gewisse Rollenhierarchie zu definieren. Dadurch können Rollen für verschiedene Berechtigungsebenen (z.B.: Leitungs-, Querschnittfunktionen, etc.) abgebildet werden.
  • Pro Rolle gilt es außerdem zu entscheiden, ob die Standardrolle(n) verwendet und dementsprechend angepasst wird oder ob eigene, neu erstellte Rollen benötigt werden.
  • Auch bereits bei der Spezifikation zu notwendigen Systemanpassungen sollte Rücksicht auf die erforderlichen Berechtigungen genommen werden.
  • Der Prozess der Rechtevergabe sollte als Hin- und Her Spiel zwischen den Berechtigungsverantwortlichen und den Key Usern angesehen werden. Der erste Schritt liegt im Aufgabenbereich der IT und umfasst die Erstellung eines Vorschlages, welche Rollen wie ausschauen könnten. Dieser Entwurf muss mit den Key Usern abgestimmt werden. Erst danach sollten die systemseitigen Berechtigungen vergeben und anschließend von den Key Usern getestet werden. Aus den Tests resultierende Änderungsvorschläge werden mit der IT abgestimmt und die Rollen dementsprechend angepasst. Nach der Verfeinerung der Berechtigungen wandern die Sicherheitsrollen wieder zum Testen in die jeweiligen Abteilungen der Key User. Dieser Ablauf sollte sich so lange wiederholen, bis die erstellten Rollen den Bedürfnissen und Anforderungen der beteiligten Personen entsprechen.

Und weil selbst die aufgelisteten Tipps & Tricks noch nicht alle Schwierigkeiten und Probleme lösen konnten, haben wir:

Noch einen Trumpf im Ärmel

Denn unser eigens entwickeltes Security & License Cockpit dient nicht nur der Berechtigungsvergabe selbst. Das Cockpit punktet nämlich auch dann, wenn es um die Durchschaubarkeit vergebener Berechtigungen, um Wartungen sowie um den Überblick der anfallenden Lizenz- oder Subscription-Kosten geht.

Das Add-On ist für alle Microsoft Dynamics AX 2012 Versionen und für Microsoft Dynamics 365 for Finance and Operations (Enterprise Edition) ab Platform Update 3 (November-2016-Release) verfügbar.

Interesse an unserer Lösung?

Hier für Demo registrieren!