简介

作为一种云解决方案，SAP S/4HANA Cloud Public Edition每年在二月和八月进行主要升级。除了引入新的创新之外，身份和访问管理（IAM）领域也有许多变化。在实施完成并且实施顾问离开项目之后，大多数客户由于缺乏资源和专业知识，忽视了IAM领域。感谢我的同事，George Yu用两篇相关的博客来填补这个空白。下面是基于George的两篇英语博客的中文翻译版，您也可以在文章的最后找到英语版的博客。
第一篇博客（即此篇）旨在解释你在主要升级前需要做什么。除了用后继者替换已弃用的业务目录，还需要了解围绕业务角色，特别是已在生产租户中使用的角色，需要改变什么。一些决定需要与业务用户一起制定。
第二篇博客“在SAP S/4HANA Cloud Public Edition中的主要升级后审查和调整业务角色”用示例解释了主要升级后业务角色的适应性工作。
为了方便讨论，除非特别指出，我使用的是在升级到2402版本之前的2308版本的E7Z/100系统。

业务角色的构建块

SAP S/4HANA Cloud Public Edition中的授权结构基于被称为限制类型字段、限制类型、业务目录、业务角色模板和业务角色的构建块，这些构建块被分配给业务用户。这些构建块形成了一个授权组件的层次结构（见下图）。

授权组件的层次结构

在这些层次结构中的授权组件中，任何在较低级别的更改都会对较高级别的组件产生连锁反应。根据排列组合理论，最终在业务角色级别可能发生的更改可能是呈指数型增长。在一个案例中，我有11,000+种可能的更改业务角色。这是很大的一笔工作。由于在限制类型和业务目录中的许多更改并未在客户的系统中使用，处理所有这些更改实际上是一种效率上的浪费。我将更多地从业务角色的角度处理这些更改，并且只关注在此博客中使用的业务角色。这样我们可以大幅度地减少工作量。

在主要升级中调整业务角色的过程

主要升级过程从测试租户开始，在三周后移至开发和生产租户。在主要升级之前、期间和之后，我们从IAM（身份和访问管理）角度出发，有一系列任务要执行。这些任务都在下图中进行了说明。

在主要升级中调整业务角色的过程

本博客主要关注升级前的任务：
- 检查并替换D/T/P租户中已弃用的业务目录
- 通过SAP Note 2975653确定初步的IAM更改
- 通过What’s New Viewer确定初步的IAM更改
升级后的任务在博客"SAP S/4HANA Cloud Public Edition中的主要升级后的业务角色审查和调整"中有所描述。

替换已弃用的业务目录

打开业务目录应用后，我们需要设置过滤器状态为“已弃用”。在这个系统中，我有13个“已弃用”的业务目录，全部在2308版本中公布。这意味着它们将在2402版本升级期间过时。其中，有四个没有在任何业务角色中使用。对于这些，我不需要做任何事情。升级过程将自动删除它们。

找到已弃用的业务目录

我需要注意那些在业务角色中使用的业务目录。如果我不替换它们，或者仍然在业务角色中使用它们，系统将不会按照计划将它们设为“已弃用”。下图显示的是属于不同版本的已弃用的业务目录，早至2108版本（示例来自2402版本的系统）。

早期版本的已弃用业务目录

让我们以几个业务目录为例进行操作。

业务目录端到端实施经验 - 功能管理（已弃用）

业务目录可扩展性 - 情况处理（已弃用）

当我们打开这个业务目录时，我们注意到以下信息。

- 在版本 2308 中弃用

- 后继者：1

- 在业务角色中使用：1

- 在业务角色模板中使用：0

已弃用的业务目录 SAP_CA_BC_EXT_SIT_PC

这告诉我们，我们需要将已弃用的业务目录 SAP_CA_BC_EXT_SIT_PC 替换为其在业务角色 BR_EXTENSIBILITY_SPEC 中的后继者 SAP_CORE_BC_EXT_SIT_PC。

这次我将展示替换已弃用业务目录的另一种方式，即在维护业务角色应用中操作。

要替换已弃用的业务目录，点击在业务角色中使用的选项卡，然后点击业务角色 ID 的超链接。这将打开维护业务角色应用。点击编辑按钮，然后点击管理升级后的变更按钮。

在维护业务角色应用中管理升级后的变更

在打开的窗口中，右侧有一个名为升级后的变更的部分。有四个可能的变更区域。对于这个业务角色，只有在业务目录 SAP_CA_BC_EXT_SIT_PC 上发生变更。通过选择业务目录并点击采纳变更按钮，系统将这个已弃用的业务目录替换为其后继者。

采纳对已弃用业务目录的变更

替换后，后继业务目录在已分配业务目录列表中显示，即可扩展性 - 情况处理 SAP_CORE_BC_EXT_SIT_PC。在已弃用业务目录的部分下再也没有条目。已分配业务目录的总数仍为26。替换成功。

后继业务目录在已分配业务目录列表中显示。

最后，不要忘记点击保存按钮以完成此更改。保存操作后，该业务角色不再在升级后的待办事项列表中，且管理升级后的变更的超链接将永久灰色不可用。

业务目录销售 - 客户360视图显示（已弃用）

当我们打开这个业务目录，我们注意到它更复杂了：

- 在2308版本中被弃用

- 限制类型：8

- 依赖项：8

- 后继者：1

- 在业务角色中使用：1

- 在业务角色模板中使用：0

关于限制类型，它们是什么以及如何使用它们，请参阅我的博客如何使用限制来增强SAP S/4HANA Cloud Public Edition中的用户授权。

依赖项是指当我们使用业务目录SAP_SD_BC_CUST_SLSOVP_DSP_PC时，需要另一个业务目录存在。在这种情况下，需要有八个业务目录。

业务目录SAP_SD_BC_CUST_SLSOVP_DSP_PC的依赖项

由于这次有依赖项，所以当你点击接受更改按钮时，系统会提示你确认将依赖项添加到后继业务目录中。

确认将依赖项添加到后继业务目录

注意：依赖项有两种类型：强制性和可选性。对于强制性依赖项，你可以在业务角色定义中看到业务目录及其所需的业务目录。对于可选依赖项，你可能看不到所需的业务目录。

通过重复上述步骤来处理每个已弃用的业务目录，最终我用其相应的后继者替换了所有正在使用的已弃用的业务目录。已弃用的业务目录不再在业务角色中使用。

业务角色中不再使用已弃用的业务目录。

请查看“新功能”文档

在测试租户升级的四周前，我们建议客户查看下一个版本的“新功能”查看器，以了解即将推出的新功能。您需要设置几个过滤条件，如下：
- 有效日期：SAP S/4HANA Cloud 2402
- 本文档：IAM

现在，您可以在“新功能”查看器中找到与2402版本相关的所有IAM更改。

在类型下，您有六种可能性：

- 已更改
- 已删除
- 已废弃
- 升级后的必需任务
- 必须了解
- 新的

在这些类型中，您可以忽略“新的”，因为它们还未在系统中。从升级准备的角度来看，您不需要担心它们。所有其他的都需要您的注意。

确定受IAM更改影响的业务角色

2975653 Identity and Access Management (IAM): Change Overview for SAP S/4HANA Cloud

在这个SAP Note中，它列出了每个版本的相关SAP Note。例如，SAP Note 3404825是针对版本2402的。它的主要内容包括两个Excel文件，您需要下载它们：

- Delta_S4CE_2402-2308.xlsx

- Delta_S4CE_BR_2402-2308.xlsx

第一个Excel文件列出了新版本2402相对于版本2308引入的IAM更改，这些更改影响了应用程序，业务目录，业务角色模板，限制类型分配，空间和页面，以及页面模板。此列表并非特定于客户，而是适用于所有客户。

第二个Excel文件只列出了与业务角色相关的IAM变更。我们应该专注于这个文件，因为我们可以插入我们自己的数据来创建一个真实的画面，反映出我们在IAM变更方面的实际情况。

请注意：文件Delta_S4CE_BR_2402-2308.xlsx的工作表被分为三组：

- 橙色工作表：这些工作表是空白的，供用户输入。

- 绿色工作表：显示基于用户输入的分析结果。实际上，只有BRsChanged工作表是与客户有关的。其它四个工作表由SAP提供。

- 灰色工作表：存储即将发布的版本中改变的IAM信息。

这个Excel文件的主要目的是，如其文件名所示，创建一个从2308版本到2402版本变化的业务角色列表，以及变化的原因。为了实现这个目的，我们需要创建一个在客户生产租户中现有的业务角色列表。基于SAP已知的事实，即应用程序、业务目录、业务角色模板、限制类型分配的变化，我们可以在BRsChanged工作表中创建一个影响列表。

创建变化的业务角色列表的步骤：

步骤1：打开IAM信息系统应用。进入业务角色 - 业务目录标签页。这个标签页展示了业务角色和底层业务目录之间的关系。有1275个条目。点击导出表格按钮，将整个列表下载到Excel文件。将数据复制到Customer_BRBC工作表。

业务角色与业务目录标签页

步骤2：进入业务角色 - 业务角色模板标签页。这个标签页展示了业务角色和SAP提供的业务角色模板之间的关系。有49个条目。点击导出表格按钮，将整个列表下载到Excel文件。将数据复制到Customer_BRBRT工作表。

业务角色与SAP提供的业务角色模板

步骤3：进入Customer_BRBC工作表，将业务角色和业务角色ID列复制到Customer_BR工作表。在Customer_BR工作表中，删除重复条目，创建一个唯一的现有业务角色列表。你可以通过执行命令Data → Data Tools → Remove Duplicates来实现这一点。结果就是系统中的业务角色列表。在这个例子中，这个列表有51个条目，比Customer_BRBC工作表中的1275个条目大幅减少。

系统中存在的唯一业务角色列表

步骤4：基于你的输入，内嵌的功能创建了BRsChanged工作表的内容。通过打开BRsChanged工作表，我们可以看到一些业务角色发生了变化，以及变化的原因，例如BR_MAINT_SUPERVISOR；有些业务角色完全没有变化，例如BR_PRODN_OPTR_LEAN_MFG；有些业务角色并非源自业务角色模板，但仍受到限制类型变化的影响，例如YU_TEST_ROLE。

变化的业务角色列表

从C列到O列的每一列代表Excel文件中可用的一个工作表。这些列被分为四个类别，每个类别代表一个对象（我改变了Excel工作表中的类别颜色以便于查看）：

- 业务角色模板（C列和D列）

- 业务角色（E列到I列）

- 应用程序（J列到M列）

- 描述重命名（N列和O列）

第3行给出了对该对象发生了什么事情的简短描述。例如，C列用于向业务角色模板添加业务目录；D列用于从业务角色模板中删除业务目录。

第4行显示了此次更改影响的业务角色数量。

条目“Yes”表示这个业务角色发生了变化。点击单元格，你可以看到一个IF语句，用于确定这个业务角色是否在RTsNew-Changed工作表中列出：

点击超链接名称（第5行），它会跳转到包含特定类别更详细信息的工作表，例如RTsNew-Changed工作表。

为了进一步利用这个工作表准备即将进行的升级，你可以继续在每个类别上进行以下工作。

业务角色模板类别，查看BRTsBCsAdded和BRTsBCsRemoved工作表

- 在业务角色ID列中，使用过滤器去除“空白”，以查看哪些业务角色受到添加或删除业务目录的影响。

业务角色类别，查看RTsNew-Changed工作表

- 过滤出生产租户中存在的业务角色（在业务角色ID列中去除空白）并在变更类型列中设置过滤器为“新”。这将显示所有新分配限制类型的业务角色。

- 在Phase-in列中设置过滤器为“No”，列出升级后立即生效的限制类型变化。如果是“Yes”，那么意味着这些变化在升级后不会立即生效。

- 所有未维护的限制类型应在升级后直接维护（包括Phase-In限制类型）。IAM Key Figures应用可以用来检查生产租户中未定义的限制。

应用程序类别，查看AppsAdded, AppsDeprecated, AppsDeleted-Moved工作表

- 在业务角色ID列中过滤出“空白”，以识别受影响的角色。应用程序的变化主要由业务目录的变化驱动。

- 在升级前，与业务用户一起查看这些工作表中的结果，讨论可能的影响。

新范围（业务线的可选服务）

- 在AppsAdded工作表中，过滤业务角色ID列为“空白”，查看哪些应用程序没有分配给任何业务角色。使用应用程序组件列将应用程序与业务线关联起来。

- 在BRTsBCsAdded工作表中，过滤业务角色ID列为“SAP_BR_BPC_EXPERT”，列出所有新添加的配置业务目录。使用应用程序组件2、国家2、范围项目2列将业务目录与业务线关联起来。

- 在升级前，与业务用户一起查看这些工作表中的结果，讨论可能的影响。

本博客从IAM的角度解释了SAP S/4HANA Cloud Public Edition主要升级的一般过程。除了替换已被弃用的业务目录外，您的主要关注点是确定需要更改的业务角色，并在升级后规划这些更改。与业务用户的紧密协作是必不可少的。

George Yu的英语版博客：

https://community.sap.com/t5/enterprise-resource-planning-blogs-by-sap/review-business-role-changes-...