Allgemeine Berechtigungen
Berechtigungskonzepte in SAP Systemen
Der hohe manuelle Pflegeaufwand von abgeleiteten Rollen bei organisatorischen Änderungen stört Sie? Nutzen Sie die in diesem Tipp vorgestellten Varianten für die Massenpflege von Rollenableitungen. Gerade in großen Unternehmen kommt es oft vor, dass z. B. für Buchhaltung, Vertrieb oder Einkauf ein weltweites, integriertes ERP-System genutzt wird. Die Zugriffe der verschiedenen Abteilungen müssen Sie dann jeweils einschränken, z. B. auf entsprechende Buchungskreise, Verkaufsorganisationen oder Einkauforganisationen. Im Berechtigungsumfeld können Sie in solchen Fällen mit Referenzrollen und Rollenableitungen arbeiten. Dies verringert Ihren administrativen Aufwand für die Pflege funktionaler Berechtigungen und reduziert den Pflegeaufwand für Rollenableitungen auf das Anpassen der sogenannten Organisationsfelder. Die Pflege der Organisationsfelder kann dennoch eine enorme manuelle Arbeit für Sie bedeuten, da die Anzahl der Rollenableitungen sehr groß werden kann. Hat Ihr Unternehmen beispielsweise 100 Vertriebsorganisationen und 20 Vertriebsrollen, haben Sie bereits 2.000 Rollenableitungen. Wir stellen Ihnen hier mögliche Ansätze dazu vor, wie Sie diesen manuellen Aufwand verringern können.
Üblicherweise werden hierzu die Berechtigungen gezählt, mit denen Änderungsaufzeichnungen im System gelöscht werden können oder elektronisch radiert werden kann. Auch im Entwicklungssystem ist die Nachvollziehbarkeit von Änderungen wichtig, deshalb sind die nachfolgend aufgeführten Berechtigungen nur sehr restriktiv bzw. nur an Notfallbenutzer zu vergeben.
Änderungsbelegmanagement der Benutzer- und Berechtigungsverwaltung archivieren
Vorab muss klargestellt werden, wobei es sich überhaupt um einen anerkannten „Notfall“ handelt und welche Szenarien die Aktivierung des hoch privilegierten Benutzers noch nicht rechtfertigen. Zudem darf er erst nach begründetem Antrag und nur im 4-Augen-Prinzip genehmigt und freigeschaltet werden. Nach Gebrauch ist er sofort wieder administrativ zu sperren.
Vertrauliche Informationen aus Ihrem SAP-System können auch per E-Mail verschickt werden. Sorgen Sie dafür, dass diese Daten nur verschlüsselt übermittelt werden. In Ihrem SAP-System liegen sehr viele Daten, die häufig auch vertraulich sind. Dies können geschäftskritische oder personenbezogene Daten oder auch Passwörter sein. Es kommt immer wieder vor, dass solche Daten auch per E-Mail versendet werden müssen. Sorgen Sie daher dafür, dass diese Informationen immer verschlüsselt und gegebenenfalls signiert werden. Durch die Verschlüsselung soll die Vertraulichkeit der Daten gewährleistet werden, d. h., dass ausschließlich der Empfänger der E-Mail dazu in der Lage sein soll, sie zu lesen. Die digitale Signatur dient hingegen der Integrität der Daten; über sie kann der Absender einer E-Mail verifiziert werden. Wir stellen Ihnen die für die Verschlüsselung erforderlichen Konfigurationsschritte vor und beschreiben beispielhaft die Verschlüsselung des Versands von Initialpasswörtern. Im SAP-System gibt es zwei Möglichkeiten zur Verschlüsselung und Signierung von E-Mails: über SAPconnect, über einen sicheren E-Mail-Proxy eines Drittanbieters.
Die Zuweisung einer Rolle für einen befristeten Zeitraum ist mit "Shortcut for SAP systems" in Sekundenschnelle getan und erlaubt Ihnen die schnelle Fortsetzung Ihres Go-Live.
Die allgemeinen SAP Berechtigungen werden am häufigsten eingesetzt und für vieles reichen diese auch aus.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Der Report RSUSR008_009_NEW kann kein GRC-System (GRC = Governance, Risk, and Compliance) mit der Komponente SAP Access Control ersetzen.