BRF Business Rule Framework
EMPFEHLUNGEN
Zu einem sicheren SAP-System gehört nicht nur ein gutes Rollenkonzept. Es muss auch überprüft werden, ob ein Nutzer eine bestimmte Rolle überhaupt (noch) besitzen soll. Die regelmäßige Überprüfung der Rollenzuordnung wird als Rezertifizierung bezeichnet. In diesem Blogbeitrag möchte ich Ihnen die Notwendigkeit von Rezertifizierungen näherbringen und unser eigenes Tool, den EasyReCert, vorstellen. Die Notwendigkeit der Rezertifizierung - Szenarien: Beispiel 1: Das „Azubi Problem“ Stellen Sie sich folgendes Szenario vor: Ein neuer Mitarbeiter (beispielsweise ein Azubi oder Trainee) durchläuft im Rahmen seiner Einarbeitung verschiedene Abteilungen und arbeitet in verschiedenen Projekten mit. Natürlich wird Ihrem Mitarbeiter gleich zu Beginn ein SAP User zur Verfügung gestellt, welcher mit entsprechenden Rollen versehen ist. Beim Durchlauf der einzelnen Projekte und Abteilungen benötigt der Mitarbeiter immer wieder neue Berechtigungen, um den Anforderungen gerecht zu werden. Nachdem der Mitarbeiter seine Einarbeitung erfolgreich abgeschlossen hat und nun eine feste Stelle besetzt, verfügt er immer noch über Berechtigungen, die zur Bearbeitung seiner Aufgaben nicht nötig sind. Dies verletzt das Prinzip des „least privilede“ und stellt ein potentielles Sicherheitsrisiko für Ihr Unternehmen dar. Beispiel 2: Der Abteilungswechsel Ein Szenario, welches wohl in jedem Unternehmen vorkommt, ist der Abteilungswechsel. Sollte bei einem Abteilungswechsel nicht automatisch eine komplette Neuvergabe der Rollen durchgeführt werden und der Mitarbeiter seine alten Berechtigungen einfach mitnehmen, können sehr schnell kritische Kombinationen von Berechtigungen auftreten. So verletzt ein Mitarbeiter, der beispielsweise über Berechtigungen in der Kreditoren- und Debitorenbuchhaltung verfügt, das Prinzip SoD („Segregation of Duties“) und stellt ein potentielles Sicherheitsrisiko für Ihr Unternehmen dar. Rezertifizierung im Rahmen einer Revision: Die beiden genannten Beispiele zeigen, dass eine regelmäßige Überprüfung der Rollenvergabe potentielle Sicherheitsrisiken für Ihr Unternehmen aufzeigt und sich diese so beheben lassen.
Dieser Schritt hat für die SAP-Basis eine wesentliche Bedeutung. Es geht sowohl um die in der Handlungsempfehlung Marketing & Selbstverständnis beschriebene, nach innen ausgerichtete Wahrnehmung als auch um die nach außen gerichtete Wahrnehmung in Form einer Mission und Vision.
Aktivität, Durchsatz
Ich empfehle Ihnen, dass Sie den Hintergrundjob PFCG_TIME_DEPENDENCY mit dem Report RHAUTUPD_NEW einplanen. Als Best Practice hat sich das Einplanen des Reports RHAUTUPD_NEW mit zwei Varianten bewiesen: Einmal täglich vor der ersten Anmeldung der Anwender (zB Mitternacht oder sehr früh am Morgen). Hierdurch werden die Benutzer einmal täglich abgeglichen. Einmal im Monat (oder auch einmal pro Woche) mit der Option "Bereinigung durchführen", sodass regelmäßig obsolete Profile und Benutzerzuordnungen bereinigt werden. Ebenfalls praktisch: Wenn es die Namenskonventionen Ihrer Rollen zulassen, können Sie den Report auch nach verschiedenen Zeitzonen ausrichten. Ich habe bspw einen Kunden, der den Benutzerabgleich für seine Anwender in den USA und Asien zu verschiedenen Zeitpunkten laufen lässt, damit das Tagesgeschäft der jeweiligen Anwender nicht gestört wird.
Nachdem Sie die Serviceverfahren einmal vom SAP Support Portal auf den SAP Solution Manager geladen haben, können Sie diese Services im Prinzip selbst ausführen. Sie können sich aber auch dafür entscheiden, sie von SAP oder den SAP-Servicepartnern als Remote-Service oder als On-Site-Service liefern zu lassen. Sie können also Ihren Bedürfnissen entsprechend entscheiden, ob Sie bestimmtes Know-how in Ihrer Organisation aufbauen oder dieses extern einkaufen wollen. Dies soll kurz am Beispiel des SAP EarlyWatch-Alert-Service erläutert werden. Der SAP EarlyWatch Alert ist seit 1984 als Remote-Service verfügbar. Er wird von SAP und zahlreichen Servicepartnern (darunter die wichtigsten Hardwarepartner der SAP) geleistet. Seit 2001 ist es auch für Mitarbeiter von SAP-Kunden möglich, an einem Training teilzunehmen und sich für den Service SAP EarlyWatch Alert zertifizieren zu lassen, um diesen dann in der eigenen Organisation durchzuführen. Damit steht es also jedem Kunden frei, dieses Know-how bei sich aufzubauen oder, wie bisher, externes Know-how in Anspruch zu nehmen. Über Details der Servicelieferungen informiert Sie Ihr Service und Support-Center.
Basisadministratoren steht mit "Shortcut for SAP Systems" eine PC-Anwendung zur Verfügung, die etliche Tätigkeiten in der SAP Basis vereinfacht bzw. ermöglicht.
Diese können aber nur eingesetzt werden, wenn mehrere Instanzen konfiguriert sind.
Da die Transaktionen dem Nutzer jedoch auch über verschiedene Rollen zugeordnet sein können, wäre dies nicht zielführend.