Ausprägungen SAP Berechtigungskonzept
WARUM ACCESS CONTROL
Noch kritischer ist die Vergabe des umfassenden SAP®-Standardprofil SAP_ALL, welches nahezu alle Rechte im System beinhaltet. Deshalb sollte es maximal an einen sogenannten Notfallbenutzer zugewiesen werden. Der Umgang mit dem Notfallbenutzer ist auch im schriftlich dokumentierten Berechtigungskonzept vorzugeben. In jedem Fall sollten die Aktivitäten des Notfallbenutzers protokolliert und regelmäßig kontrolliert werden. Deshalb ist es essenziell in der Vorbereitung auf die Jahresabschlussprüfung, die aktuellen, aber auch die historischen Zuweisungen, von SAP_ALL zu überprüfen. Es ist also nicht ausreichend, im Vorfeld der Jahresabschlussprüfung einfach schnell den Benutzern das Profil SAP_ALL zu entziehen. Es muss auch nachgewiesen werden, dass über den Prüfzeitraum das Profil SAP_ALL nicht kurzfristig für ein paar wenige Tage vergeben wurde. Sollte es doch zu Zuweisungen von SAP_ALL gekommen sein, wurde diese im Idealfall bereits dokumentiert und kontrolliert. Sollte dies nicht der Fall sein, ist unbedingt eine nicht veränderbare Dokumentation anzulegen, in welcher nachgewiesen wird, warum die Zuweisung notwendig war und dass der User darüber hinaus keine kritischen Aktionen durchgeführt hat (Ablage und Review der Protokollierung).
Betriebswirtschaftliche Objekte, auf die Unternehmen Berechtigungen beziehen, sind im System als Berechtigungsobjekte definiert. Für Individualkonditionen liefert SAP die Berechtigungsobjekte F_FICO_IND und F_FICO_AIN aus. Mit F_FICO_IND kann festgelegt werden, welche Individualkonditionen beim Bearbeiten des Vertrages in Abhängigkeit der definierten Berechtigungsfelder und deren Ausprägungen überprüft werden. Mithilfe des Berechtigungsobjekt F_FICO_AIN können Unternehmen festlegen, ob und wie Individualkonditionen bei der Bearbeitung im Kanal BAPI in Abhängigkeit der definierten Berechtigungsfelder und deren Ausprägungen überprüft werden sollen.
Sicherheitsrichtlinien für Benutzer definieren
Neben diesen Voraussetzungen können auch andere Einstellungen dafür sorgen, dass die Transaktion ohne Prüfung ausgeführt werden darf: Die Prüfung der Berechtigungsobjekte ist über Prüfkennzeichen (in der Transaktion SU24) ausgeschaltet. Dies ist nicht für Berechtigungsobjekte der Bereiche SAP NetWeaver und SAP ERP HCM möglich, betrifft also z. B. nicht die Prüfung auf S_TCODE. Die Prüfungen für bestimmte Berechtigungsobjekte können für alle Transaktionen global ausgeschaltet sein (in Transaktion SU24 oder SU25). Dies ist nur möglich, wenn der Profilparameter AUTH/NO_CHECK_IN_SOME_CASES den Wert Y hat. Zusätzlich können ausführbare Transaktionen aber auch durch die Zuordnung eines Referenzbenutzers entstehen; die ausführbaren Transaktionen des Referenzbenutzers werden ebenfalls berücksichtigt.
Der erste Schritt beim Bereinigen besteht daher darin herauszufinden, ob das aktuelle Berechtigungskonzept ausreicht und eine Bereinigung der beste Weg ist, oder ob ein Neuaufbau des Berechtigungskonzeptes notwendig ist. Dabei sollte der Fokus darauf liegen, das aktuelle Berechtigungskonzept zu retten, da ein Neuaufbau mehr Zeit benötigt als das Bereinigen.
Berechtigungen können auch über "Shortcut for SAP systems" zugewiesen werden.
Gepflegt werden sie mithilfe der Transaktion STRUST und der Transaktion STRUSTSSO2, die dieselbe Berechtigung verlangen (Details hierzu finden Sie im SAP-Hinweis 1497104).
Beispiele hierzu sind die Benutzer SYS und _SYS_REPO, mit denen administrative Aufgaben, wie z. B. die Erzeugung eines neuen Datenbankobjekts oder das Zuweisen von Privilegien, ermöglicht werden.