Effizienter SAP-Rollout durch zentrale, tool-gestützte Verwaltung
Ziel eines Berechtigungskonzepts
Ihre Compliance-Anforderungen geben vor, dass verwendete Hintergrundjobs mit Berechtigungsvorschlägen zu pflegen sind? Wir zeigen Ihnen, wie Sie das umsetzen. Gerade im Banking-Umfeld gibt es sehr strenge Richtlinien für die Berechtigungen von Hintergrundjobs, die für Monats- und Quartalsabschlüsse usw. verwendet werden. Nur ausgewählte Anwender bzw. dedizierte Systembenutzer dürfen über diese Berechtigungen verfügen. Um diese Berechtigungen klar von den Endanwenderberechtigungen abzugrenzen, ist es sinnvoll, die Berechtigungen für bestimmte Hintergrundjobs explizit mit Vorschlagswerten zu pflegen, sodass diese Werte immer wieder zur Berechtigungspflege verwendet werden können und somit transparent sind. Ihnen ist sicher aufgefallen, dass Sie in der Transaktion SU24 keine Möglichkeit dazu haben, Berechtigungsvorschlagswerte für Hintergrundjobs zu pflegen. Wie sollten Sie also am besten vorgehen?
Die Grundidee des Ansatzes, den wir Ihnen im Folgenden beschreiben, ist es, für die Definition der erforderlichen Berechtigungen das bisherige Nutzungsverhalten auszuwerten (Reverse Engineering). Im ersten Schritt konfigurieren Sie die Aufbewahrungszeit von Nutzungsdaten, denn jedes SAP-System protokolliert die Aufrufe von startbaren Anwendungen. So wird nicht nur protokolliert, welcher Benutzer zu welchem Zeitpunkt welche Transaktion, sondern auch, welcher Benutzer welchen Funktionsbaustein aufgerufen hat. Diese Daten werden daraufhin in Tages-, Wochen- und Monatsaggregaten verdichtet und für einen bestimmten Zeitraum abgespeichert. Diese statistischen Nutzungsdaten sind ursprünglich für die Performanceanalyse gedacht; Sie können Sie aber auch für die Ermittlung der erforderlichen Berechtigungen verwenden. Die Konfiguration der Vorhaltezeit der statistischen Nutzungsdaten haben wir in Tipp 26, »Nutzungsdaten für die Rollendefinition verwenden«, beschrieben. Beachten Sie auch unsere Erläuterungen zur Einbindung des Mitbestimmungsorgans Ihrer Organisation bei der Speicherung und Verwendung der statistischen Nutzungsdaten. Zusätzlich zu den in Tipp 26 beschriebenen Einstellungen sollten Sie die Vorhaltezeit auch für die Tasktypen RFC-Client-Profil (WO), RFC-Client-Destination-Profil (WP), RFC-Server-Profil (WQ) und RFC-Server-Destination-Profil (WR) mithilfe des Pflege-Views SWNCCOLLPARREO anpassen.
Reports starten
Die Prüfung auf die Vergabe des Profils SAP_ALL erfolgt im SOS anders als im EWA: Wird ein Benutzer gefunden, dem SAP_ALL zugewiesen wurde und den Sie nicht in der entsprechenden Whitelist eingetragen haben, wird er trotzdem in den nachfolgenden Berechtigungsprüfungen ausgeblendet. Die Ausgabe der identifizierten Benutzer erfolgt entweder durch eine vollständige Liste oder durch Beispiele konkreter Benutzer. In beiden Fällen können Sie die vollständige Liste in der Transaktion ST14 des SAP Solution Managers herunterladen. Die Zuordnung der Benutzerlisten zu den Berechtigungsprüfungen können Sie über die Check-ID herstellen. Allerdings sollten Sie beachten, dass in diesen Listen die Auswertungen der Whitelists noch nicht enthalten sind.
SAP Berechtigungen sind ein sicherheitskritisches und damit ein immens wichtiges Thema in Unternehmen. Mit ihrer Hilfe werden nicht nur die Zugriffsmöglichkeiten der Nutzer im SAP-System gesteuert, sondern auch die externe und interne Sicherheit der Unternehmensdaten hängt direkt von den eingestellten Berechtigungen ab.
Die Zuweisung einer Rolle für einen befristeten Zeitraum ist mit "Shortcut for SAP systems" in Sekundenschnelle getan und erlaubt Ihnen die schnelle Fortsetzung Ihres Go-Live.
Dadurch kann man nicht nur durch die Wahl des Pflegestatus der Berechtigungen, sondern vor allem auch durch das Hinterlegen bestimmter Berechtigungsobjekte und deren Aussteuerung fehlerhafte und sicherheitskritische Ausprägungen schnell finden und bereinigen.
Wenn Sie Rollen erstellen, die nur für bestimmte Systeme, wie z. B. das Entwicklungssystem gedacht sind, ist es sinnvoll, diese Information im Rollennamen aufzunehmen.