Prüfung des SAP-Berechtigungskonzepts
Anzeigen sensibler Daten
Falls Ihrem Benutzer das Privileg ROLE ADMIN zugeordnet ist (entweder direkt oder über eine Rolle), können Sie eigene Rollen erstellen und diese Benutzern zuweisen. Dabei können Sie auf vorhandene Privilegien und Rollen zurückgreifen. Die Privilegien selbst werden von Entwicklern mit entsprechenden Berechtigungen zur Erstellung von Anwendungen einschließlich der darin benötigten Privilegien bereitgestellt. Häufig besitzen Sie als Berechtigungsadministrator nicht das Privileg zur Erstellung von Privilegien. Dies ist auch sinnvoll, da nur der Anwendungsentwickler entscheiden kann, welche Eigenschaften die Privilegien für die Nutzung der Objekte in der Anwendung haben sollen. Auch entscheidet der Anwendungsentwickler, ob er mit seiner Anwendung neben Privilegien auch fachlich passende Rollen bereitstellt.
Ein SAP Berechtigungskonzept dient der Abbildung von einschlägigen Rechtsnormen und unternehmensinternen Regelungen auf die technischen Schutzmöglichkeiten innerhalb eines SAP Systems. Berechtigungskonzepte sind somit der Schlüssel zum optimalen Schutz Ihres Systems sowohl nach außen als auch nach innen.
IKS für die Geschäftsprozesse in SAP-Systemen
Das Customizing der Organisationskriterien ist mandantenübergreifend. Die Aktivierung der Organisationskriterien ist allerdings mandantenabhängig. Möchten Sie diese Berechtigungen in verschiedenen Mandanten nutzen, müssen Sie die jeweiligen Organisationskriterien für den jeweiligen Mandanten aktivieren. Nun können Sie das Organisationskriterium in Ihrer PFCG-Rolle verwenden. Pflegen Sie dazu das Berechtigungsobjekt S_TABU_LIN mit dem von Ihnen erstellten Organisationskriterium ein. Weisen Sie dazu die jeweiligen Attribute mit den organisatorischen Werten zu, für die der Anwender berechtigt sein soll. Hier können Sie neben den Einzelwerten auch Intervalle für Ihr Organisationskriterium angeben, sodass Sie den Anwendern Berechtigungen für mehrere organisatorische Werte zuteilen können.
Ein weiterer wichtiger Faktor, der in einem Berechtigungskonzept berücksichtigt werden sollte, besteht darin, eine einheitliche Namenskonvention zu verwenden, weil einerseits vieles nach der Erstbenennung nicht mehr änderbar ist und andererseits so die Suchbarkeit im SAP System sichergestellt wird. Zusätzlich sollten die voreingestellten Berechtigungsrollen des SAP System niemals überschrieben oder gelöscht werden, sondern lediglich Kopien davon erstellt werden, welche dann beliebig angepasst werden können.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Wir werden im Folgenden die Auswertung für die Benutzer beschreiben (siehe Abbildung nächste Seite oben); für die anderen Selektionsmöglichkeiten verhält sich die Arbeitsweise des Reports analog.
Mit der Transaktion SUIM können Sie unter Rollen, Rollen mit verschiedenen Suchkriterien durchsuchen.