SAP-Berechtigungen – Eine gemeinsame Perspektive von Entwicklern und Beratern
Manuelle Berechtigungen
Um eine Übersicht der im System gepflegten Organisationen und ihrer Struktur zu erhalten, empfehlen wir Ihnen, die Org.-Kopierer (im Lesemodus!) für die verschiedenen Organisationsfelder über die Transaktionen EC01 bis EC15 aufzurufen. Über das Customizing in der Transaktion SPRO lässt sich im Bereich Unternehmensstruktur sowohl die Definition der Organisationsfelder als auch deren jeweilige Zuordnung vornehmen und einsehen.
In IT Systemen, auf die verschiedene Nutzer Zugriff haben, weichen die Berechtigungen in der Regel voneinander ab. Wie ein Berechtigungskonzept für SAP Systeme und das neue SAP S/4HANA for Group Reporting aussehen kann.
Konzepte der SAP Security
Stellen Sie zunächst Ihre Aufbauorganisation dar. Bilden Sie (gegebenenfalls zunächst nur auf der generischen Ebene von Applikationen wie MM oder CO) über die Aufbauorganisation hinweg die betriebswirtschaftlichen Prozesse ab. Ermitteln Sie auf dieser Grundlage, welche organisatorischen Merkmale (Organisationsebenen, aber auch Kostenstellen, Organisationseinheiten usw.) welche Teile der Aufbauorganisation repräsentieren. Definieren Sie (gegebenenfalls zunächst nur im Rechnungswesen detailliert, ansonsten auf der Ebene von Applikationen), welche Funktionen zwingend getrennt bleiben müssen. Sofern Sie ein laufendes System haben, werten Sie die Verwendung der letzten 13 Monate aus (siehe Tipp 26, »Nutzungsdaten für die Rollendefinition verwenden«). Setzen Sie ein neues System auf, und sorgen Sie am besten dafür, dass die Prozesse immer bis hin zur Ebene der Transaktionen dokumentiert sind. In solch einem Fall ist es auch am besten, unmittelbar bei der Prozessbeschreibung die betriebswirtschaftlichen Risiken zu erheben.
Aufgrund der Komplexität eines SAP®-Berechtigungskonzepts ist es notwendig, dass alle wesentlichen Aspekte in einem schriftlich dokumentierten Berechtigungskonzept niedergeschrieben sind. Darin sollten die wesentlichen Prozesse beschrieben sein, aber auch der Umgang mit der Zuweisung von Berechtigungen über Rollen. Insbesondere die Nomenklatur eigens erstellter Rollen ist hierbei sauber zu definieren. Es sollte daher überprüft werden, ob sämtliche Änderungen seit der letzten Prüfung im schriftlichen Berechtigungskonzept dokumentiert wurden. Immerhin dient dieses Dokument dem Prüfer als Vorlage für den sogenannten Soll-Ist-Vergleich. Das bedeutet, dass der Prüfer einen Abgleich bei den wesentlichen prüfungsrelevanten Themen zwischen dem Dokument und dem Ist-Stand im SAP®-System vornimmt. Jede Abweichung kann zu einer Feststellung führen, die es zu vermeiden gilt.
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Die direkten Folgen sind überberechtigte Benutzer, eine fehlende Übersicht und gefährliche Sicherheitslücken.
Neben diesen Informationen enthält dieser Ordner außerdem externe Services, die die bereits erwähnten Bereichsstartseiten und logischen Links repräsentieren.