Benutzerverwaltung und Identity Management in ABAP-Systemen
Was aber tun, wenn die Grenze erreicht ist?
Die Erfahrung in zahlreich durchgeführten Beratungsprojekten zeigt einen Trend: Technische SAP-Benutzer sind oftmals unzureichend geschützt. Ein hohes Risiko entsteht beispielsweise beim Missbrauch von RFC-Schnittstellen. Die ideale Berechtigung besteht aus einem Minimum an Objekten und Ausprägungen, die in einem konstanten Prozess zur Prüfung kommen. Allerdings gibt es in der Praxis auch dynamische Anwendungsfälle, bei denen nicht immer klar ist, welche weiteren Rollen in Zukunft benötigt werden.
Benutzer sind mandantenspezifisch. Das heißt, sie müssen für jeden Mandanten in Ihrem System separat definiert werden.
SAP-SYSTEMVERMESSUNG
Neue Mitarbeiter werden in der Regel zunächst in Personaldatenbanken wie SAP SuccessFactors oder SAP HCM angelegt. Dort werden auch Informationen zu ihren Funktionen im Unternehmen gepflegt, zum Beispiel Eintrittstag und Zugehörigkeit zu Teams und Abteilungen. Die entsprechenden Rollen und Berechtigungen zum Eintritt manuell zu provisionieren, erzeugt einen hohen administrativen Aufwand, der sich mit einem automatisierten Identity Lifecycle Management (ILM) bzw. User Lifecycle Management (ULM) vermeiden lässt.
Die zentrale Transaktion für die Übersicht über verwendete Transaktionen im SAP-System lautet: ST03N. Insgesamt sind folgende Schritte notwendig, um eine Übersicht über die verwendeten Transaktionen pro SAP-Benutzer zu erhalten: 1) Transaktion ST03 oder ST03N aufrufen 2) Auf gewünschten Zeitraum eingrenzen 3) Analysesicht “Anwenderprofil” aktivieren 4) Tasktyp “DIALOG” verwenden 5) Gewünschten SAP-Benutzer auswählen.
Das Tool "Shortcut for SAP Systems" eignet sich hervorragend, um viele Aufgaben in der SAP Benutzerverwaltung einfacher und schneller zu erledigen.
Die Abrechnung kann servicebasiert pro User oder pro Berechtigungsänderung erfolgen, alternativ auch pauschal für die Betreuung des gesamten Konzeptes.
Da sich sowohl die Arbeitsumgebung (z. B. Verwendung eines neuen SAP-Programms) als auch die Aufgaben des Benutzers ständig ändern, muss der Lizenzbestand dynamisch angepasst werden.