Kritikalität
Liste der erforderlichen Organisationsebenen sowie deren Wert
Werte des Berechtigungstrace ins Rollenmenü übernehmen: Die Anwendungen (Transaktionen, Web-Dynpro-Anwendungen, RFCBausteine oder Webservices) werden über ihre Startberechtigungsprüfungen (S_TCODE, S_START, S_RFC, S_SERVICE) erkannt und können in das Rollenmenü Ihrer Rolle übernommen werden. Wechseln Sie in Ihrer Rolle auf die Registerkarte Menü, und importieren Sie diese Anwendungen, indem Sie auf Übernahme von Menüs klicken und hier Import aus Trace wählen. Es öffnet sich nun ein neues Fenster. Hier können Sie den Trace auswerten und sich im rechten Fenster alle erkannten Anwendungen anzeigen lassen. Klicken Sie dazu auf den Button Trace auswerten, und wählen Sie hier Systemtrace (ST01) > Lokal. In einem neuen Fenster Systemtrace können Sie die Auswertungskriterien für den Trace festlegen, wie z. B. den Benutzer über das Feld Trace nur für Benutzer oder den Zeitraum, über den aufgezeichnet werden soll. Klicken Sie dann auf Auswerten. Anschließend werden Ihnen im rechten Teil des Fensters alle mitprotokollierten Anwendungen angezeigt. Markieren Sie die Anwendungen, die Sie ins Rollenmenü übernehmen möchten und klicken Sie auf Übernehmen. Sie können nun entscheiden, wie die Anwendungen im Rollenmenü erscheinen. Die Anwendung kann über das Auswahlfeld Hinzufügen zur Rolle entweder als Berechtigungsvorschlag oder als Menüeintrag hinzugefügt werden. Sie können als Liste oder als Bereichsmenü angezeigt werden (Einfügen als Liste) oder dem SAP-Menübaum entsprechend, in dem die Anwendung im SAP-Menü hinterlegt ist (Einfügen als SAP Menü).
Bevor Sie beginnen und kritische Berechtigungen definieren, sollten Sie Ihre Hauptgeschäftsprozesse bzw. -funktionen identifizieren, um anschließend die Prozesse, die in Konflikt zueinander stehen, in sinnvollen Kombinationen als sogenanntes Risiko abzubilden. Der Report RSUSR008_009_NEW kann kein GRC-System (GRC = Governance, Risk, and Compliance) mit der Komponente SAP Access Control ersetzen. Vielmehr sollte dieser Report als Indikator für den aktuellen Systemzustand verstanden und eingesetzt werden. Mit dem Report ermitteln Sie die Benutzer, die über die in der Tabelle USKRIA definierten kritischen Berechtigungskombinationen verfügen. Die Kennung, die auch als Risiko-ID bezeichnet werden kann, beschreibt eine Kombination von Berechtigungsobjekten mit Feldnamen und Feldwerten. Diese werden mit einem der beiden zur Verfügung stehenden Operanten AND oder OR miteinander verknüpft.
Prüfung des SAP-Berechtigungskonzepts
Servicebenutzer werden für den anonymen Zugriff durch mehrere Personen verwendet, z. B. für Webservices. Auch dieser Benutzertyp ist dialogfähig, d. h., dass er sich über SAP GUI am SAP-System anmelden kann. Mit einem Servicebenutzer sind immer Mehrfachanmeldungen möglich, und die Regeln für die Änderung von Passwörtern greifen nicht. Mit der Einführung der Sicherheitsrichtlinien hat sich dieses Verhalten geändert. Denn zuvor waren alle Passwortregeln für den Servicebenutzer ungültig, und nun greifen die Regeln für die Inhalte der Passwörter auch bei ihm (Details zu den Sicherheitsrichtlinien finden Sie in Tipp 5, »Sicherheitsrichtlinien für Benutzer definieren«). Das Passwort einen Servicebenutzers hat immer den Status Produktiv und kann nur durch den Benutzeradministrator geändert werden.
Sind Sie sicher, dass bei der Nutzung Ihres SAP Systems immer auch Ihre Compliance sichergestellt ist? Sie wollen die SAP Berechtigungsvergabe gern übersichtlicher gestalten und den manuellen Arbeitsaufwand verringern? Unser SAP Add-on apm schafft vereinfachte Prozesse und damit mehr Transparenz in Ihrem bestehenden SAP Berechtigungsmanagement. Reduzieren Sie den administrativen Aufwand und sorgen Sie für Klarheit in Ihrer Compliance-Lösung.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Suchen Sie nun unter https://www.dsag.de/go/leitfaeden nach »Best Practice Leitfaden Development«.
Egal, ob es sich um die Rezertifizierung von SAP-Usern handelt, um Urlaubsanträge oder Glückwünsche zum Geburtstag: Alle diese Dinge können nun zentral an einer Stelle bearbeitet und verwaltet werden.