S_TABU_NAM in ein Berechtigungskonzept integrieren
Unzufriedenheit und unklarer Bedarf im Prozess
Sie sollten alle Belegarten in denselben Zeitintervallen archivieren; dies gilt besonders für die Archivobjekte US_USER und US_PASS. Üblich ist es, die Änderungsbelege zwischen zwölf und achtzehn Monate aufzubewahren, da dies den Aufbewahrungsfristen für die Revision entspricht. Wollen Sie aus Performancegründen in kürzeren Intervallen archivieren, sollten Sie immer alle Archivobjekte zeitgleich archivieren und die Archivobjektklassen PFCG und IDENTITY in separaten Archiven ablegen. In diesem Fall ist es unter Umständen sinnvoll, die archivierten Änderungsbelege in eine Schattendatenbank zurückzuladen, um sie zur schnelleren Auswertung durch die Revision zur Verfügung zu stellen. Dazu können Sie die folgenden Reports nutzen: RSUSR_LOAD_FROM_ARCH_PROF_AUTH / RSUSR_LOAD_FROM_ARCHIVE. Mit dem Archivobjekt BC_DBLOGS können Sie zusätzlich die Tabellenänderungsprotokolle archivieren.
Beim Einfügen der Berechtigungsfeldwerte aus der Zwischenablage werden die Werte zu den bestehenden Einträgen ergänzt. Dabei müssen Sie die Werteintervalle auch bei Einfügungsvorbereitung mithilfe des Tabstopps trennen. Sollten für die einzelne Werte keine Berechtigungen zur Pflege bestehen, werden diese abgelehnt, also nicht übernommen. Die Funktion Einfügen aus der Zwischenablage ist zusätzlich noch im Dialogfenster zur Pflege der Organisationsebenen vorhanden. Die Funktionen Kopieren in die Zwischenablage und Einfügen aus der Zwischenablage stehen Ihnen nicht zur Verfügung, wenn Sie Feldwerte pflegen, die nur die Auswahl von Festwerten erlauben. Dies ist z. B. im Feld Aktivität der Fall.
RFC-Funktionsbausteine aufrufen
Das Three-Lines-of-Defense-Modell dient zur systematischen Herangehensweise an Risiken, die in Unternehmen auftreten können. Es bindet sowohl die operativen Kontrollen und auch das Risikomanagement, die Informationssicherheit und die interne Revision ein. Die durch die SAP-Berechtigungen entstehenden Risiken können hiermit bewertet und eingestuft werden. Die Überwachung der Risiken fließt in die Prozesse ein, so dass hier eine ständige Kontrolle durch verschiedene Instanzen erfolgt. Dies reduziert die Risiken erheblich und stellt eine saubere Berechtigungsvergabe sicher.
Bei einer SAP-Security-Prüfung steht insbesondere die Berechtigungsvergabe im Mittelpunkt. Sie ermöglicht Benutzern erst die Arbeit am SAP-System, kann sich jedoch u. U. ungewollt zu Funktionstrennungskonflikten oder gar gesetzeskritischen Befugnissen aufsummieren. Daher sind regelmäßig Tools zur technischen Analyse einzusetzen, die den Status quo der Berechtigungsvergabe und somit die Grundlage für eine Optimierung liefern.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Je kleiner der Personenkreis mit Zugriff, desto kleiner wird das Risiko, dass Daten in falsche Hände gelangen können.
Dialogbenutzer sind für die Verwendung durch natürliche Personen gedacht, die sich über SAP GUI am SAP-System anmelden (Dialoganmeldung).