Wissen, warum welcher Nutzer welche SAP-Berechtigung hat
Berechtigungswerte mithilfe von Traceauswertungen pflegen
Arbeiten Sie auch in einer komplexen Systemlandschaft, in der die Rollen dezentral gepflegt werden? Dann kann es durch den Transport von Profilen aus unterschiedlichen Systemen in ein Zielsystem zu Inkonsistenzen kommen. Wir zeigen Ihnen, wie Sie das verhindern. Bei dezentraler Pflege der Berechtigungsrollen, d. h. einer Pflege der Rollen in unterschiedlichen Systemen bzw. Mandanten, besteht das Risiko, dass sich die Nummernkreise für die Generierung von Berechtigungsprofilen überlappen. Sie können dann zu unterschiedlichen Rollen in unterschiedlichen Mandanten Profile mit gleichem Namen generieren. Sobald Sie diese gleichnamigen Berechtigungsprofile in ein gemeinsames Zielsystem transportieren, wird das bisherige Profil durch das neu importierte Profil überschrieben, und es entstehen Inkonsistenzen. In der Konsequenz kann es passieren, dass Sie beispielsweise einer ERP-Berechtigungsrolle ein SCMBerechtigungsprofil zuweisen. Dies kann dazu führen, dass ein Benutzer, dem die ERP-Rolle zugewiesen ist, nicht die benötigten oder sogar zu viele Berechtigungen erhält. Außerdem haben Sie ein Problem, falls Sie über das Berechtigungsprofil das Quellsystem und den Mandanten ermitteln wollen, in dem dieses Profil generiert wurde. Dies ist nicht möglich, wenn das erste und dritte Zeichen der SAP-System-ID (SID), und der Nummernkreis für die Generierung des Berechtigungsprofils übereinstimmen.
Sie möchten für Anwendungen, die SAP HANA verwenden, ein Berechtigungskonzept aufbauen? Erfahren Sie, was Sie dabei bezüglich der technischen Grundlagen und Tools beachten sollten. Wie es in Tipp 22, »Lösungen für die Benutzerverwaltung in SAP HANA anwenden«, beschrieben wird, gibt es unterschiedliche Anwendungsszenarien, bei denen die Berechtigungsvergabe auf der HANA-Datenbank erforderlich ist.
Pflegestatus von Berechtigungen in Rollen und deren Auswirkung beachten
Änderungen im Customizing und verschiedene sicherheitsrelevante Änderungen, wie etwa die Pflege von RFC-Schnittstellen sind über Tabellenänderungsprotokolle einsehbar. Diese Berechtigung sollte nur an einen Notfallbenutzer vergeben werden.
Im Jahr 2020 gab es in Deutschland 82.761 Fälle von Computerbetrug. Fünf Jahre zuvor war die Zahl der Fälle noch deutlich niedriger - 23.562 Fälle - und haben ab dann stetig zugenommen. Je kleiner der Personenkreis mit Zugriff, desto kleiner wird das Risiko, dass Daten in falsche Hände gelangen können. Ein effizientes und durchdachtes Berechtigungsmanagement trägt maßgeblich zur Risikominimierung bei und ist ein guter Schutz vor unerlaubten Zugriffen, Datenmissbrauch und Industriespionage. Ohne ein schlüssiges, durchdachtes Konzept ist die Regelung von Zugriffen und Berechtigungen für die User bzw. KeyUser eines SAP-Systems eine ernstzunehmende Sicherheitslücke.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Ein mögliches Ergebnis ist, dass Sie Felder wie die Kostenstelle zur Organisationsebene erheben wollen.
Sollten einige relevante Felder des kompletten Belegs ausgeblendet sein, d. h. nicht zur Verfügung stehen, beachten Sie die Anleitungen im SAPHinweis 413956.