Welche Berechtigungsdaten hat eine Rolle (PFCG)?
SAP Benutzer - Funktionsbausteine
Die Erfahrung in zahlreich durchgeführten Beratungsprojekten zeigt einen Trend: Technische SAP-Benutzer sind oftmals unzureichend geschützt. Ein hohes Risiko entsteht beispielsweise beim Missbrauch von RFC-Schnittstellen. Die ideale Berechtigung besteht aus einem Minimum an Objekten und Ausprägungen, die in einem konstanten Prozess zur Prüfung kommen. Allerdings gibt es in der Praxis auch dynamische Anwendungsfälle, bei denen nicht immer klar ist, welche weiteren Rollen in Zukunft benötigt werden.
Indirect Access liegt vor, wenn Menschen oder beliebige Geräte oder Systeme das ERP-System indirekt über eine Nicht-SAP-Zwischensoftware zwischen den Benutzern und dem SAP-ERP-System nutzen, wie z. B. ein Nicht-SAP-Frontend, eine kundeneigene Lösung oder eine Drittanwendung. Indirect Access wird in erster Linie auf Basis der Benutzer lizenziert. Indirekte Order-to-Cash- und Procure-to-Pay-Szenarien werden auf Basis der Anzahl der Kundenaufträge bzw. Kaufaufträge lizenziert. Einige Szenarien für Indirect Access erfordern keine Lizenzen, wie z. B. Indirect Static Read.
Service
Um das SAP-Kennwort zurückzusetzen, muss der Benutzer dies extern an einer Schnittstelle anfordern, die von den Systemadministratoren bereitgestellt werden muss. Das SAP-Programm enthält keine Option zum Anfordern einer Kennwortrücksetzung. Dies muss außerhalb des Programms erfolgen und hängt vollständig von den lokalen Richtlinien und Teams der Organisation ab. Nachdem die Anforderung zum Zurücksetzen des Kennworts ausgelöst wurde und das neue Standardkennwort an den Benutzer übermittelt wurde, kann das Kennwort geändert werden.
Wie gehen Sie mit neuen Anwendern im Rahmen der SAP Fiori Benutzerverwaltung um? Natürlich können Sie jeden Benutzer einzeln in allen Systemen anlegen, mit denen der Anwender arbeitet. Das ist aber je nach Anzahl der Systeme extrem aufwendig. Daher bietet sich hierfür eine zentrale Benutzerverwaltung an. Häufig werden neue Nutzer nur in einem System (z. B. Microsoft Active Directory) angelegt und von dort automatisiert in alle anderen Systeme übertragen. Eine weitere Möglichkeit ist die Selbst-Registrierung der Anwender. Der IAS in der Cloud bringt neben der im Standard enthaltenen Selbst-Registrierung auch einige Sicherheitsfeatures mit. Dazu zählt beispielsweise die Einschränkung von erlaubten E-Mail-Adressen oder die Definition von Passwort-Richtlinien. On-Premises ist diese Funktionalität nicht standardmäßig gegeben und Sie müssten sich bei Bedarf selbst um eine Selbst-Registrierung kümmern. Der Vorteil: Wenn Sie schon einmal dabei sind, können Sie die Registrierung auch um die automatische Vergabe der benötigten Berechtigungen erweitern und weitere Zeit einsparen. Durch die Nutzung eines solchen Features wird Ihre IT-Abteilung operativ entlastet – so bleiben mehr Kapazitäten für andere Aufgaben.
Mit "Shortcut for SAP Systems" stellen Sie den Mitarbeitern Ihrer Basis-Abteilung vielfältige Möglichkeiten bereit, um bei der Benutzerverwaltung Zeit zu sparen.
Das bedeutet, dass sichergestellt werden muss, dass kein unautorisierter Zugriff auf die Daten erfolgt und dass keine Daten verändert oder gelöscht werden können, die nicht durch den Benutzer autorisiert sind.
In der Vergangenheit wurden einige der Richtlinien gelockert, was den Unternehmen mehr Spielraum zur Optimierung ihres Lizenzbestands gibt.