IKS für die Geschäftsprozesse in SAP-Systemen
Sich einen Überblick über die im System gepflegten Organisationen und ihre Abhängigkeiten verschaffen
Noch kritischer ist die Vergabe des umfassenden SAP®-Standardprofil SAP_ALL, welches nahezu alle Rechte im System beinhaltet. Deshalb sollte es maximal an einen sogenannten Notfallbenutzer zugewiesen werden. Der Umgang mit dem Notfallbenutzer ist auch im schriftlich dokumentierten Berechtigungskonzept vorzugeben. In jedem Fall sollten die Aktivitäten des Notfallbenutzers protokolliert und regelmäßig kontrolliert werden. Deshalb ist es essenziell in der Vorbereitung auf die Jahresabschlussprüfung, die aktuellen, aber auch die historischen Zuweisungen, von SAP_ALL zu überprüfen. Es ist also nicht ausreichend, im Vorfeld der Jahresabschlussprüfung einfach schnell den Benutzern das Profil SAP_ALL zu entziehen. Es muss auch nachgewiesen werden, dass über den Prüfzeitraum das Profil SAP_ALL nicht kurzfristig für ein paar wenige Tage vergeben wurde. Sollte es doch zu Zuweisungen von SAP_ALL gekommen sein, wurde diese im Idealfall bereits dokumentiert und kontrolliert. Sollte dies nicht der Fall sein, ist unbedingt eine nicht veränderbare Dokumentation anzulegen, in welcher nachgewiesen wird, warum die Zuweisung notwendig war und dass der User darüber hinaus keine kritischen Aktionen durchgeführt hat (Ablage und Review der Protokollierung).
Die Vergabe des Profils SAP_ALL ist für den Betrieb eines SAP-Systems nicht erforderlich; daher wird für den ersten Check ein gelbes Symbol angezeigt, sobald ein Benutzer das Profil zugeordnet hat. Für die anderen sechs Checks auf kritische Basisberechtigungen wird das gelbe Symbol angezeigt, sobald ein Mandant auf dem System gefunden wird, für den mindestens eine der beiden folgenden Bedingungen zutrifft: Mehr als 75 Benutzer verfügen über die in diesem Check geprüfte Berechtigung. Mehr als 10 % aller Benutzer verfügen über die in diesem Check geprüfte Berechtigung, mindestens jedoch elf Benutzer.
Generierte Profilnamen in komplexen Systemlandschaften verwalten
Jeder Durchlauf des Profilgenerators sammelt beim Abmischen alle Berechtigungsvorschläge aus der Transaktion SU24 zu einer Transaktion, die über das Rollenmenü der Einzelrolle hinzugefügt wurde, und überprüft die der Berechtigungsliste hinzuzufügenden Berechtigungen. Die folgenden Auswirkungen hat ein Hinzufügen von Transaktionen auf eine Rolle, wenn die hinzugefügte Transaktion über das Rollenmenü der Rolle bekanntgegeben wird und verschiedene Kriterien erfüllt sind.
Zum Daily Business eines Berechtigungsadministrators gehören die Prüfungen und Analysen von kritischen Berechtigungen und Kombinationen im System. Der Schwerpunkt liegt dabei bei den Benutzern und Rollen in dem jeweiligen Mandanten und Systemschienen. Dazu eignet sich der SAP Standardreport RSUSR008_009_NEW. Vorab müssen Sie entsprechenden Prüfvarianten und Berechtigungswerte für kritische Berechtigungen bzw. Kombinationen entweder über das Programm selber oder die Transaktion SU_VCUSRVARCOM_CHAN anlegen. Diese entsprechen dann Ihren internen und externen Sicherheitsrichtlinien. Daraufhin können Sie den Report mit ihrem jeweiligen Prüfumfang und der entsprechenden kritischen Berechtigungs- oder Kombinationsvariante ausführen und prüfen in welchen Rollen oder Benutzern solche Verstöße vorhanden sind. Dies dient zum Schutz Ihrer gesamten IT – Systemlandschaft und sollte periodisch durchgeführt werden.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Wenn Sie mehr zum Thema SAP Berechtigungen wissen möchten, besuchen Sie die Webseite www.sap-corner.de.
Über den SAP-Hinweis 1854561 wird für den Parameter auth/authorization_trace ein neuer möglicher Wert ausgeliefert: F (Trace eingeschaltet mit Filter).
Im ersten Teil zu diesem Thema lag der Schwerpunkt auf den relevanten Prozessen und Dokumentationen.