S_TABU_NAM in ein Berechtigungskonzept integrieren
Kritische Berechtigungen
Rollen können so geschnitten sein, dass diese z. B. nur über Anzeige- oder Änderungsberechtigungen verfügen. Des Weiteren könnte zwischen Customizing-, Stammdaten- und Bewegungsdatenpflege differenziert werden.
Sie möchten den Überblick behalten, welche Änderungen in der Konfiguration der Zentralen Benutzerverwaltung oder an den Verteilungsparametern für die Benutzerstammpflege vorgenommen wurden? Hierzu können Sie die Änderungsbelege zentral verwalten. Über die Zentrale Benutzerverwaltung (ZBV) werden Benutzer angelegt, Rollen zugeordnet und in die jeweiligen Tochtersysteme verteilt. Dafür muss die ZBV einmal initial konfiguriert werden. Dazu gehören u. a. das Definieren der ZBV-Landschaft, d. h. das Festlegen von Zentralsystem und Tochtersystemen, das Einstellen der Verteilungsparameter sowie die Übernahme der Benutzer aus den Tochtersystemen in das Zentralsystem. Die ZBV können Sie auch im Nachhinein noch weiterkonfigurieren. So können Sie z. B. Tochtersysteme hinzufügen oder aus der ZBV herauslösen. Einstellungen zu den Verteilungseigenschaften der Felder können Sie in der Transaktion SCUM verändern, sodass Felder, die ursprünglich global über die ZBV verteilt wurden, auch lokal pflegbar sind. Alle diese Informationen zu den Änderungen an der ZBV-Konfiguration wurden bisher nicht zentral protokolliert.
Change-Management
SAP_NEW stellt ein spezifisches Berechtigungsprofil dar, in dem die konkreten Berechtigungsänderungen zwischen zwei SAP-Releaseständen zusammengefasst sind. Zu unterscheiden ist dabei zwischen der Auslieferung des SAP_NEW-Profils durch SAP und der Generierung einer SAP_NEW-Rolle mit einem dazugehörigen Profil durch Sie als SAP-Kunden (siehe auch den SAPHinweis 1711620). Abhängig von der Vorgehensweise zur Berechtigungsnachpflege kann die Berechtigung SAP_NEW jedem Benutzer in einem Entwicklungs- und Qualitätssicherungssystem unmittelbar nach dem technischen Systemupgrade zugewiesen werden. Ziel ist es jedoch, in der Produktionsumgebung jedem Benutzer möglichst nur Berechtigungen zuzuweisen, die er für seine Geschäftsvorfälle benötigt. Im Umfeld von Upgrades müssen die hierzu korrekten Berechtigungen ermittelt und in entsprechende Berechtigungsrollen integriert werden.
So viele Informationen... wie kann man die aufheben, so dass man sie bei Bedarf wiederfindet? Scribble Papers ist ein "Zettelkasten", mit dem das sehr einfach möglich ist.
Vereinfachen Sie Ihr Berechtigungskonzept nicht, bevor Sie alle Anforderungen kennen, sondern fragen Sie sich erst, was es zu erreichen gilt. Analysieren Sie also zunächst die Prozesse (wenn möglich auch technisch), und schaffen Sie erst dann ein Konzept. Viele Berechtigungskonzepte, die wir bei Kunden vorfanden, waren nicht dazu geeignet, den Anforderungen gerecht zu werden. Teilweise handelte es sich um »gewachsene« Berechtigungskonzepte (d. h., dass immer wieder Anforderungen hinzukamen) oder um gekaufte Berechtigungskonzepte. Vielen dieser Konzepte war gemeinsam, dass sie nicht einfach, sondern zu stark vereinfacht worden waren. Ein schönes Beispiel sind Berechtigungskonzepte, die alle Organisationsebenen in Werterollen oder Organisationsrollen zusammenfassen. Es gibt wenige Beispiele, wie z. B. den Rollenmanager der Branchenlösung SAP for Defense and Security, in denen das Ergebnis eines Werterollenkonzepts für den Benutzer noch sinnvoll und angemessen ist. Die Annahme, dass man »mal eben« alle Berechtigungsobjekte separiert, die eine Organisationsebene enthalten, ist zwar einfach, aber eben nicht sinnvoll. Die Vereinfachung, dass nur ein Benutzer ohne Berechtigungen definitiv keine rechtswidrigen Berechtigungen haben kann, haben wir in der Praxis nicht vorgefunden. Allerdings gab es immer wieder den Fall, dass Benutzer viel zu viele Berechtigungen besaßen und das System damit nicht mehr rechtskonform war.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Im linken Bereich sehen Sie die bereits vorhandenen Vorschlagswerte.
In diesem Newsletter wollen wir uns auf die wichtigsten Standardprüfungsthemen auf der Prozessebene und der darin definierten IT-Kontrollen im Zusammenhang des SAP®-Systems konzentrieren.