Berechtigungskonzepte in SAP Systemen
Was sind SAP Berechtigungen?
Um nachhaltig die Sicherheit des SAP-Systems nach innen und außen zu gewährleisten, ist eine regelmäßige Revision unabdingbar. Vorhandene Regelverstöße müssen erkannt und korrigiert werden. Zudem ist es wichtig, den regelmäßigen Betrieb von SAP zu dokumentieren, um somit bei externem und internem Bedarf Nachweise dessen zu haben. Durch automatisierte Prozesse kann dabei viel Zeit und Geld gespart werden.
Unter Schritt 2d (veränderte Transaktionscodes anzeigen) werden alle Rollen aufgelistet, bei denen festgestellt wurde, dass ein alter Transaktionscode verwendet wird. Es kommt hier und da vor, dass neue Transaktionscodes alte Transaktionscodes ersetzen. In diesem Schritt haben Sie die Möglichkeit, die Transaktionscodes auszutauschen. Sobald Sie mit dem Upgrade der Berechtigungsvorschlagswerte fertig sind, haben Sie in Schritt 3 (Transport der Kundentabellen) die Möglichkeit. Ihre Berechtigungsvorschläge in Ihrer Systemlandschaft zu transportieren.
Das SAP-Berechtigungskonzept
Was in solchen Fällen fehlt, ist der Benutzerabgleich. Der Benutzerabgleich prüft, welche PFCG-Rollen einem Nutzer zugewiesen sind und weist ebenfalls die dazugehörigen Profile zu. Jede generierte PFCG-Rolle hat mindestens ein Profil, und der Anwender erhält seine Berechtigungen aus diesem Profil. Ist das Profil nicht zugewiesen bzw. veraltet, besitzt der Anwender auch nicht die darin enthaltenen Berechtigungen. Ähnlich verhält es sich mit Rollentransporten in ein Produktivsystem. Eine vorhandene und zugewiesene PFCG-Rolle wird im Entwicklungssystem geändert und durch die Systemlandschaft transportiert. Wird die PFCG-Rolle nun ins Produktivsystem transportiert, verfügen die der Rolle zugewiesenen Benutzer noch nicht über das aktuelle mittransportierte Profil. Hier muss erst ein Benutzerabgleich erfolgen, der sicherstellt, dass das aktualisierte Profil der geänderten PFCG-Rolle allen ihr zugewiesenen Anwendern zugeordnet wird.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Basis.
Im schriftlich dokumentierten Berechtigungskonzept sollte auch das Kapitel der Berechtigungsrezertifizierung definiert sein. Damit ist eine regelmäßige, mindestens einmal im Jahr durchzuführende Überprüfung der vergebenen Berechtigungen im SAP®-System gemeint. Im Zuge dieses Prozesses sollten die zuständigen Fachbereiche die Vergabe der jeweiligen Rollen an Benutzer in ihrem Bereich überprüfen und noch einmal kritisch hinterfragen. Durch diesen Prozess kann letzten Endes sichergestellt werden, dass die Benutzer auch tatsächlich nur jene Berechtigungen im SAP®-System besitzen, die sie auch tatsächlich brauchen. Es muss also definiert sein, in welchem Zeitraum und in welcher Form die Fachbereiche die Informationen über die vergebenen Berechtigungen erhalten und bezüglich der Korrektheit der Vergabe zurückmelden müssen. In der Vorbereitung ist daher zu überprüfen, ob der Prozess gemäß den internen Vorgaben, aber auch gemäß möglicher Optimierungsvorschläge des Wirtschaftsprüfers, ausgeführt wurde und sämtliche Nachweise griffbereit für den Prüfer abgelegt sind.
Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.
Du kannst die SU53 auch für anderen Benutzer ausführen, indem du im Menü auf Berechtigungswerte > Andere Benutzer klickst und den entsprechenden SAP-Benutzernamen eingibst.
Um die vielen Informationen zum Thema SAP - und auch anderen - in einer Wissensdatenbank zu speichern, eignet sich Scribble Papers.
Der Zugriff auf Systemtabellen sollte also möglichst auf die Basisadministration beschränkt werden.