Mitigierung von GRC-Risiken für SAP-Systeme
Redesign der SAP® Berechtigungen
Berechtigungen müssen in jedem SAP-System gepflegt werden – eine Aufgabe, die umso schwieriger wird, je komplexer die Systemlandschaften und größer die Benutzerzahlen sind. Gerade in wachsenden Systemlandschaften kann es vorkommen, dass die einmal definierten Konzepte nicht mehr zu den aktuellen Anforderungen passen oder die eingeübten Prozesse in der Rollenund Berechtigungsverwaltung mit der Zeit immer aufwendiger und umständlicher werden.
Man muß aber beachten, dass das System alle Berechtigungsfehler des Benutzers in den Speicherbereich der SU53 schreibt. D.h. falls es zu einem sog. Doppelschlag kommt, also mehrere Berechtigungsfehler auftreten, immer nur der letzte Fehler in diesem Bereich steht. Ich bevorzuge es, dem Benutzer zu veranlassen, die Transaktion bis zu der Fehlermeldung „Keine Berechtigung…“ laufen zu lassen, dann über das Menü den Fehler sich anzeigen zulassen, und mir ein Bildschirmbild der ersten Seite der Ausgabe zu schicken. Damit vermeide ich es, dass der Benutzer bei Aufruf der Transaktion SU53 ggf. nochmals einen Berechtigungsfehler erzeugt, der den ursprünglichen überdeckt. Man kann als Benutzeradministrator oder Rollenadministrator auch selbst die SU53 aufrufen und sich über Menü den Fehlereintrag eines andern Benutzers anzeigen lassen. Dies klappt aber nicht unbedingt immer.
Umsetzung der Berechtigung
Weitere Projekteinstellungen sollten Sie auf den Registerkarten Umfang, Projektsichten, Projektmitarbeiter, Statuswerte, Stichwörter Dokumentationsarten, Transportaufträge und Crossreferenz definieren. Nachdem alle Eingaben getätigt worden sind, müssen Sie das Projekt sichern. Vergessen Sie dabei nicht, das Projekt zu generieren. Mithilfe der Transaktion SPRO können Sie das neu angelegte Customizing-Projekt bearbeiten. Beim ersten Aufruf wird das neu angelegte Projekt noch nicht angezeigt. Klicken Sie zur Anzeige auf den Button Aufnehmen in den Arbeitsvorrat ( ), wählen Sie Ihr Projekt aus, und bestätigen Sie schließlich Ihre Auswahl. Nachdem Sie das Projekt erfolgreich erstellt, generiert oder bearbeitet haben, führen Sie zum Anlegen einer passenden Customizing-Rolle für das Projekt die Transaktion PFCG aus. Wählen Sie einen Namen für die Rolle, und klicken Sie anschließend auf Einzelrolle anlegen. Nun öffnen Sie die Registerkarte Menü und folgen dem Pfad: Hilfsmittel > Customizing Berechtigungen > Hinzufügen > Einfügen von Customizing Aktivitäten. Wählen Sie dann zwischen IMG Projekt und Sicht eines IMG Projektes. Alle Transaktionscodes werden aus dem IMG-Projekt in das Menü der Rolle aufgenommen. Beachten Sie dabei, dass es sich um eine sehr große Anzahl an Transaktionen handeln kann und der Vorgang daher länger andauern kann. Die Ausprägung der Berechtigungsobjekte pflegen Sie anschließend wie gewohnt über die Registerkarte Berechtigungen. Sichern und generieren Sie die Rolle.
Einige nützliche Tipps aus der Praxis zum Thema SAP Basis finden Sie auch auf der Seite www.sap-corner.de.
Starten Sie den QuickViewer für die SAP Query mit der Transaktion SQVI. Legen Sie auf dem Einstiegsbild eine neue Query namens ZMYSUIM an. Geben Sie noch eine Beschreibung dazu und – das ist der wichtigste Schritt – als Datenquelle einen Tabellen-Join an. Auf dem Folgebildschirm können Sie nun Ihre Datenquellen konkretisieren. Im Menü über Bearbeiten > Tabelle einfügen (oder über den Button ) können Sie die Tabellen auswählen. In unserem Fall wären dies die Tabelle AGR_ 1251 für die Berechtigungswerte in den Rollen und die Tabelle AGR_USERS für die Benutzerzuweisungen in Rollen. Das System schlägt automatisch eine Verknüpfung (Join) der Tabellen über gemeinsame Datenspalten vor. In unserem Beispiel ist dies der Name der Rolle.
Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.
Daher stellen wir Ihnen hier drei mögliche Ansätze vor: 1) Ansatz einer kundeneigenen Entwicklung 2) automatisierte Massenpflege mithilfe der Komponente Business Role Management 3) Einsatz eines Pilothinweises, der einen Report für das Massenupdate von Organisationswerten in Rollen ermöglicht (aktuell für ausgewählte Kunden verfügbar) (BRM) von SAP Access Control.
Um die vielen Informationen zum Thema SAP - und auch anderen - in einer Wissensdatenbank zu speichern, eignet sich Scribble Papers.
Benutzerstammsatz - Dient der Anmeldung am SAP-System und gewährt über die in der Rolle angegebenen Berechtigungsprofile einen eingeschränkten Zugriff auf die Funktionen und Objekte des SAP-Systems.