Die Anatomie der SAP Berechtigung oder Dokumentationen zu SAP Berechtigungsobjekten und Berechtigungsfeldwerten
Ausführbare Transaktionscodes ermitteln
Weitere Gefahren sind, dass Admins einfach Benutzerrollen kopieren, keine Kontrollprozesse für Berechtigungsvergaben existieren oder die Prozesse im Laufe der Zeit nicht eingehalten werden. In diesem Rahmen sollten zwei Dinge geklärt werden: Welcher SAP-Benutzer darf auf welche Daten zugreifen? Worin unterscheiden sich die Rollen (vor allem wenn es sich um ähnliche Rollen handelt)?
Beratungshäuser passen die Rollen und Berechtigungen im Nachgang an. Das bedeutet meist „das Beste daraus zu machen“ und Ad-Hoc-Anpassungen vorzunehmen – also nicht, die Ursache zu beheben und von Grund auf aufzuräumen. Unternehmen sollten sich daher fragen: Wie lässt sich das vermeiden? Welche Voraussetzungen muss ein DSGVO-konformes Berechtigungskonzept erfüllen? Wie können wir aussagekräftig bezüglich der Berechtigungen bestimmter Personen im System und dem Zweck der Berechtigungen bleiben?
Prüfung auf Programmebene mit AUTHORITY-CHECK
Umfangreiche Berechtigungen für die Transaktionen SCC4 und SE06 sollten Sie nicht an interne und externe Revisoren vergeben, nur damit diese die Systemänderbarkeit einsehen können. Wir stellen Ihnen den Report vor, der zur Anzeige der Systemänderbarkeit nur die Berechtigungen erfordert, die ein Revisor üblicherweise hat. Es gibt verschiedene Personen, die die Einstellungen zur Systemänderbarkeit in Ihrem System aus bestimmten Gründen einsehen möchten. Dies können Mitarbeiter der internen Revision, Wirtschaftsprüfer oder auch Entwickler sein. Die Anzeige dieser Einstellungen, z. B. über die Transaktionen SCC4 oder SE06 ist an sich unkritisch; allerdings waren dafür bisher Berechtigungen notwendig, die dem soeben beschriebenen Personenkreis üblicherweise nicht zugeordnet werden. Seit SAP NetWeaver 7.0 gibt es alternativ einen Report, der die Einstellungen zur Systemänderbarkeit anzeigt. Dieser Report erfordert nur Anzeigeberechtigungen, die dem oben beschriebenen Personenkreis ohne Bedenken zugeordnet werden können. Die Anwendung dieses Reports und die erforderlichen Berechtigungen stellen wir Ihnen an dieser Stelle vor.
Entferne falsch definierte SAP-Orgebene ($CLASS): Diese Funktion löscht die Organisationsebene $CLASS, die mit dem GRCPlug-in (Governance, Risk and Compliance) fehlerhaft ausgeliefert wurde. Nutzen Sie den Testmodus des Reports, um sich mögliche Korrekturen im Vorfeld anzuschauen.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Die Identifizierung der erforderlichen Funktionsbausteine erfolgt im UCON Phase Tool (Transaktion UCONPHTL), das konstant alle externen RFC-Aufrufe überwacht und eine Einführung der UCON Communication Assembly unterstützt.
Mit dem Berechtigungsobjekt S_START können Sie diese Anforderung in den PFCG-Rollen abbilden.