Fehlende Definition eines internen Kontroll-Systems (IKS)
Sicherheitshinweise mithilfe der Systemempfehlungen einspielen
Vereinfachen Sie Ihr Berechtigungskonzept nicht, bevor Sie alle Anforderungen kennen, sondern fragen Sie sich erst, was es zu erreichen gilt. Analysieren Sie also zunächst die Prozesse (wenn möglich auch technisch), und schaffen Sie erst dann ein Konzept. Viele Berechtigungskonzepte, die wir bei Kunden vorfanden, waren nicht dazu geeignet, den Anforderungen gerecht zu werden. Teilweise handelte es sich um »gewachsene« Berechtigungskonzepte (d. h., dass immer wieder Anforderungen hinzukamen) oder um gekaufte Berechtigungskonzepte. Vielen dieser Konzepte war gemeinsam, dass sie nicht einfach, sondern zu stark vereinfacht worden waren. Ein schönes Beispiel sind Berechtigungskonzepte, die alle Organisationsebenen in Werterollen oder Organisationsrollen zusammenfassen. Es gibt wenige Beispiele, wie z. B. den Rollenmanager der Branchenlösung SAP for Defense and Security, in denen das Ergebnis eines Werterollenkonzepts für den Benutzer noch sinnvoll und angemessen ist. Die Annahme, dass man »mal eben« alle Berechtigungsobjekte separiert, die eine Organisationsebene enthalten, ist zwar einfach, aber eben nicht sinnvoll. Die Vereinfachung, dass nur ein Benutzer ohne Berechtigungen definitiv keine rechtswidrigen Berechtigungen haben kann, haben wir in der Praxis nicht vorgefunden. Allerdings gab es immer wieder den Fall, dass Benutzer viel zu viele Berechtigungen besaßen und das System damit nicht mehr rechtskonform war.
Rollen können Anwendern direkt über die Benutzerverwaltung in der Transaktion SU01, über die Rollenpflege in der Transaktion PFCG oder über die Massenänderung von Benutzern in der Transaktion SU10 zugeordnet werden. Ändert der Mitarbeiter jedoch seine Tätigkeit im Unternehmen, müssen die alten Rollen entfernt und neue Rollen, entsprechend der neuen Tätigkeiten, zugewiesen werden. Da PFCG-Rollen so erstellt werden, dass sie Arbeitsplatzbeschreibungen darstellen, können Sie das Organisationsmanagement verwenden, um die Rollen anhand der Planstelle, Stelle usw. Anwendern zuzuordnen.
Pflegestatus von Berechtigungen in Rollen und deren Auswirkung beachten
Jeder Durchlauf des Profilgenerators sammelt beim Abmischen alle Berechtigungsvorschläge aus der Transaktion SU24 zu einer Transaktion, die über das Rollenmenü der Einzelrolle hinzugefügt wurde, und überprüft die der Berechtigungsliste hinzuzufügenden Berechtigungen. Die folgenden Auswirkungen hat ein Hinzufügen von Transaktionen auf eine Rolle, wenn die hinzugefügte Transaktion über das Rollenmenü der Rolle bekanntgegeben wird und verschiedene Kriterien erfüllt sind.
Ein eigenes Programm – eine eigene Berechtigung. Was simpel klingt, erfordert ein paar Schritte, die gelernt sein wollen. Sie möchten in Ihren Eigenentwicklungen eigene Berechtigungsprüfungen implementieren oder Standardanwendungen mit eigenen Berechtigungsprüfungen erweitern? Bei der Implementierung von kundeneigenen Berechtigungen muss einiges beachtet werden. In diesem Tipp konzentrieren wir uns auf die technische Umsetzung der Implementierung von Berechtigungsprüfungen.
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
In der Auswertung des Berechtigungstrace ist nun eine zusätzliche Spalte Server Name zu sehen, in der Ihnen der Name des Anwendungsservers angezeigt wird, auf dem die jeweiligen Berechtigungsprüfungen protokolliert wurden.
Die beim Aufruf der alten Transaktion SU53 durchgeführte automatische Speicherung entfällt, da sie die letzte Aufzeichnung überschrieben hat.