Risiko: historisch gewachsenen Berechtigungen
Fehleranalyse bei Berechtigungen (Teil 1)
Eine universal anwendbare Vorlage für ein zuverlässiges und funktionierendes Berechtigungskonzept existiert aufgrund der Individualität und der unterschiedlichen Prozesse innerhalb jedes Unternehmens nicht. Im Rahmen der Erstellung müssen somit die Strukturen des Unternehmens und die relevanten Prozesse genau analysiert werden. Einige Kernelemente des zu erstellenden Berechtigungskonzepts können im Vorfeld definiert werden. Dazu gehören das übergeordnete Ziel, die rechtlichen Rahmenbedingungen, eine Namenskonvention, die Klärung von Verantwortlichkeiten und Prozessabläufen für das Benutzer- wie auch Berechtigungsmanagement sowie die Ergänzung durch Sonderberechtigungen. Nur mit klar definierten Verantwortlichkeiten wird die Wirksamkeit eines Konzepts gewährleistet.
Ohne die generische Tabellenprotokollierung sind bestimmte Änderungen im System nicht nachvollziehbar. Erfahren Sie, wie sie die Tabellenprotokollierung im System für eine große Menge von Tabellen einschalten können. Im SAP-System werden Änderungsbelege für die meisten Änderungen geschrieben – allerdings nicht für alle. Speziell Änderungen an Tabellen, in denen das Customizing vorgenommen wird, werden nicht in den Änderungsbelegen festgehalten. Dies kann dazu führen, dass Änderungen nicht nachvollziehbar sind. Vermeiden Sie dies, indem Sie grundsätzlich die Tabellenprotokollierung aktivieren und dann die Protokollierung für bestimmte zusätzliche Tabellen einstellen. Sie sollten die Tabellenprotokollierung immer für alle Mandanten aktivieren. Während eines Releaseupgrades kann es aber erforderlich sein, die Tabellenprotokollierung temporär zu deaktivieren.
Alten Stand lesen und mit den neuen Daten abgleichen
Wie mache ich einen Berechtigungstrace auf einen Benutzer (STAUTHTRACE)? Mit dem Berechtigungstrace kannst du aufzeichnen, welche Berechtigungsobjekte von einem Benutzer verwendet werden. Dies hilft bspw. bei der Erstellung geeigneter Rollen: - Rufe die Transaktion STAUTHTRACE auf - Gib den gewünschten Benutzer an und starte den Trace - Lasse den Benutzer seine Transaktion aufrufen - Stoppe den Trace (Wichtig, nicht vergessen!) - Werte die Ergebnisse aus.
SAPconnect verwendet den S/MIME-Standard (Secure/Multipurpose Internet Mail Extensions) für die Signierung beim Versand von E-Mails, bzw. um empfangene E-Mails zu verifizieren und zu entschlüsseln. S/MIME wird von den meisten E-Mail-Clients unterstützt und erfordert X.509-basierte Zertifikate.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Um Ihren Handlungsbedarf in diesem Bereich zu überprüfen, rate ich Ihnen, sich folgende Fragen zu stellen: Wissen Sie, welche Benutzer welche SAP-Berechtigungen bekommen und warum? Können Sie Ihrem Datenschutzbeauftragten das Konzept erklären? Ist es bei Ihnen einfach, einen neuen Prozess einzuführen, weil Sie wissen, wie die Berechtigungen funktionieren? Wenn Sie hier (mehrmals) mit „Nein“ antworten müssen, empfehle ich Ihnen sich dem Thema zu widmen.
Viele Berechtigungskonzepte haben sich über die Zeit hinweg zu undurchsichtigen Konstrukten entwickelt.