Czy podobało się Tobie nasze ostatnie zestawienie pojęć SAP? Jeśli tak, zapraszam na drugą część, w której kontynuujemy budowanie słownika podstawowych elementów świata autoryzacji SAP.
Obiekt autoryzacji (ang. Authorization object) – istotny z perspektywy uprawnień element SAP, dzięki któremu dostęp użytkownika (a dokładnie jego uprawnienia) jest kontrolowany za pomocą kontrol zaprogramowanych w danym obiekcie. Obiekt zazwyczaj składa się z różnych pól np. ACTVT (czynności) i BUKRS (jednostka gospodarcza). Obiekt uprawnień tworzy się w transakcji SU21.
Pole i wartości pól obiektu (ang. Field and field value) – Obiekt autoryzacji składa się z pól, a pola muszą być wypełnione wartościami aby uprawnienia działały. Na przykład, żeby można było wyświetlać dokumenty księgowe pole ACTVT musi być wypełnione wartością 03 (display), a pole BRGRU (authorization group) odpowiednią grupę, do której są przypisane dane dokumenty.
GRC (ang. Governance, Risk and Compliance) – Obszar technologiczno-biznesowy w przedsiębiorstwach, którego głównymi wyzwaniami są definiowanie oraz kontrola ryzyk i przestrzeganie zasad zgodności. W dużym skrócie. SAST jest jednym z dostępnych na rynku globalnym narzędzi do zarządzania GRC w małych i dużych organizacjach.
Konflikt Uprawnień (ang. Authorization conflict) – W świecie ludzi, aby powstał konflikt wystarczą dwie osoby, które wchodzą ze sobą w interakcję. W ekosystemie konfliktów uprawnień SAP to przynajmniej dwie transakcje czy podprocesy, które w zestawieniu ze sobą generują konflikt czyli ryzyko biznesowe czy techniczne.
SoD (ang. Segregation of Duties) – czyli podział obowiązków. Według standardów SAP, dostęp do transakcji powinien być odpowiednio zorganizowany tak, aby przedsiębiorstwo nie narażało się na ryzyko. O Jaki podział obowiązków chodzi? Na przykład taki żeby Ania uzupełniała dane pracowników o konta bankowe a Janek zwalniał przelewy pracownikom w dniu wypłat, jedna osoba nie powinna mieć uprawnień do obu czynności gdyż taka sytuacja umożliwiałaby potencjalne nadużycie uprawnień. Taki rozdział i model stanowisk musi być zaprojektowany przed utworzeniem docelowych ról.
Macierz/matryca konfliktów uprawnień (ang. Authorization conflicts matrix) – zbiór pogrupowanych konfliktów, czyli „co z czym się gryzie”. Dobrą praktyką jest pogrupować konflikty według modułów SAP oraz należy pamiętać, aby zaimplementować w matrycy własne rozwiązania zetowe. SAST Authorization Management dostarcza bibliotekę konfliktów z ponad 100 zdefiniowanymi konfliktami z podziałem na moduły oraz procesy.
Trace/śledzenie – za pomocą transakcji ST01 (lub SAST SGM) można śledzić wykonywane przez użytkownika działania na zasadzie zbierania przez system logu z informacjami o wywoływanych transakcjach i czynnościach (z podziałem na obiekty i wartości). Trace’a często używa się przy tworzeniu nowych ról gdy wypełnienie pól w roli nie jest oczywiste lub w przypadku pojawiających się powtarzających komunikatów o braku uprawnień.
Firefighter – użytkownik specjalny, dedykowany do sytuacji awaryjnych. Często ma przypisane role z rozszerzonymi uprawnieniami do działań przy „pożarach” na systemie. Na przykład gdy trzeba szybko coś naprawić, aby nie zakłócać procesów biznesowych. Tacy użytkownicy są często przypisywani użytkownikom zewnętrznym jak konsultanci modułowi czy developerzy. SAST Super User Management pozwala na zarządzanie użytkownikami awaryjnymi za pomocą wnioskowania i akceptacji admina systemu lub na stały dostęp. Każde działania takiego firefightera od momentu zalogowania jest monitorowane i zapisywane w logach systemu.
SAP_ALL – profil o pełnych wartościach dla każdego aktywnego obiektu autoryzacji na systemie. Użytkownik z takim profilem ma pełne uprawnienia w modułach biznesowych (FI, HR, MM, etc) oraz developerskie i administracyjne systemu. Nie zaleca się nadawać takich profili użytkownikom, zwłaszcza na systemie produkcyjnym. Dlaczego jest zatem tak popularną wpadką administratorów? Przypisanie SAP_ALL do użytkownika trwa 3 sekundy, zaś analiza i przygotowanie dedykowanych ról, testy oraz ewentualne poprawki (okraszone zniecierpliwionymi komentarzami docelowych odbiorców ról) odrobinę dłużej…
Gwiazdki – magiczne gwiazdki („*”) mogą pojawić się w komentarzach audytorów przeglądających nasze role SAP „o, a tutaj są same gwiazdki, ktoś poszedł na łatwiznę, czy ktoś w ogóle weryfikował te role”? „Dlaczego młodszy księgowy ma gwiazdki na dokumentach, kontach i w działaniach”? O jakie gwiazdki chodzi? Gwiazdki w SAP = wszystko, czyli pełne uprawnienie w zakresie danego obiektu uprawnień, np. każdy rodzaj działań, każdy dokument, każda tabela, etc.
SU53 – „podeślij mi screena z SU53”, możesz to usłyszeć od swojego admina uprawnień. To transakcja, która pozwoli na szybką weryfikację brakujących uprawnień (dla twojego użytkownika) w postaci obiektu autoryzacji oraz wartości.
Jeśli podoba się Tobie nasz słowniczek i chciałbyś/chcialabyś wziąć udział w dedykowanym warsztacie uprawnień i konfliktów SAP – napisz do nas.
Zaproponujemy interesującą i dopasowaną do Twoich potrzeb formułę.
Autor: Bernadeta Szwarc
W świecie uprawnień SAP - zbiór pojęć
Co powinna zawierać koncepcja uprawnień SAP?
Jak zdefiniować koncepcje autoryzacji?
Projekt reorganizacji uprawnień
