SAP-Berechtigungen - Eine Sammlung von Grundkonzepten Teil 2

Hat Ihnen unser letzter Überblick über SAP-Begriffe gefallen? Wenn ja, dann herzlich willkommen zum zweiten Teil, in dem wir mit dem Aufbau eines Glossars der grundlegenden Elemente der SAP-Berechtigungswelt.

Glossar der Grundelemente der SAP-Berechtigungswelt

Berechtigungsobjekt - ein wichtiges Element von SAP unter dem Gesichtspunkt der Berechtigungen, wobei der Benutzerzugriff (oder genauer gesagt die Benutzerrechte) durch in das Objekt programmierte Kontrollen gesteuert wird. Das Objekt besteht in der Regel aus verschiedenen Feldern, z. B. ACTVT (Aktivität) und BUKRS (Geschäftseinheit). Das Rechteobjekt wird in der Transaktion SU21 angelegt.

Feld und Feldwert eines Objekts - Das Berechtigungsobjekt besteht aus Feldern, und die Felder müssen mit Werten gefüllt werden, damit die Berechtigungen funktionieren. Um z.B. Buchhaltungsbelege anzeigen zu können, muss das Feld ACTVT mit dem Wert 03 (Anzeige) und das Feld BRGRU (Berechtigungsgruppe) mit der entsprechenden Gruppe, der die Belege zugeordnet sind, gefüllt werden.

GRC (Governance, Risiko und Compliance) - Ein Technologie- und Geschäftsbereich in Unternehmen, dessen wichtigste Herausforderungen die Definition und Kontrolle von Risiken und die Einhaltung von Vorschriften sind. Kurz und bündig. SAST ist eines der auf dem Weltmarkt verfügbaren Tools für die Verwaltung von GRC in kleinen und großen Organisationen.

Zulassungskonflikt - In der Welt der Menschen genügen zwei Personen, die miteinander interagieren, um einen Konflikt zu erzeugen. Im SAP-Konfliktökosystem der Ansprüche sind es mindestens zwei Transaktionen oder Teilprozesse, die zusammengenommen einen Konflikt, d.h. ein geschäftliches oder technisches Risiko, erzeugen.

SoD (Segregation of Duties) - d.h. Trennung der Aufgaben. Nach den SAP-Standards muss der Zugang zu den Transaktionen ordnungsgemäß organisiert sein, damit das Unternehmen nicht in Gefahr gerät. Um welche Art der Aufgabentrennung handelt es sich? Wenn beispielsweise Anna die Mitarbeiterdaten für die Bankkonten einträgt und Janek die Überweisungen an die Mitarbeiter am Zahltag freigibt, sollte nicht eine Person die Befugnis haben, beides zu tun, da dies einen potenziellen Missbrauch der Befugnisse ermöglichen würde. Diese Trennung und das Stellenmodell müssen vor der Erstellung der Zielrollen entworfen werden.

Matrix der Zulassungskonflikte - eine Reihe von gruppierten Konflikten, oder „was spielt mit was”. Es ist eine gute Praxis, Konflikte nach SAP-Modulen zu gruppieren und sicherzustellen, dass Sie Ihre eigenen Zeta-Lösungen in der Matrix implementieren. Das SAST-Berechtigungsmanagement bietet eine Konfliktbibliothek mit mehr als 100 definierten Konflikten nach Modul und Prozess.

Verfolgung/Verfolgung - Mit der Transaktion ST01 (oder SAST SGM) ist es möglich, die vom Benutzer durchgeführten Aktionen zu verfolgen, indem das System ein Protokoll mit Informationen über die aufgerufenen Transaktionen und Aktionen (aufgeschlüsselt nach Objekten und Werten) sammelt. Trace wird häufig beim Anlegen neuer Rollen verwendet, wenn das Ausfüllen von Feldern in einer Rolle nicht offensichtlich ist oder wenn es wiederholt Meldungen über fehlende Berechtigungen gibt.

Feuerwehrmann - spezieller Benutzer, der für Notfallsituationen zuständig ist. Ihm oder ihr werden oft Rollen mit erweiterten Rechten zugewiesen, damit er oder sie handeln kann, wenn es im System „brennt”. Zum Beispiel, wenn etwas schnell repariert werden muss, um die Geschäftsprozesse nicht zu stören. Solche Benutzer werden oft externen Benutzern wie Modulberatern oder Entwicklern zugewiesen. Mit dem SAST Super User Management können Firefighter-Benutzer auf Anfrage und mit Genehmigung des Systemadministrators oder für den permanenten Zugriff verwaltet werden. Jede Aktion eines solchen Feuerwehrmannes wird ab dem Zeitpunkt der Anmeldung überwacht und in den Systemprotokollen aufgezeichnet.

SAP_ALL - ein Profil mit vollständigen Werten für jedes aktive Berechtigungsobjekt im System. Ein Benutzer mit einem solchen Profil hat volle Berechtigungen in Geschäftsmodulen (FI, HR, MM usw.) sowie in der Entwicklung und Systemverwaltung. Es wird nicht empfohlen, solche Profile an Benutzer zu vergeben, insbesondere nicht in einem Produktivsystem. Warum ist dies also ein so beliebter Fehler für Administratoren? Die Zuweisung eines SAP_ALL an einen Benutzer dauert 3 Sekunden, während die Analyse und Vorbereitung dedizierter Rollen, das Testen und eventuelle Korrekturen (gespickt mit ungeduldigen Kommentaren der Adressaten der Rollen) etwas länger dauern....

Sterne - Magische Sternchen („*”) können in den Kommentaren von Prüfern auftauchen, die unsere SAP-Rollen überprüfen: „Oh, und hier sind die Sternchen selbst, jemand hat sich für den einfachen Weg entschieden, hat jemand diese Rollen überhaupt überprüft”? „Warum hat der Junior-Buchhalter Sterne auf Dokumenten, Konten und Aktivitäten”? Auf welche Sternchen beziehen Sie sich? Sternchen in SAP = alles, d.h. volle Autorität auf einem bestimmten Autoritätsobjekt, z.B. jede Art von Aktivität, jedes Dokument, jede Tabelle, usw.

SU53 - „Schicken Sie mir einen Screenshot von SU53”, das hören Sie vielleicht von Ihrem Berechtigungsadministrator. Dies ist eine Transaktion, die es Ihnen ermöglicht, fehlende Berechtigungen (für Ihren Benutzer) in Form eines Berechtigungsobjekts und eines Werts schnell zu überprüfen.

Benötigen Sie weitere Informationen? Kontaktieren Sie uns!

Wenn Ihnen unser Glossar gefällt und Sie sich an der Umfrage beteiligen möchten Workshop zu SAP-Ansprüchen und Konflikten - schreiben Sie uns.

Wir werden eine interessante und maßgeschneiderte Formel vorschlagen.