SAST Super User Management

Teilen Sie
  • Sicherheit

Das Modul Super User Management in SAST bietet eine Funktion, mit der Benutzer ohne Berechtigung arbeiten können. SAP_ALL oder andere kritische Berechtigungen im Produktionssystem.

Benutzer FireFighter Es ist temporärer Benutzer, die erweiterte Rechte bietet,
und ermöglicht gleichzeitig seine Kontrolle im System.

Zusätzliche Konten werden vom SAP-Rechte-Administrator angelegt und weist den Benutzern besondere Rechte zu.

Wenn ein Notfall oder eine außergewöhnliche Unterstützung erforderlich ist und zusätzliche Berechtigungen benötigt werden, stehen den zugewiesenen Support-Benutzern die folgenden Konten zur Verfügung FireFighter (FF).

Berechtigungsverwalter können neue FF-Konten für die Aktivitäten verschiedener Geschäftseinheiten in SAP anlegen. Diese Konten können jedoch nicht für die tägliche Arbeit im System verwendet werden.

Im SAST-Tool können wir entsprechende Konten für FireFighter-Benutzer definieren und ihnen Personen zuweisen, die für die Kontrolle der Nutzung der vorgesehenen FF-Benutzer verantwortlich sind. In unserem Fall heißen sie Wirtschaftsprüfer. Sobald die Arbeit von FireFighter-Benutzern begonnen und abgeschlossen wurde Benachrichtigungen in ihrem E-Mail-Posteingang erhalten.

Nachdem Sie den FF-Benutzer aus der Liste der verfügbaren Konten ausgewählt und die geplanten Aktivitäten in einem neuen Fenster beschrieben haben, können Sie als FireFighter-Benutzer fortfahren.

Nach Abschluss der Unterstützungsarbeiten protokolliert die SAST alle vom Firefighter-Anwender durchgeführten Aktivitäten und stellt der verantwortlichen Person (Auditor) einen entsprechenden Bericht zur Verfügung.

Jeder Bericht sollte regelmäßig überprüft und vom Prüfer akzeptiert werden.
Holen Sie bei Unstimmigkeiten im Betrieb die notwendige Klärung von der Person ein, die den FireFighter-Benutzer eingesetzt hat.

SAST User Access Management bietet zwei Optionen zur Sitzungsaktivierung für den FireFighter-Benutzer.
  1. Automatische Aktivierung einer Sitzung für FireFighter, die gestartet wird, wenn das Fenster voll ist
    mit geplanten Aktivitäten
  2. Sitzungsaktivierung für FireFighter unter Verwendung eines Tokens.

Das eingesetzte Verfahren schützt außerdem vor der Nutzung kritischer FireFighter-Benutzer ohne vorherige Genehmigung des Prüfers. Für die Anmeldung ist ein speziell generierter Schlüssel erforderlich.

SAST verfügt auch über eine automatische Funktion (Passive Monitoring), die die Aktivitäten der Superuser in SAP aufzeichnet. Diese Gruppe umfasst: „SAP*”, „EarlyWatch” und „DDIC”.

SAST Super User Management

Tomasz Jurgielewicz

Leiter der Sicherheitsabteilung bei Lukardi. Er leitet seit 10 Jahren ein Team von SAP-Sicherheitsspezialisten und bietet umfassende Dienstleistungen und Tools zur Sicherung von SAP-Systemen und zur Optimierung von Lizenzen. Erfahrung in den Bereichen: - Identifizierung von Berechtigungskonflikten und Reorganisation von Berechtigungen, - Identifizierung von SAP-Schwachstellen, - Integration von SIEM-Lösungen mit SAP, - Optimierung von SAP-Lizenzen.