Moduł Super User Management w SAST oferuje funkcję, która umożliwia użytkownikom pracę bez uprawnień SAP_ALL lub innych krytycznych autoryzacji w systemie produkcyjnym.
Użytkownik FireFighter to tymczasowy użytkownik, który udostępnia rozszerzone uprawnienia,
a jednocześnie pozwala na jego kontrolę w systemie.
Dodatkowe konta tworzy administrator uprawnień SAP i przypisuje użytkowników mogących korzystać ze specjalnych uprawnień.
Jeśli wymagane jest wsparcie w sytuacjach awaryjnych lub nadzwyczajnych i potrzebne są dodatkowe autoryzacje, to przydzieleni do tego użytkownicy Supportowi mają do dyspozycji konta FireFighter (FF).
Administratorzy uprawnień mogą tworzyć nowe konta FF na potrzeby działań różnych komórek biznesowych w SAP. Jednak takie konta nie mogą być wykorzystywane do codziennych prac w systemie.
W narzędziu SAST możemy definiować odpowiednie konta dla użytkowników FireFighter oraz przypisywać do nich osoby odpowiedzialne za kontrolę wykorzystywania wskazanych użytkowników FF. W naszym przypadku są oni nazywani audytorami. Osoby te po rozpoczęciu oraz po zakończeniu prac przez użytkowników FireFighter otrzymują powiadomienia na swoją skrzynkę email.
Po wybraniu użytkownika FF z listy dostępnych kont i opisaniu zaplanowanych działań w nowym oknie, można przystąpić do pracy jako użytkownik FireFighter.
Po zakończeniu prac supportowych, SAST rejestruje wszystkie czynności wykonywane przez użytkownika Firefighter i dostarcza osobie odpowiedzialnej (audytorowi) odpowiedni raport.
Każdy raport powinien być regularnie weryfikowany i zaakceptowany przez audytora.
W razie niezgodności w działaniach, należy uzyskać niezbędne wyjaśnienia od osoby, która korzystała z użytkownika FireFighter.
Wprowadzone procedura dodatkowo zabezpiecza przed użyciem krytycznych użytkowników FireFighter bez uprzedniej akceptacji audytora. Do zalogowania się wymagane jest wprowadzenie specjalnie wygenerowanego klucza.
SAST posiada również funkcję automatyczną (Passive Monitoring), która rejestruje czynność dla super użytkowników w SAP. Do tej grupy należą: „SAP*”, „EarlyWatch” i „DDIC”.
--------------------------------------------------------------------------------------------------
WARTO PRZECZYTAĆ:
autor: Marek /SAST Polska Team/