SAST Super User Management

Aktie
  • Säkerhet

I modulen Super User Management i SAST finns en funktion som gör det möjligt för användare att arbeta utan behörighet. SAP_ALL eller andra kritiska behörigheter i produktionssystemet.

Användare Brandman det är tillfällig användare, vilket ger utökade rättigheter,
och samtidigt gör det möjligt att styra den i systemet.

Ytterligare konton skapas av SAP:s rättighetsadministratör och tilldelar användare med särskilda rättigheter.

Om det krävs akut eller extraordinär support och ytterligare behörigheter behövs, har de tilldelade Support-användarna följande konton till sitt förfogande Brandman (FF).

Behörighetsadministratörer kan skapa nya FF-konton för aktiviteter inom olika affärsenheter i SAP. Sådana konton kan dock inte användas för det dagliga arbetet i systemet.

I SAST-verktyget kan vi definiera lämpliga konton för FireFighter-användare och tilldela dem de personer som ansvarar för att kontrollera användningen av de utsedda FF-användarna. I vårt fall kallas de revisorer. När arbetet har påbörjats och slutförts av FireFighter-användare få meddelanden till sin e-postinkorg.

När du har valt FF-användaren från listan över tillgängliga konton och beskrivit de planerade aktiviteterna i ett nytt fönster kan du fortsätta som FireFighter-användare.

När stödarbetet har slutförts registrerar SAST alla aktiviteter som utförs av Firefighter-användaren och förser den ansvariga personen (revisorn) med en lämplig rapport.

Varje rapport ska regelbundet granskas och godkännas av revisorn.
Om det finns en avvikelse i driften ska du få nödvändiga klargöranden från den person som använde FireFighter-användaren.

SAST User Access Management har två alternativ för sessionsaktivering för FireFighter-användaren.
  1. Automatisk aktivering av en session för FireFighter, som kommer att starta när fönstret är fullt
    med planerade aktiviteter
  2. Sessionsaktivering för FireFighter med hjälp av en token.

Det förfarande som finns på plats skyddar ytterligare mot användning av kritiska FireFighter-användare utan föregående godkännande från revisorn. En särskilt genererad nyckel krävs för att logga in.

SAST har även en automatisk funktion (Passive Monitoring) som registrerar aktiviteten för superanvändare i SAP. I denna grupp ingår: „SAP*”, „EarlyWatch” och „DDIC”.

SAST Super User Management

Tomasz Jurgielewicz

Chef för säkerhetsavdelningen på Lukardi. Han har lett ett team av SAP Security-specialister i 10 år och tillhandahåller omfattande tjänster och verktyg för att säkra SAP-system och optimera licenser. Erfarenhet inom följande områden: - identifiering av behörighetskonflikter och omorganisering av behörigheter, - identifiering av SAP-sårbarheter, - integration av SIEM-lösningar med SAP, - optimering av SAP-licenser.