SAP-behörigheter - En samling grundläggande begrepp Del 2

Tyckte du om vår senaste översikt över SAP-termer? I så fall är du välkommen till del två, där vi fortsätter att bygga upp en ordlista med grundläggande delar av SAP:s behörighetsvärld.

Ordlista över de grundläggande elementen i SAP:s behörighetsvärld

Objekt för auktorisation - ett viktigt element i SAP ur ett behörighetsperspektiv, där användaråtkomst (eller mer exakt användarrättigheter) styrs med hjälp av kontroller som är programmerade i objektet. Objektet består vanligtvis av olika fält, t.ex. ACTVT (aktivitet) och BUKRS (affärsenhet). Rättighetsobjektet skapas i SU21-transaktionen.

Fält och fältvärde för ett objekt - Behörighetsobjektet består av fält och fälten måste fyllas med värden för att behörigheterna ska fungera. För att t.ex. kunna visa bokföringsunderlag måste fältet ACTVT fyllas i med värdet 03 (visa) och fältet BRGRU (behörighetsgrupp) med motsvarande grupp som underlagen är kopplade till.

GRC (styrning, risk och efterlevnad) - Ett teknik- och affärsområde inom företag vars främsta utmaningar är att definiera och kontrollera risker och regelefterlevnad. I ett nötskal. SAST är ett av de verktyg som finns på den globala marknaden för att hantera GRC i små och stora organisationer.

Konflikt om auktorisation - I den mänskliga världen räcker det med att två personer interagerar med varandra för att en konflikt ska uppstå. I SAP:s konfliktekosystem för rättigheter är det minst två transaktioner eller delprocesser som tillsammans skapar en konflikt, dvs. en affärsmässig eller teknisk risk.

SoD (Segregation of Duties - åtskillnad av arbetsuppgifter) - dvs. åtskillnad av arbetsuppgifter. Enligt SAP-standarderna ska tillgången till transaktioner organiseras på rätt sätt så att företaget inte utsätter sig för risker. Vilken typ av åtskillnad av arbetsuppgifter är det fråga om? Om Anna t.ex. fyller i anställdas uppgifter för bankkonton och Janek gör överföringar till anställda på lönedagen, ska en person inte ha befogenhet att göra båda, eftersom det skulle kunna leda till maktmissbruk. Denna åtskillnad och arbetsmodell måste utformas innan målrollerna skapas.

Matris för behörighetskonflikter - en uppsättning grupperade konflikter, eller „vad som spelar med vad”. Det är bra att gruppera konflikterna efter SAP-moduler och se till att implementera dina egna zeta-lösningar i matrisen. SAST Authorisation Management tillhandahåller ett konfliktbibliotek med mer än 100 definierade konflikter per modul och process.

Spårning/spårning - Med hjälp av ST01-transaktionen (eller SAST SGM) är det möjligt att spåra de åtgärder som användaren har utfört genom att systemet samlar in en logg med information om de anropade transaktionerna och åtgärderna (uppdelade i objekt och värden). Trace används ofta vid skapande av nya roller när det inte är självklart att fylla i fälten i en roll eller när det kommer upprepade meddelanden om bristande behörigheter.

Brandman - Specialanvändare som är dedikerad till nödsituationer. Han eller hon tilldelas ofta roller med utökade behörigheter för att agera när det „brinner” i systemet. Till exempel när något måste åtgärdas snabbt för att inte störa affärsprocesserna. Sådana användare tilldelas ofta externa användare, t.ex. modulkonsulter eller utvecklare. SAST Super User Management gör det möjligt att hantera brandkårsanvändare på begäran och med godkännande av systemadministratören eller för permanent åtkomst. Varje åtgärd som utförs av en sådan brandman från inloggningsögonblicket övervakas och registreras i systemloggarna.

SAP_ALL - en profil med fullständiga värden för varje aktivt behörighetsobjekt i systemet. En användare med en sådan profil har fullständiga behörigheter i affärsmoduler (FI, HR, MM, etc.) samt utveckling och systemadministration. Det är inte rekommenderat att ge sådana profiler till användare, särskilt inte i ett produktionssystem. Så varför är det ett så populärt misstag för administratörer? Att tilldela en SAP_ALL till en användare tar 3 sekunder, medan analys och förberedelse av dedikerade roller, testning och eventuella korrigeringar (kryddat med otåliga kommentarer från målgruppen för rollerna) tar lite längre tid....

Stjärnor - magiska asterisker („*”) kan förekomma i kommentarerna från revisorer som granskar våra SAP-roller „åh, och här är asteriskerna själva, någon har valt den enkla vägen, har någon granskat dessa roller överhuvudtaget”? „Varför har den juniora revisorn stjärnor på dokument, konton och aktiviteter”? Vilka asterisker är det du syftar på? Asterisker i SAP = allt, dvs. full behörighet på ett givet behörighetsobjekt, t.ex. alla typer av aktiviteter, alla dokument, alla tabeller osv.

SU53 - „Skicka mig en skärmdump av SU53”, kanske du hör detta från din behörighetsadministratör. Det här är en transaktion som gör att du snabbt kan verifiera saknade behörigheter (för din användare) i form av ett behörighetsobjekt och ett värde.

Behöver du mer information? Kontakta oss!

Om du gillar vår ordlista och vill vara med och utveckla den dedikerad workshop om SAP-rättigheter och konflikter - skriv till oss.

Vi kommer att föreslå en intressant och skräddarsydd formel.