SAP Career Guide - A beginner’s manual on SAP careers for students and professionals

...unbedingt empfehlenswert!!!

B. Artinger

Schnelleinstieg in SAP GRC – Access Control

Korruption, Verluste oder Datendiebstahl lassen sich häufig auf ein mangelhaftes Berechtigungsmanagement im Unternehmen zurückführen. Als wichtiger Bestandteil der SAP-Lösung für Governance, Risk und Compliance (GRC) dient SAP Access Control der Erkennung...

Leseprobe

Inhaltsverzeichnis

  • Vorwort
  • 1 Risiken und rechtliche Grundlagen im Berechtigungsmanagement
  • 2 Vorstellung der GRC-Suite von SAP
  • 3 ARA – das Herzstück des GRC
  • 4 BRM – konfliktfreie Rollen als Voraussetzung für ein funktionierendes Berechtigungsmanagement
  • 5 ARM – Benutzermanagementprozesse mit integierter Berechtigungsprüfung
  • 6 EAM – Zugriff auf das System mit speziellen kritischen Rechten
  • 7 Verantwortlichkeiten im Umfeld von SAP Access Control
  • 8 Fazit
  • A   Anhang

Weitere Informationen

Autor/in:

Martin Metz, Sebastian Mayer

Katgorie:

Security & Identity Management

Sprache:

Deutsch

Leseprobe

2.1 Kurzvorstellung der SAP-Rollen- und Profilstruktur

Programme, Services, Informationen und Tabellen werden in SAP mittels Berechtigungen vor unerlaubtem Zugriff geschützt. Endanwender benötigen daher in SAP für ihre tägliche Arbeit passende Befugnisse in Form von Transaktionen und adäquat ausgeprägten Berechtigungsobjekten. Im SAP-Berechtigungswesen wird zur Verwaltung von Berechtigungen grundsätzlich zwischen den folgenden Objekttypen unterschieden:

  • Berechtigungsprofil (kurz: Profil),
  • Einzelrolle,
  • Sammelrolle,
  • abgeleitete Rolle.

Berechtigungen werden in SAP mittels sogenannter Berechtigungsprofile gebündelt. Soll ein Endanwender Zugriff auf bestimmte Informationen oder Programme erhalten, ist es erforderlich, seinem Benutzer(konto) Berechtigungsprofile mit den notwendigen Berechtigungen zuzuweisen.

Unterscheidung zwischen Anwender und Benutzer

Ein (End-)Anwender ist eine Person bzw. ein Mitarbeiter Ihres Unternehmens, der ein IT-System nutzt. Ein Benutzer(konto) hingegen ist ein technischer Account auf dem IT-System, der es Mitarbeitern ermöglicht, auf ein gewünschtes IT-System zuzugreifen.

Zur einfachen Verwaltung von Berechtigungsprofilen wurde seitens der SAP der Profilgenerator eingeführt, den Sie mittels der Transaktion PFCG aufrufen können. Im Profilgenerator legen Sie sog. Rollen an, verwalten diese, definieren deren Attribute und ordnen ihnen Berechtigungen zu. Rollen ermöglichen die automatische Generierung eines Profils. Auch diese können Sie einem Benutzerkonto in SAP unmittelbar zuweisen. Damit einhergehend wird ihm jedoch immer automatisch auch das entsprechende, einer Rolle zugehörige Berechtigungsprofil zugeordnet.

Wie zuvor aufgelistet, gibt es drei unterschiedliche Arten von Rollen. In einer Einzelrolle sind, vereinfacht dargestellt, verschiedene Transaktionen und Berechtigungsobjekte enthalten, die Anwender für den Zugriff auf bspw. Programme oder Informationen benötigen. Sammelrollen wiederum ermöglichen Ihnen die Bündelung von Einzelrollen. Dies geschieht bspw. zur Verringerung des Pflegeaufwands bei der Benutzerverwaltung. Hätten Sie ausschließlich Einzelrollen im Einsatz, müssten Sie in SAP stets alle von einem Anwender benötigten Einzelrollen manuell zuordnen. In Sammelrollen fassen Sie fachlich verbundene Einzelrollen zusammen und ordnen dem Benutzer lediglich die übergeordnete Sammelrolle zu. Abgeleitete Rollen entstehen, indem Sie bestimmte, in einer Einzelrolle nicht näher definierte Organisationswerte wie bspw. Buchungskreise (in der SAP-Terminologie BUKRS) im Rahmen der Rollenableitung ausprägen. Einzelrollen, die in diesem Rahmen als Vorlage dienen, werden häufig auch als Masterrollen oder Stammrollen bezeichnet. Abgeleitete Rollen werden automatisch vom System inkl. der jeweiligen Organisationswerte erzeugt und gehören technisch gesehen ebenfalls zu den Einzelrollen. In Abbildung 2.1 veranschaulichen wir Ihnen nochmals die Funktionsweise der Rollenableitung.

GRC

Abbildung 2.1: Rollenableitung in SAP

Neben der Nutzung der über die PFCG automatisch aus Rollen generierten Profile können Sie nach wie vor manuelle Profile mittels der Transaktion SU02 anlegen und verwalten sowie diese Benutzerkonten zuordnen. Manuelle Profile werden mittlerweile jedoch nur noch selten eingesetzt, sodass wir diesen keine weitere Aufmerksamkeit schenken.

In Abbildung 2.2 stellen wir das Zusammenwirken von Rollen, Profilen und Berechtigungen zur Verdeutlichung grafisch dar.

GRC

Abbildung 2.2: Zusammenwirken von Rollen, Profilen und Berechtigungen

Alle Inhalte. Mehr Informationen. Jetzt entdecken.

et.training - Ihre Lernplattform für SAP-Software

  • Zugriff auf alle Lerninhalte1
  • Regelmäßige Neuerscheinungen
  • Intelligenter Suchalgorithmus
  • Innovatives Leseerlebnis
  • Maßgeschneidere Lernpfade
  • Zertifikate & QA-Tests2

Sie haben bereits ein Konto?

1 Sie erhalten Zugriff auf alle Lerninhalte. Online-Trainings, Zertifikate sind NICHT Teil der Flatrate.

2 Weitere Informationen auf Anfrage.