Sie brauchen einen SAP Berechtigungskonzept Berater und/oder möchten, dass wir Ihnen unser Angebot in diesem Umfeld vorstellen?
Bitte hinterlassen Sie uns Ihren Namen und die Kontaktdaten. Dann melden wir uns bei Ihnen.
Zugriffsmöglichkeiten und Berechtigungen werden im SAP Berechtigungskonzept festgelegt und kontrolliert. Wie sicher Geschäftsdaten in SAP sind, hängt maßgeblich an der Vergabe von Berechtigungen und Zugriffsmöglichkeiten der Benutzer eines Unternehmens.
Erhöhte Anforderungen an die Compliance und die Ausgestaltung Interner Kontrollsysteme konfrontieren Unternehmen mit einer steigenden Anzahl an Regeln darüber, wie SAP- (und weitere IT-)Systeme technisch geschützt werden müssen. Im SAP Berechtigungskonzept werden solche Rechtsnormen und unternehmensinterne Regeln konkretisiert. So ist dafür gesorgt, dass jeder Nutzer nur die Berechtigungen erhält, die er für seine Tätigkeit benötigt. Das unternehmerische Risiko lässt sich damit auf ein Mindestmaß reduzieren.
Das SAP Berechtigungskonzept sichert ab, dass auf Transaktionen, Programme und Services in SAP-Systemen kein unberechtigter Zugriff stattfinden kann. Um im SAP-System betriebswirtschaftliche Objekte aufzurufen oder Transaktionen durchzuführen, benötigt ein Anwender deshalb entsprechende Berechtigungen. Beim Aufruf prüft die über eine Transaktion gestartete Applikation, ob die Berechtigung vorliegt und der Nutzer die ausgewählte Operation durchführen darf.
Sie kennen Ihr bestehendes SAP Berechtigungskonzept und wünschen sich eine Überarbeitung? Sie haben Vorgaben der Wirtschaftsprüfer, ein konsistentes SAP Berechtigungskonzept zu erarbeiten und ggf. später auszurollen?
Über das Konzept teilt der SAP-Administrator den Anwender/innen ihre dedizierten Berechtigungen zu. Hinter diesen verbirgt sich ein Prüfmechanismus, der auf so genannten Berechtigungsobjekten aufsetzt, durch welche die Objekte bzw. Transaktionen geschützt sind. Ein Berechtigungsobjekt kann bis zu zehn Berechtigungsfelder umfassen. Dadurch sind komplexe, an mehrere Bedingungen gebundene Berechtigungsprüfungen möglich.
Im SAP Berechtigungskonzept wird darüber hinaus die Organisation der Berechtigungen innerhalb des SAP-Systems abgebildet. Die Aufbauorganisation definiert Verantwortlichkeiten und die Genehmigungshierarchie, die Ablauforganisation legt Prozessschritte und dafür erforderliche Aktivitäten und Berechtigungsobjekte in SAP fest. Das Berechtigungskonzept muss daher flexibel genug sein, um künftige Änderungen in der Organisation schnell und regelkonform umsetzen zu können.
Berechtigungen werden in einem Unternehmen üblicherweise nicht für Individuen, sondern für Rollen vergeben. Eine Rolle beschreibt Arbeitsplätze oder Positionen innerhalb der Organisation. Eine oder mehrere Personen können eine Rolle innehaben und verfügen damit über die der Rolle zugeordneten Zugangsberechtigungen. Das Berechtigungsprofil (die Anzahl an Berechtigungen) einer Rolle beinhaltet alle Berechtigungsobjekte, die zur Ausführung der Transaktionen erforderlich sind. Mittels eines Profilgenerators (Transaktion PFCG) lässt sich die Erstellung des Berechtigungsprofils in SAP automatisieren.
Nach Definition der Rollen und Erzeugung der dazugehörigen Berechtigungsprofile werden anschließend die einzelnen Personen im Unternehmen den Rollen zugeordnet. Dabei findet der so genannte Benutzerabgleich statt und die rollenspezifischen Berechtigungen werden im Benutzerstammsatz gespeichert. Der Stammsatz enthält alle Informationen zu einem SAP-Benutzer, einschließlich der Berechtigungen.
Wozu ein Berechtigungskonzept? Welche Elemente enthält es idealerweise und welche Tools erleichtern das Berechtigungsdesign?
Bestimmte SAP-Berechtigungen, darunter solche zur Tabellenpflege (S_TABU_*) bedürfen aus Gründen des Datenschutzes besonderer Aufmerksamkeit. Hierbei spricht man von so genannten Kritischen Berechtigungen. Im Zuge der Berechtigungsplanung sollte ein Unternehmen festlegen, welche Berechtigungen als kritisch anzusehen sind, welche Rollen welche kritischen Berechtigungen bzw. Werte für kritische Berechtigungsfelder erhalten dürfen etc. Das Bundesamt für Sicherheit in der Informationstechnik hat detaillierte Hinweise zur Definition kritischer Berechtigungen zusammengestellt.
Das SAP Berechtigungskonzept ist generell in zwei Ausprägungen zu erstellen: für den ABAP– sowie den Java-Stack. Welche Rollen benötigt werden, welche Rolle welche SAP-Funktionen aufrufen darf und weitere konzeptionelle Fragen sind dabei identisch. Dennoch gibt es fundamentale Unterschiede zwischen beiden Ausprägungen.
Für den ABAP-Stack lassen sich Berechtigungsprofile wahlweise manuell oder durch Einsatz des Profilgenerators erstellen. Die Verwendung des Profilgenerators ist jedoch zwingend empfohlen, da die manuelle Verwaltung in der Regel Fehlkonfigurationen der Berechtigungen nach sich zieht. Mit dem Profilgenerator ist garantiert, dass die Benutzer nur die durch ihre Rolle zugeordneten Berechtigungen erhalten. Konzepte, Prozesse und Abläufe müssen deshalb auf den Einsatz des Profilgenerators abgestimmt sein. Für den Java-Stack besteht keine Wahlmöglichkeit; hier muss der J2EE-Berechtigungsmechanismus genutzt werden. Die User Management Engine bietet dabei Optionen, die über den J2EE-Standard hinausgehen.
Sie haben Fragen zum SAP Berechtigungskonzept? In einer kostenlosen Websession besprechen wir Ihre Herausforderungen und Möglichkeiten. Ich freue mich auf den Austausch mit Ihnen.
Bitte hinterlassen Sie uns Ihren Namen und die Kontaktdaten. Dann melden wir uns bei Ihnen.
Sie haben Fragen zum SAP Berechtigungskonzept? Sie wollen ein bestehendes Berechtigungskonzept überarbeiten oder benötigen Hilfe bei der Vergabe von SAP-Berechtigungen? Unsere SAP Berater unterstützen Sie gerne in allen Fragen zu Aufbau und Ausgestaltung von SAP Berechtigungskonzepten. Wir haben auf Basis unserer langjährigen Erfahrung Best-Practice-Vorgehensweisen entwickelt, sodass wir Sie sowohl bei Erstimplementierungen als auch bei Herausforderungen im laufenden Betrieb schnell und kostengünstig unterstützen können. Vereinbaren Sie ein unverbindliches Beratungsgespräch und machen Sie den nächsten Schritt in Ihrer digitalen Transformation.