rz10.de - die SAP Basis und Security Experten https://rz10.de Das Team vom Fachbereich SAP Basis und Security bietet KnowHow und Erfahrungen rund um SAP Basis und Sicherheit. Fri, 22 Jun 2018 13:18:26 +0000 de-DE hourly 1 http://wordpress.org/?v=4.2.6 Best Practice – Funktionsrollen mit dem RoleDesigner konzipieren https://rz10.de/sap-berechtigungen/funktionsrollen-roledesigner/ https://rz10.de/sap-berechtigungen/funktionsrollen-roledesigner/#comments Mon, 18 Jun 2018 06:00:31 +0000 https://rz10.de/?p=13839 Schluss mit Tabellenkalkulationen, mehrwöchigen Iterationen und nachgelagerten Bereinigen von kritischen Berechtigungen. Ich möchte Ihnen mit diesem Blogbeitrag einen toolgestützten Best Practice-Ansatz zum Aufbau eines Funktionsrollen-Konzeptes für Fachabteilungen mit dem XAMS RoleDesigner vorstellen . Der RoleDesigner ist ein Modul der Xiting Authorizations Management Suite, einem umfassenden Werkzeug zur Unterstützung bei Berechtigungsredesigns und dem Betrieb eines neuen […]

The post Best Practice – Funktionsrollen mit dem RoleDesigner konzipieren appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
Schluss mit Tabellenkalkulationen, mehrwöchigen Iterationen und nachgelagerten Bereinigen von kritischen Berechtigungen. Ich möchte Ihnen mit diesem Blogbeitrag einen toolgestützten Best Practice-Ansatz zum Aufbau eines Funktionsrollen-Konzeptes für Fachabteilungen mit dem XAMS RoleDesigner vorstellen
.

Der RoleDesigner ist ein Modul der Xiting Authorizations Management Suite, einem umfassenden Werkzeug zur Unterstützung bei Berechtigungsredesigns und dem Betrieb eines neuen Berechtigungskonzepts. Dieses Modul findet hauptsächlich zu Beginn eines Berechtigungsredesigns, in der Konzeptionsphase, seine Anwendung und bietet hier viele Vorteile gegenüber klassischen Ansätzen mit Tabellenkalkulationen, wie sie in Berechtigungsredesigns lange Zeit genutzt wurden.


Wie funktioniert der RoleDesigner?

Das Hauptbild des RoleDesigners ist ein virtuelles Cockpit, in dem Benutzer nach Funktionen gruppiert, mit virtuellen Rollen provisioniert und diese mit Transaktionen befüllt werden können.
XAMS_Role_Designer
Linksstehend finden sich alle Transaktionen, die von den Benutzern im Scope während eines bestimmten Zeitraums aufgerufen wurden. In der Mitte sind die (virtuellen) Rollen des Projektes aufgelistet. Rechts finden sich die Benutzer, gruppiert nach Abteilungen. Transaktionen können via Drag&Drop in Rollen aufgenommen werden, Rollen den einzelnen Benutzern oder ganzen Gruppen von Benutzern zugewiesen werden. Für jeden Benutzer wird angezeigt, wie hoch der Abdeckungsgrad der aufgerufenen Transaktionen durch die neuen Rollen ist. Wir empfehlen hier, mindestens 90% zu erreichen und auf 100% abzuzielen. Ausnahmen können in eine Blacklist aufgenommen werden, sodass diese Transaktionscodes nicht in die Berechnung des Abdeckungsgrades einfließen.


Woher kommen die Daten?

Eine Gruppierung der Nutzer kann über die Benutzergruppe, Funktion oder Abteilung erfolgen. Diese Daten werden direkt aus dem Benutzerstamm gelesen und können im RoleDesigner angepasst werden, um eine bessere Gruppierung zu erreichen. Diese Änderungen haben keine Auswirkungen auf den Benutzerstamm.

Der RoleDesigner verwendet die in der ST03N erfassten Aufrufstatistiken. Wenn Sie ein Redesign planen, empfehlen wir daher, frühzeitig den Zeitraum für die Erhebung der ST03N-Daten auf 13 Monate einzustellen, um Jahresabschlüsse und Quartalsabschlüsse in den Scope zu nehmen. Mehr zur ST03N und wie Sie die Parameter einstellen können erfahren Sie in folgendem Beitrag:
SAP ST03N: Änderung der Aufbewahrungszeit von genutzten Transaktionen
Der Rollenbau erfolgt im Entwicklungssystem, im Vorfeld werden jedoch die benötigten ST03N-Daten aus der Produktion exportiert. So erhalten wir für jeden Benutzer eine Liste aller von ihm benötigten Transaktionen im Rahmen der täglichen Ausübung seiner Funktion.


Wen muss ich an den Tisch holen?

Jede Berechtigungsrolle benötigt einen Rollenverantwortlichen, der über deren Zuweisung und Änderungen am Inhalt auf Transaktionslevel entscheidet. Wir haben gute Erfahrungen damit gemacht, diese Verantwortung in die Fachbereiche zu geben und je Fachabteilung einen dedizierten Rollenverantwortlichen für die Funktionsrollen der Abteilung zu benennen. Dieser sollte frühzeitig involviert werden, im Idealfall schon zur Rollenkonzeptionsphase. Wichtig ist hier eine klare Aufgabenverteilung: Der Rollenverantwortliche ist fachlich verantwortlich, das heißt er entscheidet darüber, welche Transaktionen/Anwendungen mit dieser Funktion ausgeführt werden dürfen und wer die verantwortete Rolle zugewiesen bekommen darf. Die technische Umsetzung und Ausprägung der Rolle liegt in der IT.
Durch die einfache Änderbarkeit der konzipierten Rollen im RoleDesigner können hier gemeinsam mit dem Rollenverantwortlichen verschiedene Szenarien durchgespielt und verschiedene Ansätze ausprobiert werden, ohne im System etwas zu ändern.


Wie können kritische Berechtigungen identifiziert werden?

Obwohl zu diesem Zeitpunkt des Projektes nur die Transaktionen angeschaut werden, so ist es trotzdem möglich, kritische Berechtigungen und SoD-Konflikte zu ermitteln, die üblicherweise auf Berechtigungsobjekt-Ebene definiert werden. Grund dafür ist die Arbeit mit der SU24 – der Transaktion zur Pflege kundenindividueller Vorschlagswerte. Zu jeder Transaktion wird eine Reihe vorgeschlagener Berechtigungsobjekte von der SU24 geliefert. Diese Vorschlagswerte können um eigene Vorschlagswerte ergänzt werden. Der RoleDesigner kann die SU24-Daten auslesen und verarbeiten und so Konflikte aufdecken, bevor die Rollen überhaupt in der PFCG angelegt wurden.


Wie geht es danach weiter?

In den Berichten des RoleDesigners können alle konzipierten Rollen mit einem Klick in der PFCG angelegt werden. Transaktionscodes, die der Rolle zugewiesen worden, werden ins Menü der Rolle aufgenommen, sodass auch die Berechtigungsvorschlagswerte aus der SU24 den Weg in die Rollen finden.
Für einen späteren GoLive der neuen Rollen kann die konzipierte Benutzer-Rollen-Zuordnungsmatrix exportiert werden, diese lässt sich dann zum GoLive direkt ins System importieren und setzt die dort beschriebenen Zuordnungen live.
 
Mit dem hier beschriebenen Ansatz haben die Rollen natürlich noch nicht den Reifegrad, um live gesetzt zu werden. Stattdessen haben wir je Abteilung verschiedene Funktionen identifiziert, für diese Funktionsrollen aufgebaut und für diese Rollen alle beinhalteten Transaktionen ermittelt.


Tobias Harmes
Wir helfen Ihnen, die SAP Berechtigungen neu aufzubauen
Fachbereichsleiter Tobias Harmes

Für Rat und Hilfe bei der Entwicklung Ihrer IT-Sicherheitsstrategie bieten wir Ihnen unsere kompetenten Berater an: Security-Berater von RZ10 buchen.

Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per E-Mail info@rz10.de.


 
Stehen Sie vor der Herausforderung, ein neues, Funktionsrollen-basiertes Berechtigungskonzept implementieren zu wollen? Welche Erfahrungen haben Sie bei der Konzeption eines Rollenkonzeptes für Ihre Fachabteilungen gemacht? Ich freue mich auf Ihre Fragen und Anregungen.

The post Best Practice – Funktionsrollen mit dem RoleDesigner konzipieren appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
https://rz10.de/sap-berechtigungen/funktionsrollen-roledesigner/feed/ 0
Welcher User hat diese Transaktion genutzt? – SAP Transaktionsnutzung ermitteln https://rz10.de/sap-berechtigungen/welcher-user-hat-diese-transaktion-genutzt-sap-transaktionsnutzung-ermitteln/ https://rz10.de/sap-berechtigungen/welcher-user-hat-diese-transaktion-genutzt-sap-transaktionsnutzung-ermitteln/#comments Wed, 13 Jun 2018 19:36:16 +0000 https://rz10.de/?p=13910 Gelegentlich möchte ich in Projekten herausfinden, ob und von welchem Benutzer eine Transaktion im SAP zuletzt genutzt worden ist. Ein recht einfacher Weg zu dieser Transaktionsnutzung ist der SAP Workload Monitor (Systemlastmonitor). Die passende Transaktion dazu heißt ST03N oder in aktuellen Systemen einfach ST03. ST03N aufrufen Zeitraum auswählen (1) Ggf. prüfen ob Sicht „Experte“ eingestellt […]

The post Welcher User hat diese Transaktion genutzt? – SAP Transaktionsnutzung ermitteln appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
Gelegentlich möchte ich in Projekten herausfinden, ob und von welchem Benutzer eine Transaktion im SAP zuletzt genutzt worden ist. Ein recht einfacher Weg zu dieser Transaktionsnutzung ist der SAP Workload Monitor (Systemlastmonitor). Die passende Transaktion dazu heißt ST03N oder in aktuellen Systemen einfach ST03.

ST03N aufrufen

Zeitraum auswählen

(1) Ggf. prüfen ob Sicht „Experte“ eingestellt ist

(2) Monat per Doppelklick auswählen

(3) Prüfen ob der Monat korrekt ausgewählt wurde und ob die Daten vollständig sind.

Analysesicht auswählen

(1) Transaktionsprofil -> Standard per Doppelklick auswählen

(2) Tasktyp Drop-Down öffnen

(3) „DIALOG“ auswählen. Das schränkt die Liste auf Transaktionen und Programme ein, die über SAPGui aufgerufen worden sind. Wenn auch nicht-DIALOG-Aufrufe relevant sind, muss hier nichts eingestellt werden.

Filtern auf die gesuchte Transaktion

Nun kann ich auf die gewünschte Transaktion filtern und per Doppelklick die Benutzerliste öffnen. Manchmal kann es auch Sinn machen, von Tasktyp DIALOG wieder auf alle zu stellen – die Transaktion könnte ja z.B. auch in der Hintergrund-Verarbeitung (Tasktyp BACKGROUND) verwendet worden sein.

Benutzerliste prüfen

Es werden alle Benutzer aufgelistet, die im selektierten Zeitraum die VA01 aufgerufen haben.

Kritik

Vorteil dieser Vorgehensweise: sie funktioniert sehr schnell. Nachteil: ich muss ggf. mehrere Monate durchsuchen, bis ich einen Treffer gefunden habe. Ein weiterer Erfahrungswert: je nachdem wie der Entwickler sein Programm geschrieben hat, erfolgt beim Aufruf von Transaktionen aus anderen Transaktionen keine Protokollierung in der ST03N. Kein Treffer in der ST03N lässt daher leider keine Aussage zu, ob die Transaktion überhaupt verwendet wird. Hier ist es besser für die Transaktionsnutzung auf den Abap Call Monitor (SCMON) zu setzen. Etwas bequemer geht es, wenn die Daten in eine Excel-Datei exportiert werden. Die passende Anleitung dafür finden Sie hier. Wenn zu wenig Historie angezeigt wird, dann hilft eine Verlängerung der Aufbewahrungszeit. Wie das funktioniert, können Sie hier nachlesen.

War diese Information hilfreich für Sie? Ich freue mich über ein Feedback in den Kommentaren!

The post Welcher User hat diese Transaktion genutzt? – SAP Transaktionsnutzung ermitteln appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
https://rz10.de/sap-berechtigungen/welcher-user-hat-diese-transaktion-genutzt-sap-transaktionsnutzung-ermitteln/feed/ 0
SAP-Berechtigungskonzept vs. Datenschutz-Folgenabschätzung https://rz10.de/blog/sap-berechtigungskonzept-vs-datenschutz-folgenabschaetzung/ https://rz10.de/blog/sap-berechtigungskonzept-vs-datenschutz-folgenabschaetzung/#comments Wed, 13 Jun 2018 06:00:56 +0000 https://rz10.de/?p=13679 Am 24. Mai 2016 ist in der Europäischen Union die Datenschutz-Grundverordnung (DSGVO) in Kraft getreten, welche seit dem 25. Mai 2018 verbindlich anzuwenden ist. Auf Sie und Ihr Unternehmen kommen dabei große Herausforderungen bei der Anpassung Ihres SAP-Berechtigungskonzepts zu, die es zu überwinden gilt. Viele der Anforderungen in der DSGVO hätten bereits durch die deutschen, sehr strengen Datenschutzgesetze umgesetzt werden […]

The post SAP-Berechtigungskonzept vs. Datenschutz-Folgenabschätzung appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
Am 24. Mai 2016 ist in der Europäischen Union die Datenschutz-Grundverordnung (DSGVO) in Kraft getreten, welche seit dem 25. Mai 2018 verbindlich anzuwenden ist. Auf Sie und Ihr Unternehmen kommen dabei große Herausforderungen bei der Anpassung Ihres SAP-Berechtigungskonzepts zu, die es zu überwinden gilt.

Viele der Anforderungen in der DSGVO hätten bereits durch die deutschen, sehr strengen Datenschutzgesetze umgesetzt werden müssen, was jedoch in der Praxis auch aufgrund der im Verhältnis geringen Strafandrohungen nur stiefmütterlich realisiert wurde. Speziell die durch Art. 35 festgehaltene Datenschutz-Folgenabschätzung bringt große Herausforderungen mit sich. Haben Sie sich in Ihrem Unternehmen bereits damit auseinandergesetzt?

Mit Aktiv werden der DSGVO können Sie bis zu einer Geldbuße von 20.000.000 € oder 4% Ihres weltweiten Umsatzes bestraft werden, was für viele Unternehmen einer Bankrotterklärung gleich käme. Diese Sanktionierungsmaßnahmen durch die EU gilt es zu vermeiden, ein erster wichtiger Schritt ist dabei ein angepasstes Berechtigungskonzept in Ihrem SAP-Umfeld.

Dabei ist besonderer Fokus auf die Datenschutz-Folgenabschätzung zu legen. Diese erinnert in ihren Grundzügen stark an die im alten deutschen Datenschutzgesetz festgehaltene Vorabkontrolle, birgt jedoch noch weitere Herausforderungen in sich.

Worum handelt es sich bei der Datenschutz-Folgenabschätzung?

Mit Art. 35 der DSGVO wird eine Datenschutz-Folgenabschätzung eingeführt. „Eine Datenschutz-Folgenabschätzung (DSFA) ist ein Instrument, um das Risiko zu erkennen und zu bewerten, das für das Individuum in dessen unterschiedlichen Rollen durch den Einsatz einer bestimmten Technologie entsteht. Ziel einer DSFA ist es, vor der Verarbeitung von Daten die Folgen dieses Prozesses abzuschätzen, insbesondere dann, wenn aufgrund dieser Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen entstehen kann. Es müssen bestimmte Mindestanforderungen bezüglich des Inhalts einer Datenschutz-Folgenabschätzung erfüllt sein. Dabei muss zunächst eine systematische Beschreibung der geplanten Verarbeitungsschritte erstellt werden. Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge, Weiterhin ist eine Bewertung der entstehenden Risiken anzulegen. Zusätzlich muss ein Katalog mit Maßnahmen erstellt werden, die ergriffen werden, um den Schutz der personenbezogenen Daten sicherzustellen. Somit wird garantiert, dass die DSGVO eingehalten wird.

cyber-security-3400657_1920

Die Datenschutz-Folgenabschätzung steht in Verbindung zum interen Kontrollsystem

Die DSGVO birgt viele Dokumentationspflichten inkl. der Datenschutz-Folgenabschätzung, die große Anforderungen an Berechtigungskonzepte stellen. Eine Dokumentationspflicht davon, das Erstellen eines Verfahrensverzeichnisses, verlangt Anpassungen des Berechtigungskonzepts. Für die Datenschutz-Folgenabschätzung sind auch Anpassungen an SAP-Berechtigungssystemen notwendig. Mit der DSFA soll analysiert werden, wozu Daten benutzt werden und was mit ihnen geschehen kann, wo kritische Punkte in der Verarbeitung vorliegen und was daraus für Gefahren entstehen können. Es handelt sich somit um eine Risikoabschätzung die Daten betreffend. Innerhalb des internen Kontrollsystems werden Risiken betrachtet, im Berechtigungskonzept selbst wird festgeschrieben, dass dieses gesetzlichen Grundlagen und dem IKS unterliegt. Somit wird eine Verbindung zwischen der DSFA und dem Berechtigungskonzept hergestellt.

 

Wir helfen Ihnen dabei, Ihr Unternehmen DSGVO-konform aufzustellen.

 

 Was hat der Datenschutzbeauftragte mit der Datenschutz-Folgenabschätzung am Hut?

Ein weitere Berührung zwischen der Datenschutz-Folgenabschätzung und Berechtigungssystemen wird durch die Verbindung zum Datenschutzbeauftragten aufgezeigt. Dieser steht dem Verantwortlichen mit Rat zur Seite und überwacht die Durchführung der Datenschutz-Folgenabschätzung. Ihm selbst ist es allerdings nicht aufgetragen, die DSFA selbst anzustoßen oder durchzuführen.
Nichtsdestotrotz kann mit dem Berechtigungskonzept kein deutlich weitergehendes Risk Management ersetzt werden, so dass ein solches parallel zu einem Berechtigungskonzept zu entwerfen ist.

Die Umsetzungen  der DSFA und der weiteren Anforderungen aus der DSGVO stellen einen langwierigen Prozess dar, den es gilt, akribisch umzusetzen. Falls Sie dabei Unterstützung benötigen, freue ich mich sehr über ihre Fragen!

The post SAP-Berechtigungskonzept vs. Datenschutz-Folgenabschätzung appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
https://rz10.de/blog/sap-berechtigungskonzept-vs-datenschutz-folgenabschaetzung/feed/ 0
Toolgestützt Funktionsrollen entwickeln https://rz10.de/sap-berechtigungen/funktionsrollen-xams/ https://rz10.de/sap-berechtigungen/funktionsrollen-xams/#comments Fri, 08 Jun 2018 06:00:54 +0000 https://rz10.de/?p=13689 Ein nachhaltiges Bereinigen von SAP Berechtigungen beginnt mit der fachlichen Perspektive auf Rollen und Arbeitsplätze – es werden Funktionsrollen entwickelt, welche später technisch mit Berechtigungen ausgeprägt und in den produktiven Betrieb überführt werden können. Eine Funktionsrolle steht für eine Berechtigungsrolle aus fachlicher Sicht. Hier werden auf erster Ebene die notwendigen SAP Transaktionen gesammelt die basierend […]

The post Toolgestützt Funktionsrollen entwickeln appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
Ein nachhaltiges Bereinigen von SAP Berechtigungen beginnt mit der fachlichen Perspektive auf Rollen und Arbeitsplätze – es werden Funktionsrollen entwickelt, welche später technisch mit Berechtigungen ausgeprägt und in den produktiven Betrieb überführt werden können.

Eine Funktionsrolle steht für eine Berechtigungsrolle aus fachlicher Sicht. Hier werden auf erster Ebene die notwendigen SAP Transaktionen gesammelt die basierend auf einer Arbeitsplatzbeschreibung im täglichen Betrieb aufgerufen werden. In diesem Blogbeitrag gehe ich auf die Erstellung von solchen Funktionsrollen ein. Hierbei verwenden wir in unseren Projekten einen toolgestützten Ansatz, welchen ich Ihnen ebenfalls kurz vorstellen werde.


Ansätze zur Entwicklung von SAP Rollen

Generell gibt es bei einer gewünschten Neudefinition von Rollen in SAP zwei bekannte Vorgehensweisen:

  • Top-Down
  • Bottom-Up

Bei dem Top-Down-Verfahren stehen die fachlichen Anforderungen im Vordergrund. Hier werden bestehende Geschäftsprozesse analysiert, Interviews mit Experten geführt, etc. Der Fokus liegt hierbei auf den Kerntätigkeiten eines Mitarbeiters basierend auf einer Arbeitsplatzbeschreibung.

Bei dem Bottom-Up-Ansatz liegt der Fokus auf den tatsächlichen Nutzungsdaten in SAP. Hier werden z.B. die Daten der ST03N ausgewertet, um Analysen über die Verwendungshistorie von Transaktionen zu fahren. Bei diesem Ansatz wird die zu definierende Rolle mit genau den Berechtigungen ausgeprägt, welche in der Vergangenheit auch genutzt worden sind.

Beide Ansätze bieten verschiedene Vor- und Nachteile. Bei einem reinen Top-Down-Ansatz werden sehr häufig Transaktionen vergessen. Auch das Durchspielen der üblichen Tagesaktivitäten basierend auf einem Arbeitsplatz ist kein valides Mittel, um wirklich alle notwendigen Transaktionen einzufangen. Der reine Bottom-Up-Ansatz lässt dabei die fachliche Perspektive völlig außen vor. Fehlende fachliche Ansprechpartner und benötigte Transaktionen welche außerhalb des betrachteten Nutzungszeitraums aufgerufen worden sind, werden vergessen und sorgen für viel Aufwand in der Nachbereitung.

Zeitraum der Aufzeichung von Transaktionsnutzungsdaten erhöhen!

Hier ein kleiner Tipp vorab: Wenn Sie bereits über eine Bereinigung von SAP Berechtigungen nachdenken, sollten Sie als aller erstes den Aufzeichnungszeitraum der ST03N erhöhen. Umso länger die Daten hier aufgezeichnet werden, umso sicherer ist das Ergebnis des Redesigns zum Abschluss des Projektes.


Unsere Best Practice Vorgehensweise – Funktionsrollen

Um den oben genannten Nachteilen der Rollenentwicklung mit den bekannten klassischen Vorgehensweisen entgegenzuwirken, verwenden wir in unseren Projekten einen kombinierten Ansatz. Wir empfehlen sowohl die fachliche als auch die technische Perspektive zu erfassen und somit das beste aus beiden Ansätzen zu erhalten.

Funktionsrollen

Durch diese Kombination erreichen Sie folgende Vorteile:

  • Fachlich korrekte Rollen
  • Rollen basierend auf Funktionen / Arbeitsplätzen
  • Stets fachlicher Verantwortlicher für Rollen vorhanden
  • Das Risiko Transaktionen zu vergessen wird minimiert
  • Technische Datenanalyse stellt Validität sicher

Diese Kombination der Ansätze wird in unseren Projekten durch den Einsatz der XAMS (Xiting Authorizations Management Suite) vereinfacht und unterstützt.


Funktionsrollen toolgestützt erarbeiten

Zur Erarbeitung der Funktionsrollen mit dem oben genannten Ansatz verwenden wir das Modul „Role Designer“ der Toolsuite XAMS von der Firma Xiting. Dieses Modul ermöglicht ein virtuelles Designen von Rollen. Virtuell bedeutet in diesem Kontext, dass wir ein Projekt erstellen und für eine spätere Weiterarbeit abspeichern können. Die in diesem Projekt erstellten Rollen sowie die Zuweisung von Transaktionen oder Benutzern geschieht rein in dem Tool und hat keine Auswirkung auf die bereits produktiven Rollen.

Das Modul unterstützt den Bottom-Up-Ansatz durch Datenauswertung im SAP System. So können wir direkt auf die Transaktionsnutzungsdaten der betrachteten User zugreifen. Damit sehen wir auf einen Blick zu wie viel Prozent ein User mit der momentanen, virtuellen Rollenzuweisung berechtigt wäre alle Transaktionen aufzurufen welche er auch in der Vergangenheit bereits aufgerufen hat.

Hier ist ein beispielhafter Screenshot eines Demo-Projekts:

XAMS_Role_Designer

 

In diesem Screenshot ist zu sehen, wie die Arbeit mit dem Tool aussehen kann. Auf der linken Seite sind die virtuellen Rollen zu erkennen, welche per Drag&Drop mit Transaktionen gefüllt werden können.

Auf der rechten Seite sind die betrachteten User im System zu sehen. Diese Benutzer sind hier bereits nach Funktionen / Abteilungen gruppiert. Das ermöglicht später eine einfachere Zuweisung. Ebenfalls durch Drag&Drop können die neu designten Rollen den Benutzern oder Benutzergruppen zugewiesen werden (rein virtuell). Ganz rechts ist nun ebenfalls zu erkennen zu wie viel Prozent der User im Vergleich zu seiner Verwendungshistorie berechtigt ist. Der User EXT_ hat im Betrachtungszeitraum 13 Transaktionen verwenden und ist mit den zugewiesenen Rollen zu 100% berechtigt und wird in diesem Screenshot deshalb in grün dargestellt.

Die darunter befindlichen User sind erst zu 3,03 bzw. 1,05 Prozent berechtigt und sollten daher noch einmal überarbeitet werden.


Verwendung des Moduls in Fachbereichsworkshops

Wir verwenden dieses Modul, um Funktionsrollen mit dem entsprechenden Fachbereich aufzubauen. Hier organisieren wir üblicherweise einen Workshop mit dem Fachbereich. Vorher wird das Projekt in dem Modul aufgesetzt und alles notwendige vorbereitet. In dem Workshop selbst gehen wir dann mit dem Fachbereich die Transaktionen durch und weisen diese den Fachbereichsinternen Rollen basierend auf Arbeitsplätzen zu.

So kann der Fachbereich bei der Erstellung der Rollen basierend auf Transaktionen aktiv mitwirken. Das garantiert eine spätere Sicherheit der Rollen. Wir können Sie gerne bei einem solchen Workshop unterstützen. Mehr Informationen hierzu finden Sie unter dem folgenden Link: SAP Redesignworkshop mit Fachbereich.


XAMS im Berechtigungsredesign verwenden

Die Toolsuite der Xiting verwenden wir grundlegend im gesamten Zyklus eines SAP Redesigns. Die verschiedenen Module unterstützen das neue Designen von Rollen in der Get Clean Phase sowie in der anschließenden Stay Clean Phase, um die erstellten Rollen mit ihren SAP Berechtigungen auch nachhaltig sicher und zuverlässig zu halten.

Deshalb empfehlen wir generell den Einsatz der XAMS im SAP Berechtigungskontext. Der Zeitaufwand der hierdurch gespart wird ist so erheblich, dass ein manuelles Bereinigen der Rollen nicht mehr wirtschaftlich ist.

Wir zeigen Ihnen gerne die unterschiedlichen Funktionlitäten der XAMS mit den verschiedenen Modulen. Damit verbunden ist eine einmonatige Testlizenz, damit Sie das Tool in aller Ruhe testen können. Mehr Informationen hierüber erhalten Sie unter folgendem Link: XAMS Starter Workshop.


Tobias Harmes
Wir helfen Ihnen, die SAP Berechtigungen neu aufzubauen
Fachbereichsleiter Tobias Harmes

Für Rat und Hilfe bei der Entwicklung Ihrer IT-Sicherheitsstrategie bieten wir Ihnen unsere kompetenten Berater an: Security-Berater von RZ10 buchen.

Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per E-Mail info@rz10.de.


Denken Sie über eine Bereinigung von Ihren SAP Berechtigungen nach oder haben bereits Erfahrungen gemacht? Sie können mir gerne einen Kommentar hinterlassen oder mich per E-mail kontaktieren.

The post Toolgestützt Funktionsrollen entwickeln appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
https://rz10.de/sap-berechtigungen/funktionsrollen-xams/feed/ 0
SAP Gateway Installation – Deployment Optionen https://rz10.de/sap-basis/sap-gateway-installation-deployment-optionen/ https://rz10.de/sap-basis/sap-gateway-installation-deployment-optionen/#comments Mon, 04 Jun 2018 06:00:40 +0000 https://rz10.de/?p=13483 Sie benötigen eine SAP Gateway Installation, um zum Beispiel SAP Fiori einzuführen? Es gibt verschiedene Deployment Optionen, die jeweils ganz spezifische Vor- und Nachteile haben. Wir bieten Ihnen hierfür eine Übersicht, damit Sie eine perfekte Wahl für Ihre existierende Systemlandschaft treffen können. Insgesamt existieren vier verschiedene Varianten, wie Sie ein SAP Gateway installieren beziehungsweise einrichten […]

The post SAP Gateway Installation – Deployment Optionen appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
Sie benötigen eine SAP Gateway Installation, um zum Beispiel SAP Fiori einzuführen? Es gibt verschiedene Deployment Optionen, die jeweils ganz spezifische Vor- und Nachteile haben. Wir bieten Ihnen hierfür eine Übersicht, damit Sie eine perfekte Wahl für Ihre existierende Systemlandschaft treffen können.


Insgesamt existieren vier verschiedene Varianten, wie Sie ein SAP Gateway installieren beziehungsweise einrichten können. Sie können es entweder losgelöst von Ihrer Business Suite als Standalone Gateway (Hub Deployment) nutzen oder auf das in der Business Suite enthaltene Gateway (Embedded Deployment, ab NetWeaver 7.40) zurückgreifen. Im Falle eines Hub Deployments können Sie zusätzlich die Entscheidung treffen, ob Sie auf dem Gateway oder der Business Suite entwickeln wollen. Als vierte Variante gibt es die Möglichkeit, das SAP Cloud Platform OData Provisioning (kurz: OData provisioning) zu nutzen. Im Folgenden werden alle vier Optionen kurz vorgestellt.

Option 1: Hub Deployment mit Entwicklung in der SAP Business Suite

Das SAP Gateway dient in diesem Szenario als Kommunikationsendpunkt. Es können mehrere SAP Business Suites an das SAP Gateway angebunden werden. Es ist somit als ein Zugangspunkt zu allen dahinterliegenden Business Suite Backends zu sehen. Durch die Wahl eines Standalone Gateways sind die Backend Systeme nicht direkt mit dem Internet verbunden, was zu einer erhöhten Sicherheit beiträgt. Außerdem kann das SAP Gateway unabhängig von der SAP Business Suite geupgraded werden. Da in diesem Szenario auf der Business Suite entwickelt wird, müssen Funktionen per RFC für das SAP Gateway bereitgestellt werden. Der große Vorteil bei einer Entwicklung auf dem Backend liegt im Zugang zum DDIC.

Option 2: Hub Deployment mit Entwicklung im SAP Gateway Hub

Bei einer Entwicklung im SAP Gateway Hub müssen die SAP Gateway Komponenten im Backend nicht installiert beziehungsweise aktualisiert werden. Jedoch liegt der entscheidende Nachteil darin, dass das DDIC nicht vorhanden ist und nur Remote-verfügbare Interfaces wie RFC zur Verfügung stehen.

Option 3: Embedded Deployment mit Entwicklung in der SAP Business Suite

Wird das in der SAP Business Suite integrierte Gateway genutzt, ist weniger Overhead im Netzwerkverkehr vorhanden, da weniger Remote Function Calls ausgeführt werden. Jedoch gibt es dazu noch sehr entscheidende Nachteile. Es kann immer nur die jeweilige SAP Business Suite angebunden werden und für den Fall, dass mehrere SAP Business Suites vorhanden sind, muss das SAP Gateway auch mehrfach konfiguriert werden. Außerdem hat diese Variante ein Sicherheitsrisiko. Das SAP Gateway erfüllt in der Regel den Zweck die SAP Business Suite mit dem Internet zu verbinden. Bei der Nutzung des vorhandenen, integrierten SAP Gateways wäre das Backend direkt mit dem Internet verbunden. Dies sollte vermieden werden.

Option 4: OData provisioning

Als vierte Option kann das SAP Cloud Platform OData Provisioning genutzt werden. Dieses bietet alle klassischen Cloud Vorteile, wie das Entfallen von Upgrades, Skalierung, Sicherheit, etc. Eine Anbindung mehrere Business Suites ist darüber hinaus möglich und es muss selbst kein eigener weiterer Server verwaltet werden. Das DDIC ist darüber hinaus ebenfalls verfügbar. Jedoch werden noch nicht alle Features von SAP bereitgestellt. Weitere Informationen dazu finden sich in SAP Note 1830712.

Welche Deployment Option ist für mich die Richtige?

Ohne Kenntnisse über Ihre Systemlandschaft kann auf diese Frage keine klare Antwort gegeben werden. Jedoch können wir Ihnen dennoch einige Hinweise geben, die Sie bei der Wahl Ihrer gewünschten Deployment Option beachten sollten.

Von Option 3, dem Embedded Deployment mit Entwicklung in der SAP Business Suite, raten wir ab. Bei dieser Variante wäre das Backend direkt mit dem Internet verbunden, wodurch ein Sicherheitsrisiko gegeben ist. Außerdem können auch nicht mehrere Business Suites angebunden werden.

Sofern Sie keinen Zugriff auf Ihr DDIC benötigen, käme Option 2 (Hub Deployment mit Entwicklung im SAP Gateway Hub) noch in Frage. Sie bietet den Vorteil, dass keine Veränderungen am Backend notwendig sind. In vielen Fällen ist das DDIC jedoch über kurz oder lang von Nöten, weshalb auch diese Option nur selten empfehlenswert ist.

Die verbleibenden Optionen 1 (Hub Deployment mit Entwicklung in der SAP Business Suite) und 4 (OData provisioning) bieten beide sehr identische Vorteile. So können mehrere Business Suites angebunden werden und auch der Zugang zum DDIC ist vorhanden. Sofern die in SAP Note 1830712 erwähnten Einschränkungen bezüglich des OData provisioning für Sie kein Problem darstellen, können Sie zwischen den beiden Optionen frei entscheiden.

Tobias Harmes
Benötigen Sie noch weitere Informationen?
Fachbereichsleiter Tobias Harmes
Wir beraten Sie für Ihre eigene Systemlandschaft und helfen Ihnen eine optimale Lösung zu finden.
Kontaktieren Sie mich: Telefon 0211 9462 8572-25 oder per E-Mail info@rz10.de.

Weitere Informationen zur Einrichtung von SAP Gateways finden Sie hier.

Haben Sie noch Anmerkungen oder weitere Ideen zur Vorgehensweise bei der Einführung eines SAP Gateways? Lassen Sie es mich wissen! Ich freue mich über Ihre Kommentare!

The post SAP Gateway Installation – Deployment Optionen appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
https://rz10.de/sap-basis/sap-gateway-installation-deployment-optionen/feed/ 0
Schnell und Einfach: SAP Passwortänderung und Benutzer entsperren https://rz10.de/sap-identity-management/sap-benutzer-entsperren-passwortaenderung/ https://rz10.de/sap-identity-management/sap-benutzer-entsperren-passwortaenderung/#comments Thu, 31 May 2018 06:00:39 +0000 https://rz10.de/?p=13560 Wie viel Zeit verbringen Ihre Basis- oder Benutzeradministratoren mit einfachen, sich wiederholenden Aufgaben wie dem Entsperren von SAP Benutzern und der Passwortänderung? Mit steigender Anzahl der Dialogbenutzer steigt auch die Anzahl vergessener Passwörter erheblich an. Ein vergessenes Passwort ist nicht nur das vielleicht häufigste Problem im Alltag der Anwender, sondern es stellt auch die IT […]

The post Schnell und Einfach: SAP Passwortänderung und Benutzer entsperren appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
Wie viel Zeit verbringen Ihre Basis- oder Benutzeradministratoren mit einfachen, sich wiederholenden Aufgaben wie dem Entsperren von SAP Benutzern und der Passwortänderung? Mit steigender Anzahl der Dialogbenutzer steigt auch die Anzahl vergessener Passwörter erheblich an.

Ein vergessenes Passwort ist nicht nur das vielleicht häufigste Problem im Alltag der Anwender, sondern es stellt auch die IT vor einige besondere Herausforderungen. So sind derartige Anfragen oft zugleich simpel wie auch zeitkritisch. Die Bearbeitung soll schnellstmöglich erfolgen, da der betroffene Mitarbeiter ohne Systemzugang meist nicht arbeiten kann.

Unternehmen mit mehreren Standorten stehen häufig noch vor weiteren Herausforderungen. Durch nicht einheitliche Feiertage oder durch unterschiedliche Zeitzonen kann es vorkommen, dass die IT-Abteilung nicht schnell erreichbar ist. Hinzu kommt, dass Hacker immer häufiger gezielt auf menschliche Schwachstellen abzielen: wie können Sie einen Anrufer am Telefon sicher identifizieren, der um die Rücksetzung eines SAP Passwortes bittet?

Tobias Harmes
Wir beantworten Ihre Fragen zu allen Themen der SAP Sicherheit
Fachbereichsleiter Tobias Harmes
Um Herauszufinden, welche Lösung am Besten für Ihre individuellen Anforderungen geeignet ist, sprechen Sie mich gerne an.

Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per E-Mail info@rz10.de.

Sichere Kennwortrichtlinien, die den Menschen nicht vergessen

Durch eine sichere und durchdachte Gestaltung Ihrer Kennwortrichtlinien können Sie die Häufigkeit des Kennwortvergessens erheblich reduzieren. Bedenken Sie dabei folgendes:

Sichere Kennwörter mit ausreichender Länge und Komplexität (Groß-/Kleinschreibung, Zahlen, Sonderzeichen) sind für Menschen schwer zu merken

Auch Ihre Mitarbeiter können sich nur wenige solcher Passwörter merken und neigen dazu, sie aufzuschreiben und bei Änderungen nur geringfügig zu variieren. Daher ist es nicht empfehlenswert, eine regelmäßige Passwortänderung zu erzwingen. Besonders eine Passwortänderung vor längeren Abwesenheiten durch Urlaub, Krankheit oder Fortbildung führt häufig zum Vergessen der Zugangsdaten.

Technische Lösungen zur Passwortänderung

Aus technischer Sicht möchte ich Ihnen drei Lösungen vorstellen, mit denen Sie bei der Passwortänderung und dem Entsperren von SAP Usern erheblich Zeit und Aufwand einsparen können.

Automatische Entsperrung von Usern nach einem Tag

Mithilfe des Parameters login/failed_user_auto_unlock können Sie festlegen, ob durch Fehlanmeldungen gesperrte User automatisch wieder entsperrt werden. Das heißt, wenn Sie den Wert des Parameters auf 1 festlegen, werden wegen Falschanmeldungen gesperrte User automatisch am nächsten Tag entsperrt.

Weitere Informationen finden Sie im Blogbeitrag meines Kollegen

Password Self-Service der mindsquare

Mit diesem Werkzeug können Anwender ihr Passwort selbstständig zurücksetzen. Dies funktioniert über einen Webservice und eine anschließende Bestätigung über die im SAP System hinterlegte E-Mail-Adresse. Die Nutzer kennen diese Vorgehensweise häufig schon von Online-Diensten wie Amazon oder Facebook. Die Nutzer benötigen dazu keinerlei zusätzliche Berechtigungen (SU01 oder Ähnliches).

Weitere Informationen finden Sie hier.

CheckIDM – Benutzerverwaltung für Ihr SAP System

Auch mit dem Tool CheckIDM können Nutzer ihr Passwort selbstständig und sicher zurücksetzen. Neben vergessenen Passwörtern unterstützt es auch bei weiteren häufigen Fragen in der Benutzerverwaltung und im Berechtigungssupport:

  • Anlage und Änderung von SAP Benutzern
  • Zuweisung oder Entzug von Rollen

CheckIDM hält für diese Anfragen sichere und individuell anpassbare Workflows und Genehmigungsverfahren bereit, die auf Wunsch auch mehrstufig und unter Berücksichtigung einer Funktionstrennung gestaltet werden können. Es arbeitet komplett im SAP System und erfordert keine zusätzliche Infrastruktur.

Weitere Informationen finden Sie hier.

Welche Lösung ist die Beste?

Welches Werkzeug Sie wählen sollen, hängt vor allem von Ihren Anforderungen an den Leistungsumfang ab. Die vorgestellten Lösungen unterscheiden sich in ihrem Funktionsumfang erheblich: Während der Parameter login/failed_user_auto_unlock nur die Entsperrung der User ermöglicht, ohne ein neues Passwort zu vergeben, übernimmt der Password-Self-Service auch diese Aufgabe. CheckIDM ist das mit Abstand umfangreichste Werkzeug, da es zusätzlich auch Workflows für die Beantragung und Änderung von Usern und zur Vergabe von Rollen mitbringt. Auch im Preis unterscheiden sich die Werkzeuge. Um herauszufinden, welches Werkzeug Ihren individuellen Anforderungen am Besten gerecht wird, sprechen Sie uns gerne an.

Verbringen Sie oder Ihre Mitarbeiter viel Zeit mit dem entsperren von SAP Usern und dem Kennwörter zurücksetzen? Erzählen Sie mir von Ihren Erfahrungen in der Bearbeitung derartiger Anfragen gerne in einer Nachricht oder als Kommentar.

The post Schnell und Einfach: SAP Passwortänderung und Benutzer entsperren appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
https://rz10.de/sap-identity-management/sap-benutzer-entsperren-passwortaenderung/feed/ 0
Tipps zur Anbindung eines HANA-Systems an den SAP Solution Manager https://rz10.de/sap-solution-manager/tipps-zur-anbindung-eines-hana-systems-an-den-sap-solution-manager/ https://rz10.de/sap-solution-manager/tipps-zur-anbindung-eines-hana-systems-an-den-sap-solution-manager/#comments Mon, 28 May 2018 06:00:07 +0000 https://rz10.de/?p=13541 SAP HANA hält überall Einzug und somit bietet auch der SAP Solution Manager einige Szenarien für HANA-Systeme an (z.B. HANA Monitoring), die eine ordnungsgemäße Anbindung voraussetzen Bei der Anbindung eines HANA 2.0-Systems über die bekannte Guided-Procedure in der Konfiguration der verwalteten Systeme gibt es ein paar Besonderheiten, die zu beachten sind und welche ich in […]

The post Tipps zur Anbindung eines HANA-Systems an den SAP Solution Manager appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
SAP HANA hält überall Einzug und somit bietet auch der SAP Solution Manager einige Szenarien für HANA-Systeme an (z.B. HANA Monitoring), die eine ordnungsgemäße Anbindung voraussetzen
Bei der Anbindung eines HANA 2.0-Systems über die bekannte Guided-Procedure in der Konfiguration der verwalteten Systeme gibt es ein paar Besonderheiten, die zu beachten sind und welche ich in diesem Blogartikel zusammengefasst habe.

1. Update CIM/CR Content im zentralen SLD

Das Common Information Model (CIM-Modell) ist ein Standard der Distributed Management Task Force (DMTF) und basiert auf dem Objektorientierten Modellierungsansatz. Dieser Standard stellt ein implementierungsneutrales Schema zur Beschreibung von Managementinformationen innerhalb einer Rechenumgebung zur Verfügung

Veraltete CIM- Modelle und ein nicht aktuelles Content-Repository (CR) können dazu führen, dass bei der Anbindung eines HANA-Systems einzelne Systemkomponenten dem SLD nicht bekannt sind und somit nicht klassifiziert werden können. Um dies zu vermeiden, empfiehlt es sich, das SLD auf den aktuellsten Stand zu bringen.

cim

2. HANA-System am SLD Registrieren

Entgegen der gewohnten Anbindung des Data-Suppliers läuft die Anbindung hier über das Launchpad des Systems ab.
Rufen Sie hierzu die entsprechende URL auf und wählen die Kachel „SLD Registrierung konfigurieren“ auf.

https://<HANAServerHostname>:<Port>/lmsl/HDBLCM/<SID>

sld

3. HANA-Client auf SAP Solution Manager Host installieren

Der HANA-Client ist eine Software, welche die Kommunikation mit allen Entitäten im Umfeld zwischen Server und Applikation ermöglicht, nicht-native Applikationen eingeschlossen.
Unter diesem Link kann die benötigte Software heruntergeladen werden.

Die Installation auf dem Host dauert weniger als 1 Minute und kann in zwei verschiedenen Modi durchgeführt werden:

  • GUI:
    hdbsetup -a
  • Commandline:
    hdbinst -a

4. Weitere Empfehlungen

  • Aktualisierung der Templates/Views gemäß Note 2403493
    MAI-Content aktualisieren (Komponente ST_CONT)
    Hier empfiehlt sich die das aktuellste SP-Level
  • Anlage eines Monitor-Users auf der HANA-DB (wird während des Setups unter „Systemparameter“ eingetragen“)
    Diesen benötigen Sie, sofern die Datenbank innerhalb eines Monitoring-Szenarios überwacht werden soll.

Wenn Sie also die oben zusammengefassten Aktivitäten berücksichtigen, steht einer problemlosen Anbindung ihrer HANA-Landschaft an den SAP Solution Manager nichts mehr im Wege.
Auf welche Besonderheiten bei der Anbindung sind Sie gestoßen? Stoßen Sie gerne einen Erfahrungsaustausch an!

The post Tipps zur Anbindung eines HANA-Systems an den SAP Solution Manager appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
https://rz10.de/sap-solution-manager/tipps-zur-anbindung-eines-hana-systems-an-den-sap-solution-manager/feed/ 0
Webinar: Neues SAP Berechtigungskonzept einführen ohne Ärger https://rz10.de/webinare/webinar-sap-berechtigungskonzept/ https://rz10.de/webinare/webinar-sap-berechtigungskonzept/#comments Fri, 25 May 2018 14:30:20 +0000 https://rz10.de/?p=5356 Ich habe in meinen bisherigen Projekten schon viele Wege und Lösungsansätze für die Aufgabe „Neues SAP Berechtigungskonzept“ gesehen und auch selbst ausprobiert. In meinem Webinar erzähle ich Ihnen über Probleme, Vorurteile und Lösungsansätze bei der Erstellung von revisionssicheren SAP Berechtigungskonzepten. Ich lade Sie herzlich dazu ein, an dem Webinar teilzunehmen. Anmeldung: Webinar SAP Berechtigungskonzept Webinar-Inhalte SAP Berechtigungskonzept Eine bewährte […]

The post Webinar: Neues SAP Berechtigungskonzept einführen ohne Ärger appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
Ich habe in meinen bisherigen Projekten schon viele Wege und Lösungsansätze für die Aufgabe „Neues SAP Berechtigungskonzept“ gesehen und auch selbst ausprobiert. In meinem Webinar erzähle ich Ihnen über Probleme, Vorurteile und Lösungsansätze bei der Erstellung von revisionssicheren SAP Berechtigungskonzepten. Ich lade Sie herzlich dazu ein, an dem Webinar teilzunehmen.

Anmeldung: Webinar SAP Berechtigungskonzept

Webinar-Inhalte SAP Berechtigungskonzept

  • Eine bewährte Vorgehensweise bei der Einführung eines neuen Berechtigungskonzepts
  • Wie Sie mit einfachen Schritten Zeit und Aufwand in einem SAP Berechtigungsredesign sparen können
  • Warum es wichtig ist, die richtige Methode zu wählen, damit Sie Ihre Investition in neue SAP Berechtigungen langfristig schützen können
  • Eine neue Möglichkeit, um die Vollständigkeit von neuen SAP Berechtigungen ohne Umweg gleich in der Produktion zu testen
  • Wie Sie den finalen Schritt zur Umstellung ohne Angst vor Ausfall bewältigen können

Webinar: SAP Berechtigungskonzept

Wann ist mein Webinar für Sie geeignet?

  • Wenn Sie Feststellungen durch die Revision / Wirtschaftsprüfer haben, die ein Redesign der SAP Berechtigungen nahelegen
  • Wenn die Berechtigungen in Ihrem Unternehmen wie folgt beantragt werden: „Ich brauche die gleichen Rechte wie Herr Müller“
  • Wenn Sie mehr als ein Drittel der verfügbaren Arbeitszeit mit dem Management von Berechtigungen verbringen müssen
  • Wenn Sie ein Redesign selbst durchführen und erfahren wollen, worauf Sie bei Ihrem SAP Berechtigungsredesign achten sollten
  • Wenn Sie ein SAP Berechtigungsredesign durchführen, das nicht zum Ende kommt bzw. wo das Berechtigungskonzept nie im System tatsächlich implementiert worden ist
  • Wenn Sie einen ersten Einblick bekommen möchten, was Sie bei der Erstellung oder Aktualisierung Ihres Berechtigungskonzepts erwartet

Wie kann ich mich anmelden?

Ganz einfach! Unter Anmeldung Webinar SAP Berechtigungskonzept einen Termin auswählen, der Ihnen passt und anmelden. Sie können im Chat auch gerne Fragen stellen.

Wenn Sie bereits an meinem Webinar teilgenommen haben, freue ich mich natürlich über Feedback oder Ideen direkt unterhalb dieses Beitrags!

Sie haben Fragen zum Thema SAP Berechtigungskonzept? Rufen Sie mich an. Telefon 0211 9462 8572-26 oder per E-Mail harmes@rz10.de

 

The post Webinar: Neues SAP Berechtigungskonzept einführen ohne Ärger appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
https://rz10.de/webinare/webinar-sap-berechtigungskonzept/feed/ 0
Transaktionen richtig aus einer Rolle entfernen https://rz10.de/sap-berechtigungen/transaktionen-richtig-aus-einer-rolle-entfernen/ https://rz10.de/sap-berechtigungen/transaktionen-richtig-aus-einer-rolle-entfernen/#comments Tue, 22 May 2018 06:00:10 +0000 https://rz10.de/?p=13178 Manchmal kommt es vor, dass eine Transaktion aus dem Menü einer Rolle gelöscht wurde, die Transaktion für den User jedoch trotzdem noch abrufbar ist. Dies kann an verschiedenen Gründen liegen. Im Folgenden werden drei mögliche Situationen gezeigt, bei denen der TCode noch abrufbar ist. 1. TCode wurde manuell hinzugefügt Es ist sehr zu empfehlen, Transaktionen […]

The post Transaktionen richtig aus einer Rolle entfernen appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
Manchmal kommt es vor, dass eine Transaktion aus dem Menü einer Rolle gelöscht wurde, die Transaktion für den User jedoch trotzdem noch abrufbar ist. Dies kann an verschiedenen Gründen liegen. Im Folgenden werden drei mögliche Situationen gezeigt, bei denen der TCode noch abrufbar ist.

1. TCode wurde manuell hinzugefügt

Es ist sehr zu empfehlen, Transaktionen über das Menü einer Rolle hinzuzufügen. Dadurch werden die in der SU24 gepflegten Werte automatisch mit übernommen. TCodes aus dem Menü werden dann in das Standard Berechtigungsobjekt S_TCODE übernommen. In manchen Situationen kann es dennoch möglich sein, dass weitere Transaktionen manuell zur Rolle hinzugefügt wurden. Das kann bspw. vorkommen, wenn ein ganzer Bereich von Transaktionen (z.B. FB*) hinzugefügt werden soll. In solch einem Fall existiert neben dem Standard auch noch ein manuell gepflegtes Berechtigungsobjekt S_TCODE. Nun kann es vorkommen, dass dieselbe Transaktion sowohl im Menü als auch manuell direkt im Berechtigungsobjekt gepflegt wurde:

Manuelles TCode Objekt mit 2 Transaktionen

Die Transaktionen FB01 & FB02 wurden sowohl manuell als auch über das Menü hinzugefühz

Wenn nun die Transaktion (z.B. FB01) aus dem Menü gelöscht wird, wird sie nur aus dem Standardobjekt entfernt – im manuellen Objekt ist sie noch vorhanden. Hier müsste die Änderungen daher auch am manuellen Objekt vorgenommen werden.

2. TCode wurde mehrmals ins Menü eingefügt

Beim Pflegen von Transaktionen über das Menü überprüft SAP nicht automatisch, ob die gewünschte Transaktion bereits im Menü aufgenommen wurde. Doppelte Einträge sind gerade bei Rollen mit vielen Transaktionen oder größerer Ordnerstruktur im Menü möglich. Wird nur einer der vorkommenden Einträge gelöscht, bleiben die gleichen Berechtigungen vorhanden. Der einfachste Weg ist hier die Suchfunktion zu benutzen. Dies geht entweder über das Fernglas-Symbol oder über STRG+F. In der Statusleiste ist nach der Suche einer Transaktion sichtbar, ob und wie oft die Transaktion gepflegt wurde.  Wenn nun der Löschbutton betätigt wird, werden alle vorkommenden Einträge entfernt und die Berechtigungen damit entzogen.

3. TCode wird über die SU24 einer anderen Transaktion übernommen

In der SU24 können die Vorschlagswerte u.a. für Transaktionen gepflegt werden. Dabei ist es auch möglich, dass als Vorschlagswert für eine Transaktion weitere Transaktionen automatisch hinzugefügt werden. Das hat zur Auswirkung, dass eine Transaktion im S_TCODE Standardobjekt vorkommt, obwohl sie im Menü gar nicht gelistet ist.

Beispiel STMS_QUEUES

Obwohl im Menü nur die Transaktion STMS_QUEUES vorkommt, sind im Standardberechtigungsobjekt S_TCODE auch die Transaktionen STMS und STMS_IMPORT vorzufinden.

Ein Beispiel ist die STMS_QUEUES. Diese zieht automatisch die Transaktionen STMS und STMS_IMPORT mit in das Berechtigungsobjekt S_TCODE. Das ganze lässt sich auch über die SU24 nachvollziehen. Dafür muss nur nach der entsprechenden Transaktion gesucht werden und unter Berechtigungsobjekte S_TCODE ausgewählt werden. Anschließend werden die vordefinierten Werte angezeigt.

SU24 exemplarisch für die STMS_QUEUES

In der SU24 lassen sich die vordefinierten TCodes anzeigen.

In solch einem Fall kann z.B. die auslösende Transaktion ebenfalls aus der Rolle entfernt werden oder die die SU24 für die Transaktion überarbeitet werden.

Tobias Harmes
Sie benutzen noch ein veraltetes Berechtigungskonzept mit Security-Problemen?
Fachbereichsleiter Tobias Harmes

Wir führen für Sie ein revisionssicheres SAP Berechtigungskonzept ein, das die Sicherheit in Ihrem Unternehmen nachhaltig erhöht. Dabei verwenden wir eine standardisierte Vorgehensweise zur Einführung von neuen Berechtigungen, die wir bei vielen Kunden erfolgreich eingesetzt haben. Deshalb haben wir dafür auch ein passendes Angebot: Neues SAP Berechtigungskonzept.

Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per E-Mail info@rz10.de.

In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten.

 

The post Transaktionen richtig aus einer Rolle entfernen appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
https://rz10.de/sap-berechtigungen/transaktionen-richtig-aus-einer-rolle-entfernen/feed/ 0
SAP Web Dispatcher: Lastverteilung für Webanwendungen https://rz10.de/sap-basis/nutzen-des-sap-web-dispatcher/ https://rz10.de/sap-basis/nutzen-des-sap-web-dispatcher/#comments Tue, 08 May 2018 06:00:43 +0000 https://rz10.de/?p=13226 Verwenden Sie Webanwendungen auf der Basis von Web Dynpro ABAP/Java oder SAPUI5? Hat Ihr SAP System mehrere Applikationsserver auf denen diese Webanwendungen laufen? Oder wollen Sie einfach den Internetbasierten Zugriff zu Ihrem SAP System absichern? Der SAP Web Dispatcher liefert genau die Funktionen, die Sie benötigen und noch einiges darüber hinaus. Bei der Verwendung von […]

The post SAP Web Dispatcher: Lastverteilung für Webanwendungen appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
Verwenden Sie Webanwendungen auf der Basis von Web Dynpro ABAP/Java oder SAPUI5? Hat Ihr SAP System mehrere Applikationsserver auf denen diese Webanwendungen laufen? Oder wollen Sie einfach den Internetbasierten Zugriff zu Ihrem SAP System absichern? Der SAP Web Dispatcher liefert genau die Funktionen, die Sie benötigen und noch einiges darüber hinaus.

Bei der Verwendung von SAP Webanwendungen, ergeben sich aus technischer Sicht vor allem zwei Fragen: „Wie kann die Last, die durch Webanwendungen verursacht wird, auf die verschiedenen Applikationsserver meines SAP Systems verteilt werden?“ oder „Wie kann ich sicherstellen, dass die Applikationsserver zwar aus dem Internet erreichbar sind, dadurch aber nicht gefährdet? Die Antwort auf beide Fragen lautet: mit dem SAP Web Dispatcher.

Was ist der SAP Web Dispatcher?

Der SAP Web Dispatcher ist ein Programm, das Unabhängig von einem SAP System auf jedem Server laufen kann. Er wird, sofern er konfiguriert ist, als zentraler Eintrittspunkt für Web-Zugriffe in Ihr System genutzt. Daher kann er eintreffende Anfragen ablehnen oder aber an verschiedene Applikationsserver weiterzuleiten.

Um Ihr SAP System abzusichern, sollte es hinter einer Firewall in einem isolierten Netzwerk verortet sein. Wenn Sie aber Zugriffe aus dem Internet zulassen wollen, muss mindestens ein Applikationsserver, oder aber der Web Dispatcher auch durch eine Firewall hindurch aus dem Web zugreifbar sein. Daher werden meist mindestens zwei verschiedene Netze mit jeweils eigener Firewall genutzt. In der folgenden Grafik sehen Sie, dass der Web Dispatcher in einer Zwischenschicht, zwischen dem Internet und dem Intranet Ihres SAP Systems angesiedelt wird. Wenn kein SAP Web Dispatcher verwendet wird, muss an dieser Stelle der Applikationsserver stehen, der die Webanwendungen bereitstellt.

SAP Web Dispatcher

Übersicht über die Netzwerke Ihres SAP Systems bei Verwendung des SAP Web Dispatchers. (Quelle: SAP Help Portal)

Tobias Harmes
Fehlt Ihnen der Überblick über Technologien für eine SAP-Web-Anbindung?
Fachbereichsleiter Tobias Harmes

Wir beraten Sie gerne zu den verschiedenen Technologien und erarbeiten gemeinsam mit Ihnen eine individuell auf Ihre Systemlandschaft abgestimmte Strategie:
Workshop: Sichere SAP-Web-Anbindung buchen.

Erhöhte Sicherheit durch den SAP Web Dispatcher

Wenn ein Anwender über den Browser eine Webanwendung aufruft, muss dessen Client-PC mit dem Applikationsserver kommunizieren. Bei Einsatz eines SAP Web Dispatchers, muss er dabei zunächst eine Firewall überwinden, um den SAP Web Dispatcher anzusprechen. Die erste Firewall kann somit schon schädliche bzw. ungültige Anfragen an den SAP Web Dispatcher abfangen. Dieser leitet Anfragen durch eine weitere Firewall an die Applikationsserver Ihres SAP Systems weiter. Da die zweite Firewall nur noch die Kommunikation zwischen dem SAP Web Dispatcher und den Applikationsservern zulässt, kann an dieser Stelle der SAP Web Dispatcher Anfragen, die er für ungültig hält verwerfen und so als zusätzlicher Schutz Ihres Systems dienen.

Die Kombination aus einem sicheren System und Lastverteilung ist also (abgesehen von Drittsoftware) nur mit dem SAP Web Dispatcher möglich. Außerdem stellt dieser zusätzliche Funktionen bereit, die im Rahmen von Webanwendungen an Bedeutung gewonnen haben:

  • End-to-End SSL Unterstützung
  • URL-Filter
  • Web Caching
  • SLD-Registrierung

Der SAP Web Dispatcher  kennt die aktuelle Last, die jeder einzelne Applikationsserver trägt, und kann die Anfragen so gleichmäßig verteilen und berücksichtigen auf welchem Server welche Anfragen überhaupt verarbeitet werden können. Wenn Sie zum Beispiel nur auf einen Applikationsserver mit einem Java Stack haben, so ist es wenig sinnvoll, die Web Dynpro Java Anfragen an die anderen Applikationsserver zu senden.

Lastverteilung mit dem SAP Web Dispatcher

Wenn Sie keinen SAP Web Dispatcher verwenden, übernimmt im Regelfall der Message Server Ihres Systems die Lastverteilung. Das bringt jedoch einige Nachteile mit sich. Bei der Verwendung des Message Servers als Lastverteiler für Webanwendungen kommt es zu Fehlern mit sogenannten stateful Applications, also kurzgesagt Applikationen, für die der Nutzerkontext über die gesamte Dauer der Anwendung vorgehalten werden muss. Mehr Informationen zu stateful Applications finden Sie hier.

Aufrufe von stateful Applications aus dem Portal können nicht über den Message Server verteilt werden. Auch die Nutzung von Bookmarks ist mit der Lastverteilung durch den Message Server nicht möglich, da dieser für die Weiterleitung der Anfragen an die Applikationsserver die verwendete URL ändert.
Zu guter Letzt kann die Lastverteilung über den Message Server nur dann genutzt werden, wenn die Applikationsserver direkt aus dem Aufrufenden Netz erreichbar sind und nicht wie oben dargestellt, durch eine Firewall o.Ä. geschützt werden.
Aus diesem Grund empfiehlt SAP den SAP Web Dispatcher für die Lastverteilung einzusetzen.

Für welche Systeme sollte ein SAP Web Dispatcher eingesetzt werden?

Die eigentliche Frage sollte an dieser Stelle also lauten: Welche Systeme haben einen Nutzen von Lastverteilung für Webanwendungen und sollten gegen schädliche Zugriffe aus dem Internet geschützt sein? Die Antwort ist kurz: Alle Systeme, in denen mehrere Applikationsserver Webanwendungen bereitstellen. Falls Sie mehrere Systeme besitzen, ist es möglich nur einen einzigen Web Dispatcher für alle Systeme zu verwenden. Ob das in Ihrem Fall ratsam ist, hängt von der Anzahl, Version und Größe der jeweiligen Systeme ab.

Haben Sie Erfahrungen mit dem SAP Web Dispatcher, die Sie mit uns teilen möchten, oder haben Sie Fragen zur Installation und Einrichtung Ihres SAP Web Dispatchers? Ich freue mich über Ihre Kommentare.

 

The post SAP Web Dispatcher: Lastverteilung für Webanwendungen appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
https://rz10.de/sap-basis/nutzen-des-sap-web-dispatcher/feed/ 0