Willkommen im SAP Forum

RZ10 » SAP Berechtigungen

Berechtigung zur Änderung von Rollen analysieren - Link zum Blogartikel

<< Vorheriges Thema

Nächstes Thema >>

Andre Tenbuss

vor 11 Jahren

Beiträge: 19

SAP Berechtigungen

Berechtigung zur Änderung von Rollen analysieren

Sicherlich existiert in Ihrem Unternehmen eine klare Funktionstrennung in Bezug auf die Berechtigung zur Rollenänderung. Der zur Änderung von Rollen berechtigte Personenkreis ist üblicherweise möglichst klein und es bestehen bereits Prozesse, welche für einen ordnungsgemäßen Rollenänderungsprozess sorgen. Für zahlreiche Anspruchsgruppen innerhalb (z.B. Leiter IT, Revision, IT-Sicherheitsbeauftragter, etc.) oder außerhalb (z.B. externe Prüfer, Behörden, etc.) Ihres […]

1 20 #PFCG, #SUIM

Artikel lesen

1 20 #PFCG, #SUIM

Artikel lesen

Harald Schürmann

# 1 - vor 9 Jahren

Problem: die SAP-Sicherheitsrevision bemängelt, dass wir im Produktivmandanten sowohl Rollen zuordnen als auch ändern können. Nun, Zuordnen von Rollen können, das müssen wir manchmal, z.B. zu Vertretungszeiten, Aktivierung einer Notfallrolle oder nach der Schaffung einer neuen Rolle. Mit diesen "Sicherheitsmangel" war allerdings auch verbunden, dass auch das Ändern einer Rolle im PRD wie die Zuordnung von Transaktionen oder die Änderung von Berechtigungsobjekten möglich war. Unsere Lösung (Zuordnen ja, Ändern nein): Das Berechtigungsobjekt S_USER_AGR muss die ACTVT „02“ haben, um Rollen zuweisen zu können (ist etwas unscharf von SAP dokumentiert). Das hat zur Folge, dass aber auch Transaktionen einer Rolle zugeordnet als auch Berechtigungsobjekte modifiziert werden können. Wenn man nun die Berechtigungsobjekte S_USER_TCD (zuständig für die Zuordnung von Transaktionen zu einer Rolle) und S_USER_VAL (Berechtigungswerte modifizieren) deaktiviert, kann man zwar noch die Rollen zuweisen, aber der Rolle weder Transaktionen zuordnen noch Ber.-Obj. ändern.