Berechtigung zur Änderung von Rollen analysieren
Autor: Andre Tenbuss | 14. Februar 2013
Sicherlich existiert in Ihrem Unternehmen eine klare Funktionstrennung in Bezug auf die Berechtigung zur Rollenänderung. Der zur Änderung von Rollen berechtigte Personenkreis ist üblicherweise möglichst klein und es bestehen bereits Prozesse, welche für einen ordnungsgemäßen Rollenänderungsprozess sorgen. Für zahlreiche Anspruchsgruppen innerhalb (z.B. Leiter IT, Revision, IT-Sicherheitsbeauftragter, etc.) oder außerhalb (z.B. externe Prüfer, Behörden, etc.) Ihres Unternehmens kann es wichtig sein zu wissen, welche Benutzer in einem SAP System die Berechtigung haben Rollen zu ändern. Nachfolgend werde ich Schritt für Schritt beschreiben, wie Sie herausfinden können, welche Benutzer die kritischen Berechtigungen zur Rollenänderung haben.
Überprüfung der Transaktionsberechtigung
Transaktion: SUIM
Schritt 1. Zunächst ist zu prüfen, welche Benutzer die Transaktion PFCG und damit die Rollenpflege aufrufen können. Dazu rufen Sie in der Transaktion SUIM den Bericht Benutzer nach komplexen Selektionskriterien (RSUSR002) auf.
Schritt 2. Tragen Sie in das Feld Transaktion den Wert PFCG ein und führen Sie den Bericht aus.
Im dem nachfolgend angezeigten Ergebnis finden Sie alle Benutzer, welche die Berechtigung dazu haben, die Transaktion zur Rollenpflege (PFCG) aufzurufen.
Überprüfung der Änderungsberechtigungen
Schritt 3. Zusätzlich zur Transaktionsberechtigung muss geprüft werden, ob die Berechtigungsobjekte S_USER_AGR (Schutz der Aktivitätsgruppen), S_USER_PRO (Profilpflege bei Rollenänderung) und S_USER_GRP (Zuweisung von Rollen) an die Benutzer vergeben sind. In dem Bericht Benutzer nach komplexen Selektionskriterien finden Sie im Bereich Selektion nach Werten die Felder mit der Bezeichnung Berechtigungsobjekt. Tragen Sie in diese Felder zunächst die drei Namen der Berechtigungsobjekte ein. Klicken Sie anschließend auf den Button Eingabewerte. Nun können Sie die unten angegebenen Feldwerte in die entsprechenden Eingabefelder eintragen.
Ihr Plan für bessere SAP Berechtigungen
In dem Strategieworkshop SAP Berechtigungen entwickeln wir für Sie eine Strategie zur Optimierung der SAP Sicherheit und Reduzierung der Betriebsaufwände.
Berechtigungsobjekt S_USER_AGR
Die folgenden Feldwerte sind Voraussetzung für die Berechtigung zum Benutzerstammabgleich von Rollen (Aktivitätsgruppen):
Feld: Name der Rolle
Wert: *
Feld: Aktivität
Wert: 22 (Benutzerstammabgleich von Aktivitätsgruppen)
Berechtigungsobjekt S_USER_PRO
Die folgenden Feldwerte sind Voraussetzung für die Berechtigung zur Zuweisung von Profilen an Benutzer:
Feld: Berechtigungsprofil in Benutzerstammpflege
Wert: * (ggf. an den gewünschten Profilnamen anpassen)
Feld: Aktivität
Wert: 22 (Profil Benutzern zuordnen / Zuordnung wieder aufheben)
Berechtigungsobjekt S_USER_GRP
Die folgenden Feldwerte sind Voraussetzung für die Berechtigung zur Zuweisung von Rollen an Benutzer:
Feld: Benutzergruppe in Benutzerstammpflege
Wert: *
Feld: Aktivität
Wert: 22 (Benutzer in Aktivitätsgruppen aufnehmen)
Ergebnis
Wenn Sie den Bericht ausführen, werden Ihnen alle Benutzer, die eine Berechtigung zur Rollenänderung haben, angezeigt. Selbstverständlich können Sie die Auswahlkriterien entsprechend Ihren Wünschen anpassen. Bitte beachten Sie, dass für dieses Beispiel davon ausgegangen wird, dass sämtliche Tätigkeiten im Rahmen von Rollenänderungen (Änderung, Profilgenerierung und Benutzerstammabgleich) von einem Benutzer durchgeführt werden. Sollte dieses Beispielszenario nicht dem Szenario in Ihrem Unternehmen entsprechen, müssen auch hier die Auswahlkriterien hinsichtlich der geprüften Berechtigungsobjekte angepasst werden.
Bitte zögern Sie nicht Fragen und Feedback in den Kommentarbereich zu schreiben.
Ein Kommentar zu "Berechtigung zur Änderung von Rollen analysieren"
Problem: die SAP-Sicherheitsrevision bemängelt, dass wir im Produktivmandanten sowohl Rollen zuordnen als auch ändern können. Nun, Zuordnen von Rollen können, das müssen wir manchmal, z.B. zu Vertretungszeiten, Aktivierung einer Notfallrolle oder nach der Schaffung einer neuen Rolle. Mit diesen “Sicherheitsmangel” war allerdings auch verbunden, dass auch das Ändern einer Rolle im PRD wie die Zuordnung von Transaktionen oder die Änderung von Berechtigungsobjekten möglich war.
Unsere Lösung (Zuordnen ja, Ändern nein):
Das Berechtigungsobjekt S_USER_AGR muss die ACTVT „02“ haben, um Rollen zuweisen zu können (ist etwas unscharf von SAP dokumentiert). Das hat zur Folge, dass aber auch Transaktionen einer Rolle zugeordnet als auch Berechtigungsobjekte modifiziert werden können. Wenn man nun die Berechtigungsobjekte S_USER_TCD (zuständig für die Zuordnung von Transaktionen zu einer Rolle) und S_USER_VAL (Berechtigungswerte modifizieren) deaktiviert, kann man zwar noch die Rollen zuweisen, aber der Rolle weder Transaktionen zuordnen noch Ber.-Obj. ändern.