Toolgestützt Funktionsrollen entwickeln

Autor: Luca Cremer | 8. Juni 2018

30

Ein nachhaltiges Bereinigen von SAP Berechtigungen beginnt mit der fachlichen Perspektive auf Rollen und Arbeitsplätze - es werden Funktionsrollen entwickelt, welche später technisch mit Berechtigungen ausgeprägt und in den produktiven Betrieb überführt werden können.

Eine Funktionsrolle steht für eine Berechtigungsrolle aus fachlicher Sicht. Hier werden auf erster Ebene die notwendigen SAP Transaktionen gesammelt die basierend auf einer Arbeitsplatzbeschreibung im täglichen Betrieb aufgerufen werden. In diesem Blogbeitrag gehe ich auf die Erstellung von solchen Funktionsrollen ein. Hierbei verwenden wir in unseren Projekten einen toolgestützten Ansatz, welchen ich Ihnen ebenfalls kurz vorstellen werde.

Neue SAP Berechtigungen mit dem XAMS Starter Workshop

In diesem zweitägigen Workshop lernen Sie alles notwendige über die XAMS als umfassendes Tool zur Berechtigungsadministration inklusive Testlizenz.


Ansätze zur Entwicklung von SAP Rollen

Generell gibt es bei einer gewünschten Neudefinition von Rollen in SAP zwei bekannte Vorgehensweisen:

  • Top-Down
  • Bottom-Up

Bei dem Top-Down-Verfahren stehen die fachlichen Anforderungen im Vordergrund. Hier werden bestehende Geschäftsprozesse analysiert, Interviews mit Experten geführt, etc. Der Fokus liegt hierbei auf den Kerntätigkeiten eines Mitarbeiters basierend auf einer Arbeitsplatzbeschreibung.

Bei dem Bottom-Up-Ansatz liegt der Fokus auf den tatsächlichen Nutzungsdaten in SAP. Hier werden z.B. die Daten der ST03N ausgewertet, um Analysen über die Verwendungshistorie von Transaktionen zu fahren. Bei diesem Ansatz wird die zu definierende Rolle mit genau den Berechtigungen ausgeprägt, welche in der Vergangenheit auch genutzt worden sind.

Beide Ansätze bieten verschiedene Vor- und Nachteile. Bei einem reinen Top-Down-Ansatz werden sehr häufig Transaktionen vergessen. Auch das Durchspielen der üblichen Tagesaktivitäten basierend auf einem Arbeitsplatz ist kein valides Mittel, um wirklich alle notwendigen Transaktionen einzufangen. Der reine Bottom-Up-Ansatz lässt dabei die fachliche Perspektive völlig außen vor. Fehlende fachliche Ansprechpartner und benötigte Transaktionen welche außerhalb des betrachteten Nutzungszeitraums aufgerufen worden sind, werden vergessen und sorgen für viel Aufwand in der Nachbereitung.

Zeitraum der Aufzeichung von Transaktionsnutzungsdaten erhöhen!

Hier ein kleiner Tipp vorab: Wenn Sie bereits über eine Bereinigung von SAP Berechtigungen nachdenken, sollten Sie als aller erstes den Aufzeichnungszeitraum der ST03N erhöhen. Umso länger die Daten hier aufgezeichnet werden, umso sicherer ist das Ergebnis des Redesigns zum Abschluss des Projektes.


Unsere Best Practice Vorgehensweise – Funktionsrollen

Um den oben genannten Nachteilen der Rollenentwicklung mit den bekannten klassischen Vorgehensweisen entgegenzuwirken, verwenden wir in unseren Projekten einen kombinierten Ansatz. Wir empfehlen sowohl die fachliche als auch die technische Perspektive zu erfassen und somit das beste aus beiden Ansätzen zu erhalten.

Funktionsrollen

Durch diese Kombination erreichen Sie folgende Vorteile:

  • Fachlich korrekte Rollen
  • Rollen basierend auf Funktionen / Arbeitsplätzen
  • Stets fachlicher Verantwortlicher für Rollen vorhanden
  • Das Risiko Transaktionen zu vergessen wird minimiert
  • Technische Datenanalyse stellt Validität sicher

Diese Kombination der Ansätze wird in unseren Projekten durch den Einsatz der XAMS (Xiting Authorizations Management Suite) vereinfacht und unterstützt.


Funktionsrollen toolgestützt erarbeiten

Zur Erarbeitung der Funktionsrollen mit dem oben genannten Ansatz verwenden wir das Modul “Role Designer” der Toolsuite XAMS von der Firma Xiting. Dieses Modul ermöglicht ein virtuelles Designen von Rollen. Virtuell bedeutet in diesem Kontext, dass wir ein Projekt erstellen und für eine spätere Weiterarbeit abspeichern können. Die in diesem Projekt erstellten Rollen sowie die Zuweisung von Transaktionen oder Benutzern geschieht rein in dem Tool und hat keine Auswirkung auf die bereits produktiven Rollen.

SAP Security& Berechtigungen

E-Book SAP Security und Berechtigungen

Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten - Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.

Das Modul unterstützt den Bottom-Up-Ansatz durch Datenauswertung im SAP System. So können wir direkt auf die Transaktionsnutzungsdaten der betrachteten User zugreifen. Damit sehen wir auf einen Blick zu wie viel Prozent ein User mit der momentanen, virtuellen Rollenzuweisung berechtigt wäre alle Transaktionen aufzurufen welche er auch in der Vergangenheit bereits aufgerufen hat.

 

Hier ist ein beispielhafter Screenshot eines Demo-Projekts:

XAMS_Role_Designer

 

In diesem Screenshot ist zu sehen, wie die Arbeit mit dem Tool aussehen kann. Auf der linken Seite sind die virtuellen Rollen zu erkennen, welche per Drag&Drop mit Transaktionen gefüllt werden können.

Auf der rechten Seite sind die betrachteten User im System zu sehen. Diese Benutzer sind hier bereits nach Funktionen / Abteilungen gruppiert. Das ermöglicht später eine einfachere Zuweisung. Ebenfalls durch Drag&Drop können die neu designten Rollen den Benutzern oder Benutzergruppen zugewiesen werden (rein virtuell). Ganz rechts ist nun ebenfalls zu erkennen zu wie viel Prozent der User im Vergleich zu seiner Verwendungshistorie berechtigt ist. Der User EXT_ hat im Betrachtungszeitraum 13 Transaktionen verwenden und ist mit den zugewiesenen Rollen zu 100% berechtigt und wird in diesem Screenshot deshalb in grün dargestellt.

Die darunter befindlichen User sind erst zu 3,03 bzw. 1,05 Prozent berechtigt und sollten daher noch einmal überarbeitet werden.


Verwendung des Moduls in Fachbereichsworkshops

Wir verwenden dieses Modul, um Funktionsrollen mit dem entsprechenden Fachbereich aufzubauen. Hier organisieren wir üblicherweise einen Workshop mit dem Fachbereich. Vorher wird das Projekt in dem Modul aufgesetzt und alles notwendige vorbereitet. In dem Workshop selbst gehen wir dann mit dem Fachbereich die Transaktionen durch und weisen diese den Fachbereichsinternen Rollen basierend auf Arbeitsplätzen zu.

So kann der Fachbereich bei der Erstellung der Rollen basierend auf Transaktionen aktiv mitwirken. Das garantiert eine spätere Sicherheit der Rollen. Wir können Sie gerne bei einem solchen Workshop unterstützen. Mehr Informationen hierzu finden Sie unter dem folgenden Link: SAP Redesignworkshop mit Fachbereich.


XAMS im Berechtigungsredesign verwenden

Die Toolsuite der Xiting verwenden wir grundlegend im gesamten Zyklus eines SAP Redesigns. Die verschiedenen Module unterstützen das neue Designen von Rollen in der Get Clean Phase sowie in der anschließenden Stay Clean Phase, um die erstellten Rollen mit ihren SAP Berechtigungen auch nachhaltig sicher und zuverlässig zu halten.

Deshalb empfehlen wir generell den Einsatz der XAMS im SAP Berechtigungskontext. Der Zeitaufwand der hierdurch gespart wird ist so erheblich, dass ein manuelles Bereinigen der Rollen nicht mehr wirtschaftlich ist.

Wir zeigen Ihnen gerne die unterschiedlichen Funktionlitäten der XAMS mit den verschiedenen Modulen. Damit verbunden ist eine einmonatige Testlizenz, damit Sie das Tool in aller Ruhe testen können. Mehr Informationen hierüber erhalten Sie unter folgendem Link: XAMS Starter Workshop.


Luca Cremer
Wir helfen Ihnen, die SAP Berechtigungen neu aufzubauen
Fachbereichsleiter Luca Cremer

In unserem Workshop erhalten Sie weitere Infos zum Tool inkl. einer einmonatigen Testlizenz: XAMS Starter Workshop.

Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per E-Mail cremer@rz10.de.
Autoren Expert Session


Sie benötigen Unterstützung in diesem Thema? Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Luca Cremer

Autor

Luca Cremer

Fachbereichsleiter Security | Projektleiter | Security Consultant

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice