Torsten Schmits
 - 5. September 2018

Minimal berechtigte SAP Rollen erstellen

cyber-security-3400657_1920 In diesem Blog-Beitrag zeige ich Ihnen, warum und wie Sie mit möglichst wenig Aufwand und der Xiting Authorizations Management Suite ohne Unterbrechung des Tagesgeschäfts minimal berechtigte SAP Rollen aufbauen können.

Viele Unternehmen haben Nutzer in ihrem SAP-System, die mit zu vielen oder sogar kritischen Berechtigungen ausgestattet sind. Aufgrund der schnell steigenden Komplexität im Berechtigungswesen ist es keine einfache Aufgabe, die Berechtigungen eines Nutzers auf ein Minimum zu beschränken, ohne diesen bei seinem Tagesgeschäft zu stören.

Warum benötige ich minimal berechtigte SAP Rollen für meine Nutzer?

Im Rahmen einer Wirtschaftsprüfung sind zu viele Berechtigungen für Nutzer beziehungsweise Nutzergruppen ein häufig bemängelter Punkt. Ebenfalls stellt Unwissenheit ein nennenswertes Problem dar. Es kommt nicht selten vor, dass Nutzer aus Versehen Aktionen ausführen, die verschiedenste Konsequenzen mit sich führen können. Diese Probleme können anhand einer minimalen Berechtigung der Nutzer eingedämmt werden.

Was ist das Problem bei der Einführung minimal berechtigter Rollen?

Es existiert das Problem, dass die Nutzer in den Prozess einer neu zu erstellenden Rolle eingebunden werden müssen und damit Zeit und Geld verbraucht wird. Eine klassische Vorgehensweise sieht zum Beispiel so aus, dass Nutzer zunächst mitteilen, welche Transaktionen beziehungsweise Rechte sie benötigen und erhalten eine darauf zugeschnittene Rolle. Im Nachgang treten oftmals weiterhin Probleme in Bezug auf fehlende Berechtigungen auf, wodurch das Tagesgeschäft wiederum gestört wird. Aufgrund dieser Probleme liegt es Nahe, eine andere Strategie zur Neugestaltung einer Rolle zu verfolgen. Hierfür stelle ich Ihnen zunächst die technische Eigenschaft eines SAP-Systems zum Referenznutzer vor.

Der Referenznutzer

Zu jedem Nutzer in einem SAP-System kann ein Referenznutzer angegeben werden. Bei einer Berechtigungsprüfung werden daraufhin sowohl die Berechtigungen des Nutzers, als auch die des dazu definierten Referenznutzers geprüft. Damit die Berechtigungsprüfung erfolgreich beendet wird, genügt es, wenn einer der beiden die geforderte Berechtigung besitzt.

Tobias Harmes
Sie benutzen noch ein veraltetes Berechtigungskonzept mit Security-Problemen?
Fachbereichsleiter Tobias Harmes

Wir führen für Sie ein revisionssicheres SAP Berechtigungskonzept ein, das die Sicherheit in Ihrem Unternehmen nachhaltig erhöht. Dabei verwenden wir eine standardisierte Vorgehensweise zur Einführung von neuen Berechtigungen, die wir bei vielen Kunden erfolgreich eingesetzt haben. Deshalb haben wir dafür auch ein passendes Angebot: Neues SAP Berechtigungskonzept.

Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per E-Mail info@rz10.de.

In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten.

Welches Vorgehen empfehle ich Ihnen?

Um einen möglichst geringen Aufwand bei der Neugestaltung von SAP Rollen zu haben, lege ich Ihnen die Nutzung der Xiting Authorizations Management Suite nahe. Diese bietet ein riesiges Paket von verschiedensten Funktionen und nutzt dafür zum Teil das Konzept des Referenznutzers. Durch diese technische Eigenschaft eines SAP-Systems kann mittels der Xiting Authorizations Management Suite eine Aufzeichnung und Auswertung von echten Tracedaten eines Nutzers anhand einer Simulation auf dem realen Produktivsystem vorgenommen werden. Das Vorgehen sieht hierbei wie folgt aus:

XAMS Vorgehen bei der Erstellung minimal berechtigter SAP Rollen

Phase 1

In einer ersten Phase werden zunächst Tracedaten des Nutzers erstellt, auf dessen Basis im Anschluss mit der Xiting Authorizations Management Suite eine entsprechende Rolle generiert werden kann. Diese besitzt genau die Berechtigungen, die in den aufgezeichneten Tracedaten vermerkt worden sind. Die Konfiguration zur Aufzeichnung der Tracedaten geschieht in der ST03N.

Phase 2

In der zweiten Phase wird dem zu minimal berechtigendem Nutzer ein Referenznutzer zugewiesen, der die im ersten Schritt erstellte Rolle zugewiesen hat. Hierdurch können jegliche Berechtigungsprüfungen, die von dem Nutzer und seinem zugeschaltetem Referenznutzer ausgehen, verglichen werden. Im Anschluss kann aus diesen Daten ausgelesen werden, welche Berechtigungsprüfungen der Nutzer erfolgreich durchgeführt hat, sein zugeschalteter Referenznutzer jedoch nicht. Auf Basis dieser Daten kann die neu erstellte Rolle bei Bedarf noch erweitert werden.

Phase 3

In der dritten und letzten Phase wird dem Nutzer schließlich die neu erstellte SAP Rolle zugewiesen. Die Xiting Authorizations Management Suite bietet als Airbag an, dass die alte Rolle des Nutzers im Notfall nochmals als Referenznutzer zugeschaltet werden kann und sichert somit die Fortführung des Tagesgeschäfts.

Haben Sie noch andere Vorgehensweisen zur Erstellung von minimal berechtigten SAP Rollen? Konnten Sie dieses Vorgehen bereits ausprobieren und haben Wünsche oder Verbesserungsvorschläge? Lassen Sie es mich wissen! Ich freue mich über Ihre Kommentare!

Torsten Schmits

Ich bin Torsten Schmits und begeisterter SAP Berater bei der mindsquare. SAP Basis & Security sind mein Spezialgebiet.

Sie haben Fragen? Kontaktieren Sie mich!

Kostenloses E-Book zum Thema SAP Berechtigungstools als Download:

Kostenloses E-Book zum Thema SAP Berechtigungskonzept als Download:

Jetzt das kostenlose E-Book zum Thema SAP Berechtigungen downloaden:




Das könnte Sie auch interessieren


Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Angebot anfordern
Preisliste herunterladen
Expert Session
Support