Für eine Funktionsdefinition erfassen Sie folgende Stammdaten.
Tabelle 2: Stammdaten einer Funktionsdefinition
Funktionsdefinition |
Bezeichnung der SAP Funktion. |
Unternehmensbereich |
Unternehmensbereich, für den die SAP Funktion gültig ist. |
Funktionskategorie |
Gruppierungskriterium für die SAP Funktion. Um eine neue Funktionskategorie zu erstellen, klicken Sie . Erfassen Sie den Namen und eine Beschreibung der Funktionskategorie. |
Verantwortliche |
Anwendungsrolle, deren Mitglieder inhaltlich für diese Funktionsdefinition verantwortlich sind.
Um eine neue Anwendungsrolle zu erstellen, klicken Sie . Erfassen Sie die Bezeichnung der Anwendungsrolle und ordnen Sie die übergeordnete Anwendungsrolle zu. |
Berechtigungsobjekte |
Freitextfeld zum Erfassen von Informationen über die Berechtigungsobjekte, die in der Funktionsdefinition genutzt werden. |
Risikoindex |
Gibt das Risiko für das Unternehmen an, wenn ein SAP Benutzerkonto diese SAP Funktion trifft. Stellen Sie über den Schieberegler einen Wert zwischen 0 und 1 ein.
0: kein Risiko
1: Jedes SAP Benutzerkonto, das die SAP Funktion trifft, ist ein Problem.
Das Eingabefeld ist nur sichtbar, wenn der Konfigurationsparameter QER | CalculateRiskIndex aktiviert ist. |
Risikoindex (reduziert) |
Gibt den Risikoindex unter Berücksichtigung der zugewiesenen risikomindernden Maßnahmen an. Der Risikoindex einer SAP Funktion wird um die Signifikanzminderung aller zugewiesenen risikomindernden Maßnahmen reduziert. Der Risikoindex (reduziert) wird für die originale SAP Funktion berechnet. Um diesen Wert in die Arbeitskopie zu übernehmen, führen Sie die Aufgabe Arbeitskopie erstellen aus.
Das Eingabefeld ist nur sichtbar, wenn der Konfigurationsparameter QER | CalculateRiskIndex aktiviert ist. Der Wert wird durch den One Identity Manager berechnet und kann nicht bearbeitet werden. |
Schweregrad |
Gibt an, welche Bedeutung es für das Unternehmen oder den zugeordneten Unternehmensbereich hat, wenn SAP Benutzerkonten diese SAP Funktion treffen. Erfassen Sie einen Wert zwischen 0 und 1.
0: nur zur Information
1: Jedes SAP Benutzerkonto, das die SAP Funktion trifft, erfordert Änderungen an den betroffenen SAP Berechtigungen. |
Auswirkung |
Gibt in verbaler Beschreibung an, welche Auswirkungen es für das Unternehmen oder den zugeordneten Unternehmensbereich hat, wenn SAP Benutzerkonten diese SAP Funktion treffen. In der Standardinstallation wird die Werteliste {Niedrig, Mittel, Hoch, Kritisch} angezeigt. |
Beschreibung |
Freitextfeld für zusätzliche Erläuterungen. |
Arbeitskopie |
Angabe, ob es sich um die Arbeitskopie der Funktionsdefinition handelt. |
Ausführliche Informationen zur Risikobewertung finden Sie im One Identity Manager Administrationshandbuch für Risikobewertungen.
Detaillierte Informationen zum Thema
Über den Berechtigungseditor erstellen Sie die Berechtigungsdefinition der SAP Funktion. Dafür stellen Sie die SAP Applikationen und Berechtigungsobjekte zusammen, die durch die SAP Funktion abgedeckt werden sollen.
Um die Berechtigungsdefinition zusammenzustellen
-
Wählen Sie im Manager die Kategorie Identity Audit > SAP Funktionen > Arbeitskopien von Funktionsdefinitionen.
-
Wählen Sie in der Ergebnisliste die Funktionsdefinition.
-
Wählen Sie die Aufgabe Berechtigungseditor.
-
Wählen Sie eine der folgenden Aufgaben.
-
1. Hinzufügen durch Menüvorlage
Wählen Sie, aus welchem Menü Sie die Menüeinträge auswählen möchten und das SAP System, dessen Menübaum angezeigt werden soll. Wählen Sie anschließend aus dem Menübaum einen Menüeintrag aus. Als zusätzliche Information werden im Menübaum die mit einem Menüeintrag verknüpften Transaktionscodes in Klammern angezeigt.
Es werden alle Transaktionen und deren zugeordnete Berechtigungsobjekte geladen, die über den ausgewählten Menüeintrag oder seine untergeordneten Menüeinträge aufgerufen werden können.
-
2. Hinzufügen durch SAP Applikation
Wählen Sie den Typ der SAP Applikation und die SAP Applikation, deren Berechtigungsobjekte in den Berechtigungseditor geladen werden sollen. Es werden alle Berechtigungsobjekte eingefügt, die mit der ausgewählten SAP Applikation verknüpft sind. Sie können einen Filter definieren, um die Liste der zur Verfügung stehenden SAP Applikationen einzuschränken.
-
3. Hinzufügen durch vorhandene Funktionsdefinition
Wählen Sie eine vorhandene Funktionsdefinition aus, deren Berechtigungsdefinition in den Berechtigungseditor geladen werden soll.
Es werden nur die aktivierten Funktionsdefinitionen zur Auswahl angeboten.
-
Legen Sie die Details für die einzelnen Funktionselemente im Berechtigungseditor fest.
- Speichern Sie die Änderungen.
Detaillierte Informationen zum Thema
Beim Erstellen einer Berechtigungsdefinition im Berechtigungseditor berücksichtigen Sie folgende Hinweise:
-
Um zu einem Berechtigungsobjekt einen zusätzlichen Wert für eine Aktivität hinzuzufügen, klicken Sie +. Mehrere zulässige Werte von Aktivitäten können auch als ODER- oder UND-Verknüpfungen erfasst werden.
-
Um zu einem Berechtigungsobjekt einen zusätzlichen Wert für ein Berechtigungsfeld hinzuzufügen, klicken Sie C neben diesem Berechtigungsfeld.
-
Das selbe Berechtigungsobjekt kann innerhalb einer Berechtigungsdefinition nicht mehrfach eingefügt werden.
-
ODER- und UND-Verknüpfungen können für Aktivitäten unterhalb eines Berechtigungsobjekts nicht kombiniert werden. Wenn eine Aktivität eine UND-Verknüpfung enthält, dürfen unterhalb des selben Berechtigungsobjekts keine weiteren Aktivitäten definiert sein.
-
ODER- und UND-Verknüpfungen können für das selbe Berechtigungsfeld unterhalb eines Berechtigungsobjekts nicht kombiniert werden. Wenn ein Berechtigungsfeld eine UND-Verknüpfung enthält, darf unterhalb des selben Berechtigungsobjekts dieses Berechtigungsfeld nicht erneut definiert sein.
Detaillierte Informationen zum Thema
Verwandte Themen
Die Funktionsweise des Berechtigungseditors ist an den Berechtigungseditor der SAP GUI angelehnt. Die einzelnen Spalten im Berechtigungseditor haben folgende Bedeutung.
Tabelle 3: Eigenschaften einer Berechtigungsdefinition
Funktionsdefinition / SAP Applikation / Berechtigung / Funktionselement |
Hierarchie der Funktionsdefinition. Es werden die SAP Applikationen, ihre zugehörigen Berechtigungsobjekte und Funktionselemente in einer Baumstruktur abgebildet. |
Bearbeitungsstatus |
Bearbeitungsstatus der Objekte der Baumstruktur.
: Für das Funktionselement ist kein Wert festgelegt.
: Für das Funktionselement ist ein Wert festgelegt. |
Hinzufügen |
Klicken Sie +, um weitere Objekte der Berechtigungsdefinition hinzuzufügen. Es wird ein untergeordnetes Objekt hinzugefügt.
Klicken Sie C, um das Funktionselement zu duplizieren. |
Entfernen |
Klicken Sie -, um Objekte aus der Berechtigungsdefinition zu entfernen. |
Beschreibung |
Beschreibung des Objekts. |
Beliebig |
Klicken Sie *, um den Wert eines Funktionselements auf * (beliebiger Wert) festzulegen. |
Wert / Untere Bereichsgrenze |
Zulässige Werte für das Funktionselement. Beispielsweise können Sie die SAP Berechtigungen auf konkrete SAP Gruppen einschränken. Wenn Sie einen Wertebereich festlegen, geben Sie hier den unteren Grenzwert an.
Werte können als Variablen eingefügt werden. Es können auch Systemvariablen genutzt werden.
In den Werten können Platzhalter genutzt werden. Weitere Informationen finden Sie unter Syntaxbeispiele für Werte. |
Obere Bereichsgrenze |
Oberer Grenzwert für den Wertebereich eines Funktionselements. Werte können als Variablen eingefügt werden.
Mit , oder + verknüpfte Werte und * sind nicht zulässig.
Wenn Wert / Untere Bereichsgrenze mit + oder , verknüpfte Werte oder * enthält, kann keine obere Bereichsgrenze erfasst werden. |
Tabelle 4: Syntaxbeispiele für Werte
* |
beliebige Werte
Kann nur als Einzelwert genutzt werden. Es kann keine obere Bereichsgrenze angegeben werden. |
ab oder 1234 |
beliebige Zeichenkette (ab) |
exakt den angegebenen Wert |
ab |
[*] |
den Wert * |
* |
Zeichenkette[*] (ab[*]) |
Werte, die exakt diese Zeichenkette und * enthalten |
ab* |
Zeichenkette* (ab*) |
Werte, die mit der angegebenen Zeichenkette beginnen und mit einer beliebigen Zeichenkette enden
Kann nur als Einzelwert genutzt werden. Es kann keine obere Bereichsgrenze angegeben werden. |
abcd oder ab* |
ODER-Verknüpfung (01,02,78) |
einen der in der Liste enthaltenen Werte
ODER-Verknüpfungen können nicht für die obere Bereichsgrenze genutzt werden.
Kann nur als Einzelwert genutzt werden. Es kann keine obere Bereichsgrenze angegeben werden. |
01 oder 02 oder 78 |
UND-Verknüpfung (01+02+78) |
alle in der Liste enthaltenen Werte
UND-Verknüpfungen können nicht für die obere Bereichsgrenze genutzt werden.
Kann nur als Einzelwert genutzt werden. Es kann keine obere Bereichsgrenze angegeben werden. |
01 und 02 und 78 |
[*],[,],[+] (FM[+]7) |
Werte, die das Sonderzeichen enthalten |
FM+7 |
Variable ($Var$) |
die in der Variable hinterlegten Werte |
|
Systemvariable ($Var) |
die in der Systemvariable hinterlegten Werte |
|
Innerhalb einer SAP Applikation müssen alle Funktionselemente erfüllt sein, die in einer separaten Zeile definiert sind, damit die SAP Funktion getroffen wird. Soll die SAP Funktion nur getroffen werden, wenn ein SAP Profil eine von mehreren möglichen Ausprägungen eines Funktionselements besitzt, definieren Sie diese Ausprägungen als ODER-Verknüpfung. Soll die SAP Funktion getroffen werden, wenn ein SAP Profil alle Ausprägungen eines Funktionselements besitzt, definieren Sie diese Ausprägungen als UND-Verknüpfung.
Um die Eigenschaften des ausgewählten Objekts zu bearbeiten
Tabelle 5: Eigenschaften eines Funktionselements
Typ |
Angabe, ob es sich bei dem ausgewählten Funktionselement um eine Aktivität oder ein Berechtigungsfeld handelt. |
Bezeichnung |
Bezeichnung des Funktionselements. |
Untere Bereichsgrenze, Obere Bereichsgrenze |
Zulässige Werte für das Funktionselement. Wenn Sie einen Wertebereich festlegen, geben Sie den unteren und oberen Grenzwert an. Werte können als Variablen eingefügt werden.
Klicken Sie , um Variablen aus den vorhandenen Variablendefinitionen auszuwählen. |
Beschreibung |
Detaillierte Beschreibung des Funktionselements. |
Detaillierte Informationen zum Thema