Chat now with support
Chat mit Support

Identity Manager 9.3 - Administrationshandbuch für das SAP R/3 Compliance Add-on

SAP Funktionen und Identity Audit Erstellen eines Synchronisationsprojekts für die Synchronisation von SAP Berechtigungsobjekten Grundlagen der Berechtigungsprüfung Einrichten von SAP Funktionen Complianceregeln für SAP Funktionen Risikomindernde Maßnahmen für SAP Funktionen Konfigurationsparameter für SAP Funktionen Standardprojektvorlage für das Modul SAP R/3 Compliance Add-on Referenzierte SAP R/3-Tabellen und BAPI-Aufrufe

Import von Funktionsdefinitionen aus Versionen älter als 9.3

Mit One Identity Manager 9.3 wurde die Gestaltung von Berechtigungsdefinitionen grundlegend geändert. Beim Import von Funktionsdefinitionen aus Versionen älter als 9.3 werden die Berechtigungsdefinitionen an die Änderungen angepasst. Dabei wird die Einstellung des Konfigurationsparameters TargetSystem | SAPR3 | SAPRights | TestWithoutTCD berücksichtigt.

  • Für jedes Berechtigungsobjekt in einer Funktionsdefinition wird ein Funktionsargument erstellt. Die Namen der Funktionsargumente werden aus den Eigenschaften der Berechtigungsobjekte gebildet.

    Sie können die Funktionsargumente bei Bedarf im Manager umbenennen.

  • Es wird eine Bedingung generiert.

    • Der Konfigurationsparameter ist nicht aktiviert:

      In der Bedingung werden alle Funktionsargumente, die zu einer SAP Applikation gehören, in einer Klammer zusammengefasst und innerhalb dieser Klammer und-verknüpft. Alle Klammern werden oder-verknüpft.

    • Der Konfigurationsparameter ist aktiviert:

      In der Bedingung werden alle Funktionsargumente und-verknüpft.

Nach dem Import von älteren Funktionsdefinitionen prüfen Sie, ob die Berechtigungsdefinition und die generierte Bedingung Ihren Anforderungen entsprechen.

Verwandte Themen

Funktionsdefinitionen importieren

CSV-Dateien mit Daten von Funktionsdefinitionen können in die One Identity Manager-Datenbank importiert werden.

Um Funktionsdefinitionen zu importieren

  1. Wählen Sie im Manager die Kategorie Identity Audit.

  2. Wählen Sie das Menü Plugins > SAP Funktionsdefinitionen Import.

  3. Wählen Sie die zu importierende CSV-Datei und klicken Sie Öffnen.

  4. Bestätigen Sie die Sicherheitsabfrage mit Ja.

    Es werden alle Funktionsdefinitionen als Arbeitskopien in die Datenbank übertragen. Wenn bereits eine Arbeitskopie mit gleichem Namen in der Datenbank vorhanden ist, wird diese durch den Import überschrieben.

  5. Öffnen Sie die Arbeitskopie und prüfen Sie, ob die Berechtigungsdefinition und die Bedingung Ihren Anforderungen entsprechen.

Verwandte Themen

Complianceregeln für SAP Funktionen

Neben den Berechtigungen, die eine Identität in einem SAP R/3-System aufgrund ihrer Benutzerkonten sowie Gruppen- und Rollenmitgliedschaften haben kann, können auch die effektiven Bearbeitungsrechte durch Complianceregeln überprüft werden. Effektive Bearbeitungsrechte werden über SAP Funktionen geprüft. Dafür werden die SAP Funktionen in Regelbedingungen aufgenommen. Durch die Verbindung der SAP Benutzerkonten zu Identitäten können auch Kombinationen von SAP Berechtigungen überprüft werden, die eine Identität über verschiedene SAP Benutzerkonten erhält.

Bei der Regelprüfung wird der Gültigkeitszeitraum von Rollenzuweisungen berücksichtigt.

Ausführliche Informationen über Complianceregeln finden Sie im One Identity Manager Administrationshandbuch für Complianceregeln.

Verwandte Themen

Regelbedingungen für SAP Funktionen

Um herauszufinden, ob Identitäten unzulässige Berechtigungskombinationen in einem SAP R/3-System besitzen, werden SAP Funktionen in die Regelbedingungen von Complianceregeln aufgenommen.

  • Um Identitäten zu finden, die über mehrere Benutzerkonten unzulässige Berechtigungen besitzen, erstellen Sie verschiedene SAP Funktionen. Erstellen Sie in der Regelbedingung für jede SAP Funktion einen separaten Regelblock.

  • Um Identitäten zu finden, die über ein Benutzerkonto unzulässige Berechtigungen besitzen, erstellen Sie in der Regelbedingung nur einen Regelblock.

Um eine neue Regel für SAP Funktionen zu definieren

  1. Wählen Sie im Manager die Kategorie Identity Audit > Regeln.

  2. Klicken Sie in der Ergebnisliste .

  3. Erfassen Sie die Stammdaten der Regel.

  4. Aktivieren Sie die Option Regel für zyklische Prüfung und Risikobewertung im IT Shop.

  5. Grenzen Sie die betroffenen Berechtigungen über die Option mindestens eine Funktion ein und wählen Sie die zu prüfenden SAP Funktionen.

    1. Wenn Sie mehr als eine SAP Funktion ausgewählt haben, legen Sie unter Anzahl der zugewiesenen Berechtigungen fest, wie viele SAP Funktionen getroffen sein müssen, damit die Regel verletzt wird.

    2. Führen SAP Berechtigungen erst in ihrer Kombination zu einer Regelverletzung, fügen Sie für jede betroffene SAP Funktion einen eigenen Regelblock ein.

  6. Speichern Sie die Änderungen.

    Es wird eine Arbeitskopie angelegt.

  7. Wählen Sie die Aufgabe Arbeitskopie aktivieren und bestätigen Sie die Sicherheitsabfrage mit OK.

  8. Um die originale Regel sofort zu aktivieren, klicken Sie Ja.

    Es wird eine aktive Regel in der Datenbank angelegt.

    Wenn die originale Regel nicht sofort aktiviert werden soll, klicken Sie Nein.

    Es wird eine deaktivierte Regel in der Datenbank angelegt.

    Die Arbeitskopie bleibt bestehen und wird für nachfolgende Regeländerungen genutzt.

Abbildung 6: Bedingung für SAP Funktionen

Der One Identity Manager ermittelt bei der Regelprüfung alle Identitäten, die über die ihnen zugeordneten SAP Benutzerkonten die in der Regel angegebenen SAP Funktionen treffen. Ein SAP Benutzerkonto trifft eine SAP Funktion auch dann, wenn

  • ein Referenzbenutzer die SAP Funktion trifft

    - UND -

  • dem SAP Benutzerkonto dieser Referenzbenutzer zugeordnet ist.

Ausführliche Informationen zum Erstellen von Regelbedingungen finden Sie im One Identity Manager Administrationshandbuch für Complianceregeln.

Verwandte Themen
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen