Chat now with support
Chat mit Support

Identity Manager 8.1 - Administrationshandbuch für das SAP R/3 Compliance Add-on

SAP Funktionen und Identity Audit Erstellen eines Synchronisationsprojekts für die Synchronisation von SAP Berechtigungsobjekten Basisdaten für SAP Funktionen Ermitteln unzulässiger Berechtigungen Einrichten von SAP Funktionen Complianceregeln für SAP Funktionen Risikomindernde Maßnahmen Anhang: Konfigurationsparameter für SAP Funktionen Anhang: Standardprojektvorlage für das Modul SAP R/3 Compliance Add-on Anhang: Referenzierte SAP R/3-Tabellen und BAPI-Aufrufe

SAP Funktionen und Identity Audit

Mit dem One Identity Manager können Regeln zur Einhaltung und Überwachung regulatorischer Anforderungen definiert und Regelverletzungen automatisiert behandelt werden. Complianceregeln definieren, welche Berechtigungen oder Berechtigungskombinationen im Rahmen des Identity Audit für die Personen im Unternehmen überprüft werden sollen. Durch die Regelprüfung können einerseits bestehende Regelverletzungen gefunden werden. Andererseits können mögliche Regelverletzungen präventiv identifiziert und damit vermieden werden.

Abbildung 1: Identity Audit im One Identity Manager

Neben den Möglichkeiten der Regelprüfung, bietet der One Identity Manager für SAP R/3-Zielsysteme eine sehr detaillierte Überprüfung effektiver Berechtigungen der SAP Benutzerkonten an. Durch die Verbindung der SAP Benutzerkonten zu Personen können auch Kombinationen von SAP Berechtigungen überprüft werden, die eine Person über verschiedene SAP Benutzerkonten erhält. Potentiell gefährliche Berechtigungen und Berechtigungskombinationen können auf diese Weise leicht erkannt und geeignete Maßnahmen ergriffen werden.

SAP Berechtigungen werden auf der Basis der für ein Benutzerkonto zulässigen Transaktionen und Berechtigungsobjekte überprüft. Dafür definieren Sie im One Identity Manager die zu prüfenden Transaktionen und zugehörigen Berechtigungsobjekte als sogenannte SAP Funktionen. Der One Identity Manager ermittelt alle SAP Rollen und Profile, denen genau diese Berechtigungsobjekte und Transaktionen zugeordnet sind. Benutzerkonten treffen die SAP Funktionen, wenn sie Mitglied in den ermittelten SAP Rollen und Profilen sind.

Um zu überprüfen, ob im Unternehmen potentiell gefährliche SAP Berechtigungen vergeben sind, definieren Sie SAP Funktionen für diese kritischen Berechtigungen. Über Complianceregeln ermitteln Sie, welche Personen diese SAP Funktionen treffen.

Erhalten Personen die SAP Berechtigungen über Bestellungen im IT Shop, können mit den entsprechenden Genehmigungsverfahren unzulässige Berechtigungen bereits bei der Bestellung erkannt und entsprechend weiter behandelt werden. Ausführliche Informationen zu Genehmigungsverfahren im IT Shop finden Sie im One Identity Manager Administrationshandbuch für IT Shop.

Auf Basis dieser Informationen können Sie Korrekturen an den Daten im One Identity Manager vornehmen und in die angebundene SAP R/3-Umgebung übertragen. Durch die im One Identity Manager integrierte Reportfunktion können die Informationen für entsprechende Prüfungen bereitgestellt werden.

Hinweis: Um SAP Funktionen einrichten und auswerten zu können, müssen das Modul SAP R/3 Compliance Add-on und das Modul Complianceregeln vorhanden sein.

HINWEIS: Die Berechtigungen in den Tochtersystemen einer Zentralen Benutzerverwaltung können nicht durch SAP Funktionen überprüft werden.

One Identity Manager Benutzer für die Verwaltung von SAP Funktionen

In die Verwaltung von SAP Funktionen sind folgende Benutzer eingebunden.

Tabelle 1: Benutzer
Benutzer Aufgaben

Administratoren für Complianceregeln

Die Administratoren müssen der Anwendungsrolle Identity & Access Governance | Identity Audit | Administratoren zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Erstellen die Basisdaten für die Erstellung des Regelwerks.
  • Erstellen die Complianceregeln und weisen die Regelverantwortlichen zu.
  • Können bei Bedarf die Regelprüfung starten und Regelverletzungen einsehen.
  • Erstellen Berichte über Regelverletzungen.
  • Definieren SAP Funktionen und ordnen diesen Verantwortliche zu.
  • Definieren die Funktionsausprägungen und Variablensets für SAP Funktionen.
  • Erfassen risikomindernde Maßnahmen.
  • Erstellen und bearbeiten Risikoindex-Berechnungsvorschriften.
  • Überwachen die Identity Audit Funktionen.
  • Administrieren die Anwendungsrollen für Regelverantwortliche, Ausnahmegenehmiger und Attestierer.
  • Richten bei Bedarf weitere Anwendungsrollen ein.

Verantwortliche für die Pflege der SAP Funktionen

Die Administratoren müssen der Anwendungsrolle Identity & Access Governance | Identity Audit | Pflege SAP Funktionen oder eine untergeordneten Anwendungsrolle zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Sind inhaltlich für die SAP Funktionen verantwortlich.
  • Bearbeiten die Arbeitskopien der Funktionsdefinitionen, für die sie verantwortlich sind.
  • Definieren die Funktionsausprägungen und Variablensets für SAP Funktionen.
  • Weisen risikomindernde Maßnahmen zu.
One Identity Manager Administratoren
  • Erstellen bei Bedarf im Designer kundenspezifische Rechtegruppen für Anwendungsrollen für die rollenbasierte Anmeldung an den Administrationswerkzeugen.

  • Erstellen bei Bedarf im Designer Systembenutzer und Rechtegruppen für die nicht-rollenbasierte Anmeldung an den Administrationswerkzeugen.

  • Aktivieren oder deaktivieren im Designer bei Bedarf zusätzliche Konfigurationsparameter.

  • Erstellen im Designer bei Bedarf unternehmensspezifische Prozesse.

  • Erstellen und konfigurieren bei Bedarf Zeitpläne.

  • Erstellen und konfigurieren bei Bedarf Kennwortrichtlinien.

Compliance & Security Officer

Compliance & Security Officer müssen der Anwendungsrolle Identity & Access Governance | Compliance & Security Officer zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Sehen im Web Portal alle Compliance-relevanten Informationen und deren Auswertungen. Dazu gehören Attestierungsrichtlinien, Unternehmensrichtlinien und Richtlinienverletzungen, Complianceregeln und Regelverletzungen, kritische SAP Funktionen und Risikoindex-Berechnungsvorschriften.
  • Können Attestierungsrichtlinien bearbeiten.

Voraussetzungen für die Einrichtung von SAP Funktionen

Tabelle 2: Konfigurationsparamter zur Bearbeitung von SAP Funktionen
Konfigurationsparameter Bedeutung
QER\ComplianceCheck

Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Modellbestandteile für die Überprüfung des Regelwerkes. Nach Änderung des Parameters müssen Sie die Datenbank kompilieren. Ist der Parameter aktiviert, können Sie die Modellbestandteile nutzen.

TargetSystem\SAPR3\SAPRights

Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Modellbestandteile für die Überprüfung von Berechtigungen in einer SAP R/3-Umgebung durch SAP Funktionen. Ist der Parameter aktiviert, sind die Bestandteile des Moduls verfügbar. Nach Änderung des Parameters müssen Sie die Datenbank kompilieren.

Damit der One Identity Manager die effektiven SAP Berechtigungen anhand der SAP Funktionen prüfen kann, müssen alle Informationen zu SAP Berechtigungen, SAP Benutzerkonten, SAP Rollen und SAP Profilen in die One Identity Manager-Datenbank übertragen werden.

Um SAP Funktionen einzurichten

  1. Prüfen Sie im Designer, ob die Konfigurationsparameter "QER\ComplianceCheck" und "TargetSystem\SAPR3\SAPRights" aktiviert sind. Anderenfalls aktivieren Sie die Konfigurationsparameter und kompilieren Sie die Datenbank.
  2. Erstellen Sie ein Synchronisationsprojekt für die Synchronisation der benötigten SAP Schematypen und starten Sie die Synchronisation.
Detaillierte Informationen zum Thema

Erstellen eines Synchronisationsprojekts für die Synchronisation von SAP Berechtigungsobjekten

SAP Berechtigungen werden auf der Basis der für ein SAP Benutzerkonto zulässigen Transaktionen und Berechtigungsobjekte überprüft. Um SAP Funktionen erstellen zu können, müssen die Berechtigungsobjekte und Transaktionen in die One Identity Manager-Datenbank eingelesen werden. Erstellen Sie für jeden Mandanten ein Synchronisationsprojekt, über das die benötigten Schematypen synchronisiert werden können. Dafür wird eine separate Projektvorlage bereitgestellt.

Verwenden Sie den Synchronization Editor, um die Synchronisation zwischen One Identity Manager-Datenbank und SAP R/3-Umgebung einzurichten.

Um ein Synchronisationsprojekt für SAP Berechtigungsobjekte einzurichten

  1. Erstellen Sie ein initiales Synchronisationsprojekt wie im Handbuch One Identity Manager Administrationshandbuch für die Anbindung einer SAP R/3-Umgebung beschrieben. Es gelten folgende Besonderheiten:

    HINWEIS: Die Berechtigungen in den Tochtersystemen einer Zentralen Benutzerverwaltung können nicht durch SAP Funktionen überprüft werden. Erstellen Sie das Synchronisationsprojekt nur für einen Mandanten, der kein ZBVClosed-System sind.

    1. Wählen Sie im Projektassistenten auf der Seite Projektvorlage auswählen die Projektvorlage "SAP R/3 Berechtigungsobjekte".
    2. Die Seite Zielsystemzugriff einschränken wird nicht angezeigt. Das Zielsystem soll nur eingelesen werden.
  2. Konfigurieren und aktivieren Sie einen Zeitplan, um regelmäßige Synchronisationen auszuführen.
Detaillierte Informationen zum Thema
  • One Identity Manager Administrationshandbuch für die Anbindung einer SAP R/3-Umgebung
  • One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation
Verwandte Themen
Self-Service-Tools
Knowledge Base
Benachrichtigungen und Warnmeldungen
Produkt-Support
Software-Downloads
Technische Dokumentationen
Benutzerforen
Videoanleitungen
RSS Feed
Kontakt
Unterstützung bei der Lizenzierung
Technische Support
Alle anzeigen
Verwandte Dokumente