Chat now with support
Chat mit Support

Identity Manager 8.1 - Administrationshandbuch für das SAP R/3 Compliance Add-on

SAP Funktionen und Identity Audit Erstellen eines Synchronisationsprojekts für die Synchronisation von SAP Berechtigungsobjekten Basisdaten für SAP Funktionen Ermitteln unzulässiger Berechtigungen Einrichten von SAP Funktionen Complianceregeln für SAP Funktionen Risikomindernde Maßnahmen Anhang: Konfigurationsparameter für SAP Funktionen Anhang: Standardprojektvorlage für das Modul SAP R/3 Compliance Add-on Anhang: Referenzierte SAP R/3-Tabellen und BAPI-Aufrufe

Ermitteln unzulässiger Berechtigungen

Tabelle 6: Konfigurationsparameter für die Berechtigungsprüfung
Konfigurationsparameter Beschreibung
TargetSystem\SAPR3\SAPRights\TestWithoutTCD Prüfen der SAP Berechtigungen ohne Berücksichtigung der SAP Transaktionen.

SAP Berechtigungen werden auf der Basis der für ein SAP Benutzerkonto zulässigen Transaktionen und Berechtigungsobjekte überprüft. Berechtigungsobjekte und Transaktionen werden zu Einzelprofilen zusammengefasst. Um zu überprüfen, ob im Unternehmen potentiell gefährliche Berechtigungen vergeben sind, definieren Sie die zu prüfenden Berechtigungsobjekte und Transaktionen als SAP Funktionen. Der One Identity Manager gleicht alle den Einzelprofilen zugeordneten Berechtigungsobjekte und Transaktionen mit der Berechtigungsdefinition in der SAP Funktion ab. Er ermittelt auf diesem Weg alle SAP Rollen und Profile, denen genau diese Berechtigungsobjekte und Transaktionen über die Einzelprofile zugeordnet sind.

Bei der Berechtigungsprüfung wird der Konfigurationsparameter "TargetSystem\SAPR3\SAPRights\TestWithoutTCD" ausgewertet. Wenn der Konfigurationsparameter deaktiviert ist (Standardfall), gelten für die Berechtigungsprüfung die folgenden Regeln:

Eine SAP Rolle oder ein SAP Profil trifft eine SAP Funktion, wenn

  1. es mindestens eine der Transaktionen enthält, die in der SAP Funktion definiert sind,
  2. es alle Berechtigungsobjekte dieser Transaktion besitzt,
  3. es alle unterschiedlichen Funktionselemente eines Berechtigungsobjekts besitzt,
  4. mindestens eine der Ausprägungen ein und desselben Funktionselements definiert ist.

Eine SAP Rolle trifft eine SAP Funktion, wenn das SAP Profil dieser SAP Rolle mindestens eine der Transaktionen enthält, die in der SAP Funktion definiert sind. Dabei muss das SAP Profil alle Berechtigungsobjekte dieser Transaktion besitzen. Ist für ein Berechtigungsobjekt ein Funktionselement mit einer Liste unterschiedlicher Ausprägungen definiert, trifft das SAP Profil die SAP Funktion, wenn es mindestens eine dieser Ausprägungen besitzt.

Wenn der Konfigurationsparameter "TargetSystem\SAPR3\SAPRights\TestWithoutTCD" aktiviert ist, werden bei der Berechtigungsprüfung die Transaktionen nicht berücksichtigt. In diesem Fall gelten für die Berechtigungsprüfung folgende Regeln:

Eine SAP Rolle oder ein SAP Profil trifft eine SAP Funktion, wenn

  1. es alle Berechtigungsobjekte aller Transaktionen besitzt,
  2. es alle unterschiedlichen Funktionselemente eines Berechtigungsobjekts besitzt,
  3. mindestens eine der Ausprägungen ein und desselben Funktionselements definiert ist.
Beispiel für eine Berechtigungsprüfung

Es ist eine SAP Funktion mit folgenden Transaktionen, Berechtigungsobjekten und Funktionselementen definiert.

Abbildung 2: Berechtigungsdefinition

Bei deaktiviertem Konfigurationsparameter werden durch die abgebildete SAP Funktion alle SAP Rollen und SAP Profile ermittelt, die folgende Berechtigungen besitzen:

  • Transaktion 1 mit Berechtigungsobjekt 1 und Funktionselement 1 mit der Ausprägung "02" ODER "07" ODER "21" UND Funktionselement 2

    - ODER -

  • Transaktion 2 mit Berechtigungsobjekt 2 und Funktionselement 3, 4 UND 5

    - UND -

    mit Berechtigungsobjekt 3 und Funktionselement 6 mit der Ausprägung "01" ODER "02" UND Funktionselement 7 mit der Ausprägung "SLH*" ODER "SLN*"

Bei aktiviertem Konfigurationsparameter werden durch die abgebildete SAP Funktion alle SAP Rollen und SAP Profile ermittelt, die folgende Berechtigungen besitzen:

  • Berechtigungsobjekt 1 und Funktionselement 1 mit der Ausprägung "02" ODER "07" ODER "21" UND Funktionselement 2

    - UND -

  • Berechtigungsobjekt 2 und Funktionselement 3, 4 UND 5

    - UND -

  • Berechtigungsobjekt 3 und Funktionselement 6 mit der Ausprägung "01" ODER "02" UND Funktionselement 7 mit der Ausprägung "SLH*" ODER "SLN*"

Beispiele für SAP Funktionen

Wenn Sie eine Berechtigungsdefinition erstellen, überlegen Sie, welche Berechtigungskombinationen nicht zulässig sind. Sie können zwei Anwendungsfälle unterscheiden:

  1. Es sollen alle SAP Rollen und Profile mit unzulässigen Berechtigungskombinationen ermittelt werden.

    Erstellen Sie eine SAP Funktion für die Berechtigungen, die nicht gemeinsam in einer SAP Rolle oder einem SAP Profil auftreten dürfen. Durch die Berechtigungsprüfung werden alle SAP Rollen und Profile gefunden, die diese unzulässige Berechtigungskombination haben.

  2. Es sollen alle Personen ermittelt werden, die über ihre SAP Benutzerkonten unzulässige Berechtigungskombinationen besitzen.

    Erstellen Sie SAP Funktionen für zulässige Berechtigungen oder Berechtigungskombination. Erstellen Sie Complianceregeln für SAP Funktionen, die sich gegenseitig ausschließen. Bei der Complianceprüfung werden alle Personen gefunden, die über ihre SAP Benutzerkonten solche unzulässigen Berechtigungskombinationen auf sich vereinen.

Beispiel für Anwendungsfall 1

In einem Unternehmen wurden die Richtlinien für zulässige SAP Berechtigungen geändert. Nun muss überprüft werden, ob die bestehenden Berechtigungen (SAP Rollen und Profile) den neuen Richtlinien entsprechen. SAP Rollen und Profile mit unzulässigen Berechtigungskombinationen müssen identifiziert werden, damit sie an die neuen Anforderungen angepasst werden können.

Für jede Berechtigungskombination, die nicht zulässig ist, wird eine SAP Funktion erstellt.

Tabelle 7: Beispiel für eine Berechtigungsdefinition
SAP Funktion Transaktion Berechtigungsobjekt Feld Wert
A T1 BO2 ACTVT *
T1 BO2 CLASS *
T1 BO3 ACTVT 01, 02
T2 BO5 ACTVT *
T2 BO5 CLASS RST*
B T1 BO3 ACTVT *
T1 BO4 ACTVT 02, 03, 07
T1 BO4 CLASS *

Folgende SAP Rollen sind vorhanden:

Tabelle 8: Definierte SAP Rollen
SAP Rolle Transaktion Berechtigungsobjekt Feld Wert
R1 T1 BO1 ACTVT *
T1 BO1 CLASS *
T1 BO3 ACTVT *
T1 BO4 ACTVT 01, 02
T1 BO4 CLASS DEF*
R2 T1 BO2 ACTVT *
T1 BO2 CLASS *
T1 BO3 ACTVT *
R3 T1 BO4 ACTVT 03, 07
T1 BO4 CLASS *
R4 T2 BO5 ACTVT 03
T2 BO5 CLASS *

Bei der Berechtigungsprüfung werden die SAP Rollen ermittelt, welche die SAP Funktion treffen.

Tabelle 9: Ergebnisse der Berechtigungsprüfung
SAP Funktion SAP Rolle Konfigurationsparameter "TestWithoutTCD" Begründung
B R1 deaktiviert | aktiviert Die Rolle R1 hat alle in der SAP Funktion benannten Berechtigungsobjekte und Felder sowie mindestens eine der Feldausprägungen.

Der Rolle R2 fehlt das Berechtigungsobjekt BO4. Daher trifft sie die SAP Funktion nicht.

Der Rolle R3 fehlt das Berechtigungsobjekt BO3. Daher trifft sie die SAP Funktion nicht.

Der Rolle R4 fehlen die Berechtigungsobjekte BO3 und BO4. Daher trifft sie die SAP Funktion nicht.

Da in der SAP Funktion nur eine Transaktion verwendet wird, hat der Konfigurationsparameter keine Auswirkung auf das Ergebnis der Berechtigungsprüfung.

A R2, R4 deaktiviert Die Rolle R2 hat alle in der Transaktion T1 benannten Berechtigungsobjekte, Felder und Ausprägungen.

Die Rolle R4 hat alle in der Transaktion T2 benannten Berechtigungsobjekte, Felder und Ausprägungen.

Der Rolle R1 fehlt das Berechtigungsobjekt BO2 oder BO5. Daher trifft sie die SAP Funktion nicht.

Die Rolle R3 hat keine der benannten Berechtigungsobjekte. Daher trifft sie die SAP Funktion nicht.

A   aktiviert Der Rolle R1 fehlen die Berechtigungsobjekte BO2 und BO5. Daher trifft sie die SAP Funktion nicht.

Der Rolle R2 fehlt das Berechtigungsobjekt BO5. Daher trifft sie die SAP Funktion nicht.

Die Rolle R3 hat keine der benannten Berechtigungsobjekte. Daher trifft sie die SAP Funktion nicht.

Der Rolle R4 fehlen die Berechtigungsobjekte BO2 und BO3. Daher trifft sie die SAP Funktion nicht.

Die SAP Rolle R3 entspricht den neuen Richtlinien und kann daher weiter genutzt werden. Die Rollen R1, R2 und R4 müssen den neuen Richtlinien angepasst werden. Wenn eine Berechtigungsprüfung ohne Berücksichtigung der Transaktionen zulässig ist, muss nur die Rolle R1 angepasst werden.

Beispiel für Anwendungsfall 2

Es soll nun geprüft werden, welche SAP Benutzerkonten den neuen Richtlinien widersprechen. Dafür müssen Complianceregeln für die SAP Funktionen erstellt werden.

Tabelle 10: Genutzte SAP Benutzerkonten
Personen SAP Benutzerkonten SAP Rollen Berechtigungen
Clara Harris K1 R1 BO1 | ACTVT {*}

BO1 | CLASS {*}

BO3 | ACTVT {*}

BO4 | ACTVT {01, 02}

BO4 | CLASS {DEF*}

Ben King K2 R2, R3 BO2 | ACTVT {*}

BO2 | CLASS {*}

BO3 | ACTVT {*}

BO4 | ACTVT {03, 07}

BO4 | CLASS {*}

Jenny Basset K3 R2 BO2 | ACTVT {*}

BO2 | CLASS {*}

BO3 | ACTVT {*}

Jenny Basset K4 R3

BO4 | ACTVT {03, 07}

BO4 | CLASS {*}

Jan Bloggs K5 R3

BO4 | ACTVT {03, 07}

BO4 | CLASS {*}

Dem Benutzerkonto K2 sind die SAP Rollen R2 und R3 zugewiesen. Damit erhält dieses Benutzerkonto alle Berechtigungen dieser beiden Rollen. Entsprechend der neuen Richtlinie darf eine Person jedoch nicht gleichzeitig die Berechtigungen BO3 und BO4 besitzen (SAP Funktion B). Es wird daher eine Complianceregel erstellt, die alle Personen ermittelt, welche die SAP Funktion B treffen (Regel CR1). Da jedoch weder die Rolle R2 noch die Rolle R3 diese SAP Funktion trifft, wird keine Regelverletzung ermittelt.

Damit der One Identity Manager diese Regelverletzung erkennt, müssen für die Berechtigungsobjekte, die sich widersprechen, eigene SAP Funktionen erstellt werden. In einer Complianceregel werden daraufhin die SAP Funktionen kombiniert, die zu einer Regelverletzung führen.

Tabelle 11: Weitere SAP Funktionen
SAP Funktion Transaktion Berechtigungsobjekt Feld Wert
B T1 BO3 ACTVT *
T1 BO4 ACTVT 02, 03, 07
T1 BO4 CLASS *
C T1 BO3 ACTVT *
D T1 BO4 ACTVT 02, 03, 07
T1 BO4 CLASS *
Tabelle 12: Complianceregeln
Regel Regelbedingung Personen, welche die Regeln verletzen
CR1 Der Mitarbeiter besitzt die SAP Funktion B. Clara Harris
CR2 Der Mitarbeiter besitzt die SAP Funktion C UND der Mitarbeiter besitzt die SAP Funktion D.

Clara Harris

Ben King

Jenny Basset

Jan Bloggs verletzt keine der Complianceregeln. Die SAP Rolle R3 trifft zwar die SAP Funktion D, diese führt aber nur in der Kombination mit der SAP Funktion C zu einer Regelverletzung.

Verwandte Themen

Hinweise für die Berechtigungsdefinition

Beim Erstellen einer Berechtigungsdefinition im Berechtigungseditor berücksichtigen Sie folgende Hinweise:

  • Um zu einem Berechtigungsobjekt einen zusätzlichen Wert für das ACTVT-Element hinzuzufügen, klicken Sie +. Mehrere zulässige Werte von ACTVT-Elementen können auch als kommagetrennte Liste erfasst werden.
  • Um zu einem Berechtigungsobjekt einen zusätzlichen Wert für ein anderes Funktionselement hinzuzufügen (beispielsweise CLASS), klicken Sie C neben diesem Funktionselement. Die zulässigen Werte dieser Funktionselemente können nicht als kommagetrennte Liste erfasst werden. Sie müssen immer als separate Einträge in der Berechtigungsdefinition erscheinen.
  • Berechtigungsobjekte können innerhalb einer Berechtigungsdefinition nicht mehrfach eingefügt werden. Wenn eine Funktionsprüfung auf ein und dasselbe Berechtigungsobjekt mit unterschiedlichen Ausprägungen ausgeführt werden soll, erstellen sie für jede Ausprägung eine separate SAP Funktion. Kombinieren Sie diese SAP Funktionen in einer Complianceregel.
Detaillierte Informationen zum Thema
Verwandte Themen

Einrichten von SAP Funktionen

Für SAP Funktionen erstellen Sie Funktionsdefinitionen, Funktionsausprägungen und Variablensets. Eine Funktionsdefinition enthält neben allgemeinen Stammdaten die Berechtigungsdefinition. Eine Berechtigungsdefinition besteht aus mindestens einer Transaktion. Zu jeder Transaktion gehört mindestens ein Berechtigungsobjekt. Jedes Berechtigungsobjekt besteht aus mindestens einem Funktionselement (Aktivität oder Berechtigungsfeld) mit konkreten Ausprägungen. Ausprägungen werden als Einzelwerte oder untere und obere Bereichsgrenze angegeben. Funktionselemente können je Berechtigungsobjekt mehrfach aufgelistet werden.

Eine SAP Funktion kann für verschiedene Ausprägungen genutzt werden. Dafür nutzen Sie in der Berechtigungsdefinition Variablen. Die konkreten Werte der Variablen werden in Variablensets zusammengestellt und in den Funktionsausprägungen angewendet.

Verwandte Dokumente