Ermitteln unzulässiger Berechtigungen
SAP Berechtigungen werden auf der Basis der für ein SAP Benutzerkonto zulässigen SAP Applikationen und Berechtigungsobjekte überprüft. Um zu ermitteln, ob im Unternehmen potentiell gefährliche Berechtigungen vergeben sind, definieren Sie SAP Funktionen, welche die zu prüfenden SAP Applikationen und Berechtigungsobjekte zusammenfassen. Der One Identity Manager gleicht alle den Einzelprofilen zugeordneten Berechtigungsobjekte mit der Berechtigungsdefinition in der SAP Funktion ab. Er ermittelt auf diesem Weg alle SAP Rollen und Profile, denen genau diese Berechtigungsobjekte über die Einzelprofile zugeordnet sind.
Bei der Berechtigungsprüfung wird der Konfigurationsparameter TargetSystem | SAPR3 | SAPRights | TestWithoutTCD ausgewertet. Der Konfigurationsparameter legt fest, ob bei der Berechtigungsprüfung nur die Berechtigungsobjekte oder auch die SAP Applikationen berücksichtigt werden sollen.
Konfigurationsparameter TestWithoutTCD ist nicht aktiviert (Standard)
Für die Berechtigungsprüfung gelten die folgenden Regeln:
Eine SAP Rolle oder ein SAP Profil trifft eine SAP Funktion, wenn
- es mindestens eine der SAP Applikationen enthält, die in der SAP Funktion definiert sind,
- es alle Berechtigungsobjekte dieser SAP Applikation besitzt,
- es alle unterschiedlichen Funktionselemente eines Berechtigungsobjekts besitzt,
- mindestens eine der Ausprägungen ein und desselben Funktionselements definiert ist.
Eine SAP Rolle trifft eine SAP Funktion, wenn das SAP Profil dieser SAP Rolle mindestens eine der SAP Applikationen enthält, die in der SAP Funktion definiert sind. Dabei muss das SAP Profil alle Berechtigungsobjekte dieser SAP Applikation besitzen. Ist für ein Berechtigungsobjekt ein Funktionselement mit einer Liste unterschiedlicher Ausprägungen definiert, trifft das SAP Profil die SAP Funktion, wenn es mindestens eine dieser Ausprägungen besitzt.
Konfigurationsparameter TestWithoutTCD ist aktiviert
Bei der Berechtigungsprüfung werden die SAP Applikationen nicht berücksichtigt. In diesem Fall gelten für die Berechtigungsprüfung folgende Regeln:
Eine SAP Rolle oder ein SAP Profil trifft eine SAP Funktion, wenn
- es alle Berechtigungsobjekte aller SAP Applikationen besitzt,
- es alle unterschiedlichen Funktionselemente eines Berechtigungsobjekts besitzt,
- mindestens eine der Ausprägungen ein und desselben Funktionselements definiert ist.
Beispiel für eine Berechtigungsprüfung
Es ist eine SAP Funktion mit folgenden SAP Applikationen , Berechtigungsobjekten und Funktionselementen definiert.
Abbildung 2: Berechtigungsdefinition
Bei deaktiviertem Konfigurationsparameter werden durch die abgebildete SAP Funktion alle SAP Rollen und SAP Profile ermittelt, die folgende Berechtigungen besitzen:
-
SAP Applikation 1 mit Berechtigungsobjekt 1 und Funktionselement 1 UND 2
- ODER -
-
SAP Applikation 2 mit Berechtigungsobjekt 2 und Funktionselement 3 mit der Ausprägung 1 ODER 2 ODER 3 UND Funktionselement 4
- UND -
mit Berechtigungsobjekt 3 und Funktionselement 5 UND 6
- ODER -
-
SAP Applikation 3 mit Berechtigungsobjekt 4 und Funktionselement 7 UND 8 UND 9
- ODER -
-
SAP Applikation 4 mit Berechtigungsobjekt 5 und Funktionselement 10 mit der Ausprägung 2 ODER 23 ODER 78 UND Funktionselement 11 mit der Ausprägung SLH* ODER SLN*
Bei aktiviertem Konfigurationsparameter werden durch die abgebildete SAP Funktion alle SAP Rollen und SAP Profile ermittelt, die folgende Berechtigungen besitzen:
-
Berechtigungsobjekt 1 und Funktionselement 1 UND 2
- UND -
-
Berechtigungsobjekt 2 und Funktionselement 3 mit der Ausprägung 1 ODER 2 ODER 3 UND Funktionselement 4
- UND -
-
Berechtigungsobjekt 3 und Funktionselement 5 UND 6
- UND -
-
Berechtigungsobjekt 4 und Funktionselement 7 UND 8 UND 9
- UND -
-
Berechtigungsobjekt 5 und Funktionselement 10 mit der Ausprägung 2 ODER 23 ODER 78 UND Funktionselement 11 mit der Ausprägung SLH* ODER SLN*
Beispiele für SAP Funktionen
Wenn Sie eine Berechtigungsdefinition erstellen, überlegen Sie, welche Berechtigungskombinationen nicht zulässig sind. Sie können zwei Anwendungsfälle unterscheiden:
- Es sollen alle SAP Rollen und Profile mit unzulässigen Berechtigungskombinationen ermittelt werden.
Erstellen Sie eine SAP Funktion für die Berechtigungen, die nicht gemeinsam in einer SAP Rolle oder einem SAP Profil auftreten dürfen. Durch die Berechtigungsprüfung werden alle SAP Rollen und Profile gefunden, die diese unzulässige Berechtigungskombination haben.
- Es sollen alle Personen ermittelt werden, die über ihre SAP Benutzerkonten unzulässige Berechtigungskombinationen besitzen.
Erstellen Sie SAP Funktionen für zulässige Berechtigungen oder Berechtigungskombination. Erstellen Sie Complianceregeln für SAP Funktionen, die sich gegenseitig ausschließen. Bei der Complianceprüfung werden alle Personen gefunden, die über ihre SAP Benutzerkonten solche unzulässigen Berechtigungskombinationen auf sich vereinen.
Beispiel für Anwendungsfall 1
In einem Unternehmen wurden die Richtlinien für zulässige SAP Berechtigungen geändert. Nun muss überprüft werden, ob die bestehenden Berechtigungen (SAP Rollen und Profile) den neuen Richtlinien entsprechen. SAP Rollen und Profile mit unzulässigen Berechtigungskombinationen müssen identifiziert werden, damit sie an die neuen Anforderungen angepasst werden können.
Für jede Berechtigungskombination, die nicht zulässig ist, wird eine SAP Funktion erstellt.
Tabelle 5: Beispiel für eine Berechtigungsdefinition
|
A |
TR |
BO2 |
ACTVT |
* |
|
TR |
BO2 |
CLASS |
* |
|
TR |
BO3 |
ACTVT |
01, 02 |
|
RF |
BO5 |
ACTVT |
* |
|
RF |
BO5 |
RLTYP |
R* |
|
B |
TR |
BO3 |
ACTVT |
* |
|
TR |
BO4 |
ACTVT |
02, 03, 07 |
|
TR |
BO4 |
CLASS |
* |
Folgende SAP Rollen sind vorhanden:
Tabelle 6: Definierte SAP Rollen
|
R1 |
TR |
BO1 |
ACTVT |
* |
|
TR |
BO1 |
CLASS |
* |
|
TR |
BO3 |
ACTVT |
* |
|
TR |
BO4 |
ACTVT |
01, 02 |
|
TR |
BO4 |
CLASS |
DEF* |
|
R2 |
TR |
BO2 |
ACTVT |
* |
|
TR |
BO2 |
CLASS |
* |
|
TR |
BO3 |
ACTVT |
* |
|
R3 |
TR |
BO4 |
ACTVT |
03, 07 |
|
TR |
BO4 |
CLASS |
* |
|
R4 |
RF |
BO5 |
ACTVT |
03 |
|
RF |
BO5 |
RLTYP |
* |
Bei der Berechtigungsprüfung werden die SAP Rollen ermittelt, welche die SAP Funktion treffen.
Ergebnisse der Berechtigungsprüfung:
-
SAP Funktion: B
Konfigurationsparameter TestWithoutTCD: aktiviert oder deaktiviert
Da in der SAP Funktion nur eine SAP Applikation verwendet wird, hat der Konfigurationsparameter keine Auswirkung auf das Ergebnis der Berechtigungsprüfung.
Getroffene SAP Rolle: R1
Die Rolle R1 hat alle in der SAP Funktion benannten Berechtigungsobjekte und Felder sowie mindestens eine der Feldausprägungen.
Der Rolle R2 fehlt das Berechtigungsobjekt BO4. Daher trifft sie die SAP Funktion nicht.
Der Rolle R3 fehlt das Berechtigungsobjekt BO3. Daher trifft sie die SAP Funktion nicht.
Der Rolle R4 fehlen die Berechtigungsobjekte BO3 und BO4. Daher trifft sie die SAP Funktion nicht.
-
SAP Funktion: A
Konfigurationsparameter TestWithoutTCD: deaktiviert
Getroffene SAP Rollen: R2, R4
Die Rolle R2 hat alle in der SAPApplikation TR benannten Berechtigungsobjekte, Felder und Ausprägungen.
Die Rolle R4 hat alle in der SAP Applikation RF benannten Berechtigungsobjekte, Felder und Ausprägungen.
Der Rolle R1 fehlt das Berechtigungsobjekt BO2 oder BO5. Daher trifft sie die SAP Funktion nicht.
Die Rolle R3 hat keine der benannten Berechtigungsobjekte. Daher trifft sie die SAP Funktion nicht.
-
SAP Funktion: A
Konfigurationsparameter TestWithoutTCD: aktiviert
Getroffene SAP Rollen: R2, R4
Der Rolle R1 fehlen die Berechtigungsobjekte BO2 und BO5. Daher trifft sie die SAP Funktion nicht.
Der Rolle R2 fehlt das Berechtigungsobjekt BO5. Daher trifft sie die SAP Funktion nicht.
Die Rolle R3 hat keine der benannten Berechtigungsobjekte. Daher trifft sie die SAP Funktion nicht.
Der Rolle R4 fehlen die Berechtigungsobjekte BO2 und BO3. Daher trifft sie die SAP Funktion nicht.
Die SAP Rolle R3 entspricht den neuen Richtlinien und kann daher weiter genutzt werden. Die Rollen R1, R2 und R4 müssen den neuen Richtlinien angepasst werden. Wenn eine Berechtigungsprüfung ohne Berücksichtigung der SAPApplikationen zulässig ist, muss nur die Rolle R1 angepasst werden.
Beispiel für Anwendungsfall 2
Es soll nun geprüft werden, welche SAP Benutzerkonten den neuen Richtlinien widersprechen. Dafür müssen Complianceregeln für die SAP Funktionen erstellt werden.
Tabelle 7: Genutzte SAP Benutzerkonten
|
Clara Harris |
K1 |
R1 |
BO1 | ACTVT {*}
BO1 | CLASS {*}
BO3 | ACTVT {*}
BO4 | ACTVT {01, 02}
BO4 | CLASS {DEF*} |
|
Ben King |
K2 |
R2, R3 |
BO2 | ACTVT {*}
BO2 | CLASS {*}
BO3 | ACTVT {*}
BO4 | ACTVT {03, 07}
BO4 | CLASS {*} |
|
Jenny Basset |
K3 |
R2 |
BO2 | ACTVT {*}
BO2 | CLASS {*}
BO3 | ACTVT {*} |
|
Jenny Basset |
K4 |
R3 |
BO4 | ACTVT {03, 07}
BO4 | CLASS {*} |
|
Jan Bloggs |
K5 |
R3 |
BO4 | ACTVT {03, 07}
BO4 | CLASS {*} |
Dem Benutzerkonto K2 sind die SAP Rollen R2 und R3 zugewiesen. Damit erhält dieses Benutzerkonto alle Berechtigungen dieser beiden Rollen. Entsprechend der neuen Richtlinie darf eine Person jedoch nicht gleichzeitig die Berechtigungen BO3 und BO4 besitzen (SAP Funktion B). Es wird daher eine Complianceregel erstellt, die alle Personen ermittelt, welche die SAP Funktion B treffen (Regel CR1). Da jedoch weder die Rolle R2 noch die Rolle R3 diese SAP Funktion trifft, wird keine Regelverletzung ermittelt.
Damit der One Identity Manager diese Regelverletzung erkennt, müssen für die Berechtigungsobjekte, die sich widersprechen, eigene SAP Funktionen erstellt werden. In einer Complianceregel werden daraufhin die SAP Funktionen kombiniert, die zu einer Regelverletzung führen.
Tabelle 8: Weitere SAP Funktionen
|
B |
TR |
BO3 |
ACTVT |
* |
|
TR |
BO4 |
ACTVT |
02, 03, 07 |
|
TR |
BO4 |
CLASS |
* |
|
C |
TR |
BO3 |
ACTVT |
* |
|
D |
TR |
BO4 |
ACTVT |
02, 03, 07 |
|
TR |
BO4 |
CLASS |
* |
Tabelle 9: Complianceregeln
|
CR1 |
Der Mitarbeiter besitzt die SAP Funktion B. |
Clara Harris |
|
CR2 |
Der Mitarbeiter besitzt die SAP Funktion C UND der Mitarbeiter besitzt die SAP Funktion D. |
Clara Harris
Ben King
Jenny Basset |
Jan Bloggs verletzt keine der Complianceregeln. Die SAP Rolle R3 trifft zwar die SAP Funktion D, diese führt aber nur in der Kombination mit der SAP Funktion C zu einer Regelverletzung.
Verwandte Themen
Einrichten von SAP Funktionen
Für SAP Funktionen erstellen Sie Funktionsdefinitionen, Funktionsausprägungen und Variablensets. Eine Funktionsdefinition enthält neben allgemeinen Stammdaten die Berechtigungsdefinition. Eine Berechtigungsdefinition besteht aus mindestens einer SAP Applikation . Zu jeder SAP Applikation gehört mindestens ein Berechtigungsobjekt. Jedes Berechtigungsobjekt besteht aus mindestens einem Funktionselement (Aktivität oder Berechtigungsfeld) mit konkreten Ausprägungen. Ausprägungen werden als Einzelwerte oder untere und obere Bereichsgrenze angegeben. Funktionselemente können je Berechtigungsobjekt mehrfach aufgelistet werden.
Eine SAP Funktion kann für verschiedene Ausprägungen genutzt werden. Dafür nutzen Sie in der Berechtigungsdefinition Variablen. Die konkreten Werte der Variablen werden in Variablensets zusammengestellt und in den Funktionsausprägungen angewendet.
Hinweise für die Berechtigungsdefinition
Beim Erstellen einer Berechtigungsdefinition im Berechtigungseditor berücksichtigen Sie folgende Hinweise:
- Um zu einem Berechtigungsobjekt einen zusätzlichen Wert für das ACTVT-Element hinzuzufügen, klicken Sie +. Mehrere zulässige Werte von ACTVT-Elementen können auch als kommagetrennte Liste erfasst werden.
- Um zu einem Berechtigungsobjekt einen zusätzlichen Wert für ein anderes Funktionselement hinzuzufügen (beispielsweise CLASS), klicken Sie C neben diesem Funktionselement. Die zulässigen Werte dieser Funktionselemente können nicht als kommagetrennte Liste erfasst werden. Sie müssen immer als separate Einträge in der Berechtigungsdefinition erscheinen.
- Berechtigungsobjekte können innerhalb einer Berechtigungsdefinition nicht mehrfach eingefügt werden. Wenn eine Funktionsprüfung auf ein und dasselbe Berechtigungsobjekt mit unterschiedlichen Ausprägungen ausgeführt werden soll, erstellen sie für jede Ausprägung eine separate SAP Funktion. Kombinieren Sie diese SAP Funktionen in einer Complianceregel.
Detaillierte Informationen zum Thema
Verwandte Themen
