Chat now with support
Chat mit Support

Identity Manager 9.1 - Administrationshandbuch für das SAP R/3 Compliance Add-on

SAP Funktionen und Identity Audit Erstellen eines Synchronisationsprojekts für die Synchronisation von SAP Berechtigungsobjekten Basisdaten für SAP Funktionen Ermitteln unzulässiger Berechtigungen Einrichten von SAP Funktionen Complianceregeln für SAP Funktionen Risikomindernde Maßnahmen für SAP Funktionen Konfigurationsparameter für SAP Funktionen Standardprojektvorlage für das Modul SAP R/3 Compliance Add-on Referenzierte SAP R/3-Tabellen und BAPI-Aufrufe

SAP Funktionen und Identity Audit

Mit dem One Identity Manager können Regeln zur Einhaltung und Überwachung regulatorischer Anforderungen definiert und Regelverletzungen automatisiert behandelt werden. Complianceregeln definieren, welche Berechtigungen oder Berechtigungskombinationen im Rahmen des Identity Audit für die Personen im Unternehmen überprüft werden sollen. Durch die Regelprüfung können einerseits bestehende Regelverletzungen gefunden werden. Andererseits können mögliche Regelverletzungen präventiv identifiziert und damit vermieden werden.

Abbildung 1: Identity Audit im One Identity Manager

Neben den Möglichkeiten der Regelprüfung, bietet der One Identity Manager für SAP R/3-Zielsysteme eine sehr detaillierte Überprüfung effektiver Berechtigungen der SAP Benutzerkonten an. Durch die Verbindung der SAP Benutzerkonten zu Personen können auch Kombinationen von SAP Berechtigungen überprüft werden, die eine Person über verschiedene SAP Benutzerkonten erhält. Potentiell gefährliche Berechtigungen und Berechtigungskombinationen können auf diese Weise leicht erkannt und geeignete Maßnahmen ergriffen werden.

SAP Berechtigungen werden auf der Basis der für ein Benutzerkonto zulässigen SAP Applikationen und Berechtigungsobjekte überprüft. Dafür definieren Sie im One Identity Manager SAP Funktionen, welche die zu prüfenden SAP Applikationen und Berechtigungsobjekte zusammenfassen. Der One Identity Manager ermittelt alle SAP Rollen und Profile, denen genau diese Berechtigungsobjekte zugeordnet sind. Benutzerkonten treffen die SAP Funktionen, wenn sie Mitglied in den ermittelten SAP Rollen und Profilen sind.

Um zu überprüfen, ob im Unternehmen potentiell gefährliche SAP Berechtigungen vergeben sind, definieren Sie SAP Funktionen für diese kritischen Berechtigungen. Über Complianceregeln ermitteln Sie, welche Personen diese SAP Funktionen treffen.

Erhalten Personen die SAP Berechtigungen über Bestellungen im IT Shop, können mit den entsprechenden Genehmigungsverfahren unzulässige Berechtigungen bereits bei der Bestellung erkannt und entsprechend weiter behandelt werden. Ausführliche Informationen zu Genehmigungsverfahren im IT Shop finden Sie im One Identity Manager Administrationshandbuch für IT Shop.

Auf Basis dieser Informationen können Sie Korrekturen an den Daten im One Identity Manager vornehmen und in die angebundene SAP R/3-Umgebung übertragen. Durch die im One Identity Manager integrierte Reportfunktion können die Informationen für entsprechende Prüfungen bereitgestellt werden.

Hinweis: Um SAP Funktionen einrichten und auswerten zu können, müssen das Modul SAP R/3 Compliance Add-on und das Modul Complianceregeln vorhanden sein.

HINWEIS: Die Berechtigungen in den Tochtersystemen einer Zentralen Benutzerverwaltung können nicht durch SAP Funktionen überprüft werden.

One Identity Manager Benutzer für die Verwaltung von SAP Funktionen

In die Verwaltung von SAP Funktionen sind folgende Benutzer eingebunden.

Tabelle 1: Benutzer
Benutzer Aufgaben

Administratoren für Complianceregeln

Die Administratoren müssen der Anwendungsrolle Identity & Access Governance | Identity Audit | Administratoren zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Erstellen die Basisdaten für die Erstellung des Regelwerks.

  • Erstellen die Complianceregeln und weisen die Regelverantwortlichen zu.

  • Können bei Bedarf die Regelprüfung starten und Regelverletzungen einsehen.

  • Erstellen Berichte über Regelverletzungen.

  • Definieren SAP Funktionen und ordnen diesen Verantwortliche zu.

  • Definieren die Funktionsausprägungen und Variablensets für SAP Funktionen.

  • Erfassen risikomindernde Maßnahmen.

  • Erstellen und bearbeiten Risikoindex-Berechnungsvorschriften.

  • Überwachen die Identity Audit Funktionen.

  • Administrieren die Anwendungsrollen für Regelverantwortliche, Ausnahmegenehmiger und Attestierer.

  • Richten bei Bedarf weitere Anwendungsrollen ein.

Verantwortliche für die Pflege der SAP Funktionen

Die Administratoren müssen der Anwendungsrolle Identity & Access Governance | Identity Audit | Pflege SAP Funktionen oder einer untergeordneten Anwendungsrolle zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Sind inhaltlich für die SAP Funktionen verantwortlich.

  • Bearbeiten die Arbeitskopien der Funktionsdefinitionen, für die sie verantwortlich sind.

  • Definieren die Funktionsausprägungen und Variablensets für SAP Funktionen.

  • Weisen risikomindernde Maßnahmen zu.

One Identity Manager Administratoren

One Identity Manager Administratoren sind administrative Systembenutzer. Administrative Systembenutzer werden nicht in Anwendungsrollen aufgenommen.

One Identity Manager Administratoren:

  • Erstellen bei Bedarf im Designer kundenspezifische Berechtigungsgruppen für Anwendungsrollen für die rollenbasierte Anmeldung an den Administrationswerkzeugen.

  • Erstellen bei Bedarf im Designer Systembenutzer und Berechtigungsgruppen für die nicht-rollenbasierte Anmeldung an den Administrationswerkzeugen.

  • Aktivieren oder deaktivieren im Designer bei Bedarf zusätzliche Konfigurationsparameter.

  • Erstellen im Designer bei Bedarf unternehmensspezifische Prozesse.

  • Erstellen und konfigurieren bei Bedarf Zeitpläne.

Compliance & Security Officer

Compliance & Security Officer müssen der Anwendungsrolle Identity & Access Governance | Compliance & Security Officer zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Sehen im Web Portal alle Compliance-relevanten Informationen und deren Auswertungen. Dazu gehören Attestierungsrichtlinien, Unternehmensrichtlinien und Richtlinienverletzungen, Complianceregeln und Regelverletzungen, kritische SAP Funktionen sowie Risikoindex-Berechnungsvorschriften.

  • Können Attestierungsrichtlinien bearbeiten.

Voraussetzungen für die Einrichtung von SAP Funktionen

Damit der One Identity Manager die effektiven SAP Berechtigungen anhand der SAP Funktionen prüfen kann, müssen alle Informationen zu SAP Berechtigungen, SAP Benutzerkonten, SAP Rollen und SAP Profilen in die One Identity Manager-Datenbank übertragen werden.

Um SAP Funktionen einzurichten

  1. Aktivieren Sie im Designer die Konfigurationsparameter QER | ComplianceCheck und TargetSystem | SAPR3 | SAPRights.

    HINWEIS: Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.

  2. Erstellen Sie ein Synchronisationsprojekt für die Synchronisation der benötigten SAP Schematypen und starten Sie die Synchronisation.

Detaillierte Informationen zum Thema

Erstellen eines Synchronisationsprojekts für die Synchronisation von SAP Berechtigungsobjekten

SAP Berechtigungen werden auf der Basis der für ein SAP Benutzerkonto zulässigen SAP Applikationen und Berechtigungsobjekte überprüft. Um SAP Funktionen erstellen zu können, müssen die Berechtigungsobjekte und SAP Applikationen in die One Identity Manager-Datenbank eingelesen werden. Erstellen Sie für jeden Mandanten ein Synchronisationsprojekt, über das die benötigten Schematypen synchronisiert werden können. Dafür wird eine separate Projektvorlage bereitgestellt.

Verwenden Sie den Synchronization Editor, um die Synchronisation zwischen One Identity Manager-Datenbank und SAP R/3-Umgebung einzurichten.

HINWEIS: Pro Zielsystem und genutzter Standardprojektvorlage kann genau ein Synchronisationsprojekt erstellt werden.

Um ein Synchronisationsprojekt für SAP Berechtigungsobjekte einzurichten

  1. Erstellen Sie ein initiales Synchronisationsprojekt wie im Handbuch One Identity Manager Administrationshandbuch für die Anbindung einer SAP R/3-Umgebung beschrieben. Es gelten folgende Besonderheiten:

    HINWEIS: Die Berechtigungen in den Tochtersystemen einer Zentralen Benutzerverwaltung können nicht durch SAP Funktionen überprüft werden. Erstellen Sie das Synchronisationsprojekt nur für einen Mandanten, der kein ZBVGeschlossen-System ist.

    1. Wählen Sie im Projektassistenten auf der Seite Projektvorlage auswählen die Projektvorlage SAP R/3 Berechtigungsobjekte.
    2. Die Seite Zielsystemzugriff einschränken wird nicht angezeigt. Das Zielsystem soll nur eingelesen werden.

    Ausführliche Informationen finden Sie im One Identity Manager Administrationshandbuch für die Anbindung einer SAP R/3-Umgebung.

  2. Konfigurieren und aktivieren Sie einen Zeitplan, um regelmäßige Synchronisationen auszuführen.

    Ausführliche Informationen finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Verwandte Themen
Self-Service-Tools
Knowledge Base
Benachrichtigungen und Warnmeldungen
Produkt-Support
Software-Downloads
Technische Dokumentationen
Benutzerforen
Videoanleitungen
RSS Feed
Kontakt
Unterstützung bei der Lizenzierung
Technische Support
Alle anzeigen
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen