Ermitteln unzulässiger Berechtigungen
Tabelle 6: Konfigurationsparameter für die Berechtigungsprüfung
| TargetSystem\SAPR3\SAPRights\TestWithoutTCD |
Prüfen der SAP Berechtigungen ohne Berücksichtigung der SAP Transaktionen. |
SAP Berechtigungen werden auf der Basis der für ein SAP Benutzerkonto zulässigen Transaktionen und Berechtigungsobjekte überprüft. Berechtigungsobjekte und Transaktionen werden zu Einzelprofilen zusammengefasst. Um zu überprüfen, ob im Unternehmen potentiell gefährliche Berechtigungen vergeben sind, definieren Sie die zu prüfenden Berechtigungsobjekte und Transaktionen als SAP Funktionen. Der One Identity Manager gleicht alle den Einzelprofilen zugeordneten Berechtigungsobjekte und Transaktionen mit der Berechtigungsdefinition in der SAP Funktion ab. Er ermittelt auf diesem Weg alle SAP Rollen und Profile, denen genau diese Berechtigungsobjekte und Transaktionen über die Einzelprofile zugeordnet sind.
Bei der Berechtigungsprüfung wird der Konfigurationsparameter "TargetSystem\SAPR3\SAPRights\TestWithoutTCD" ausgewertet. Wenn der Konfigurationsparameter deaktiviert ist (Standardfall), gelten für die Berechtigungsprüfung die folgenden Regeln:
Eine SAP Rolle oder ein SAP Profil trifft eine SAP Funktion, wenn
- es mindestens eine der Transaktionen enthält, die in der SAP Funktion definiert sind,
- es alle Berechtigungsobjekte dieser Transaktion besitzt,
- es alle unterschiedlichen Funktionselemente eines Berechtigungsobjekts besitzt,
- mindestens eine der Ausprägungen ein und desselben Funktionselements definiert ist.
Eine SAP Rolle trifft eine SAP Funktion, wenn das SAP Profil dieser SAP Rolle mindestens eine der Transaktionen enthält, die in der SAP Funktion definiert sind. Dabei muss das SAP Profil alle Berechtigungsobjekte dieser Transaktion besitzen. Ist für ein Berechtigungsobjekt ein Funktionselement mit einer Liste unterschiedlicher Ausprägungen definiert, trifft das SAP Profil die SAP Funktion, wenn es mindestens eine dieser Ausprägungen besitzt.
Wenn der Konfigurationsparameter "TargetSystem\SAPR3\SAPRights\TestWithoutTCD" aktiviert ist, werden bei der Berechtigungsprüfung die Transaktionen nicht berücksichtigt. In diesem Fall gelten für die Berechtigungsprüfung folgende Regeln:
Eine SAP Rolle oder ein SAP Profil trifft eine SAP Funktion, wenn
- es alle Berechtigungsobjekte aller Transaktionen besitzt,
- es alle unterschiedlichen Funktionselemente eines Berechtigungsobjekts besitzt,
- mindestens eine der Ausprägungen ein und desselben Funktionselements definiert ist.
Beispiel für eine Berechtigungsprüfung
Es ist eine SAP Funktion mit folgenden Transaktionen, Berechtigungsobjekten und Funktionselementen definiert.
Abbildung 2: Berechtigungsdefinition
Bei deaktiviertem Konfigurationsparameter werden durch die abgebildete SAP Funktion alle SAP Rollen und SAP Profile ermittelt, die folgende Berechtigungen besitzen:
Bei aktiviertem Konfigurationsparameter werden durch die abgebildete SAP Funktion alle SAP Rollen und SAP Profile ermittelt, die folgende Berechtigungen besitzen:
- Berechtigungsobjekt 1 und Funktionselement 1 mit der Ausprägung "02" ODER "07" ODER "21" UND Funktionselement 2
- UND -
- Berechtigungsobjekt 2 und Funktionselement 3, 4 UND 5
- UND -
- Berechtigungsobjekt 3 und Funktionselement 6 mit der Ausprägung "01" ODER "02" UND Funktionselement 7 mit der Ausprägung "SLH*" ODER "SLN*"
Beispiele für SAP Funktionen
Wenn Sie eine Berechtigungsdefinition erstellen, überlegen Sie, welche Berechtigungskombinationen nicht zulässig sind. Sie können zwei Anwendungsfälle unterscheiden:
- Es sollen alle SAP Rollen und Profile mit unzulässigen Berechtigungskombinationen ermittelt werden.
Erstellen Sie eine SAP Funktion für die Berechtigungen, die nicht gemeinsam in einer SAP Rolle oder einem SAP Profil auftreten dürfen. Durch die Berechtigungsprüfung werden alle SAP Rollen und Profile gefunden, die diese unzulässige Berechtigungskombination haben.
- Es sollen alle Personen ermittelt werden, die über ihre SAP Benutzerkonten unzulässige Berechtigungskombinationen besitzen.
Erstellen Sie SAP Funktionen für zulässige Berechtigungen oder Berechtigungskombination. Erstellen Sie Complianceregeln für SAP Funktionen, die sich gegenseitig ausschließen. Bei der Complianceprüfung werden alle Personen gefunden, die über ihre SAP Benutzerkonten solche unzulässigen Berechtigungskombinationen auf sich vereinen.
Beispiel für Anwendungsfall 1
In einem Unternehmen wurden die Richtlinien für zulässige SAP Berechtigungen geändert. Nun muss überprüft werden, ob die bestehenden Berechtigungen (SAP Rollen und Profile) den neuen Richtlinien entsprechen. SAP Rollen und Profile mit unzulässigen Berechtigungskombinationen müssen identifiziert werden, damit sie an die neuen Anforderungen angepasst werden können.
Für jede Berechtigungskombination, die nicht zulässig ist, wird eine SAP Funktion erstellt.
Tabelle 7: Beispiel für eine Berechtigungsdefinition
| A |
T1 |
BO2 |
ACTVT |
* |
| T1 |
BO2 |
CLASS |
* |
| T1 |
BO3 |
ACTVT |
01, 02 |
| T2 |
BO5 |
ACTVT |
* |
| T2 |
BO5 |
CLASS |
RST* |
| B |
T1 |
BO3 |
ACTVT |
* |
| T1 |
BO4 |
ACTVT |
02, 03, 07 |
| T1 |
BO4 |
CLASS |
* |
Folgende SAP Rollen sind vorhanden:
Tabelle 8: Definierte SAP Rollen
| R1 |
T1 |
BO1 |
ACTVT |
* |
| T1 |
BO1 |
CLASS |
* |
| T1 |
BO3 |
ACTVT |
* |
| T1 |
BO4 |
ACTVT |
01, 02 |
| T1 |
BO4 |
CLASS |
DEF* |
| R2 |
T1 |
BO2 |
ACTVT |
* |
| T1 |
BO2 |
CLASS |
* |
| T1 |
BO3 |
ACTVT |
* |
| R3 |
T1 |
BO4 |
ACTVT |
03, 07 |
| T1 |
BO4 |
CLASS |
* |
| R4 |
T2 |
BO5 |
ACTVT |
03 |
| T2 |
BO5 |
CLASS |
* |
Bei der Berechtigungsprüfung werden die SAP Rollen ermittelt, welche die SAP Funktion treffen.
Tabelle 9: Ergebnisse der Berechtigungsprüfung
| B |
R1 |
deaktiviert | aktiviert |
Die Rolle R1 hat alle in der SAP Funktion benannten Berechtigungsobjekte und Felder sowie mindestens eine der Feldausprägungen.
Der Rolle R2 fehlt das Berechtigungsobjekt BO4. Daher trifft sie die SAP Funktion nicht.
Der Rolle R3 fehlt das Berechtigungsobjekt BO3. Daher trifft sie die SAP Funktion nicht.
Der Rolle R4 fehlen die Berechtigungsobjekte BO3 und BO4. Daher trifft sie die SAP Funktion nicht.
Da in der SAP Funktion nur eine Transaktion verwendet wird, hat der Konfigurationsparameter keine Auswirkung auf das Ergebnis der Berechtigungsprüfung. |
| A |
R2, R4 |
deaktiviert |
Die Rolle R2 hat alle in der Transaktion T1 benannten Berechtigungsobjekte, Felder und Ausprägungen.
Die Rolle R4 hat alle in der Transaktion T2 benannten Berechtigungsobjekte, Felder und Ausprägungen.
Der Rolle R1 fehlt das Berechtigungsobjekt BO2 oder BO5. Daher trifft sie die SAP Funktion nicht.
Die Rolle R3 hat keine der benannten Berechtigungsobjekte. Daher trifft sie die SAP Funktion nicht. |
| A |
|
aktiviert |
Der Rolle R1 fehlen die Berechtigungsobjekte BO2 und BO5. Daher trifft sie die SAP Funktion nicht.
Der Rolle R2 fehlt das Berechtigungsobjekt BO5. Daher trifft sie die SAP Funktion nicht.
Die Rolle R3 hat keine der benannten Berechtigungsobjekte. Daher trifft sie die SAP Funktion nicht.
Der Rolle R4 fehlen die Berechtigungsobjekte BO2 und BO3. Daher trifft sie die SAP Funktion nicht. |
Die SAP Rolle R3 entspricht den neuen Richtlinien und kann daher weiter genutzt werden. Die Rollen R1, R2 und R4 müssen den neuen Richtlinien angepasst werden. Wenn eine Berechtigungsprüfung ohne Berücksichtigung der Transaktionen zulässig ist, muss nur die Rolle R1 angepasst werden.
Beispiel für Anwendungsfall 2
Es soll nun geprüft werden, welche SAP Benutzerkonten den neuen Richtlinien widersprechen. Dafür müssen Complianceregeln für die SAP Funktionen erstellt werden.
Tabelle 10: Genutzte SAP Benutzerkonten
| Clara Harris |
K1 |
R1 |
BO1 | ACTVT {*}
BO1 | CLASS {*}
BO3 | ACTVT {*}
BO4 | ACTVT {01, 02}
BO4 | CLASS {DEF*} |
| Ben King |
K2 |
R2, R3 |
BO2 | ACTVT {*}
BO2 | CLASS {*}
BO3 | ACTVT {*}
BO4 | ACTVT {03, 07}
BO4 | CLASS {*} |
| Jenny Basset |
K3 |
R2 |
BO2 | ACTVT {*}
BO2 | CLASS {*}
BO3 | ACTVT {*} |
| Jenny Basset |
K4 |
R3 |
BO4 | ACTVT {03, 07}
BO4 | CLASS {*} |
| Jan Bloggs |
K5 |
R3 |
BO4 | ACTVT {03, 07}
BO4 | CLASS {*} |
Dem Benutzerkonto K2 sind die SAP Rollen R2 und R3 zugewiesen. Damit erhält dieses Benutzerkonto alle Berechtigungen dieser beiden Rollen. Entsprechend der neuen Richtlinie darf eine Person jedoch nicht gleichzeitig die Berechtigungen BO3 und BO4 besitzen (SAP Funktion B). Es wird daher eine Complianceregel erstellt, die alle Personen ermittelt, welche die SAP Funktion B treffen (Regel CR1). Da jedoch weder die Rolle R2 noch die Rolle R3 diese SAP Funktion trifft, wird keine Regelverletzung ermittelt.
Damit der One Identity Manager diese Regelverletzung erkennt, müssen für die Berechtigungsobjekte, die sich widersprechen, eigene SAP Funktionen erstellt werden. In einer Complianceregel werden daraufhin die SAP Funktionen kombiniert, die zu einer Regelverletzung führen.
Tabelle 11: Weitere SAP Funktionen
| B |
T1 |
BO3 |
ACTVT |
* |
| T1 |
BO4 |
ACTVT |
02, 03, 07 |
| T1 |
BO4 |
CLASS |
* |
| C |
T1 |
BO3 |
ACTVT |
* |
| D |
T1 |
BO4 |
ACTVT |
02, 03, 07 |
| T1 |
BO4 |
CLASS |
* |
Tabelle 12: Complianceregeln
| CR1 |
Der Mitarbeiter besitzt die SAP Funktion B. |
Clara Harris |
| CR2 |
Der Mitarbeiter besitzt die SAP Funktion C UND der Mitarbeiter besitzt die SAP Funktion D. |
Clara Harris
Ben King
Jenny Basset |
Jan Bloggs verletzt keine der Complianceregeln. Die SAP Rolle R3 trifft zwar die SAP Funktion D, diese führt aber nur in der Kombination mit der SAP Funktion C zu einer Regelverletzung.
Verwandte Themen
Hinweise für die Berechtigungsdefinition
Beim Erstellen einer Berechtigungsdefinition im Berechtigungseditor berücksichtigen Sie folgende Hinweise:
- Um zu einem Berechtigungsobjekt einen zusätzlichen Wert für das ACTVT-Element hinzuzufügen, klicken Sie +. Mehrere zulässige Werte von ACTVT-Elementen können auch als kommagetrennte Liste erfasst werden.
- Um zu einem Berechtigungsobjekt einen zusätzlichen Wert für ein anderes Funktionselement hinzuzufügen (beispielsweise CLASS), klicken Sie C neben diesem Funktionselement. Die zulässigen Werte dieser Funktionselemente können nicht als kommagetrennte Liste erfasst werden. Sie müssen immer als separate Einträge in der Berechtigungsdefinition erscheinen.
- Berechtigungsobjekte können innerhalb einer Berechtigungsdefinition nicht mehrfach eingefügt werden. Wenn eine Funktionsprüfung auf ein und dasselbe Berechtigungsobjekt mit unterschiedlichen Ausprägungen ausgeführt werden soll, erstellen sie für jede Ausprägung eine separate SAP Funktion. Kombinieren Sie diese SAP Funktionen in einer Complianceregel.
Detaillierte Informationen zum Thema
Verwandte Themen
Einrichten von SAP Funktionen
Für SAP Funktionen erstellen Sie Funktionsdefinitionen, Funktionsausprägungen und Variablensets. Eine Funktionsdefinition enthält neben allgemeinen Stammdaten die Berechtigungsdefinition. Eine Berechtigungsdefinition besteht aus mindestens einer Transaktion. Zu jeder Transaktion gehört mindestens ein Berechtigungsobjekt. Jedes Berechtigungsobjekt besteht aus mindestens einem Funktionselement (Aktivität oder Berechtigungsfeld) mit konkreten Ausprägungen. Ausprägungen werden als Einzelwerte oder untere und obere Bereichsgrenze angegeben. Funktionselemente können je Berechtigungsobjekt mehrfach aufgelistet werden.
Eine SAP Funktion kann für verschiedene Ausprägungen genutzt werden. Dafür nutzen Sie in der Berechtigungsdefinition Variablen. Die konkreten Werte der Variablen werden in Variablensets zusammengestellt und in den Funktionsausprägungen angewendet.
