Chat now with support
Chat with Support

Identity Manager 9.1.1 - Administrationshandbuch für das SAP R/3 Compliance Add-on

SAP Funktionen und Identity Audit Erstellen eines Synchronisationsprojekts für die Synchronisation von SAP Berechtigungsobjekten Basisdaten für SAP Funktionen Ermitteln unzulässiger Berechtigungen Einrichten von SAP Funktionen Complianceregeln für SAP Funktionen Risikomindernde Maßnahmen für SAP Funktionen Konfigurationsparameter für SAP Funktionen Standardprojektvorlage für das Modul SAP R/3 Compliance Add-on Referenzierte SAP R/3-Tabellen und BAPI-Aufrufe

Ermitteln unzulässiger Berechtigungen

SAP Berechtigungen werden auf der Basis der für ein SAP Benutzerkonto zulässigen SAP Applikationen und Berechtigungsobjekte überprüft. Um zu ermitteln, ob im Unternehmen potentiell gefährliche Berechtigungen vergeben sind, definieren Sie SAP Funktionen, welche die zu prüfenden SAP Applikationen und Berechtigungsobjekte zusammenfassen. Der One Identity Manager gleicht alle den Einzelprofilen zugeordneten Berechtigungsobjekte mit der Berechtigungsdefinition in der SAP Funktion ab. Er ermittelt auf diesem Weg alle SAP Rollen und Profile, denen genau diese Berechtigungsobjekte über die Einzelprofile zugeordnet sind.

Bei der Berechtigungsprüfung wird der Konfigurationsparameter TargetSystem | SAPR3 | SAPRights | TestWithoutTCD ausgewertet. Der Konfigurationsparameter legt fest, ob bei der Berechtigungsprüfung nur die Berechtigungsobjekte oder auch die SAP Applikationen berücksichtigt werden sollen.

Konfigurationsparameter TestWithoutTCD ist nicht aktiviert (Standard)

Für die Berechtigungsprüfung gelten die folgenden Regeln:

Eine SAP Rolle oder ein SAP Profil trifft eine SAP Funktion, wenn

  1. es mindestens eine der SAP Applikationen enthält, die in der SAP Funktion definiert sind,
  2. es alle Berechtigungsobjekte dieser SAP Applikation besitzt,
  3. es alle unterschiedlichen Funktionselemente eines Berechtigungsobjekts besitzt,
  4. mindestens eine der Ausprägungen ein und desselben Funktionselements definiert ist.

Eine SAP Rolle trifft eine SAP Funktion, wenn das SAP Profil dieser SAP Rolle mindestens eine der SAP Applikationen enthält, die in der SAP Funktion definiert sind. Dabei muss das SAP Profil alle Berechtigungsobjekte dieser SAP Applikation besitzen. Ist für ein Berechtigungsobjekt ein Funktionselement mit einer Liste unterschiedlicher Ausprägungen definiert, trifft das SAP Profil die SAP Funktion, wenn es mindestens eine dieser Ausprägungen besitzt.

Konfigurationsparameter TestWithoutTCD ist aktiviert

Bei der Berechtigungsprüfung werden die SAP Applikationen nicht berücksichtigt. In diesem Fall gelten für die Berechtigungsprüfung folgende Regeln:

Eine SAP Rolle oder ein SAP Profil trifft eine SAP Funktion, wenn

  1. es alle Berechtigungsobjekte aller SAP Applikationen besitzt,
  2. es alle unterschiedlichen Funktionselemente eines Berechtigungsobjekts besitzt,
  3. mindestens eine der Ausprägungen ein und desselben Funktionselements definiert ist.
Beispiel für eine Berechtigungsprüfung

Es ist eine SAP Funktion mit folgenden SAP Applikationen , Berechtigungsobjekten und Funktionselementen definiert.

Abbildung 2: Berechtigungsdefinition

Bei deaktiviertem Konfigurationsparameter werden durch die abgebildete SAP Funktion alle SAP Rollen und SAP Profile ermittelt, die folgende Berechtigungen besitzen:

  • SAP Applikation 1 mit Berechtigungsobjekt 1 und Funktionselement 1 UND 2

    - ODER -

  • SAP Applikation 2 mit Berechtigungsobjekt 2 und Funktionselement 3 mit der Ausprägung 1 ODER 2 ODER 3 UND Funktionselement 4

    - UND -

    mit Berechtigungsobjekt 3 und Funktionselement 5 UND 6

    - ODER -

  • SAP Applikation 3 mit Berechtigungsobjekt 4 und Funktionselement 7 UND 8 UND 9

    - ODER -

  • SAP Applikation 4 mit Berechtigungsobjekt 5 und Funktionselement 10 mit der Ausprägung 2 ODER 23 ODER 78 UND Funktionselement 11 mit der Ausprägung SLH* ODER SLN*

Bei aktiviertem Konfigurationsparameter werden durch die abgebildete SAP Funktion alle SAP Rollen und SAP Profile ermittelt, die folgende Berechtigungen besitzen:

  • Berechtigungsobjekt 1 und Funktionselement 1 UND 2

    - UND -

  • Berechtigungsobjekt 2 und Funktionselement 3 mit der Ausprägung 1 ODER 2 ODER 3 UND Funktionselement 4

    - UND -

  • Berechtigungsobjekt 3 und Funktionselement 5 UND 6

    - UND -

  • Berechtigungsobjekt 4 und Funktionselement 7 UND 8 UND 9

    - UND -

  • Berechtigungsobjekt 5 und Funktionselement 10 mit der Ausprägung 2 ODER 23 ODER 78 UND Funktionselement 11 mit der Ausprägung SLH* ODER SLN*

Beispiele für SAP Funktionen

Wenn Sie eine Berechtigungsdefinition erstellen, überlegen Sie, welche Berechtigungskombinationen nicht zulässig sind. Sie können zwei Anwendungsfälle unterscheiden:

  1. Es sollen alle SAP Rollen und Profile mit unzulässigen Berechtigungskombinationen ermittelt werden.

    Erstellen Sie eine SAP Funktion für die Berechtigungen, die nicht gemeinsam in einer SAP Rolle oder einem SAP Profil auftreten dürfen. Durch die Berechtigungsprüfung werden alle SAP Rollen und Profile gefunden, die diese unzulässige Berechtigungskombination haben.

  2. Es sollen alle Personen ermittelt werden, die über ihre SAP Benutzerkonten unzulässige Berechtigungskombinationen besitzen.

    Erstellen Sie SAP Funktionen für zulässige Berechtigungen oder Berechtigungskombination. Erstellen Sie Complianceregeln für SAP Funktionen, die sich gegenseitig ausschließen. Bei der Complianceprüfung werden alle Personen gefunden, die über ihre SAP Benutzerkonten solche unzulässigen Berechtigungskombinationen auf sich vereinen.

Beispiel für Anwendungsfall 1

In einem Unternehmen wurden die Richtlinien für zulässige SAP Berechtigungen geändert. Nun muss überprüft werden, ob die bestehenden Berechtigungen (SAP Rollen und Profile) den neuen Richtlinien entsprechen. SAP Rollen und Profile mit unzulässigen Berechtigungskombinationen müssen identifiziert werden, damit sie an die neuen Anforderungen angepasst werden können.

Für jede Berechtigungskombination, die nicht zulässig ist, wird eine SAP Funktion erstellt.

Tabelle 5: Beispiel für eine Berechtigungsdefinition

SAP Funktion

SAP Applikation

Berechtigungsobjekt

Feld

Wert

A

TR

BO2

ACTVT

*

TR

BO2

CLASS

*

TR

BO3

ACTVT

01, 02

RF

BO5

ACTVT

*

RF

BO5

RLTYP

R*

B

TR

BO3

ACTVT

*

TR

BO4

ACTVT

02, 03, 07

TR

BO4

CLASS

*

Folgende SAP Rollen sind vorhanden:

Tabelle 6: Definierte SAP Rollen

SAP Rolle

SAP Applikation

Berechtigungsobjekt

Feld

Wert

R1

TR

BO1

ACTVT

*

TR

BO1

CLASS

*

TR

BO3

ACTVT

*

TR

BO4

ACTVT

01, 02

TR

BO4

CLASS

DEF*

R2

TR

BO2

ACTVT

*

TR

BO2

CLASS

*

TR

BO3

ACTVT

*

R3

TR

BO4

ACTVT

03, 07

TR

BO4

CLASS

*

R4

RF

BO5

ACTVT

03

RF

BO5

RLTYP

*

Bei der Berechtigungsprüfung werden die SAP Rollen ermittelt, welche die SAP Funktion treffen.

Ergebnisse der Berechtigungsprüfung:

  • SAP Funktion: B

    Konfigurationsparameter TestWithoutTCD: aktiviert oder deaktiviert

    Da in der SAP Funktion nur eine SAP Applikation verwendet wird, hat der Konfigurationsparameter keine Auswirkung auf das Ergebnis der Berechtigungsprüfung.

    Getroffene SAP Rolle: R1

    Die Rolle R1 hat alle in der SAP Funktion benannten Berechtigungsobjekte und Felder sowie mindestens eine der Feldausprägungen.

    Der Rolle R2 fehlt das Berechtigungsobjekt BO4. Daher trifft sie die SAP Funktion nicht.

    Der Rolle R3 fehlt das Berechtigungsobjekt BO3. Daher trifft sie die SAP Funktion nicht.

    Der Rolle R4 fehlen die Berechtigungsobjekte BO3 und BO4. Daher trifft sie die SAP Funktion nicht.

  • SAP Funktion: A

    Konfigurationsparameter TestWithoutTCD: deaktiviert

    Getroffene SAP Rollen: R2, R4

    Die Rolle R2 hat alle in der SAPApplikation TR benannten Berechtigungsobjekte, Felder und Ausprägungen.

    Die Rolle R4 hat alle in der SAP Applikation RF benannten Berechtigungsobjekte, Felder und Ausprägungen.

    Der Rolle R1 fehlt das Berechtigungsobjekt BO2 oder BO5. Daher trifft sie die SAP Funktion nicht.

    Die Rolle R3 hat keine der benannten Berechtigungsobjekte. Daher trifft sie die SAP Funktion nicht.

  • SAP Funktion: A

    Konfigurationsparameter TestWithoutTCD: aktiviert

    Getroffene SAP Rollen: R2, R4

    Der Rolle R1 fehlen die Berechtigungsobjekte BO2 und BO5. Daher trifft sie die SAP Funktion nicht.

    Der Rolle R2 fehlt das Berechtigungsobjekt BO5. Daher trifft sie die SAP Funktion nicht.

    Die Rolle R3 hat keine der benannten Berechtigungsobjekte. Daher trifft sie die SAP Funktion nicht.

    Der Rolle R4 fehlen die Berechtigungsobjekte BO2 und BO3. Daher trifft sie die SAP Funktion nicht.

Die SAP Rolle R3 entspricht den neuen Richtlinien und kann daher weiter genutzt werden. Die Rollen R1, R2 und R4 müssen den neuen Richtlinien angepasst werden. Wenn eine Berechtigungsprüfung ohne Berücksichtigung der SAPApplikationen zulässig ist, muss nur die Rolle R1 angepasst werden.

Beispiel für Anwendungsfall 2

Es soll nun geprüft werden, welche SAP Benutzerkonten den neuen Richtlinien widersprechen. Dafür müssen Complianceregeln für die SAP Funktionen erstellt werden.

Tabelle 7: Genutzte SAP Benutzerkonten

Personen

SAP Benutzerkonten

SAP Rollen

Berechtigungen

Clara Harris

K1

R1

BO1 | ACTVT {*}

BO1 | CLASS {*}

BO3 | ACTVT {*}

BO4 | ACTVT {01, 02}

BO4 | CLASS {DEF*}

Ben King

K2

R2, R3

BO2 | ACTVT {*}

BO2 | CLASS {*}

BO3 | ACTVT {*}

BO4 | ACTVT {03, 07}

BO4 | CLASS {*}

Jenny Basset

K3

R2

BO2 | ACTVT {*}

BO2 | CLASS {*}

BO3 | ACTVT {*}

Jenny Basset

K4

R3

BO4 | ACTVT {03, 07}

BO4 | CLASS {*}

Jan Bloggs

K5

R3

BO4 | ACTVT {03, 07}

BO4 | CLASS {*}

Dem Benutzerkonto K2 sind die SAP Rollen R2 und R3 zugewiesen. Damit erhält dieses Benutzerkonto alle Berechtigungen dieser beiden Rollen. Entsprechend der neuen Richtlinie darf eine Person jedoch nicht gleichzeitig die Berechtigungen BO3 und BO4 besitzen (SAP Funktion B). Es wird daher eine Complianceregel erstellt, die alle Personen ermittelt, welche die SAP Funktion B treffen (Regel CR1). Da jedoch weder die Rolle R2 noch die Rolle R3 diese SAP Funktion trifft, wird keine Regelverletzung ermittelt.

Damit der One Identity Manager diese Regelverletzung erkennt, müssen für die Berechtigungsobjekte, die sich widersprechen, eigene SAP Funktionen erstellt werden. In einer Complianceregel werden daraufhin die SAP Funktionen kombiniert, die zu einer Regelverletzung führen.

Tabelle 8: Weitere SAP Funktionen

SAP Funktion

SAP Applikation

Berechtigungsobjekt

Feld

Wert

B

TR

BO3

ACTVT

*

TR

BO4

ACTVT

02, 03, 07

TR

BO4

CLASS

*

C

TR

BO3

ACTVT

*

D

TR

BO4

ACTVT

02, 03, 07

TR

BO4

CLASS

*

Tabelle 9: Complianceregeln

Regel

Regelbedingung

Personen, welche die Regeln verletzen

CR1

Der Mitarbeiter besitzt die SAP Funktion B.

Clara Harris

CR2

Der Mitarbeiter besitzt die SAP Funktion C UND der Mitarbeiter besitzt die SAP Funktion D.

Clara Harris

Ben King

Jenny Basset

Jan Bloggs verletzt keine der Complianceregeln. Die SAP Rolle R3 trifft zwar die SAP Funktion D, diese führt aber nur in der Kombination mit der SAP Funktion C zu einer Regelverletzung.

Verwandte Themen

Einrichten von SAP Funktionen

Für SAP Funktionen erstellen Sie Funktionsdefinitionen, Funktionsausprägungen und Variablensets. Eine Funktionsdefinition enthält neben allgemeinen Stammdaten die Berechtigungsdefinition. Eine Berechtigungsdefinition besteht aus mindestens einer SAP Applikation . Zu jeder SAP Applikation gehört mindestens ein Berechtigungsobjekt. Jedes Berechtigungsobjekt besteht aus mindestens einem Funktionselement (Aktivität oder Berechtigungsfeld) mit konkreten Ausprägungen. Ausprägungen werden als Einzelwerte oder untere und obere Bereichsgrenze angegeben. Funktionselemente können je Berechtigungsobjekt mehrfach aufgelistet werden.

Eine SAP Funktion kann für verschiedene Ausprägungen genutzt werden. Dafür nutzen Sie in der Berechtigungsdefinition Variablen. Die konkreten Werte der Variablen werden in Variablensets zusammengestellt und in den Funktionsausprägungen angewendet.

Hinweise für die Berechtigungsdefinition

Beim Erstellen einer Berechtigungsdefinition im Berechtigungseditor berücksichtigen Sie folgende Hinweise:

  • Um zu einem Berechtigungsobjekt einen zusätzlichen Wert für das ACTVT-Element hinzuzufügen, klicken Sie +. Mehrere zulässige Werte von ACTVT-Elementen können auch als kommagetrennte Liste erfasst werden.
  • Um zu einem Berechtigungsobjekt einen zusätzlichen Wert für ein anderes Funktionselement hinzuzufügen (beispielsweise CLASS), klicken Sie C neben diesem Funktionselement. Die zulässigen Werte dieser Funktionselemente können nicht als kommagetrennte Liste erfasst werden. Sie müssen immer als separate Einträge in der Berechtigungsdefinition erscheinen.
  • Berechtigungsobjekte können innerhalb einer Berechtigungsdefinition nicht mehrfach eingefügt werden. Wenn eine Funktionsprüfung auf ein und dasselbe Berechtigungsobjekt mit unterschiedlichen Ausprägungen ausgeführt werden soll, erstellen sie für jede Ausprägung eine separate SAP Funktion. Kombinieren Sie diese SAP Funktionen in einer Complianceregel.
Detaillierte Informationen zum Thema
Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating