Mit dem One Identity Manager können Regeln zur Einhaltung und Überwachung regulatorischer Anforderungen definiert und Regelverletzungen automatisiert behandelt werden. Complianceregeln definieren, welche Berechtigungen oder Berechtigungskombinationen im Rahmen des Identity Audit für die Personen im Unternehmen überprüft werden sollen. Durch die Regelprüfung können einerseits bestehende Regelverletzungen gefunden werden. Andererseits können mögliche Regelverletzungen präventiv identifiziert und damit vermieden werden.
Abbildung 1: Identity Audit im One Identity Manager
Neben den Möglichkeiten der Regelprüfung, bietet der One Identity Manager für SAP R/3-Zielsysteme eine sehr detaillierte Überprüfung effektiver Berechtigungen der SAP Benutzerkonten an. Durch die Verbindung der SAP Benutzerkonten zu Personen können auch Kombinationen von SAP Berechtigungen überprüft werden, die eine Person über verschiedene SAP Benutzerkonten erhält. Potentiell gefährliche Berechtigungen und Berechtigungskombinationen können auf diese Weise leicht erkannt und geeignete Maßnahmen ergriffen werden.
SAP Berechtigungen werden auf der Basis der für ein Benutzerkonto zulässigen SAP Applikationen und Berechtigungsobjekte überprüft. Dafür definieren Sie im One Identity Manager SAP Funktionen, welche die zu prüfenden SAP Applikationen und Berechtigungsobjekte zusammenfassen. Der One Identity Manager ermittelt alle SAP Rollen und Profile, denen genau diese Berechtigungsobjekte zugeordnet sind. Benutzerkonten treffen die SAP Funktionen, wenn sie Mitglied in den ermittelten SAP Rollen und Profilen sind.
Um zu überprüfen, ob im Unternehmen potentiell gefährliche SAP Berechtigungen vergeben sind, definieren Sie SAP Funktionen für diese kritischen Berechtigungen. Über Complianceregeln ermitteln Sie, welche Personen diese SAP Funktionen treffen.
Erhalten Personen die SAP Berechtigungen über Bestellungen im IT Shop, können mit den entsprechenden Genehmigungsverfahren unzulässige Berechtigungen bereits bei der Bestellung erkannt und entsprechend weiter behandelt werden. Ausführliche Informationen zu Genehmigungsverfahren im IT Shop finden Sie im One Identity Manager Administrationshandbuch für IT Shop.
Auf Basis dieser Informationen können Sie Korrekturen an den Daten im One Identity Manager vornehmen und in die angebundene SAP R/3-Umgebung übertragen. Durch die im One Identity Manager integrierte Reportfunktion können die Informationen für entsprechende Prüfungen bereitgestellt werden.
Hinweis: Um SAP Funktionen einrichten und auswerten zu können, müssen das Modul SAP R/3 Compliance Add-on und das Modul Complianceregeln vorhanden sein.
HINWEIS: Die Berechtigungen in den Tochtersystemen einer Zentralen Benutzerverwaltung können nicht durch SAP Funktionen überprüft werden.
In die Verwaltung von SAP Funktionen sind folgende Benutzer eingebunden.
Tabelle 1: Benutzer
Administratoren für Complianceregeln |
Die Administratoren müssen der Anwendungsrolle Identity & Access Governance | Identity Audit | Administratoren zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
-
Erstellen die Basisdaten für die Erstellung des Regelwerks.
-
Erstellen die Complianceregeln und weisen die Regelverantwortlichen zu.
-
Können bei Bedarf die Regelprüfung starten und Regelverletzungen einsehen.
-
Erstellen Berichte über Regelverletzungen.
-
Definieren SAP Funktionen und ordnen diesen Verantwortliche zu.
-
Definieren die Funktionsausprägungen und Variablensets für SAP Funktionen.
-
Erfassen risikomindernde Maßnahmen.
-
Erstellen und bearbeiten Risikoindex-Berechnungsvorschriften.
-
Überwachen die Identity Audit Funktionen.
-
Administrieren die Anwendungsrollen für Regelverantwortliche, Ausnahmegenehmiger und Attestierer.
-
Richten bei Bedarf weitere Anwendungsrollen ein. |
Verantwortliche für die Pflege der SAP Funktionen |
Die Administratoren müssen der Anwendungsrolle Identity & Access Governance | Identity Audit | Pflege SAP Funktionen oder einer untergeordneten Anwendungsrolle zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
-
Sind inhaltlich für die SAP Funktionen verantwortlich.
-
Bearbeiten die Arbeitskopien der Funktionsdefinitionen, für die sie verantwortlich sind.
-
Definieren die Funktionsausprägungen und Variablensets für SAP Funktionen.
-
Weisen risikomindernde Maßnahmen zu. |
One Identity Manager Administratoren |
Administratoren sind administrative Systembenutzer. Administrative Systembenutzer werden nicht in Anwendungsrollen aufgenommen.
Administratoren:
-
Erstellen bei Bedarf im Designer kundenspezifische Berechtigungsgruppen für Anwendungsrollen für die rollenbasierte Anmeldung an den Administrationswerkzeugen.
-
Erstellen bei Bedarf im Designer Systembenutzer und Berechtigungsgruppen für die nicht-rollenbasierte Anmeldung an den Administrationswerkzeugen.
-
Aktivieren oder deaktivieren im Designer bei Bedarf zusätzliche Konfigurationsparameter.
-
Erstellen im Designer bei Bedarf unternehmensspezifische Prozesse.
-
Erstellen und konfigurieren bei Bedarf Zeitpläne. |
Compliance & Security Officer |
Compliance & Security Officer müssen der Anwendungsrolle Identity & Access Governance | Compliance & Security Officer zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
-
Sehen im Web Portal alle Compliance-relevanten Informationen und deren Auswertungen. Dazu gehören Attestierungsrichtlinien, Unternehmensrichtlinien und Richtlinienverletzungen, Complianceregeln und Regelverletzungen, kritische SAP Funktionen sowie Risikoindex-Berechnungsvorschriften.
-
Können Attestierungsrichtlinien bearbeiten. |
Damit der One Identity Manager die effektiven SAP Berechtigungen anhand der SAP Funktionen prüfen kann, müssen alle Informationen zu SAP Berechtigungen, SAP Benutzerkonten, SAP Rollen und SAP Profilen in die One Identity Manager-Datenbank übertragen werden.
Um SAP Funktionen einzurichten
-
Aktivieren Sie im Designer die Konfigurationsparameter QER | ComplianceCheck und TargetSystem | SAPR3 | SAPRights.
HINWEIS: Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.
-
Erstellen Sie ein Synchronisationsprojekt für die Synchronisation der benötigten SAP Schematypen und starten Sie die Synchronisation.
Detaillierte Informationen zum Thema
Über Konfigurationsparameter konfigurieren Sie die Grundeinstellungen zum Systemverhalten. Der One Identity Manager stellt für verschiedene Konfigurationsparameter Standardeinstellungen zur Verfügung. Prüfen Sie die Konfigurationsparameter und passen Sie die Konfigurationsparameter gegebenenfalls an das gewünschte Verhalten an.
Die Konfigurationsparameter sind in den One Identity Manager Modulen definiert. Jedes One Identity Manager Modul kann zusätzliche Konfigurationsparameter installieren. Einen Überblick über alle Konfigurationsparameter finden Sie im Designer in der Kategorie Basisdaten > Allgemein > Konfigurationsparameter.
Weitere Informationen finden Sie unter Konfigurationsparameter für SAP Funktionen.