Chat now with support
Chat with Support

Identity Manager 9.1.2 - Administrationshandbuch für das SAP R/3 Compliance Add-on

SAP Funktionen und Identity Audit Erstellen eines Synchronisationsprojekts für die Synchronisation von SAP Berechtigungsobjekten Einrichten von SAP Funktionen Complianceregeln für SAP Funktionen Risikomindernde Maßnahmen für SAP Funktionen Konfigurationsparameter für SAP Funktionen Standardprojektvorlage für das Modul SAP R/3 Compliance Add-on Referenzierte SAP R/3-Tabellen und BAPI-Aufrufe

Verwenden von Variablen

Für Funktionselemente können in der Berechtigungsdefinition konkrete Werte angegeben werden. Um die Funktionsdefinition für verschiedene Funktionsausprägungen zu nutzen, können Sie stattdessen Variablen einsetzen. Dafür gelten folgende Festlegungen.

  • Variablenname

    • beginnt mit einem Buchstaben
    • enthält nur Buchstaben, Zahlen und den Unterstrich
    • ist von $-Zeichen eingeschlossen

    Beispiel: $Var_01$

    HINWEIS: Variablennamen dürfen nicht mit dem Namen von Systemvariablen beginnen.
  • Wert

     

    Syntax (Beispiel)

    SAP Berechtigung wird geprüft auf

    Beispiele für Feldwerte

    *

    beliebige Werte

    Kann nur als Einzelwert genutzt werden. Es kann keine obere Bereichsgrenze angegeben werden.

    ab oder 1234

    beliebige Zeichenkette (ab)

    exakt den angegebenen Wert

    ab

    [*]

    den Wert *

    *

    Zeichenkette[*] (ab[*])

    Werte, die exakt diese Zeichenkette und * enthalten

    ab*

    Zeichenkette* (ab*)

    Werte, die mit der angegebenen Zeichenkette beginnen und mit einer beliebigen Zeichenkette enden

    Kann nur als Einzelwert genutzt werden. Es kann keine obere Bereichsgrenze angegeben werden.

    abcd oder ab*

    ODER-Verknüpfung (01,02,78)

    einen der in der Liste enthaltenen Werte

    ODER-Verknüpfungen können nicht für die obere Bereichsgrenze genutzt werden.

    Kann nur als Einzelwert genutzt werden. Es kann keine obere Bereichsgrenze angegeben werden.

    01 oder 02 oder 78

    UND-Verknüpfung (01+02+78)

    alle in der Liste enthaltenen Werte

    UND-Verknüpfungen können nicht für die obere Bereichsgrenze genutzt werden.

    Kann nur als Einzelwert genutzt werden. Es kann keine obere Bereichsgrenze angegeben werden.

    01 und 02 und 78

    [*],[,],[+]
    (FM[+]7)

    Werte, die das Sonderzeichen enthalten

    FM+7

Neben den selbstdefinierten Variablen können in der Berechtigungsdefinition auch Systemvariablen verwendet werden. Systemvariablen haben folgende Syntax: ${character}+ (Beispiel: $AUFART).

Variablen müssen bei der Berechtigungsprüfung eindeutig identifizierbar sein. Daher dürfen die Variablennamen selbstdefinierter Variablen nicht den Systemvariablen entsprechen oder mit dem Namen von Systemvariablen beginnen.

Verwandte Themen

Vollständigkeit der Berechtigungsobjekte prüfen

Über diese Aufgabe prüft der One Identity Manager, ob alle Berechtigungsobjekte, die zu einer SAP Applikation gehören, in der Berechtigungsdefinition vorkommen.

Um eine Berechtigungsdefinition auf Vollständigkeit zu prüfen

  1. Wählen Sie im Manager die Kategorie Identity Audit > SAP Funktionen > Arbeitskopien von Funktionsdefinitionen.

  2. Wählen Sie in der Ergebnisliste die Funktionsdefinition.

  3. Wählen Sie die Aufgabe Berechtigungseditor.

  4. Wählen Sie die Aufgabe Vollständigkeit der Berechtigungsobjekte prüfen.

    Fehlende Berechtigungsobjekte werden in einem separaten Fenster angezeigt.

  5. Aktivieren Sie die Option Aufnehmen an den Berechtigungsobjekten, die Sie in die Berechtigungsdefinition einfügen wollen.

  6. Wenn alle fehlenden Berechtigungsobjekte bearbeitet sind, klicken Sie OK.

    Die Berechtigungsobjekte können jetzt im Berechtigungseditor bearbeitet werden.

Verwandte Themen

Arbeitskopien aktivieren

SAP Berechtigungen werden nur anhand aktivierter SAP Funktionen überprüft. Mit der Aktivierung der Arbeitskopie werden Änderungen auf die Funktionsdefinition übertragen. Zu einer neuen Arbeitskopie wird eine aktive Funktionsdefinition angelegt.

Um Änderungen an einer Arbeitskopie in eine Funktionsdefinition zu übernehmen

  1. Wählen Sie im Manager die Kategorie Identity Audit > SAP Funktionen > Arbeitskopien von Funktionsdefinitionen.

  2. Wählen Sie in der Ergebnisliste die Funktionsdefinition.

  3. Wählen Sie die Aufgabe Arbeitskopie aktivieren.

  4. Bestätigen Sie die Sicherheitsabfrage mit OK.

Verwandte Themen

Ermitteln unzulässiger Berechtigungen

SAP Berechtigungen werden auf der Basis der für ein SAP Benutzerkonto zulässigen SAP Applikationen und Berechtigungsobjekte überprüft. Um zu ermitteln, ob im Unternehmen potentiell gefährliche Berechtigungen vergeben sind, definieren Sie SAP Funktionen, welche die zu prüfenden SAP Applikationen und Berechtigungsobjekte zusammenfassen. Der One Identity Manager gleicht alle den Einzelprofilen zugeordneten Berechtigungsobjekte mit der Berechtigungsdefinition in der SAP Funktion ab. Er ermittelt auf diesem Weg alle SAP Rollen und Profile, denen genau diese Berechtigungsobjekte über die Summe ihrer Einzelprofile zugeordnet sind.

Bei der Berechtigungsprüfung wird der Konfigurationsparameter TargetSystem | SAPR3 | SAPRights | TestWithoutTCD ausgewertet. Der Konfigurationsparameter legt fest, ob bei der Berechtigungsprüfung die SAP Applikationen ignoriert und nur die Berechtigungsobjekte berücksichtigt werden sollen.

Konfigurationsparameter TestWithoutTCD ist nicht aktiviert (Standard)

Für die Berechtigungsprüfung gelten die folgenden Regeln:

Eine SAP Rolle oder ein SAP Profil trifft eine SAP Funktion, wenn

  1. es mindestens eine der SAP Applikationen enthält, die in der SAP Funktion definiert sind,

  2. es alle in der SAP Funktion definierten Berechtigungsobjekte dieser SAP Applikation besitzt,

  3. es alle unterschiedlichen Funktionselemente eines Berechtigungsobjekts besitzt, die in der SAP Funktion definiert sind,

  4. mindestens eine oder alle der Ausprägungen ein und desselben Funktionselements vorhanden sind, die in der SAP Funktion definiert sind.

Eine SAP Rolle trifft eine SAP Funktion, wenn ein SAP Profil dieser SAP Rolle die SAP Funktion trifft.

Ein SAP Profil trifft eine SAP Funktion, wenn es mindestens eine der SAP Applikationen enthält, die in der SAP Funktion definiert sind. Dabei muss das SAP Profil alle Berechtigungsobjekte dieser SAP Applikation besitzen. Ist für ein Berechtigungsobjekt ein Funktionselement mit unterschiedlichen Ausprägungen definiert, trifft das SAP Profil die SAP Funktion, wenn es mindestens eine oder alle dieser Ausprägungen besitzt.

Konfigurationsparameter TestWithoutTCD ist aktiviert

Bei der Berechtigungsprüfung werden die SAP Applikationen nicht berücksichtigt. Für die Berechtigungsprüfung gelten folgende Regeln:

Eine SAP Rolle oder ein SAP Profil trifft eine SAP Funktion, wenn

  1. es alle in der SAP Funktion definierten Berechtigungsobjekte aller SAP Applikationen besitzt,

    außer den Berechtigungsobjekten, die zur Identifikation der SAP Applikationen benötigt werden,

  2. es alle unterschiedlichen Funktionselemente eines Berechtigungsobjekts besitzt, die in der SAP Funktion definiert sind,

  3. mindestens eine oder alle der Ausprägungen ein und desselben Funktionselements vorhanden sind, die in der SAP Funktion definiert sind.

Für die Berechtigungsprüfung sind nur die Berechtigungsobjekte und ihre Ausprägungen von Interesse. Zu welchen SAP Applikationen diese Berechtigungsobjekte gehören ist nicht relevant. Das heißt, auch die Berechtigungsobjekte, die nur zur Identifikation der Applikationen genutzt werden, werden ignoriert. Folgende Berechtigungsobjekte und Funktionselemente bleiben also unberücksichtigt:

  • Externer Service: S_Service mit SRV_NAME

  • TADIR-Service: S_START mit AUTHOBJNAM, AUTHOBJTYP und AUTHPGMID

  • RFC-Funktionsbaustein: S_RFC mit RFC_NAME

  • Transaktion: S_TCODE mit TCD

Beispiele für eine Berechtigungsprüfung

Es ist eine SAP Funktion mit folgenden SAP Applikationen, Berechtigungsobjekten und Funktionselementen definiert.

Abbildung 3: Berechtigungsdefinition mit Transaktionen

Bei deaktiviertem Konfigurationsparameter werden durch die abgebildete SAP Funktion alle SAP Rollen und SAP Profile ermittelt, die folgende Berechtigungen besitzen:

SAP Applikation SE16 mit
Berechtigungsobjekt S_TCODE mit
Funktionselement ACTVT
UND
Funktionselement TCD mit der Ausprägung SE16

UND

Berechtigungsobjekt P_TCODE mit
Funktionselement TCD mit genau der Ausprägung *

ODER

SAP Applikation SU01 mit
Berechtigungsobjekt S_TCODE mit
Funktionselement ACTVT
UND
Funktionselement TCD mit mindestens der Ausprägung SU01

UND

Berechtigungsobjekt S_USER_GRP mit
Funktionselement ACTVT mit mindestens den Ausprägungen 01 UND 02 UND 03
UND
Funktionselement CLASS mit mindestens der Ausprägung SUPER UND AK_GR

Bei aktiviertem Konfigurationsparameter werden durch die abgebildete SAP Funktion alle SAP Rollen und SAP Profile ermittelt, die folgende Berechtigungen besitzen:

Berechtigungsobjekt P_TCODE mit
Funktionselement TCD mit genau der Ausprägung *

UND

Berechtigungsobjekt S_USER_GRP mit
Funktionselement ACTVT mit mindestens den Ausprägungen 01 UND 02 UND 03
UND
Funktionselement CLASS mit mindestens der Ausprägung SUPER UND AK_GR

Folgende Funktionsdefinition enthält verschiedene SAP Applikationen mit unterschiedlichem Applikationstyp.

Abbildung 4: Berechtigungsdefinition mit verschiedenen Applikationstypen

Bei aktiviertem Konfigurationsparameter, also ohne Berücksichtigung der SAP Applikationen, werden durch die abgebildete SAP Funktion alle SAP Rollen und SAP Profile ermittelt, die folgende Berechtigungen besitzen:

Berechtigungsobjekt S_PB_CHIP mit
Funktionselement ACTVT mit mindestens einer der Ausprägung 01 ODER 02 ODER 03
UND
Funktionselement CHIP_NAME mit einer Ausprägung, die mit den Zeichen ID startet

UND

Berechtigungsobjekt S_PB_PAGE mit
Funktionselement ACTVT mit mindestens einer der Ausprägung 01 ODER 02 ODER 03
UND
Funktionselement CONFIG_ID mit der Ausprägung, die als Wert in der Variable $VariableName$ festgelegt ist,

UND

Berechtigungsobjekt S_CTS_ADMI mit
Funktionselement CTS_ADMFCT mit einer beliebigen Ausprägung

UND

Berechtigungsobjekt S_CTS_SADM mit
Funktionselement DESTSYS mit mindestens der Ausprägung von genau SYS*
UND
Funktionselement DOMAIN mit mindestens einer Ausprägung im Wertebereich D01 bis D30

UND

Berechtigungsobjekt P_TCODE mit
Funktionselement TCD mit genau der Ausprägung *

UND

Berechtigungsobjekt S_USER_GRP mit
Funktionselement ACTVT mit mindestens den Ausprägungen 01 UND 02 UND 03
UND
Funktionselement CLASS mit mindestens der Ausprägung SUPER UND AK_GR

Bei deaktiviertem Konfigurationsparameter werden durch die abgebildete SAP Funktion alle SAP Rollen und SAP Profile ermittelt, welche die folgenden Berechtigungen besitzen. Die Auswertung auf Ebene der Funktionselemente ist identisch zur Auswertung mit aktiviertem Konfigurationsparameter und ist daher nicht nochmals dargestellt.

SAP Applikation FPM_TEST_CHIP_PAGE_GAF mit
Berechtigungsobjekt S_START
UND
Berechtigungsobjekt S_PB_CHIP
UND
Berechtigungsobjekt S_PB_PAGE

ODER

SAP Applikation CHIP_CATALOG_GET_LIST mit
Berechtigungsobjekt S_RFC
UND
Berechtigungsobjekt S_CTS_ADMI
UND
Berechtigungsobjekt S_CTS_SADM

ODER

SAP Applikation SE16 mit
Berechtigungsobjekt S_TCODE
UND
Berechtigungsobjekt P_TCODE

ODER

SAP Applikation SU01 mit
Berechtigungsobjekt S_TCODE
UND
Berechtigungsobjekt S_USER_GRP
Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating