Wenn Sie eine Berechtigungsdefinition erstellen, überlegen Sie, welche Berechtigungskombinationen nicht zulässig sind. Sie können zwei Anwendungsfälle unterscheiden:
-
Es sollen alle SAP Rollen und Profile mit unzulässigen Berechtigungskombinationen ermittelt werden.
Erstellen Sie eine SAP Funktion für die Berechtigungen, die nicht gemeinsam in einer SAP Rolle oder einem SAP Profil auftreten dürfen. Durch die Berechtigungsprüfung werden alle SAP Rollen und Profile gefunden, die in der Summe ihrer Berechtigungen diese unzulässige Berechtigungskombination haben.
-
Es sollen alle Identitäten ermittelt werden, die über ihre SAP Benutzerkonten unzulässige Berechtigungskombinationen besitzen.
Erstellen Sie verschiedene SAP Funktionen für Berechtigungen, die in ihrer Kombination nicht zulässig sind. Erstellen Sie Complianceregeln, die diese SAP Funktionen kombinieren. Bei der Complianceprüfung werden alle Identitäten gefunden, die über die Summe aller Berechtigungen ihrer SAP Benutzerkonten solche unzulässigen Berechtigungskombinationen auf sich vereinen.
Beispiel für Anwendungsfall 1
In einem Unternehmen wurden die Richtlinien für zulässige SAP Berechtigungen geändert. Nun muss überprüft werden, ob die bestehenden Berechtigungen den neuen Richtlinien entsprechen. SAP Rollen und Profile mit unzulässigen Berechtigungskombinationen müssen identifiziert werden, damit sie an die neuen Anforderungen angepasst werden können.
Für jede Berechtigungskombination, die nicht zulässig ist, wird eine SAP Funktion erstellt.
SAP Funktion |
SAP Applikation |
Berechtigungsobjekt |
Feld |
Wert |
---|---|---|---|---|
F-A |
TR1 |
BO2 |
ACTVT |
* |
TR1 |
BO2 |
CLASS |
* | |
TR1 |
BO3 |
ACTVT |
01+02 | |
TR1 |
S_TCODE |
TCD |
TR1 | |
RF |
BO5 |
ACTVT |
* | |
RF |
BO5 |
RLTYP |
R* | |
RF |
S_RFC |
RFC_NAME |
RF | |
F-B |
TR1 |
BO3 |
ACTVT |
* |
TR1 |
BO4 |
ACTVT |
02,03,07 | |
TR1 |
BO4 |
CLASS |
DEF[*] | |
TR1 |
S_TCODE |
TCD |
TR1 |
Folgende SAP Profile sind vorhanden:
SAP Profil |
SAP Applikation |
Berechtigungsobjekt |
Feld |
Wert |
---|---|---|---|---|
P1 |
TR1 |
BO1 |
ACTVT |
* |
TR1 |
BO1 |
CLASS |
* | |
TR1 |
BO3 |
ACTVT |
* | |
TR1 |
BO4 |
ACTVT |
01, 02 | |
TR1 |
BO4 |
CLASS |
DEF* | |
TR1 |
S_TCODE |
TCD |
TR1 | |
P2 |
TR1 |
BO2 |
ACTVT |
* |
TR1 |
BO2 |
CLASS |
* | |
TR1 |
BO3 |
ACTVT |
01 | |
TR1 |
S_TCODE |
TCD |
TR1 | |
P3 |
TR1 |
BO3 |
ACTVT |
01, 02 |
TR1 |
BO4 |
CLASS |
* | |
TR1 |
BO4 |
ACTVT |
03, 07 | |
P4 |
RF |
BO5 |
ACTVT |
03 |
RF |
BO5 |
RLTYP |
* | |
RF |
S_RFC |
RFC_NAME |
RF |
Bei der Berechtigungsprüfung werden die SAP Profile ermittelt, welche die SAP Funktion treffen.
Ergebnisse der Berechtigungsprüfung: TestWithoutTCD ist deaktiviert
-
SAP Funktion: F-A
Getroffenes SAP Profil: P4
Das Profil P4 hat alle in der SAP Applikation RF benannten Berechtigungsobjekte, Felder und Ausprägungen.
Dem Profil P1 fehlen die Berechtigungsobjekte BO2, S_TCODE, BO5 und S_RFC. Daher trifft es die SAP Funktion nicht.
Dem Profil P2 fehlen die Ausprägung 02 für das Berechtigungsobjekt BO3 sowie die Berechtigungsobjekte BO5 und S_RFC. Daher trifft es die SAP Funktion nicht.
Dem Profil P3 fehlen die Berechtigungsobjekte BO2, S_TCODE, BO5 und S_RFC. Daher trifft es die SAP Funktion nicht.
-
SAP Funktion: F-B
Getroffenes SAP Profil: P1
Das Profil P1 hat alle in der SAP Funktion benannten Berechtigungsobjekte und Felder sowie mindestens eine der Ausprägungen.
Dem Profil P2 fehlt das Berechtigungsobjekt BO4. Daher trifft es die SAP Funktion nicht.
Dem Profil P3 fehlt das Berechtigungsobjekt S_TCODE. Daher trifft es die SAP Funktion nicht.
Dem Profil P4 fehlen die Berechtigungsobjekte BO3, BO4 und S_TCODE. Daher trifft es die SAP Funktion nicht.
Wenn für die Berechtigungsprüfung der Konfigurationsparameter TestWithoutTCD deaktiviert ist, dann entsprechen die SAP Profile P2 und P3 den neuen Richtlinien und können daher weiter genutzt werden. Die Profile P1 und P4 müssen den neuen Richtlinien angepasst werden.
Ergebnisse der Berechtigungsprüfung: TestWithoutTCD ist aktiviert
-
SAP Funktion: F-A
Die Berechtigungsobjekte S_TCODE und S_RFC werden bei der Prüfung ignoriert.
Getroffene SAP Profile: keine
Dem Profil P1 fehlen die Berechtigungsobjekte BO2 und BO5. Daher trifft es die SAP Funktion nicht.
Dem Profil P2 fehlen das Berechtigungsobjekt BO5 und die Ausprägung 02 für das Berechtigungsobjekt BO3. Daher trifft es die SAP Funktion nicht.
Dem Profil P3 fehlen die Berechtigungsobjekte BO2 und BO5. Daher trifft es die SAP Funktion nicht.
Dem Profil P4 fehlen die Berechtigungsobjekte BO2 und BO3. Daher trifft es die SAP Funktion nicht.
-
SAP Funktion: F-B
Das Berechtigungsobjekt S_TCODE wird bei der Prüfung ignoriert.
Getroffene SAP Profile: P1, P3
Das Profil P1 hat alle in der SAP Funktion benannten Berechtigungsobjekte und Felder sowie mindestens eine der Ausprägungen.
Das Profil P3 hat alle in der SAP Funktion benannten Berechtigungsobjekte und Felder sowie mindestens eine der Ausprägungen.
Dem Profil P2 fehlt das Berechtigungsobjekt BO4. Daher trifft es die SAP Funktion nicht.
Dem Profil P4 fehlen die Berechtigungsobjekte BO3 und BO4. Daher trifft es die SAP Funktion nicht.
Wenn für die Berechtigungsprüfung der Konfigurationsparameter TestWithoutTCD aktiviert ist, dann entsprechen die SAP Profile P2 und P4 den neuen Richtlinien und können weiter genutzt werden. Die Profile P1 und P3 müssen angepasst werden.
Beispiel für Anwendungsfall 2
Es soll geprüft werden, welche SAP Benutzerkonten den Richtlinien widersprechen. Folgende Benutzerkonten und Identitäten sind vorhanden:
-
User A mit Benutzerkonto K1 mit dem SAP Profil P1
-
User B mit Benutzerkonto K2 mit den SAP Profilen P2 und P3
-
User C mit Benutzerkonto K3 mit dem SAP Profil P2 und Benutzerkonto K4 mit dem SAP Profil P3
Die SAP Profile haben folgende Berechtigungen:
-
P1 mit BO1 und BO2
-
P2 mit BO1
-
P3 mit BO2
Eine Identität darf nicht gleichzeitig die Berechtigungen BO1 und BO2 besitzen. Zur Prüfung wird die SAP Funktion SF-A erstellt. Eine Complianceregel CR-X ermittelt alle Identitäten, welche diese SAP Funktion treffen.
-
SF-A prüft BO1 UND BO2
-
CR-X: Die Identität besitzt mindestens die SAP Funktion SF-A.
Nur das SAP Profil P1 trifft die SAP Funktion. Damit ermittelt die Complianceregel nur für User A eine Regelverletzung. Damit auch die Kombination der SAP Profile P2 und P3 als unzulässig erkannt wird, müssen weitere SAP Funktionen und Complianceregeln erstellt werden.
-
SF-B prüft BO1
-
SF-C prüft BO2
-
CR-Y: Die Identität besitzt mindestens die SAP Funktion SF-B UND die Identität besitzt mindestens die SAP Funktion SF-C.
Die SAP Profile P1 und P2 treffen die SAP Funktion SF-B. Die SAP Profile P1 und P3 treffen die SAP Funktion SF-C. Somit können durch die Complianceregel CR-Y alle Identitäten ermittelt werden, denen über ihre Benutzerkonten die SAP Profile P1 oder P2 und P3 zugewiesen sind und die dadurch beide Berechtigungen BO1 und BO2 besitzen.
Regel |
Regelbedingung |
Identitäten, welche die Regeln verletzen |
---|---|---|
CR-X |
Die Identität besitzt mindestens die SAP Funktion SF-A. |
User A |
CR-Y |
Die Identität besitzt mindestens die SAP Funktion SF-B UND die Identität besitzt mindestens die SAP Funktion SF-C. |
User A User B User C |