Chat now with support
Chat with Support

Identity Manager 9.3 - Administrationshandbuch für das SAP R/3 Compliance Add-on

SAP Funktionen und Identity Audit Erstellen eines Synchronisationsprojekts für die Synchronisation von SAP Berechtigungsobjekten Grundlagen der Berechtigungsprüfung Einrichten von SAP Funktionen Complianceregeln für SAP Funktionen Risikomindernde Maßnahmen für SAP Funktionen Konfigurationsparameter für SAP Funktionen Standardprojektvorlage für das Modul SAP R/3 Compliance Add-on Referenzierte SAP R/3-Tabellen und BAPI-Aufrufe

Aufbau von SAP Funktionen

Für SAP Funktionen erstellen Sie Funktionsdefinitionen, Funktionsausprägungen und Variablensets. Eine SAP Funktion kann für verschiedene Ausprägungen genutzt werden. Dafür setzen Sie in der Funktionsdefinition Variablen ein. Die konkreten Werte der Variablen werden in Variablensets zusammengestellt und in den Funktionsausprägungen angewendet.

Eine Funktionsdefinition enthält neben allgemeinen Stammdaten die Berechtigungsdefinition. Eine Berechtigungsdefinition enthält mindestens ein Berechtigungsobjekt. Jedes Berechtigungsobjekt besteht aus mindestens einem Funktionselement (Aktivität oder Berechtigungsfeld) mit konkreten Werten. Diese werden als Einzelwerte oder untere und obere Bereichsgrenze angegeben. Funktionselemente können je Berechtigungsobjekt mehrfach aufgelistet werden.

Abbildung 3: Elemente einer SAP Funktion

Verwandte Themen

Berechtigungsobjekte und Funktionselemente verknüpfen

Für die Berechtigungsprüfung werden alle Berechtigungsobjekte, Funktionselemente und Werte aus der Berechtigungsdefinition logisch miteinander verknüpft. Dafür gelten folgende Regeln:

  • Alle unterschiedlichen Funktionselemente, die zu einem Berechtigungsobjekt gehören, werden und-verknüpft (AND).

  • Verschiedene Werte ein und desselben Funktionselements können sowohl und-verknüpft als auch oder-verknüpft (OR) werden.

  • Funktionsargumente können sowohl und-verknüpft als auch oder-verknüpft werden.

Für Funktionsargumente gelten folgende Regeln:

  • Jedes Funktionsargument darf innerhalb einer Berechtigungsdefinition für genau ein Berechtigungsobjekt verwendet werden.

  • Jedes Berechtigungsobjekt ist mit seinen Funktionselementen und Werten genau einem Funktionsargument zugeordnet.

  • Ein Berechtigungsobjekt kann innerhalb einer Berechtigungsdefinition mehrfach mit unterschiedlichen Werten verwendet werden. Für jede Verwendung wird ein weiteres Funktionsargument erstellt.

Abbildung 4: Verknüpfung von Funktionselementen und Werten

Die Verknüpfung der Funktionsargumente wird als Bedingung in der SAP Funktion gespeichert. In dieser Bedingung können auch Klammern verwendet werden, um Funktionsargumente zusammenzufassen.

Abbildung 5: Bedingung mit Verknüpfung der Funktionsargumente

Durch die Funktionsdefinition in diesen Abbildungen werden beispielsweise SAP Rollen mit folgenden Berechtigungen ermittelt:

  • Rolle A hat

    • ein technisches Profil mit dem Berechtigungsobjekt B_BUPA_RLT mit den Aktivitäten 02 und 03 und dem Berechtigungsfeld RLTYP mit den Werten 000000 und FLCU00

  • Rolle B hat

    • ein technisches Profil mit dem Berechtigungsobjekt F_KNA1_GRP mit der Aktivität 02 und

    • ein technisches Profil mit dem Berechtigungsobjekt S_TCODE mit dem Berechtigungsfeld TCD mit dem Wert FD02

Verwandte Themen

SAP Applikationen ignorieren

Bei der Berechtigungsprüfung wird der Konfigurationsparameter TargetSystem | SAPR3 | SAPRights | TestWithoutTCD ausgewertet. Der Konfigurationsparameter legt fest, ob bei der Berechtigungsprüfung die Berechtigungsobjekte, die zur Identifikation der SAP Applikationen benötigt werden, ignoriert werden sollen.

WICHTIG:Der Konfigurationsparameter TargetSystem | SAPR3 | SAPRights | TestWithoutTCD wird in einer zukünftigen Version des One Identity Manager gelöscht und kann in Version 9.3 nicht mehr aktiviert werden.

Bei der Aktualisierung der One Identity Manager-Datenbank von einer Version älter als 9.3 auf die Version 9.3 wird die Einstellung des Konfigurationsparameters unverändert übernommen. Die Funktionsweise bleibt erhalten. Der Konfigurationsparameter kann in der aktuellen Version des One Identity Manager jedoch weder aktiviert noch deaktiviert werden.

Um die Verarbeitungslogik der Berechtigungsdefinition zu ändern, passen Sie nun den logischen Ausdruck an, der als Bedingung in jeder Funktionsdefinition erfasst ist.

Für bestehende Funktionsdefinitionen aus Versionen älter als 9.3 wird die Bedingung bei der Aktualisierung der One Identity Manager-Datenbank berechnet. Dabei wird die Einstellung des Konfigurationsparameters berücksichtigt.

  • Prüfen Sie nach der Aktualisierung der Datenbank, ob die Berechtigungsdefinitionen und die generierten Bedingungen Ihren Anforderungen entsprechen.

Der Konfigurationsparameter ist nicht aktiviert (Standard)

Verhalten in Version 9.3:

  • Bei der Berechtigungsprüfung werden alle Berechtigungsobjekte aus der Berechtigungsdefinition berücksichtigt und entsprechend der Bedingung verknüpft.

Verhalten bei der Übernahme von Funktionsdefinitionen aus Versionen älter als 9.3:

  • Für jedes Berechtigungsobjekt in einer Funktionsdefinition wird ein Funktionsargument erstellt. Die Namen der Funktionsargumente werden aus den Eigenschaften der Berechtigungsobjekte gebildet.

    Sie können die Funktionsargumente bei Bedarf im Manager umbenennen.

  • Es wird eine Bedingung generiert. In der Bedingung werden alle Funktionsargumente, die zu einer SAP Applikation gehören, in einer Klammer zusammengefasst und innerhalb dieser Klammer und-verknüpft. Alle Klammern werden oder-verknüpft.

Der Konfigurationsparameter ist aktiviert

Verhalten in Version 9.3:

  • Bei der Berechtigungsprüfung werden die Berechtigungsobjekte, die zur Identifikation der SAP Applikationen benötigt werden, ignoriert. Folgende Berechtigungsobjekte und Funktionselemente bleiben unberücksichtigt:

    • Externer Service: S_Service mit SRV_NAME und SRV_TYPE

    • TADIR-Service: S_START mit AUTHOBJNAM, AUTHOBJTYP und AUTHPGMID

    • RFC-Funktionsbaustein: S_RFC mit RFC_NAME und RFC_TYPE

    • Transaktion: S_TCODE mit TCD

Verhalten bei der Übernahme von Funktionsdefinitionen aus Versionen älter als 9.3:

  • Für jedes Berechtigungsobjekt in einer Funktionsdefinition wird ein Funktionsargument erstellt. Die Namen der Funktionsargumente werden aus den Eigenschaften der Berechtigungsobjekte gebildet.

    Sie können die Funktionsargumente bei Bedarf im Manager umbenennen.

  • Es wird eine Bedingung generiert. In der Bedingung werden alle Funktionsargumente und-verknüpft.

Verwandte Themen

Beispiele für SAP Funktionen

Wenn Sie eine Berechtigungsdefinition erstellen, überlegen Sie, welche Berechtigungskombinationen nicht zulässig sind. Sie können zwei Anwendungsfälle unterscheiden:

  1. Gibt es SAP Rollen oder Benutzerkonten mit unzulässigen Berechtigungskombinationen?

    Erstellen Sie eine SAP Funktion für die Berechtigungen, die nicht gemeinsam in einer SAP Rolle oder einem SAP Benutzerkonto auftreten dürfen. Durch die Berechtigungsprüfung werden alle SAP Rollen und Benutzerkonten gefunden, die in der Summe ihrer Berechtigungen diese unzulässige Berechtigungskombination haben.

  2. Gibt es Identitäten, die über ihre SAP Benutzerkonten unzulässige Berechtigungskombinationen besitzen?

    1. Erstellen Sie eine Complianceregel, die prüft, ob es Identitäten mit SAP Benutzerkonten gibt, welche die SAP Funktion treffen.

    2. Erstellen Sie verschiedene SAP Funktionen für Berechtigungen, die in ihrer Kombination nicht zulässig sind. Erstellen Sie Complianceregeln, die diese SAP Funktionen kombinieren. Bei der Complianceprüfung werden alle Identitäten gefunden, die über die Summe aller Berechtigungen ihrer SAP Benutzerkonten solche unzulässigen Berechtigungskombinationen auf sich vereinen.

Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating