Chat now with support
Chat with Support

Identity Manager 9.3 - Administrationshandbuch für das SAP R/3 Compliance Add-on

SAP Funktionen und Identity Audit Erstellen eines Synchronisationsprojekts für die Synchronisation von SAP Berechtigungsobjekten Grundlagen der Berechtigungsprüfung Einrichten von SAP Funktionen Complianceregeln für SAP Funktionen Risikomindernde Maßnahmen für SAP Funktionen Konfigurationsparameter für SAP Funktionen Standardprojektvorlage für das Modul SAP R/3 Compliance Add-on Referenzierte SAP R/3-Tabellen und BAPI-Aufrufe

Beispiel für SAP Rollen oder Benutzerkonten mit unzulässigen Berechtigungen

Die Richtlinien für zulässige SAP Berechtigungen wurden geändert. Nun muss überprüft werden, ob die bestehenden Berechtigungen den neuen Richtlinien entsprechen. SAP Rollen und Benutzerkonten mit unzulässigen Berechtigungskombinationen müssen identifiziert werden, damit sie an die neuen Anforderungen angepasst werden können.

Für jede Berechtigungskombination, die nicht zulässig ist, wird eine SAP Funktion erstellt.

Tabelle 2: Beispiel für eine Berechtigungsdefinition

SAP Funktion

Funktionsargument

Berechtigungsobjekt

Feld

Wert

F-A

D1

S_TCODE

TCD

TR1,TR2

D2

BO2

NAME

*

D3

BO3

ACTVT

04

D3 BO3 NAME H_XYZ

D4

BO3

ACTVT

04

D4

BO3

NAME

R*

Bedingung:

D1 AND D2 AND (D3 OR D4)

F-B

D1

S_TCODE

TCD

TR3

D2

S_TCODE

TCD

TR4,TR5

D3

BO4

ACTVT

02

D3

BO4

NAME

G

D4

BO4

ACTVT

02

D4

BO4

NAME

*

Bedingung:

(D1 AND D3) OR (D2 AND D4)

Folgende SAP Rollen sind vorhanden:

Tabelle 3: Definierte SAP Rollen

SAP Rolle

Berechtigungsobjekt

Feld

Wert

R1

BO1

ACTVT

*

BO1

NAME

*

BO2

NAME

GEF*

BO3

ACTVT

*

BO3

NAME

H_XYZ

S_TCODE

TCD

TR1

R2

BO2

NAME

*

BO3

ACTVT

01, 02, 04

BO3

NAME

R_ST

S_TCODE

TCD

TR4

R3

BO3

ACTVT

04

BO3

NAME

H_XYZ

BO4

ACTVT

02, 03

BO4

NAME

*

S_TCODE

TCD

TR6

R4

BO4

ACTVT

02

BO4

NAME

*

S_TCODE

TCD

TR3

Es gibt eine Sammelrolle R5, der die Einzelrollen R2 und R3 zugewiesen sind.

Tabelle 4: Definierte Sammelrolle

SAP Rolle

Berechtigungsobjekt

Feld

Wert

R5 hat über die Einzelrollen R2 und R3 nebenstehende Berechtigungen.

BO2

NAME

*

BO3

ACTVT

01, 02, 04

BO3

NAME

R_ST

S_TCODE

TCD

TR4

BO3

ACTVT

04

BO3

NAME

H_XYZ

BO4

ACTVT

02, 03

BO4

NAME

*

S_TCODE

TCD

TR6

Folgende Benutzerkonten sind vorhanden:

  • Benutzerkonto K1 mit der Sammelrolle R5

  • Benutzerkonto K2 mit den SAP Rollen R2 und R3

    Damit hat K2 die selben Berechtigungen wie K1.

  • Benutzerkonto K3 mit der SAP Rolle R2

  • Benutzerkonto K4 mit der SAP Rolle R3

Bei der Berechtigungsprüfung werden alle SAP Rollen und Benutzerkonten ermittelt, denen die Berechtigungsobjekte und Werte zugeordnet sind, die in den Berechtigungsdefinitionen aufgeführt sind. Diese Rollen und Benutzerkonten treffen die SAP Funktionen. Folgende Ergebnisse bringt die Berechtigungsprüfung, wenn der Konfigurationsparameter TargetSystem | SAPR3 | SAPRights | TestWithoutTCD deaktiviert ist.

Tabelle 5: Ergebnisse der Berechtigungsprüfung

Rollen und Benutzerkonten

SAP Funktion F-A

SAP Funktion F-B

R1

trifft

Die Rolle erfüllt die Bedingung D1 and D2 and D3.

trifft nicht

R2

trifft nicht

trifft nicht

R3

trifft nicht

trifft nicht

R4

trifft nicht

trifft

Die Rolle erfüllt die Bedingung D1 and D3

R5

trifft nicht

trifft

Die Rolle erfüllt die Bedingung D2 and D4.

K1

trifft nicht

trifft

Das Benutzerkonto erfüllt die Bedingung D2 and D4.

K2

trifft nicht

trifft

Das Benutzerkonto erfüllt die Bedingung D2 and D4.

K3

trifft nicht

trifft nicht

K4

trifft nicht

trifft nicht

Die SAP Rollen R1 und R4 und die Sammelrolle R5 sowie die Benutzerkonten K1 und K2 entsprechen nicht den neuen Richtlinien und müssen daher angepasst werden.

Wenn der Konfigurationsparameter TargetSystem | SAPR3 | SAPRights | TestWithoutTCD aktiviert ist, wird das Berechtigungsobjekt S_TCODE bei der Prüfung ignoriert. Folgende Bedingungen gelten damit für die Prüfung:

  • F-A: D2 AND (D3 OR D4)

  • F-B: D3 OR D4

Tabelle 6: Ergebnisse der Berechtigungsprüfung, wenn TestWithoutTCD aktiviert ist

Rollen und Benutzerkonten

SAP Funktion F-A

SAP Funktion F-B

R1

trifft

Die Rolle erfüllt die Bedingung D2 AND D3.

trifft nicht

R2

trifft

Die Rolle erfüllt die Bedingung D2 AND D4.

 

trifft nicht

R3

trifft nicht

trifft

Die Rolle erfüllt die Bedingung D3 OR D4.

R4

trifft nicht

trifft

Die Rolle erfüllt die Bedingung D3 OR D4.

R5

trifft

Die Rolle erfüllt die Bedingung D2 AND D3und auch D2 AND D4.

trifft

Die Rolle erfüllt die Bedingung D3 OR D4.

K1

trifft

Das Benutzerkonto erfüllt die Bedingung D2 AND D3und auch D2 AND D4.

trifft

Das Benutzerkonto erfüllt die Bedingung D3 OR D4.

K2

trifft

Das Benutzerkonto erfüllt die Bedingung D2 AND D3und auch D2 AND D4.

trifft

Das Benutzerkonto erfüllt die Bedingung D3 OR D4.

K3

trifft

Das Benutzerkonto erfüllt die Bedingung D2 AND D4.

trifft nicht

K4

trifft nicht

trifft

Das Benutzerkonto erfüllt die Bedingung D3 OR D4.

Wenn für die Berechtigungsprüfung der Konfigurationsparameter TestWithoutTCD aktiviert ist, dann treffen alle SAP Rollen und Benutzerkonten mindestens eine SAP Funktion und entsprechen somit nicht den neuen Richtlinien.

Beispiel mit verschiedenen technischen Profilen

Für die Berechtigungsprüfung ist entscheidend, ob zu einer SAP Rolle ein Profil mit mehreren technischen Profilen gehört. Die Berechtigungsprüfung ermittelt, ob das für ein Funktionsargument definierte Berechtigungsobjekt mit allen Funktionselementen und Werten in einem technischen Profil vorkommt. Hat das Berechtigungsobjekt unterschiedliche Werte in verschiedenen technischen Profilen, findet die SAP Funktion die Rolle nicht. Folgendes Beispiel zeigt den Unterschied.

Tabelle 7: Definierte SAP Rollen mit technischen Profilen

SAP Rolle

Berechtigungsobjekt

Feld

Wert

Technisches Profil

R6

BO1

ACTVT

02, 03

TP1

BO1

NAME

*

S_TCODE

TCD

TR1, TR2

R7

BO1

ACTVT

02

TP2

BO1

NAME

*

S_TCODE

TCD

TR2

BO1

ACTVT

03

TP3

BO1

NAME

Z*

S_TCODE

TCD

TR1

Tabelle 8: Berechtigungsdefinition

SAP Funktion

Funktionsargument

Berechtigungsobjekt

Feld

Wert

F-TP1

D1

S_TCODE

TCD

TR1

D1

S_TCODE

TCD

TR2

D2 BO1 NAME *

D3

BO1

ACTVT

02

D3

BO1

ACTVT

03

Bedingung:

(D1 AND D2) OR (D2 AND D3)

Ergebnisse der Berechtigungsprüfung, wenn der Konfigurationsparameter TestWithoutTCD deaktiviert ist:

  • Die SAP Rolle R6 trifft die SAP Funktion, da das technische Profil TP1 die Bedingung erfüllt.

  • Die SAP Rolle R7 trifft die SAP Funktion nicht, da S_TCODE mit dem Wert TR1 und S_TCODE mit dem Wert TR2 zu unterschiedlichen technischen Profilen gehören. Auch BO1 mit dem Wert 02 und BO1 mit dem Wert 03 gehören zu unterschiedlichen technischen Profilen.

  • Mit folgender Änderung an der SAP Funktion wird auch die Rolle R7 gefunden:

    Tabelle 9: Berechtigungsdefinition

    SAP Funktion

    Funktionsargument

    Berechtigungsobjekt

    Feld

    Wert

    F-TP2

    D1

    S_TCODE

    TCD

    TR1

    D2

    S_TCODE

    TCD

    TR2

    D3 BO1 NAME *

    D4

    BO1

    ACTVT

    02

    D5

    BO1

    ACTVT

    03

    Bedingung:

    (D1 AND D2 AND D3) OR (D3 AND D4 AND D5)

Verwandte Themen

Beispiel für Identitäten mit unzulässigen SAP Berechtigungen

Es soll geprüft werden, welche Identitäten unzulässige Berechtigungen besitzen.

  1. Erstellen Sie eine Complianceregel, die prüft, ob es Identitäten mit SAP Benutzerkonten gibt, welche die SAP Funktion treffen.

  2. Erstellen Sie verschiedene SAP Funktionen für Berechtigungen, die in ihrer Kombination nicht zulässig sind. Erstellen Sie Complianceregeln, die diese SAP Funktionen kombinieren. Bei der Complianceprüfung werden alle Identitäten gefunden, die über die Summe aller Berechtigungen ihrer SAP Benutzerkonten solche unzulässigen Berechtigungskombinationen auf sich vereinen.

Folgende SAP Rollen sind vorhanden:

Tabelle 10: Definierte SAP Rollen

SAP Rolle

Berechtigungsobjekt

Feld

Wert

Technisches Profil

R8

BO3

ACTVT

01, 02, 04

TP1

BO3

NAME

R_ST

S_TCODE

TCD

TR4

TP2

R9

BO3

ACTVT

04

TP1

BO3

NAME

H_XYZ

BO4

ACTVT

02, 03

TP2

BO4

NAME

*

S_TCODE

TCD

TR6

TP3

R10 als Sammelrolle mit den Einzelrollen R8 und R9

BO3

ACTVT

01, 02, 04

TP1-R8

BO3

NAME

R_ST

BO3

ACTVT

04

TP1-R9

BO3

NAME

H_XYZ

BO4

ACTVT

02, 03

TP2-R9

BO4

NAME

*

S_TCODE

TCD

TR4

TP2-R8

S_TCODE

TCD

TR6

TP3-R9

Folgende Benutzerkonten und Identitäten sind vorhanden:

  • User A mit Benutzerkonto K5 mit der Sammelrolle R10

  • User B mit Benutzerkonto K6 mit den SAP Rollen R8 und R9

  • User C mit Benutzerkonto K7 mit der SAP Rolle R8 und Benutzerkonto K8 mit der SAP Rolle R9

Eine Identität darf nicht gleichzeitig die Berechtigungen der Rollen R8 und R9 besitzen. Eine Complianceregel CR-X ermittelt alle Identitäten, welche die SAP Funktion F-C treffen.

CR-X: Die Identität besitzt mindestens die SAP Funktion F-C.

Tabelle 11: Berechtigungsdefinition für die SAP Funktion F-C

SAP Funktion

Funktionsargument

Berechtigungsobjekt

Feld

Wert

F-C

D1

S_TCODE

TCD

TR4

D2

S_TCODE

TCD

TR6

D3

BO3

ACTVT

01,02,04

D3

BO3

NAME

*

D4

BO4

ACTVT

02,03

D4

BO4

NAME

*

Bedingung:

D1 AND D2 AND D3 AND D4

Ergebnisse der Berechtigungsprüfung, wenn der Konfigurationsparameter TargetSystem | SAPR3 | SAPRights | TestWithoutTCD deaktiviert ist:

Tabelle 12: Ergebnisse der Berechtigungsprüfung

Rollen und Benutzerkonten

SAP Funktion F-C

R8

trifft nicht

R9

trifft nicht

R10

trifft

K5

trifft

K6

trifft

K7

trifft nicht

K8

trifft nicht

Ergebnisse der Complianceprüfung:

  • User A verletzt die Regel, da das Benutzerkonto K5 die SAP Funktion F-C trifft.

  • User B verletzt die Regel, da das Benutzerkonto K6 die SAP Funktion F-C trifft.

  • User C verletzt die Regel nicht, da die Benutzerkonten K7 und K8 die SAP Funktion F-C nicht treffen.

Einzeln betrachtet verfügen die Benutzerkonten K7 und K8 über zulässige Berechtigungen. Erst durch die Verbindung dieser Benutzerkonten an einer Identität entsteht die unzulässige Berechtigungskombination.

Unzulässige Berechtigungskombinationen an Identitäten können durch Complianceregeln erkannt werden. Dafür müssen die SAP Funktionen so aufgebaut werden, dass die Benutzerkonten K7 und K8 getroffen werden. In der Complianceregel werden diese SAP Funktionen kombiniert, sodass Identitäten mit beiden Benutzerkonten die Regel verletzen.

Tabelle 13: Weitere SAP Funktionen

SAP Funktion

Funktionsargument

Berechtigungsobjekt

Feld

Wert

F-D

D1

S_TCODE

TCD

TR4

D2

BO3

ACTVT

01,02,04

D2

BO3

NAME

*

Bedingung:

D1 AND D2

F-E

D1

S_TCODE

TCD

TR6

D2

BO3

ACTVT

04

D2

BO3

NAME

*

D3

BO4

ACTVT

02,03

D3

BO4

NAME

*

Bedingung:

D1 AND D2 AND D3

Tabelle 14: Ergebnisse der Berechtigungsprüfung

Rollen und Benutzerkonten

SAP Funktion F-D

SAP Funktion F-E

R8

trifft

trifft nicht

R9

trifft nicht

trifft

R10

trifft

trifft

K5

trifft

trifft

K6

trifft

trifft

K7

trifft

trifft nicht

K8

trifft nicht

trifft

Eine Complianceregel ermittelt alle Identitäten, welche beide SAP Funktionen treffen.

CR-Y: Die Identität besitzt mindestens die SAP Funktion F-D UND die Identität besitzt mindestens die SAP Funktion F-E.

Ergebnisse der Complianceprüfung:

  • User A verletzt die Regel, da das Benutzerkonto K5 beide SAP Funktionen trifft.

  • User B verletzt die Regel, da das Benutzerkonto K6 beide SAP Funktionen trifft.

  • User C verletzt die Regel, da das Benutzerkonto K7 die SAP Funktion F-D trifft und das Benutzerkonto K8 die SAP Funktion F-E trifft.

Somit können durch die Complianceregel CR-Y alle Identitäten ermittelt werden, denen über ihre Benutzerkonten die SAP Rollen R8 und R9 zugewiesen sind.

Verwandte Themen

Empfehlungen für die Einrichtung von SAP Funktionen

Wie SAP Funktionen eingerichtet, die Berechtigungsdefinitionen erstellt und Complianceregeln genutzt werden, ist abhängig von den Anforderungen und Richtlinien in Ihrem Unternehmen. Überlegen Sie zunächst, was mit der Berechtigungsprüfung erreicht werden soll.

  1. Es sollen alle SAP Rollen und Benutzerkonten mit unzulässigen Berechtigungskombinationen ermittelt werden.

    • Dafür erstellen Sie SAP Funktionen, die unzulässige Berechtigungskombinationen ermitteln. Durch die Berechtigungsprüfung werden alle SAP Rollen und Benutzerkonten gefunden, die in der Summe ihrer Berechtigungen diese unzulässige Berechtigungskombination haben.

    • Um alle Identitäten zu finden, die Zugriff auf solche Benutzerkonten haben, erstellen Sie Complianceregeln für diese SAP Funktionen.

  2. Es sollen alle Identitäten ermittelt werden, die über verschiedene SAP Benutzerkonten unzulässige Berechtigungskombinationen besitzen.

    • Die einzelnen SAP Rollen und Benutzerkonten haben zulässige Berechtigungen. Erst wenn eine Identität auf mehrere Benutzerkonten Zugriff hat, entstehen unzulässige Berechtigungskombinationen.

    • Erstellen Sie verschiedene SAP Funktionen für Berechtigungen, die einzeln zulässig sind. Erst in ihrer Kombination sind diese Berechtigungen unzulässig, also führt erst die Kombination dieser SAP Funktionen zu einer Verletzung von Richtlinien.

    • Erstellen Sie Complianceregeln, die diese SAP Funktionen kombinieren. Verbinden Sie alle SAP Funktionen, die zusammen unzulässige Berechtigungskombinationen aufdecken. Bei der Complianceprüfung werden alle Identitäten gefunden, die über die Gesamtheit ihrer SAP Benutzerkonten solche unzulässigen Berechtigungskombinationen auf sich vereinen.

TIPP: Wenn Sie SAP Funktionen für beide Anwendungsfälle erstellen, können Sie Funktionskategorien nutzen, um die Funktionsdefinitionen zu gruppieren. Damit wird die Auswahl der SAP Funktionen im Regeleditor erleichtert und die Darstellung der Funktionsdefinitionen im Manager übersichtlicher gestaltet.

Verwandte Themen

Einrichten von SAP Funktionen

Für SAP Funktionen erstellen Sie Funktionsdefinitionen, Funktionsausprägungen und Variablensets. Eine SAP Funktion kann für verschiedene Ausprägungen genutzt werden. Dafür setzen Sie in der Funktionsdefinition Variablen ein. Die konkreten Werte der Variablen werden in Variablensets zusammengestellt und in den Funktionsausprägungen angewendet.

Eine Funktionsdefinition enthält neben allgemeinen Stammdaten die Berechtigungsdefinition. Eine Berechtigungsdefinition enthält mindestens ein Berechtigungsobjekt. Jedes Berechtigungsobjekt besteht aus mindestens einem Funktionselement (Aktivität oder Berechtigungsfeld) mit konkreten Werten. Diese werden als Einzelwerte oder untere und obere Bereichsgrenze angegeben. Funktionselemente können je Berechtigungsobjekt mehrfach aufgelistet werden.

 

Wenn eine Berechtigungsdefinition mehrere Berechtigungsobjekte umfasst, legen Sie mit logischen Operatoren fest, wie diese Berechtigungsobjekte verknüpft werden. Die Verknüpfung aller Berechtigungsobjekte wird als Bedingung in der Funktionsdefinition gespeichert. Um die Berechtigungsobjekte in der Bedingung eindeutig identifizieren zu können, wird für jedes Berechtigungsobjekt ein Funktionsargument erzeugt. Diese Funktionsargumente werden genutzt, um die Bedingung zu formulieren.

Für Funktionsargumente gelten folgende Regeln:

  • Jedes Funktionsargument darf innerhalb einer Berechtigungsdefinition für genau ein Berechtigungsobjekt verwendet werden.

  • Jedes Berechtigungsobjekt ist mit seinen Funktionselementen und Werten genau einem Funktionsargument zugeordnet.

  • Ein Berechtigungsobjekt kann innerhalb einer Berechtigungsdefinition mehrfach mit unterschiedlichen Werten verwendet werden. Für jede Verwendung wird ein weiteres Funktionsargument erstellt.

  • Innerhalb einer Funktionsdefinition müssen die Namen der Funktionsargumente eindeutig sein.

  • Das Namensmuster für Funktionsargumente ist im Konfigurationsparameter TargetSystem | SAPR3 | SAPRights | AbilityNamePattern festgelegt. Passen Sie den Wert des Konfigurationsparameters bei Bedarf Ihren Erfordernissen an.

Für Bedingungen gelten folgende Regeln:

  • Zulässig sind die Operatoren AND, OR und Vorrangklammern ().

  • Zulässige Kommentarzeichen sind /* */ für mehrzeilige Kommentare und -- (für einzeilige Kommentare).

Für die Werte in der Berechtigungsdefinition können Variablen verwendet werden. Dadurch kann eine Funktionsdefinition für verschiedene Funktionsausprägungen genutzt werden. Die Variablen werden in Variablensets bereitgestellt.

In Funktionsausprägungen wird festgelegt, für welchen Mandanten eine Funktionsdefinition angewendet werden soll und welche konkreten Werte für die Prüfung gelten. Dafür werden in einer Funktionsausprägung den Variablen Werte zugewiesen und der Mandant festgelegt.

Um eine SAP Funktion einzurichten

  1. Erstellen Sie eine Funktionsdefinition.

    • (Optional) Weisen Sie bei Bedarf Verantwortliche, eine Funktionskategorie oder einen Unternehmensbereich zu.

  2. Erstellen Sie die Berechtigungsdefinition.

    • Berücksichtigen Sie die Erläuterungen zur Ermittlung unzulässiger Berechtigungen.

    • Beachten Sie die Hinweise für die Berechtigungsdefinition.

    • (Optional) Nutzen Sie für die Werte oder Bereichsgrenzen Variablen.

  3. (Optional) Vergeben Sie neue Namen für die Funktionsargumente nach dem Muster im Konfigurationsparameter TargetSystem | SAPR3 | SAPRights | AbilityNamePattern.

  4. Prüfen Sie die Bedingung, in der die Funktionsargumente logisch verknüpft sind.

  5. (Optional) Weisen Sie der Funktionsdefinition risikomindernde Maßnahmen zu, die umgesetzt werden sollen, wenn durch die SAP Funktion unzulässige Berechtigungen ermittelt werden.

  6. Um die Funktionsdefinition für die Berechtigungsprüfung nutzen zu können, aktivieren Sie die Arbeitskopie dieser Funktionsdefinition.

  7. Erstellen Sie mindestens eine Funktionsausprägung für diese Funktionsdefinition.

Um alle Identitäten zu ermitteln, die über ihre SAP Benutzerkonten diese SAP Funktion treffen, verwenden Sie die SAP Funktion in Complianceregeln.

Detaillierte Informationen zum Thema
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating