sap-berechtigungswesen – konzeption und realisierung · sap-berechtigungswesen – konzeption und...
Post on 04-Jun-2018
238 Views
Preview:
TRANSCRIPT
LeseprobeIn dieser Leseprobe erfahren Sie, wie Sie ein ausdifferenziertes und effizientes Berechtigungskonzept entwickeln. Die Autoren zeigen Ihnen, welche Einstellungen und Funktionen Ihnen die Berechtigungspflege erleichtern und stellen Ihnen unter-schiedliche Tracemöglichkeiten vor. Außerdem wissen Sie nach der Lektüre, wie Sie nach einem Upgrade die Rollen und Berechtigungen überführen und erhalten Tipps zu den Parametern für Kennwortregeln.
Volker Lehnert, Katharina Stelzner, Anna Otto, Peter John
SAP-Berechtigungswesen – Konzeption und Realisierung847 Seiten, gebunden, 3. Auflage 2016 79,90 Euro, ISBN 978-3-8362-3768-0
www.sap-press.de/3849
Systemeinstellungen und Customizing: »Pflege und Nutzung der Vorschläge für den Profilgenerator« »Traces« »Upgrade-Nacharbeiten von Berechtigungen« »Parameter für Kennwortregeln«
Inhaltsverzeichnis
Index
Die Autoren
Leseprobe weiterempfehlen
SAP-Wissen aus erster Hand.
241
Kapitel 7
Dieses Kapitel beschreibt die Einstellungen und Funktionen in der Rollen- und Berechtigungsadministration. Diese ermöglichen ein ausdifferenziertes Berechtigungskonzept und erleichtern Ihnen die Pflege der Berechtigungen.
7 Systemeinstellungen und Customizing
Der Aufbau dieses Kapitels folgt dem normativen Ansatz der Berech-tigungspflege. Normativ ist der Ansatz, weil das Ziel der Regelkon-formität (siehe Kapitel 4, »Rechtlicher Rahmen – normativer Rah-men«) nur durch möglichst präzise Regeln erreichbar ist. Aus dengesetzlichen Regeln müssen Regeln der Organisation werden. Ausdiesen müssen wiederum für das Berechtigungskonzept technischeRegeln werden. Die wichtigste technische Regel besteht darin, dassdie Möglichkeiten des technischen Systems effizient genutzt undnicht umgangen werden.
Entsprechend ist Abschnitt 7.1, »Pflege und Nutzung der Vorschlägefür den Profilgenerator«, den Berechtigungsvorschlagswerten gewid-met, die eine effiziente Pflege von Rollen erst ermöglichen. InAbschnitt 7.2, »Traces«, stellen wir die unterschiedlichen Tracemög-lichkeiten vor. Abschnitt 7.3 beschreibt die Upgrade-Nacharbeitenvon Berechtigungen. Wir beziehen uns in diesem Abschnitt systema-tisch auf die Tätigkeiten nach einem Upgrade im Bezug auf den Pro-filgenerator und somit auf die Überführung der Rollen, gestützt aufdie Berechtigungsvorschlagswerte. Abschnitt 7.4 stellt schließlich»Parameter für Kennwortregeln« vor.
In Verbindung mit Kapitel 6, »Technische Grundlagen der Berechti-gungspflege«, werden Sie mit diesen Abschnitten alle Einstellungenfür den Betrieb eines normativ fundierten Berechtigungskonzeptskennengelernt und erfahren haben, welcher Zusammenhang zwi-schen den Möglichkeiten im SAP-System und den Anforderungen andie Regelkonformität besteht.
3768.book Seite 241 Mittwoch, 9. März 2016 1:39 13
Systemeinstellungen und Customizing7
242
Die nächsten Abschnitte stellen wichtige Erweiterungen des Berech-tigungskonzepts dar, die es Ihnen ermöglichen, Regelkonformität zuerreichen: Abschnitt 7.5, »Menükonzept«, beschreibt die Möglich-keiten eines normativen Menükonzepts, und Abschnitt 7.6 führt Siein die Nutzung und Erweiterung von Berechtigungsgruppen in Bezugauf optionale Prüfungen und die Tabellenberechtigungen ein. InAbschnitt 7.7, »Parameter- und Query-Transaktionen«, erfahren Sie,wie Sie Tabellenzugriffe und Querys in Transaktionen umwandelnkönnen, um zu verhindern, dass Endbenutzer direkte Tabellenzu-griffe haben.
Um die Möglichkeiten, ein Standardberechtigungskonzept zu erstel-len, auszuprägen und kundenspezifische Einstellungen, Transaktio-nen und Funktionen zu ergänzen, folgen die nächsten drei Abschnitte:Abschnitt 7.8, »Anhebung eines Berechtigungsfeldes zur Organisati-onsebene«, widmet sich der weiteren organisatorischen Differenzie-rung Ihres Berechtigungskonzepts mittels zusätzlicher Organisations-ebenen. Abschnitt 7.9, »Berechtigungsfelder und -objekte anlegen«,beschreibt die Anlage eigener Berechtigungsobjekte. Abschnitt 7.10,»Weitere Transaktionen der Berechtigungsadministration«, stellt eineSammlung weiterer nützlicher Transaktionen vor. Zusätzlich solltenSie im Rahmen der Ermittlung von erforderlichen Berechtigungen vorallem in kundeneigenen Programmen die Informationen in Ab-schnitt 7.2, »Traces«, berücksichtigen.
7.1 Pflege und Nutzung der Vorschläge für den Profilgenerator
In diesem Abschnitt stellen wir die zentrale Funktion der Berechti-gungsvorschlagswerte dar. Berechtigungsvorschläge sind vordefi-nierte Werte, die beim Anlegen und Ändern von Rollen auf Basis desRollenmenüs als Berechtigungen vorgeschlagen werden. Sie erleich-tern die effiziente und regelkonforme Pflege von Rollen.
Bedeutung derVorschlagswerte
Abbildung 7.1 verdeutlicht die zentrale Bedeutung der Pflege der Be-rechtigungsvorschlagswerte sowohl für alle Aktivitäten der Rollen-pflege als auch für alle analytischen Methoden. Im mittleren Bereichder Abbildung sehen Sie, dass für jede Anwendung (Transaktion,Web Dynpro, RFC-Funktionsbausteine, externe Services etc.) Be-rechtigungsvorschläge festgelegt werden. Diese Berechtigungsvor-
3768.book Seite 242 Mittwoch, 9. März 2016 1:39 13
Pflege und Nutzung der Vorschläge für den Profilgenerator 7.1
243
schläge können dann in der Rollenpflege übernommen werden. Da-rüber hinaus werden die Berechtigungsvorschlagswerte für dieRisikoanalyse (kritische Aktionen, Funktionstrennungskonflikte)und die technische Analyse (Normeinhaltung) benötigt.
Abbildung 7.1 Berechtigungsvorschlagswerte – Unterstützung bei der Rollenpflege und -analyse
Nutzen der Vorschlagswerte
Wir werden im Folgenden darstellen, welchen Nutzen die Vor-schlagswertpflege für folgende Bereiche hat:
� die Arbeit mit dem Profilgenerator (Anlage und Pflege von Rollen)
� die Berechtigungspflege beim Upgrade
� die Nachvollziehbarkeit der Regeleinhaltung
� ordentlich definierte Risikodefinitionen
In Abschnitt 6.3.1, »Manuelle Profile und Berechtigungen«, sind wirbereits auf die Funktion der Berechtigungsvorschlagswerte für denProfilgenerator eingegangen, die eine umfangreiche Automatisie-rung der Berechtigungspflege erlauben.
Berechtigungsvorschlagswerte enthalten eine Menge von Berechti-gungen in Bezug auf jeweils eine Anwendung. Meistens werden jeAnwendung zu mehreren Berechtigungsobjekten notwendige Wertevorgeschlagen. Den überwiegenden Teil dieser Vorschläge liefert
Anwendung
Berechtigungsobjekt 1
Ausprägung Feld 1
Ausprägung Feld 2
Berechtigungsobjekt 2
Ausprägung Feld 1
Ausprägung Feld 2
F110
XK03
ME21
F_BKPF_BUKACTVT: 01, 02BUKRS: $ BUKRS
F_BKPF_BUKACTVT: 01, 02BUKRS: $ BUKRS
F_BKPF_BUKACTVT: 01, 02BUKRS: $ BUKRS
Rollenpflege
Rollenanalyse
Anlage Wartung Upgrade
Risikoanalyse
technische Analyse
3768.book Seite 243 Mittwoch, 9. März 2016 1:39 13
Systemeinstellungen und Customizing7
244
SAP aus. Die Berechtigungsvorschlagswerte müssen organisations-spezifisch ergänzt werden. Die Berechtigungsprüfungen sind unab-hängig von den Vorschlagswerten, die Prüfung ist Teil des Pro-gramms. Die Berechtigungsvorschlagswerte sollten für diese Prüfungmöglichst genaue Berechtigungsvorschläge in der Rollenpflege er-möglichen. Bevor wir den Nutzen der Berechtigungsvorschlagswertedarstellen, werden wir Ihnen zunächst ihren Grundzustand und ihrePflege erläutern.
7.1.1 Grundzustand und Pflege der Berechtigungs-vorschlagswerte
SAP liefert für alle dazu geeigneten Anwendungen Berechtigungsvor-schlagswerte aus. Voraussetzung für die Berechtigungsvorschlags-pflege ist, dass diese Berechtigungen im Programmcode der jeweili-gen Anwendung als Berechtigungsprüfung implementiert sind. Nurdiese Berechtigungsobjekte können als Berechtigungsvorschlägegepflegt werden. Die Berechtigungsprüfung ist allerdings abhängigvon der Konfiguration der Prozesse und der Stammdatendefinition.Entschließt sich eine Organisation z. B., optionale Berechtigungsprü-fungen einzusetzen, wird dies vermutlich weitere Berechtigungsprü-fungen im Programmablauf zur Folge haben. Dieses Prinzip gilt fürviele mögliche kundenspezifische Ausprägungen eines Prozesses inden Komponenten. Es gilt aber ebenso für die Integration der Kom-ponenten. Mit anderen Worten: Berechtigungsvorschlagswerte sindteilweise zwingend systemspezifisch. Aus diesem Grund muss dieOrganisation die Berechtigungsvorschlagswerte entsprechend nach-pflegen. Dazu wird die Transaktion SU24 (Pflege der Berechtigungs-vorschlagswerte) genutzt.
Releasehinweis
Ab dem Basisrelease 7.02 steht eine Reihe neuer Funktionen für diePflege der Berechtigungsvorschlagswerte zur Verfügung. Die folgendenAusführungen beziehen sich auf Systeme mit einem Releasestand (SAP_BASIS) gleich oder größer 7.02.
Abbildung 7.2 verdeutlicht, wie die Pflege von Berechtigungsvor-schlagswerten und Berechtigungen in aller Regel erfolgen soll. In derersten Säule (Entwicklung) sehen Sie die Aufgaben der Entwicklung.Die Entwicklung legt die notwendigen Berechtigungsvorschläge fest.
3768.book Seite 244 Mittwoch, 9. März 2016 1:39 13
Pflege und Nutzung der Vorschläge für den Profilgenerator 7.1
245
Die Vorschlagswerte sollten zum Abschluss jeder Entwicklung voll-ständig vorliegen. Beim »Bauen einer Anwendung« legt die Entwick-lung technisch fest, welche Berechtigungsobjekte im Zusammenhangmit einer Anwendung zu prüfen sind: Sie »baut den Authority-Check«mit konkreten Berechtigungsobjekten und ausgewählten Berechti-gungswerten. Konkret: Wenn ein Entwickler in eine Anwendungeinen Authority-Check z. B. auf M_BEST_EKO (Einkaufsorganisation inBestellung) mit der Aktion Anlegen (ACTVT: 01) und die zugehörigeEinkaufsorganisation (EKORG: $EKORG) einbaut, dann weiß er, dassgenau diese Berechtigung auch unter der Anwendung geprüft werdenwird. Es ist also nur ein sehr geringer Aufwand, an dieser Stelle auchdie Berechtigungsvorschlagswerte zu pflegen. Die nachträglicheErmittlung von Vorschlagswerten beim Testen der Anwendung kostetbereits erheblich mehr. Die »historische« Ermittlung durch Mitarbei-ter, die die Anwendung nicht gebaut haben, verursacht nahezu dieKosten eines erneuten Funktions- und Integrationstests.
Um eine nachträgliche Ermittlung der Vorschlagswerte zu umgehen,können Sie den Langzeitberechtigungstrace verwenden (siehe Ab-schnitt 7.2, »Traces«). Bei diesem Langzeittrace werden schon wäh-rend der Entwicklung bzw. beim Aufruf der Anwendung Berech-tigungsprüfungen getract und protokolliert.
Abbildung 7.2 Von der programmierten Berechtigungsprüfung zur Rolle (nach: http://help.sap.com. SAP NetWeaver 7.0 EHP 3)
Transaktion PFCG
Entwicklung
3. Legt Berechtigungs-objekte an; legt not-wendige Prüfungen fest; gibt Vorschlagswerte an.
2. Testet Anwendung.
ABAP Workbench
1. Baut Anwendung mit AUTHORITY-CHECK.
Transaktion SU22
4. Legt Beispielrolle mit Menü an; erzeugt Rollenprofil; gibt Be- rechtigungswerte ein.
Transaktion PFCG
Fachanwender
1. Meldet sich in SAP-System an; navigiert mittels Daten aus Rollenmenü; greift auf Anwendungen zu, für die Berechtigungen in der Rolle enthalten sind.
Berechtigungs-verwaltung
erzeugt
2. Passt Berechtigungs-vorschläge an seine Bedürfnisse an.
Transaktion SU25
Transaktion SU24
3. Legt Rolle mit Menü an; Rollenprofil.
4. Ordnet Rolle Benutzer zu.
1. Übernimmt Berechtigungsdaten.
Transaktion PFCG
3768.book Seite 245 Mittwoch, 9. März 2016 1:39 13
Systemeinstellungen und Customizing7
246
Für die Pflege von Vorschlagswerten nutzen SAP und ihre Entwick-lungspartner die Transaktion SU22 (Berechtigungsvorschlagspflege –SAP). Generell können Sie für die Pflege von Berechtigungsvor-schlagswerten die Transaktion SU24 (Berechtigungsvorschlags-pflege) nutzen.
Für beide Transaktionen stehen (mittlerweile) Traces als Hilfsmittelzur Verfügung. Dabei handelt es sich um den Berechtigungstrace(siehe Abschnitt 7.2.1, »Vorgehen beim Berechtigungstrace«) undden Systemtrace (siehe Abschnitt 7.2.2, »Vorgehen beim System-trace«).
Pflege derVoschlagswert-
tabelle –Kundenwerte
In Abbildung 7.3 ist der Einstiegsbildschirm der Transaktion SU24(Berechtigungsvorschlagspflege) dargestellt. Die Buttons Download
1 und Upload 2 dienen dem Down- und Upload der Werte; dieskann zur Sicherung oder zur Verteilung zwischen gleich konfigurier-ten Systemen nützlich sein. Der Button Berechtigungsvorlagen 3dient der Definition von Berechtigungsvorlagen, die in der Rollen-pflege genutzt werden können. Diese Funktion betrachten wir nichtweiter, da wir eine Nutzung nicht empfehlen. Der Button Vor-
schlagswerteabgleich 4 ermöglicht Ihnen einen selektiven Ab-gleich von Berechtigungsvorschlagswerten zwischen den SAP-Werten(Transaktion SU22) und den kundeneigenen Werten (TransaktionSU24). Dieser selektive Abgleich ist eine neue Funktion und steht sys-tematisch mit Upgrade-Aktivitäten in Verbindung. Abhängig davon,für welche Anwendung Sie Berechtigungsvorschlagswerte pflegenwollen, selektieren Sie im Selektionsfeld Typ der Anwendung 5 denentsprechenden Typ. Zur Verfügung stehen die folgenden Anwen-dungstypen:
� Transaktion
� Web-Dynpro-Applikation
� Web-Dynpro-Anwendungskonfiguration
� IDoc-Typ
� Workflowmuster
� RFC-Funktionsbaustein
� SAP Gateway: Service Groups Metadata
� SAP Gateway Business Suite Enablement – Service
� Zuordnung Service � Berechtigungsobjekt
� BSP-(Business-Server-Pages-)Applikation
3768.book Seite 246 Mittwoch, 9. März 2016 1:39 13
Pflege und Nutzung der Vorschläge für den Profilgenerator 7.1
247
� JCO-iView
� People Centric UI Service (CRM)
� Webservice
� CRM UIU Component
� CRM Web Channel Experience Management Module
� TADIR-Service
� externer Service
� Suche nach technischem Namen (Hashcode)
Abbildung 7.3 Einstieg in die Transaktion SU24 (Berechtigungsvorschlagspflege) – Auswahl »Transaktion«
Die Selektion einer Anwendung beeinflusst die weiteren Eingabe-möglichkeiten. So sehen Sie die Selektion Transaktionscode 6, indie ein oder mehrere Transaktionscodes eingetragen werden kön-nen. Unter Weitere Einschränkungen (Berechtigungsobjektver-
wendung) 7 haben Sie die folgenden Möglichkeiten der Suche:
� Suche nach Anwendungen für ein bestimmtes Berechtigungsobjekt
� Suche nach einer Kombination aus Anwendung und Berechti-gungsobjekt inklusive Prüfkennzeichen oder Vorschlagsstatus
Die Bearbeitung der Berechtigungsvorschlagswerte wird im Folgebild-schirm vorgenommen (siehe Abbildung 7.4). Im mit 1 gekennzeich-neten Bereich finden Sie (von links nach rechts) folgende Buttons:
� (Anzeigen < – > Ändern): Mit diesem Button wechseln Sie zwi-schen Anzeige und Pflege der Berechtigungsvorschlagswerte.
3768.book Seite 247 Mittwoch, 9. März 2016 1:39 13
Systemeinstellungen und Customizing7
248
� (Anderes Objekt): Mit diesem Button können Sie eine andereAnwendung oder ein anderes Objekt auswählen.
� SAP-Daten: Hier können Sie sich die SAP-Originaldaten anzeigenlassen.
� Berechtigungs-Trace: Ein oder Aus: Dieser Button informiert Siezunächst darüber, ob der Berechtigungstrace (siehe Abschnitt 7.2.1,»Vorgehen beim Berechtigungstrace«) eingeschaltet ist. Wenn Siedaraufklicken, erhalten Sie eine Kurzinformation zum Berechti-gungstrace.
� Abmischmodus für PFCG: Ein oder Aus: Über diesen Buttonerfahren Sie, ob der Abmischmodus für PFCG-Rollen ein- oderausgeschaltet ist. Werden Änderungen an den Vorschlagswertenvorgenommen, so hat das Einfluss auf die Berechtigungswerte derPFCG-Rollen, die die jeweilige Anwendung im Rollenmenü bein-haltet. Ist der Abmischmodus eingeschaltet, werden betroffeneRollen in den Status Profilabgleich erforderlich gesetzt und beider nächsten Änderung der Rolle berücksichtigt. Den Abmischmo-dus können Sie mittels des Parameters S42X_SET_FORCE_MIX inder Tabelle PRGN_CUST setzen.
� (Verwendung in Einzelrollen): Mithilfe dieses Buttonserhalten Sie Informationen, in welchen PFCG-Einzelrollen die aus-gewählte Anwendung im Rollenmenü verwendet wird.
Abbildung 7.4 Transaktion SU24 (Berechtigungsvorschlagspflege) – Anzeige und Pflege
3768.book Seite 248 Mittwoch, 9. März 2016 1:39 13
Pflege und Nutzung der Vorschläge für den Profilgenerator 7.1
249
Im Bereich Selektionsergebnis 2 sehen Sie die Menge der selektiertenObjekte. Dies können, abhängig von der Selektion im Einstiegsbild-schirm, entweder Transaktionen, Web-Dynpro-Applikationen, Web-Dynpro-Anwendungskonfigurationen, Workflowmuster, RFC-Funkti-onsbausteine, TADIR-Services, externe Services etc. sein. Durch Mar-kieren einer Anwendung erscheinen im Bereich Berechtigungs-
objekte 3 die jeweils zugehörigen Objekte. Hier pflegen Sie die inTabelle 7.1 spezifizierten Einstellungen. Dazu müssen Sie zunächst inden Änderungsmodus wechseln. In diesem Bereich sind alle Berech-tigungsobjekte enthalten, die im Standard oder in den kundeneigenenAusprägungen zugeordnet sind. Es handelt sich aber weder um alleBerechtigungsobjekte, die im System zur Verfügung stehen, nochunbedingt um alle, die im Programmablauf tatsächlich geprüft werden.
Im Bereich Berechtigungsvorschlagswerte 4 können Sie für diein Bereich 3 ausgewählten Berechtigungsobjekte Vorschlagswertefür die Berechtigungsfelder pflegen.
Im Änderungsmodus werden zusätzliche Buttons angeboten (sieheAbbildung 7.5). Zunächst jedoch sehen Sie im Titel 1, dass Sie im Ände-rungsmodus sind. Mit dem Button Objekt 2 können Sie sich (sofernunten ein Objekt selektiert ist) die Objektdefinition, die Objektdoku-mentation oder den Verwendungsnachweis anzeigen lassen. Sie kön-nen aber auch ein Objekt hinzufügen, entweder manuell 2 oder ausdem Berechtigungstrace 6 (siehe Abschnitt 7.2.1, »Vorgehen beimBerechtigungstrace«).
Abbildung 7.5 Transaktion SU24 (Berechtigungsvorschlagspflege) im Änderungs-modus: Zuordnungen und Status
3768.book Seite 249 Mittwoch, 9. März 2016 1:39 13
Systemeinstellungen und Customizing7
250
Mit dem Button Prüfkennzeichen 3 können Sie festlegen, ob einObjekt im Programmablauf geprüft werden soll.
Das Prüfkennzeichen kann die in Tabelle 7.1 dargestellten Ausprä-gungen haben, in der Spalte Funktion wird die Wirkung beschrie-ben. Auf der folgenden Seite beschreiben wir in einem kurzenExkurs die Funktion des Kennzeichens »nicht prüfen« etwas genauer.
Sie legen über das Prüfkennzeichen fest, ob ein Objekt unter derAnwendung geprüft werden soll. Das Prüfkennzeichen wird in dieTabelle USOBX_C (Checktabelle zu Tabelle USOBT_C) eingetragenund definiert, ob ein Berechtigungsobjekt unter der Anwendunggeprüft werden muss. Beachten Sie in jedem Fall, dass Sie die Unter-drückung auch transportieren oder manuell im Zielsystem vorneh-men müssen. Da das Unterdrücken der Prüfung kritisch ist, unter-nehmen wir an dieser Stelle einen Exkurs zum Ausschalten vonPrüfungen.
Exkurs: Verringerung des Umfangs von Berechtigungsprüfungen
Eine etwaige Unterdrückung der Berechtigungsprüfung kann nur nachgenauer Prüfung und Dokumentation der Prüfungsergebnisse vorgenom-men werden. Um Prüfungen über die Transaktion SU24 (Berechtigungs-objektprüfungen unter Transaktionen) wirksam unterdrücken zu können,muss der Profilparameter (Parameter auth/no_check_in_some_cases)auf Y gesetzt sein (Default). Diese Einstellung ist ebenfalls nötig, um denProfilgenerator überhaupt nutzen zu können.
Berechtigungsprüfungen von Berechtigungsobjekten, die zu Komponen-ten der Basis oder von SAP ERP Human Capital Management (HCM)gehören, lassen sich nicht unterdrücken.
Bei der Prüfung von Berechtigungskonzepten müssen Sie auf jeden Fallklären, welche Einstellungen zur Unterdrückung von Prüfungen vorge-
Funktion Prfkz.
Prüfkennzeichen wurde nicht spezifiziert – Berechti-gungsobjekt wird geprüft.
–
Berechtigungsobjekt wird unter der Anwendung nicht geprüft.
nicht prüfen
Berechtigungsobjekt wird unter der Anwendung geprüft.
prüfen
Tabelle 7.1 Prüfkennzeichen für Berechtigungsobjektprüfungen unter Anwendungen
3768.book Seite 250 Mittwoch, 9. März 2016 1:39 13
Pflege und Nutzung der Vorschläge für den Profilgenerator 7.1
251
nommen wurden. Dabei gilt die Maßgabe, dass SAP-seitig vorgenom-mene Unterdrückungen Standard sind und kundenseitig angelegte Unter-drückungen erklärungs- und nachweisbedürftig sind.
Die Überprüfung auf Änderungen in diesem Sinne muss als kompensie-rende Kontrolle durchgeführt werden. Dazu wird die Tabelle USOBX_C(Checktabelle zu Tabelle USOBT_C) im Feld OK-Kennzeichen mit demWert N (keine Berechtigungsprüfung) und dem Feld Änderer = »SAP« aus-gewertet.
Über den Button Vorschlag 4 in Abbildung 7.5 legen Sie fest, obund wie das selektierte Berechtigungsobjekt zu einer Anwendung ineiner Rolle vorgeschlagen werden soll. Ihre Wahl wird dann in derSpalte Vorschlag durch ein Ja oder Nein 8 kenntlich gemacht. DieWirkung ist in Tabelle 7.2 zusammengefasst.
Pflege der Berechtigungs-vorschlagswerte auf Feldebene
Nachdem Sie das Vorschlagsverhalten festgelegt haben, können Sienun über den Button Feldwerte 5 detailliert die Werte pflegen, dievorgeschlagen werden sollen. Sinnvollerweise werden nur die Werteeingetragen (Bereich Berechtigungsvorschlagswerte 4 der Abbil-dung 7.4), für deren Notwendigkeit es einen positiven Nachweisgibt. Dieser Nachweis ist in aller Regel ein Trace. Aus diesem Grundempfehlen wir, über die Auswertung der Traces 6 die Berechti-gungsvorschlagswerte zu pflegen.
Die Übernahme aus den Traces in die Berechtigungsvorschlagswerteentspricht dem in Abschnitt 6.6, »Vom Trace zur Rolle«, dargestell-ten Vorgehen. Darum werden wir dies an dieser Stelle nicht weiterausführen.
Status Wirkung
Ja Das Berechtigungsobjekt wird in einer Rolle vorge-schlagen und muss mit Werten ausgeprägt werden. Einige Felder enthalten bereits Vorschlagswerte.
Ja ohne Werte Das Berechtigungsobjekt wird in einer Rolle vorge-schlagen. Es gibt allerdings keine gepflegten Vor-schläge für Werte.
Nein Das Berechtigungsobjekt wird nicht vorgeschlagen.
Neu/Ungepflegt Das Berechtigungsobjekt wird zurückgesetzt und erhält in der Spalte Status 9 eine rote Ampel.
Tabelle 7.2 Vorschlag und Status
3768.book Seite 251 Mittwoch, 9. März 2016 1:39 13
Systemeinstellungen und Customizing7
252
Zur Feldpflege muss das Objekt zum Vorschlag bestimmt sein (Vor-schlag Ja). Sofern Sie eindeutige Feldwerte ermittelt haben, könnendiese als Vorschlag eingetragen werden. Sie können keine Organisa-tionsebenen eintragen. Die anderen Werte müssen nach sorgfältigerPrüfung eingetragen werden. Oft besteht die erforderliche Eindeu-tigkeit nur in Bezug auf die Aktivität.
Sie können das am Beispiel der Bestellung nachvollziehen: Wenn Siewollen, dass mit der Transaktion ME23N (Bestellung anzeigen) aus-schließlich Bestellungen angezeigt werden können, müssten Siejeweils im Feld ACTVT (Aktivität) die Werte 03 (Anzeigen) und 08(Änderungsbelege anzeigen) mitgeben. Da es aber wahrscheinlicherforderlich ist, den Zugriff organisatorisch zu differenzieren, kön-nen Sie im Feld Belegart in Bestellung (BSART) keinen Wert eintra-gen, da die Belegart ein ablauforganisatorisches Kriterium ist und Sieden Zugriff wahrscheinlich für einzelne Belegarten unterschiedlichausprägen wollen.
Dieses Vorgehen ist erforderlich, um einerseits das Berechtigungsob-jekt und die Aktivität automatisch vorgeschlagen zu bekommen.Anderseits wollen Sie verhindern, dass Sie das Feld Belegart ändernmüssen, da dies den Status des Objekts auf Verändert im Profil set-zen würde.
Enjoy-Transaktionen
Die Transaktionen zur Bestellung sind deswegen ein gutes Beispiel,weil sie als Enjoy-Transaktionen prinzipiell vergleichbare Aktionenerlauben: Wenn die entsprechenden Berechtigungen zur Transaktionvergeben sind, kann aus der Transaktion ME23N (Bestellung anzei-gen) eine Bestellung auch angelegt oder geändert werden (siehe SAP-Hinweis 751129 – Berechtigungen in Enjoy-Transaktionen im Ein-kauf). Die zu pflegenden Werte ergeben sich aus Ihrer Nutzung derEnjoy-Logik. Für das Beispiel der Transaktion ME23N (Bestellunganzeigen) heißt das:
� ausnahmslos Enjoy-Logik nutzen = Anlegen, Ändern, Anzeigen
� überwiegend Enjoy-Logik nutzen = keine Werte
� Enjoy-Logik nicht nutzen = Anzeigen
Berechtigungsvorschlagswerte stellen die mächtigste positiv regelba-sierte Steuerung von Berechtigungen dar. Sie verleiten allerdingsunter Umständen dazu, sie einfach zu übernehmen. Das kann jedochfalsch sein: Wenn Sie also die Transaktion ME23N (Bestellung anzei-gen) tatsächlich nur zum Anzeigen nutzen wollen, wenn Sie aber die
3768.book Seite 252 Mittwoch, 9. März 2016 1:39 13
Pflege und Nutzung der Vorschläge für den Profilgenerator 7.1
253
Werte Anlegen, Ändern und Anzeigen zulassen, wird mit Sicher-heit irgendwann dieser Wert auch so in eine Rolle, die nur das Anzei-gen erlauben soll, aufgenommen.
Obligatorischer Transportauftrag
Sämtliche Änderungen der Berechtigungsvorschlagswerte werden ineinen Transportauftrag übernommen. Dabei sollten Sie die üblichen Emp-fehlungen zur Transport Policy und Ihre hauseigene Policy beachten.
Vorschlagswert-tabellen und ihre Relation
Änderungen der Vorschläge für den Profilgenerator werden inunterschiedliche Tabellen geschrieben. Die Tabelle USOBT (RelationTransaktion R Ber.objekt) enthält die Auslieferungsdaten für Vor-schläge. Die kundenseitigen Änderungen der Berechtigungsvor-schlagswerte werden in die Tabelle USOBT_C (Relation TransaktionR Berechtigungsobjekt – Kunde) eingetragen. Die Tabelle USOBX(Checktabelle zu Tabelle USOBT) enthält die Auslieferungsdaten fürPrüfkennzeichen. Die kundenseitigen Änderungen der Prüfkennzei-chen werden in die Tabelle USOBX_C (Checktabelle zu TabelleUSOBT_C) eingetragen.
In Abbildung 7.6 sind beispielhaft drei Änderungen vorgenommen: InBezug auf die Transaktion ME21N (Bestellung anlegen) wurde dasBerechtigungsobjekt F_FICA_FOG (Haushaltsmanagement: Berechti-gungsgruppe des Fonds) auf »nicht prüfen« gesetzt 1, das Berechti-gungsobjekt F_FICA_FCD – (Haushaltsmanagement Fonds) wurde aufVorschlag Ja gesetzt 2, und im Feld Aktivität Berechtigungsprüfung
(FM_AUTHACT) 3 wurden die Aktionen 01, 02, 08 und 10 eingetragen.
Abbildung 7.6 Exemplarische Pflege von Berechtigungsobjekten
3768.book Seite 253 Mittwoch, 9. März 2016 1:39 13
Systemeinstellungen und Customizing7
254
Diese Änderungen wirken sich nicht auf die Tabelle USOBT (RelationTransaktion � Ber.objekt) und die Tabelle USOBX (Checktabelle zuTabelle USOBT) aus. Stattdessen werden die Werte in die TabelleUSOBT_C (Relation Transaktion � Berechtigungsobjekt – Kunde)und die Tabelle USOBX_C (Checktabelle zu Tabelle USOBT_C) einge-tragen.
In der Tabelle USOBT_C (Relation Transaktion R Berechtigungsob-jekt – Kunde) ergeben sich durch die Änderung die in Tabelle 7.3dargestellten Einträge. Aus der Tabelle sind zur Vereinfachung nurdie folgenden Spalten dargestellt:
� Object = Berechtigungsobjekt
� Field = Berechtigungsfeld
� Low = Einzelwert oder der kleinste Wert eines Intervalls
� Modifier = letzter Änderer
� Modified = Kennzeichen für Änderung
Die erste Zeile bedeutet also, dass im Berechtigungsobjekt F_FICA_FCD das Feld FM_AUTHACT mit dem generischen Wert * durch denBenutzer I055366 geändert wurde.
In der Tabelle USOBX_C (Checktabelle zu Tabelle USOBT_C) ergebensich die in Tabelle 7.4 dargestellten Einträge.
OBJECT FIELD LOW MODIFIER MODIFIED
F_FICA_FCD FM_AUTHACT 01 I055366 X
F_FICA_FCD FM_AUTHACT 02 I055366 X
F_FICA_FCD FM_AUTHACT 08 I055366 X
F_FICA_FCD FM_AUTHACT 10 I055366 X
F_FICA_FCD FM_FIKRS $FIKRS I055366 X
F_FICA_FCD FM_FINCODE I055366 X
Tabelle 7.3 Tabelle »Relation Transaktion ? Ber.objekt (Kunde)« nach Anpassung
OBJECT MODIFIER OKFLAG MODIFIED
F_FICA_FCD I055366 Y X
F_FICA_FOG I055366 N X
Tabelle 7.4 Tabelle »Checktabelle zu Tabelle USOBT_C« nach Anpassung
3768.book Seite 254 Mittwoch, 9. März 2016 1:39 13
Pflege und Nutzung der Vorschläge für den Profilgenerator 7.1
255
Die Änderungshistorie können Sie den in Tabelle 7.5 benanntenTabellen entnehmen.
Wenn die Berechtigungsvorschlagswerte gut gepflegt und in denRollen entsprechend verwendet werden, kann ein Upgrade zügigdurchgeführt werden. Zum Upgrade kommen wir im nächstenAbschnitt.
Der Vollständigkeit halber kommen wir noch einmal auf Abbil-dung 7.5 zurück. Dort hatten wir noch nicht darauf hingewiesen,dass ein Startberechtigungsobjekt in der Spalte TSTCA dieser Abbil-dung unter 7 besonders gekennzeichnet ist.
7.1.2 Nutzen der Berechtigungsvorschlagswerte
Eine umfassende Pflege der Berechtigungsvorschlagswerte in Ver-bindung mit dem angegebenen Statusziel hat folgenden Nutzen:
� Funktion für den ProfilgeneratorBerechtigungspflege erfolgt regelbasiert statt by incident. Konkretwird eine technische Regel hinterlegt, welche Berechtigungsob-jekte mit welchen Feldwerten zu einer Anwendung (Transaktion,Web Dynpro, RFC-Funktionsbausteine, externe Services etc.)gehören und somit in den Berechtigungen einer Rolle vorgeschla-gen werden sollen. Da diese Feldwerte, Aktivitäten und differen-zierenden Merkmale die konkrete Nutzung bestimmen, ist diesetechnische Regel auch gleichzeitig eine Norm in Bezug auf die statt-haften Aktivitäten (z. B. Vorerfassen) einer Verrichtung (z. B.Belegbearbeitung). Diese Normbildung unterstützt die Regelkon-formität und die Transparenz über die Erreichung der Regelkon-formität. Eine detaillierte Beschreibung dazu finden Sie im Unter-abschnitt »Funktion für den Profilgenerator« in diesem Abschnitt.
Eine weitere Funktion für den Profilgenerators ist es, Erfahrungs-wissen zu sichern, indem Sie nicht jedes Mal neu ermitteln müs-sen, welche Berechtigungsobjekte für eine bestimmte Anwendung
Tabelle Bezeichnung
USOBT_CD Änderungshistorie für Feldwerte
USOBX_CD Änderungshistorie zu Prüfkennzeichen
Tabelle 7.5 Weitere Tabellen zu Berechtigungsvorschlagswerten
3768.book Seite 255 Mittwoch, 9. März 2016 1:39 13
Systemeinstellungen und Customizing7
256
(Transaktion, Web Dynpro, RFC-Funktionsbausteine, externe Ser-vices etc.) nötig sind. Diese Funktion steigert die Effizienz undNachhaltigkeit.
Schließlich ermöglicht die Pflege über den Profilgenerator, Rollensauber zu halten (entzogene Anwendungen – Transaktion, WebDynpro, RFC-Funktionsbausteine, externe Services etc. – führenzum Entzug von Berechtigungen), auch diese Funktion sichertRegelkonformität.
� Funktion im UpgradeDie Pflege der Berechtigungsvorschlagswerte soll die Upgrade-Kosten angemessen halten. Diese Funktion ist Ausdruck der Effizi-enz, die bei präziser Pflege erreicht werden kann. Mehr dazuerfahren Sie im Unterabschnitt »Funktion im Upgrade« in diesemAbschnitt.
� Normativer NutzenPflege der Berechtigungsvorschlagswerte soll die Auditierbarkeitsicherstellen. Der technisch definierte Zusammenhang zwischenAnwendung (Transaktion, Web Dynpro, RFC-Funktionsbausteine,externe Services etc.) und Berechtigungsobjekt erleichtert sinn-volle Audits von Berechtigungskonzepten. Ausführliche Informa-tionen dazu finden Sie im Unterabschnitt »Normativer Nutzen« indiesem Abschnitt.
� Nutzen für die RisikoanalyseDie Pflege der Berechtigungsvorschlagswerte soll sicherstellen,dass bei der Definition von Risiken in einem Werkzeug wie SAPAccess Control die »richtigen« Werte genutzt werden. Alle selbsterstellten Risikodefinitionen basieren auf den Werten der Vor-schlagstabellen. Dazu finden Sie eine detaillierte Beschreibung imUnterabschnitt »Nutzen der Berechtigungsvorschlagswerte fürRisikoanalyse und externe Rollenpflegetools« in diesem Abschnitt.
Die Pflege der Berechtigungsvorschlagswerte für den Profilgeneratorvereinfacht mittelfristig die Rollenpflege und macht sie transparenter.
Funktion für den Profilgenerator
Die Berechtigungsvorschlagswerte für Berechtigungen werden – imKundensystem – über die Transaktion SU24 (Pflege der Zuordnun-gen von Berechtigungsobjekten zu Transaktionen) gepflegt. Sie ver-
3768.book Seite 256 Mittwoch, 9. März 2016 1:39 13
Pflege und Nutzung der Vorschläge für den Profilgenerator 7.1
257
sorgen den Profilgenerator mit Vorschlägen für Berechtigungswerte.Jede im Menü eingefügte Anwendung (Transaktion, Web Dynpro,RFC-Funktionsbausteine, externe Services etc.) wird mit diesenDefault-Werten versorgt. Abbildung 7.7 verdeutlicht, dass in Bezugauf die im Menü vergebene Anwendung die Berechtigungsvor-schlagswerte in die Berechtigungen zur Rolle übernommen werden.
Abbildung 7.7 Übernahme der Berechtigungsvorschlagswerte für die im Menü vergebenen Anwendungen (Transaktion, Web Dynpro, RFC-Funktionsbausteine, externe Services etc.)
Übernahme von Berechtigungs-vorschlagswerten
Die Übernahme von Berechtigungsvorschlagswerten funktioniert beider Rollenänderung im Menü entweder, indem Sie auf der Register-karte Berechtigungen den Button Berechtigungsdaten ändern
wählen oder auf den Button Expertenmodus zur Profilgenerie-
rung klicken und dort Alten Stand lesen und mit den neuen
Daten abgleichen auswählen. Die Pflege über den Expertenmodussollte der Standard sein, da Sie in diesem Fall selbst festlegen, wiesich der Profilgenerator verhalten soll. Nach der Selektion springenSie in die Pflege der Berechtigungen. Dabei fallen die unterschiedli-chen Status der Berechtigungen auf, die wir schon in Abschnitt 6.3.2,»Rollenpflege«, erläutert haben.
Berechtigungsobjekte können vier Status haben:
� Manuell: Das ganze Objekt wurde manuell hinzugefügt.
� Verändert: Der Vorschlagswert wurde verändert.
Vorschläge für denProfilgenerator
Menüder Rolle
F110
XK03
NNNN
PRO
FIL
TCD: F110, XK03, NNNNS_TCODE
BUKRS: DEMO
FBTCH: 02, 11, 14,F_REGU_BUK
ACTVT: 01, 02FIELD: XXXE_XAM_PLE
3768.book Seite 257 Mittwoch, 9. März 2016 1:39 13
Systemeinstellungen und Customizing7
258
� Gepflegt: Entspricht dem Vorschlagswert, es wurden offene Fel-der gepflegt.
� Standard: Entspricht dem Vorschlagswert.
Der Unterschied zwischen Pflegen und Verändern besteht darin,dass bei der Pflege offene Felder gepflegt, bei der Veränderung dage-gen Standardfeldausprägungen verändert werden.
Status undEntzug von
Anwendungen
Dieser Unterschied ist relevant. Der Mechanismus, der beim Ergän-zen einer Rolle um eine Anwendung (Transaktion, Web Dynpro,RFC-Funktionsbausteine, externe Services etc.) abläuft, arbeitet ana-log beim Entziehen einer Anwendung. Die Berechtigungsobjekte imStatus Gepflegt oder Standard, die ausschließlich zur entzogenenAnwendung gehören, werden wieder entzogen. Damit wird einemKernproblem oft veränderter Rollen vorgebeugt: dem Problem, dasses keine nachhaltige logische Zuordnung von enthaltenen Berechti-gungsobjekten zu den vergebenen Anwendungen gibt.
Beispiel: Verwendung von Berechtigungsobjekten in Rollen und deren Pflegestatus
Dies soll an einem Beispiel dargestellt werden: Einer Rolle, die ausschließ-lich Reporting-Transaktionen enthält, wird die Transaktion SQVI (Quick-Viewer) hinzugefügt. Da das Berechtigungsobjekt für Tabellenzugriffe (S_TABU_DIS) kein Standardvorschlag ist, wird es manuell der Rolle hinzuge-fügt. Später wird – ganz im Sinne wünschenswerter Regelkonformität –die Nutzung des QuickViewers massiv eingeschränkt, die Transaktionwird der Reporting-Rolle entzogen. Da das Berechtigungsobjekt fürTabellenzugriffe manuell hinzugefügt wurde, verbleibt es in der Rolle. Dashat Folgen:
� Die Rolle enthält mehr Berechtigungen als erforderlich.
� Das Risiko, das in einer Kombination mit anderen Rollen entstehenkann, ist erheblich und nicht vorab zu bestimmen.
Je präziser die Default-Werte in den Tabellen gepflegt sind, destogenauer passen die Berechtigungsvorschlagswerte für die Rollen.Anzustreben ist minimal ein Zustand, in dem auf Objektebene 95 %aller Berechtigungsobjekte als Default in die Rolle übernommen wer-den. Das heißt, dass nur noch 5 % der Berechtigungsobjekte mit demStatus Verändert gekennzeichnet sind.
Da Berechtigungsausprägungen immer einen kundenspezifischenAnteil haben, d. h. durch die Konfiguration, das Stammdatenkon-
3768.book Seite 258 Mittwoch, 9. März 2016 1:39 13
Pflege und Nutzung der Vorschläge für den Profilgenerator 7.1
259
zept, aber auch individuelle Präferenzen bestimmt werden, sind dieStandardberechtigungsvorschlagswerte unvollständig.
Standardvorschläge pflegen
Wir empfehlen Ihnen die detaillierte Pflege der Berechtigungsvorschlags-werte ausdrücklich auch für Standardanwendungen (Transaktion, WebDynpro, RFC-Funktionsbausteine, externe Services etc.), da sinnvolleBerechtigungsvorschlagswerte gegebenenfalls besondere Nutzungen,Systemeinstellungen und Stammdatenmerkmale reflektieren.
Funktion im Upgrade
Mit der Transaktion SU25 (Upgrade-Tool für den Profilgenerator) wer-den verschiedene Schritte vollzogen, um im Upgrade die alten Berech-tigungen und Rollen den neuen Erfordernissen anpassen zu können. ImPrinzip werden dort die alten Berechtigungsvorschlagswerte (Kunde)mit den neuen Berechtigungsvorschlagswerten (SAP) abgemischt unddie Rollen mit Änderungsbedarf identifiziert. Die Upgrade-Nachar-beiten bezüglich Berechtigungen selbst werden in Abschnitt 7.3,»Upgrade-Nacharbeiten von Berechtigungen«, beschrieben.
Normativer Nutzen
Aus den in Kapitel 4, »Rechtlicher Rahmen – normativer Rahmen«,angeführten Gründen sind immer nur die nachweislich notwendigenBerechtigungen zu vergeben. Soll ein Mitarbeiter Bestellungen än-dern dürfen, dann muss er einen Benutzer im System mit genau die-sen Berechtigungen bekommen. Technisch sollte dabei ein Zustanderreicht werden, in dem durch das Einfügen der Transaktion ME21N(Bestellung anlegen) alle notwendigen Berechtigungsobjekte mit al-len erforderlichen aktivitätsbezogenen Feldwerten vorgeschlagenwerden. Auf diese Weise müssen anschließend nur noch die organi-satorischen Werte wie Werk/Belegart u. Ä. eintragen werden. Wirdso vorgegangen, kann auch der Auditor nachvollziehen, dass dieAusprägung der Berechtigungen den im System hinterlegten Regelnentspricht. Stellen Sie sich eine Rolle mit 100 Anwendungen, 40 Be-rechtigungsobjekten und 120 Feldausprägungen in den Berechti-gungsobjekten vor. Wenn sämtliche Objekte manuell hinzugefügtwurden, können Sie nicht mehr erkennen, welche Berechtigungsob-jektausprägung für eine bestimmte Anwendung erforderlich ist und
3768.book Seite 259 Mittwoch, 9. März 2016 1:39 13
Systemeinstellungen und Customizing7
260
ob für die 100 Anwendungen wirklich nur notwendige Werte verge-ben wurden. Während Sie für eine Anwendung dies gegebenenfallsüber einen Trace beweisen können, dürfte der Aufwand für 100 An-wendungen meistens zu groß sein.
Wenn Berechtigungsobjekte manuell einem Profil hinzugefügt odergeändert wurden, besteht keine Relation zwischen dem Umfang anAnwendungen der Rolle (Transaktion, Web Dynpro, RFC-Funktions-bausteine, externe Services etc.) und den zugeordneten Berechti-gungsobjekten. Das bedeutet, dass keine Auskunft darüber möglichist, warum etwa ein kritisches Objekt einer Rolle zugeordnet wurde.
Vorschlagstabelleund Regel-
konformität
Es besteht ein direkter Zusammenhang zwischen der Nutzung derBerechtigungsvorschlagswerte und der Regelkonformität von Berech-tigungen. Berechtigungen können in einem komplexen System wieSAP ERP nur dann regelkonform sein, wenn sie technischen Regelnfolgen – das sind die Berechtigungsvorschlagswerte.
Ohne Nachvollziehbarkeit keine wirksame Prüfung
Nur wenn nachvollziehbar bleibt, warum welche Berechtigungsobjekteund Werte vergeben wurden, kann die Regelkonformität von Rollen effi-zient geprüft werden. Diese Prüfbarkeit entsteht über die Berechtigungs-vorschlagswerte.
Im Sinne eines umfassenden Verständnisses des Internen Kontrollsystems(IKS) ist ein Nachweis erforderlich, warum welcher Benutzer welcheBerechtigungen hat, also auch warum eine Rolle ein bestimmtes Berech-tigungsobjekt enthält. Dieser Nachweis auf Objektebene ist ohne vor-schlagswertbasierte Pflege nicht möglich. Die Vorschlagswertpflege ist indiesem Sinne eine Normsetzung, wie Berechtigungen ausgesteuert wer-den dürfen. Die Umsetzung ist der Nachweis, ob die Norm eingehaltenwurde. Die Norm selbst ist Ausdruck eines technisch detaillierten IKS.
Nutzen der Berechtigungsvorschlagswerte für Risikoanalyse und externe Rollenpflegetools
Eine detaillierte Analyse von Funktionstrennungskonflikten und kri-tischen Transaktionen kann nur durchgeführt werden, wenn diekundenspezifischen Berechtigungsvorschlagswerte eingeschlossenwerden: Die Präzisierung der Berechtigungsvorschlagswerte stellteine Präzisierung der notwendigen Werte für Zugriffe und somit fürRisiken dar. Diese Systematik ist u. a. in der Definition neuer Risikenin SAP Access Control enthalten.
3768.book Seite 260 Mittwoch, 9. März 2016 1:39 13
Pflege und Nutzung der Vorschläge für den Profilgenerator 7.1
261
Um das an einem Beispiel darzustellen: Das mit dem Anlegen einerBestellung verbundene Risiko wird dargestellt, indem zunächst fest-gestellt wird, dass die Transaktion ME21N notwendig ist. Diese sehreinfache Risikodefinition ist in Tabelle 7.6 zusammengefasst.
Mit dieser Transaktion allein kann ein Benutzer nicht viel anfangen,er benötigt in jedem Fall noch drei Berechtigungsobjekte mit denentsprechenden Ausprägungen. Mit anderen Worten: Die in Tabel-le 7.6 dargestellte Definition ist zu einfach, sie wird zu falschen Be-funden führen, denn jeder, der die Transaktion ME21N (Bestellunganlegen) überhaupt hat, wird erfasst.
Gute Berechti-gungsvorschlags-werte – präzise Risikodefinitionen
Dementsprechend muss die Risikodefinition ergänzt werden, umsicherzustellen, dass auch nur die echten Risiken nachgewiesen wer-den. Dies ist exemplarisch in Tabelle 7.7 dargestellt. Wie detailliertein Risiko zu beschreiben ist, behandeln wir in Kapitel 11, »SAPAccess Control«. An dieser Stelle soll nur Folgendes deutlich werden:Ohne die Berechtigungsvorschlagswerte können Sie ein Risiko nurpräzise definieren, indem Sie ersatzweise Transaktion für Transak-tion tracen.
Das Gleiche gilt sinngemäß für alle Risikoanalyselösungen – inklu-sive der selbst gebauten. Sind diese nicht mit den Vorschlagstabellenintegriert, können sie nicht dauerhaft die Rollenpflege Upgrade-
Anwendung Berechtigungsobjekt Feld Ausprägung
ME21N S_TCODE TCD ME21N
Tabelle 7.6 Einfache Risikodefinition
Anwendung Berechtigungsobjekt Feld Ausprägung
ME21N S_TCODE TCD ME21N
M_BEST_BSA ACTVT 01
BSART FO, NB
M_BEST_EKG ACTVT 01
EKGRP $EKRGP
M_BEST_EKO ACTVT 01
EKORG $EKORG
Tabelle 7.7 Präzise Risikodefinition
3768.book Seite 261 Mittwoch, 9. März 2016 1:39 13
Systemeinstellungen und Customizing7
262
sicher und regelkonform vereinfachen. Das gilt auch für die Nutzungdes Business Role Managements von SAP Access Control. Die Nut-zung im Rollenmanagement und in der Risikoanalyse wird in Abbil-dung 7.8 verdeutlicht. Zu sehen ist, dass die Werte der TabelleUSOBT_C einerseits in der Risikoanalyse und andererseits im Rollen-management Verwendung finden.
Abbildung 7.8 Nutzung der Berechtigungsvorschlagswerte für die Risikoanalyse und externe Rollenpflegelösungen
7.2 Traces
In Abschnitt 7.1.1, »Grundzustand und Pflege der Berechtigungsvor-schlagswerte«, wurde der Trace als Hilfsmittel für die Ermittlung derrelevanten Vorschlagswerte und in Abschnitt 6.6, »Vom Trace zurRolle«, als Hilfsmittel für die Rollenpflege und für die Vorschlags-wertpflege dargestellt. In diesem Abschnitt sollen die beiden Tracessystematisch erläutert werden. Ein Trace ist in unserem Kontext undstark vereinfacht eine Aufzeichnung von Benutzeraktionen und Sys-temreaktionen.
USOBT_C (Transaktion SU24)
Vorschläge für denProfilgenerator
SAP
Acc
ess
Con
trol
Access Risk Analysis
Für die Definition von Funktionen einesRisikos werden die »synchronisierten«
USOBT_C-Werte herangezogen.
Business Role Management
Für die Definition von Rollen werdendie »synchronisierten« USOBT_C-Werte
herangezogen.
3768.book Seite 262 Mittwoch, 9. März 2016 1:39 13
Traces 7.2
263
Hinweis aus der Entwicklung
Ein Entwickler braucht für seine Anwendung keinen Trace, er kann aus denvon ihm »eingebauten« Berechtigungsprüfungen unmittelbar die notwen-digen Berechtigungsvorschläge ohne nennenswerten Aufwand festlegen.
TraceartenEs stehen Ihnen drei Arten von Traces zur Verfügung: der Berechti-gungstrace, der Systemtrace und der Benutzertrace:
BerechtigungstraceFür die erste Befüllung der Tabelle USOBX (Checktabelle zu TabelleUSOBT) für den Profilgenerator wird SAP-intern der Berechtigungs-trace genutzt. Dieser wird meistens als Langzeittrace verwendet, dermandantenübergreifend und benutzerunabhängig Daten sammeltund in der Datenbank ablegt. Sobald der Trace während der Ausfüh-rung eines Programms auf eine Berechtigungsprüfung stößt, die imZusammenhang mit der aktuellen Anwendung bislang nicht erfasstwar, legt er einen entsprechenden Eintrag in der Tracedatenbank-tabelle an. Das bedeutet, dass Sie die Anwendung möglichst vollstän-dig testen müssen, um aussagekräftige Tracedaten zu erhalten. Umden Trace auswerten zu können, müssen Sie ihn vor dem Testen/Aufzeichnen aktivieren und die wesentlichen Aktionen lokal oder imZielsystem ausführen.
In SAP-Hinweis 543164 (Bedeutung der Werte von auth/authori-zation_trace) wird deutlich darauf hingewiesen, dass dieser Tracedie Performance verringert und vom Kunden auf eigenes Risiko ein-gesetzt wird. Sinnvoll ist dieser Trace, um die Berechtigungsprüfun-gen von kundeneigenen Programmen in die Berechtigungsvor-schlagswerte zu übertragen. Diese Übertragung ist eine manuelleÜbernahme, da eine Bewertung erfolgen muss. Es ist ab Basisrelease7.02 nicht mehr erforderlich, dazu die Transaktion SU22 (Berechti-gungsvorschlagspflege – SAP) zu verwenden. Wie schon ausgeführt,steht für die Pflege von Berechtigungsvorschlagswerten die Transak-tion SU24 (Berechtigungsvorschlagspflege) zur Verfügung. Dort kön-nen auch die Werte des Berechtigungstrace angezeigt werden, wiewir im Folgenden erläutern werden. Wir raten Ihnen dringend, die-sen Profilparameter in produktiven Systemen inaktiv zu setzen – diesist auch Auslieferungsstandard. Es ist aber durchaus empfehlens-wert, diesen Trace auf dem Entwicklungs- und gegebenenfalls auchauf dem Qualitätssicherungssystem zu aktivieren, so sammeln Siebereits während der Entwicklung von neuen Funktionen die ent-
3768.book Seite 263 Mittwoch, 9. März 2016 1:39 13
Systemeinstellungen und Customizing7
264
sprechenden Berechtigungsvorschlagswerte. Profilparameter kön-nen über die Transaktion RZ11 (Pflege der Profilparameter) geändertwerden.
Systemtrace Der Systemtrace (Transaktion ST01 oder STAUTHTRACE) ist einKurzzeittrace, der mandantenabhängig und nur auf dem aktuellenAnwendungsserver Berechtigungsdaten sammelt. In die Rollenpflegeund die Vorschlagswertpflege müssen über RFC auch die Traceergeb-nisse aus beliebigen Zielmandanten eingebunden werden. Auch die-ser Trace kann über RFC auf beliebigen Mandanten ausgeführt sowieausgewertet werden.
Benutzertrace Der Benutzertrace ist ein neuer Trace, der ab SAP NetWeaver 7.40 ver-fügbar ist (siehe SAP-Hinweis 2220030). Er ist ebenfalls als Lang-zeittrace konzipiert, sammelt aber im Gegensatz zum Berechtigungs-trace mandanten- und benutzerabhängige Berechtigungsdaten. Diesewerden wie beim Berechtigungstrace in der Datenbank abgelegt. Ana-log zum Berechtigungstrace erfolgt die Aufzeichnung der Berechti-gungsprüfungen. Dabei werden die laufende Anwendung mit derProgrammstelle, das Berechtigungsobjekt und dessen geprüfte Wertesowie das Ergebnis der Berechtigungsprüfung pro Benutzer einmalgespeichert. Sie haben die Möglichkeit, die Aufzeichnung auf den An-wendungstyp, die Benutzer und die Berechtigungsobjekte hin zu fil-tern. Für den Filter können Sie zwei unterschiedliche Anwendungs-typen, bis zu zehn Benutzer und bis zu zehn Berechtigungsobjektefestlegen.
Der Benutzertrace wird über den Profilparameter auth/auth_user_trace aktiviert. Sollten Sie den Benutzertrace mit einem Filter akti-viert haben, müssen Sie in der Transaktion STUSERTRACE aucheinen Filter definieren, denn sonst wird nichts aufgezeichnet. Auchfür den Benutzertrace gilt, dass die Aktivierung ohne einen Filter zuhohen Performanceeinbußen führen kann. Prüfen Sie daher diemöglichen Anwendungsszenarien immer auch im Hinblick auf dieAuswirkungen auf die Performance. Der Benutzertrace ist hilfreichbei Szenarien, in denen Sie spezielle Benutzer oder Berechtigungsob-jekte auswerten wollen. Sie können z. B. die erforderlichen Berechti-gungen für Batch-Benutzer oder Tabellenzugriffe über S_TABU_NAMaufzeichnen.
3768.book Seite 264 Mittwoch, 9. März 2016 1:39 13
Traces 7.2
265
7.2.1 Vorgehen beim Berechtigungstrace
Zunächst müssen Sie die Transaktion RZ11 (Pflege der Profilparame-ter) aufrufen und den Parameter auth/authorization_trace eintra-gen (siehe Abbildung 7.9).
Abbildung 7.9 Profilparameterpflege für Berechtigungstrace
Klicken Sie auf den Button Anzeigen. Auf dem nächsten Bild Profil-
parametereigenschaften klicken Sie auf den Button Wert ändern
(siehe Abbildung 7.10).
Abbildung 7.10 Profilparametereigenschaften
Auf dem folgenden Bild setzen Sie den Wert auf Y (aktiv) oder F(aktiv mit Filter) (siehe Abbildung 7.11). Den Filter für diesen Trace
3768.book Seite 265 Mittwoch, 9. März 2016 1:39 13
Systemeinstellungen und Customizing7
266
können Sie über die Transaktion STUSOBTRACE festlegen undanhand der Kriterien Typ der Anwendung, Berechtigungsobjekteoder Benutzer einschränken. Den Warnhinweis Änderung nicht
permanent, geht nach dem Neustart des Servers verloren bestä-tigen Sie, und anschließend bestätigen Sie Ihre Eingabe. Der Trace istnun aktiv.
Abbildung 7.11 Parameterwert setzen
Transaktionentracen
Führen Sie nun die Anwendung(en) aus, für die Sie die notwendigenBerechtigungsobjekte ermitteln wollen. In unserem Beispiel ist esdie Transaktion, die wir in Abschnitt 7.7.1 angelegt haben, also eineParametertransaktion zur Pflege von Tabellen über definierte Views.
Die Ergebnisse dieses Trace werden in die Tabelle USOB_AUTHVALTRC geschrieben und können ebenfalls in der TransaktionSTUSOBTRACE über einen Klick auf den Button Auswerten eingese-hen werden (siehe Abbildung 7.12).
Eintrag in dieBerechtigungs-
vorschlagspflege
Für die Auswertung ist die Einschränkung Typ der Anwendung:Transaktion ausgewählt worden, damit nur Tracedaten für neueTransaktionen angezeigt werden. Die Auswertung (siehe Abbil-dung 7.13) listet nun für jede Transaktion Berechtigungsobjekte mitden geprüften Berechtigungswerten auf. Diese Informationen kön-nen Sie als Grundlage zur Pflege von Berechtigungsvorschlagswertenoder in der Rollenpflege verwenden.
3768.book Seite 266 Mittwoch, 9. März 2016 1:39 13
Traces 7.2
267
Abbildung 7.12 Auswertung des Berechtigungstrace über Transaktion STUSOBTRACE
Abbildung 7.13 Auswertung des Berechtigungstrace
3768.book Seite 267 Mittwoch, 9. März 2016 1:39 13
Systemeinstellungen und Customizing7
268
Starten Sie danach die Transaktion SU24 (Berechtigungsvorschlags-pflege). In Abbildung 7.14 fällt im Bereich 1 auf, dass keine Objekteenthalten sind. Sie erhalten den Hinweis Zu Ihrer Selektion existie-
ren keine Berechtigungsobjektzuordnungen 2. Dieser Hinweisbedeutet, dass es entweder keine Daten in der Transaktion SU22 gibtoder (der Regelfall) dass eine Übernahme noch nicht erfolgt ist. DerButton Berechtigungstrace: Ein 3 zeigt an, dass der Berechtigungs-trace aktuell eingeschaltet ist. Durch einen Klick auf den Button SAP-
Daten 4 können Sie die Übernahme der SAP-Daten starten. Sindkeine SAP-Daten gepflegt, können Sie die Werte aus dem Berechti-gungstrace durch einen Klick auf Objekt � Objekte aus Berechti-
gungstrace einfügen � Lokal einfügen.
Abbildung 7.14 Werte für die kundeneigene Transaktion SU24 vor Übernahme der SAP-Daten
Berechtigungstrace für Berechtigungsvorschlagswerte und Rollenpflege
Die Werte des Berechtigungstrace stehen Ihnen auch in der Rollenpflege(Berechtigungen) zur Verfügung, siehe Abschnitt 6.6, »Vom Trace zurRolle«.
Nach der Übernahme der SAP-Daten bzw. der Berechtigungsobjekteaus dem Berechtigungstrace sehen Sie die aufgezeichneten Objekte imStatus ungepflegt (siehe Abbildung 7.15 1). Nun können Sie auf alleTracewerte 2 zur Pflege zugreifen, um die Berechtigungsvorschlags-werte auszuprägen. Die Funktion der Übernahme der Tracewerte istvergleichbar mit dem in Abschnitt 6.6 dargestellten Verfahren.
3768.book Seite 268 Mittwoch, 9. März 2016 1:39 13
Traces 7.2
269
Abbildung 7.15 Werte für kundeneigene Transaktion SU24 nach der Übernahme der SAP-Daten bzw. der Daten aus dem Berechtigungstrace
7.2.2 Vorgehen beim Systemtrace
Um den Systemtrace zu nutzen, stehen Ihnen verschiedene Möglich-keiten zur Verfügung. Wie Sie den Systemtrace aus der Auswertungin der Rollen- und Vorschlagswertpflege starten, sehen Sie in Abbil-dung 7.16. Sie können den Systemtrace aus folgenden Funktionendieses Kontextes heraus starten:
� Transaktion PFCG (Pflege von Rollen) � Registerkarte Menü � But-ton Übernahme von Menüs � Menüeintrag Import aus Trace
� Transaktion PFCG (Pflege von Rollen) � Registerkarte Berechti-
gungen � Bereich Berechtigungsdaten pflegen und Profile
generieren � Folgebildschirm � Button Trace
� Transaktion SU24 (Berechtigungsvorschlagspflege) � Button Trace
� Folgebildschirm � Button Trace auswerten
Abbildung 7.16 Trace aus der Auswertung in der Rollen- und Vorschlagswertpflege starten
3768.book Seite 269 Mittwoch, 9. März 2016 1:39 13
Systemeinstellungen und Customizing7
270
Klicken Sie auf den Button Trace auswerten (1 in Abbildung 7.16).Sie erhalten die Info, ob der Systemtrace ein- oder ausgeschaltet ist2, wer der letzte Änderer war und wann die Änderung stattgefun-den hat 3, schließlich klicken Sie auf den Button Trace einschalten
4, der den Trace startet.
Neben diesen Optionen steht Ihnen der Zugang über die TransaktionST01 (Systemtrace) sowie über die Transaktion STAUTHTRACE(Berechtigungstrace) zur Verfügung.
7.2.3 Vorgehen beim Benutzertrace
Den Benutzertrace aktivieren Sie über den Profilparameter auth/auth_user_trace. Wie Sie Profilparameter pflegen, haben wirbereits in Abschnitt 7.2.1, »Vorgehen beim Berechtigungstrace«,beschrieben. Setzen Sie den Wert des Profilparameters auf Y (aktiv)oder F (aktiv mit Filter) (siehe Abbildung 7.11), diese Einstellungenkönnen Sie auch dynamisch setzen. Den Filter setzen Sie, wie obenbeschrieben, in der Transaktion STUSERTRACE entsprechend IhrenAnforderungen. Die Ergebnisse des Benutzertrace können Sie eben-falls in dieser Transaktion über einen Klick auf den Button Auswer-
ten einsehen (siehe Abbildung 7.17).
Abbildung 7.17 Einstellungen des Filters für den Benutzertrace über Transaktion STUSERTRACE
3768.book Seite 270 Mittwoch, 9. März 2016 1:39 13
Upgrade-Nacharbeiten von Berechtigungen 7.3
271
Die Auswertung (siehe Abbildung 7.18) zeigt nun alle ausgeführtenAnwendungen und die darin erfolgten Berechtigungsprüfungen mitObjekt und Feldwerten an. Im Gegensatz zum Berechtigungstracekönnen Sie bei der Auswertung auf einen bestimmten Benutzer fil-tern, und die Benutzer sind in der Liste enthalten. Diese Informatio-nen können Sie nun nutzen, um Berechtigungsvorschlagswerte oderRollen zu pflegen.
Abbildung 7.18 Auswertung des Benutzertrace über Transaktion STUSERTRACE
7.3 Upgrade-Nacharbeiten von Berechtigungen
Mit den Basisreleases 7.31 und 7.40 sind eine Reihe von Änderungenim Upgrade-Tool für den Profilgenerator vollzogen worden. DesWeiteren wurde die Dokumentationslage verbessert, die nun dieWartung von Berechtigungsvorschlagswerten und Rollen im Upgradeund beim Einspielen von Support Packages vereinfacht. Wir habenaktuelle SAP-Hinweise dazu in Tabelle 7.8 zusammengestellt.
SAP-Hinweis Kurztext Release
1539556 FAQ Administration von Berechtigungsvorschlagswerten
releaseunabhängig
1599128 SU25 – Optimierung der Upgrade-Nachbereitung
SAP_BASIS 70 700–702
SAP_BASIS 71 710– 30
SAP_BASIS 731
Tabelle 7.8 SAP-Hinweise zum Upgrade von Berechtigungen
3768.book Seite 271 Mittwoch, 9. März 2016 1:39 13
Systemeinstellungen und Customizing7
272
Die folgenden Ausführungen und Screenshots beziehen sich aufSAP_BASIS 7.40, allerdings sind die meisten Funktionen auch in frü-heren Releases enthalten.
Die Transaktion SU25 (Upgrade-Tool für den Profilgenerator) dientdem initialen Befüllen der Kundentabellen zum ersten Einsatz desProfilgenerators und dazu, die Kundentabellen in einem Upgrade aufden neuesten Stand zu bringen. Insgesamt stehen in der TransaktionSU25 folgende Schritte zur Verfügung (siehe Abbildung 7.19):
� Schritt 1 bereitet den Profilgenerator auf seine erste Verwendungvor, und die Kundentabellen werden initial befüllt. Mit Hinweis1691993 (SU2X – Optimierung der Berechtigungsvorschlagswer-tepflege) ist dieser Schritt so verändert worden, dass ein zufälligesÜberschreiben bereits gefüllter Kundentabellen und somit dieVernichtung kundeneigener Daten erschwert wird. Mehr dazuerfahren Sie in diesem Hinweis. Durch diese neue Funktion verän-dert sich die Anzeige der Transaktion SU25 (Upgrade-Tool für denProfilgenerator) in Schritt 1 dann, wenn Schritt 2a bereits einmalim System ausgeführt wurde. Die neue Darstellung ist in Abbil-dung 7.19 unter Kundentabellen wurden initial befüllt zusehen.
� Die Schritte 2a–2d sind für das Upgrade selbst erforderlich.
� Schritt 3 dient dem Transport der durch die vorangegangenenSchritte geänderten Kundenvorschlagswerttabellen. Beachten Sie,dass nur diese transportiert werden.
� Schritt 4 ist ein Absprung in die Transaktion SU24 (Berechtigungs-objektprüfungen unter Transaktionen).
� Schritt 5 ermöglicht das globale Deaktivieren von Berechtigungs-prüfungen.
1696484 SU25 – Behandlung kunden-eigener Berechtigungsvor-schlagswerte
SAP_BASIS 70 700–702
SAP_BASIS 71 710–730
1691993 SU2X – Optimierung der Berechtigungsvorschlags-wertepflege
SAP_BASIS 70 700–702
SAP_BASIS 71 710–730
SAP_BASIS 731
SAP-Hinweis Kurztext Release
Tabelle 7.8 SAP-Hinweise zum Upgrade von Berechtigungen (Forts.)
3768.book Seite 272 Mittwoch, 9. März 2016 1:39 13
Upgrade-Nacharbeiten von Berechtigungen 7.3
273
Abbildung 7.19 Upgrade-Tool für den Profilgenerator
Dargestellt wird nun das Upgrade, also das Nachbearbeiten der Ein-stellungen nach dem Upgrade auf ein höheres Release. Dieses wirdin den Schritten 2a–2d vollzogen.
Schritt 2a: Vorbereitung – Abgleich mit SAP-Werten
Zunächst wird in Schritt 2a der Abgleich der Vorschlagswerte ausge-führt. Dieser Schritt ist zwingend erforderlich. Dabei werden die neuenBerechtigungsvorschlagswerte (also die Werte nach Upgrade oder Ein-spielen eines Support Packages) in die Kundentabellen übernommen.
Verwenden Sie dafür am besten den Expertenmodus für Schritt 2,indem Sie auf den gleichnamigen Button klicken. Dabei können Sie(ab Basisrelease 7.00) wählen, ob Sie einen Abgleich der SAP-Standard-anwendungen oder einen Abgleich von kundeneigenen und Partner-anwendungen der neu ausgelieferten Werte mit Ihren kunden-spezifischen Werten vornehmen möchten, wie es in Abbildung 7.20gezeigt wird.
Die Übersicht in Abbildung 7.21 zeigt, welche Anwendungen abzu-gleichen sind und bei welchen Anwendungen ein manuellerAbgleich notwendig ist. Ein manueller Abgleich ist erforderlich,wenn Daten in der Transaktion SU24 für diese Anwendung im Vor-feld geändert worden sind und Sie entscheiden müssen, ob dieseÄnderungen übernommen werden oder ob die aktuellen Standard-werte aus der Transaktion SU22 übernommen werden sollen.
3768.book Seite 273 Mittwoch, 9. März 2016 1:39 13
Systemeinstellungen und Customizing7
274
Abbildung 7.20 Auswahl des Abgleichs bei Upgrade-Nacharbeiten unter Verwendung des Expertenmodus für Schritt 2
Abbildung 7.21 Übernahmeoptionen von Anwendungen in Schritt 2a
Die Werte, die in der »alten« Kundentabelle kundenseitig gepflegtwurden, werden gekennzeichnet, um sie in Schritt 2b manuell über-prüfen zu können. Dabei markieren Sie die Anwendungen, die Siemanuell abgleichen möchten, und klicken auf den Button Manuel-
ler Abgleich.
Schritt 2b:Abgleich
betroffenerTransaktionen
Änderungen an Prüfkennzeichen oder Feldwerten werden in die-sem Schritt mit den neuen SAP-Vorschlägen verglichen. In Abbil-dung 7.22 ist der Bereich mit 1 gekennzeichnet, in dem die Transak-tionen enthalten sind, die von den aktuellen Standardvorschlägenabweichen. Die Einstellungen, die wir in Abschnitt 7.1.1, »Grundzu-stand und Pflege der Berechtigungsvorschlagswerte«, in Bezug auf die
3768.book Seite 274 Mittwoch, 9. März 2016 1:39 13
Upgrade-Nacharbeiten von Berechtigungen 7.3
275
Transaktion Anzeigen einer Bestellung vorgenommen haben, werdenentsprechend nach dem Abgleich in Schritt 2a in Schritt 2b zur Bear-beitung angeboten. Sie sehen in Abbildung 7.22, dass die mit 2gekennzeichnete Änderung des Prüfkennzeichens dazu führt, dassder neue SAP-Vorschlag angezeigt wird. Ebenso ist es mit der durch3 gekennzeichneten Änderung des Vorschlags. Diese Änderungenerkennen Sie daran, dass in der Spalte Sync. die Buttons SAP-Daten
Kopieren zu sehen sind 4. Durch einen Klick auf diese Buttons kopie-ren Sie den SAP-Vorschlag und überschreiben Ihre Kundenvor-schlagswerte. Mit 5 sind Änderungen der Feldwertvorschlägegekennzeichnet. Sie können die jeweiligen Werte nachpflegen. ImBereich 1 können Sie bestätigen, dass Sie die Prüfung vorgenommenhaben, oder die gesamten restlichen Werte übernehmen. Davonraten wir Ihnen jedoch ab, sofern Sie regelmäßig und genau Ihre kun-deneigenen Vorschläge ergänzt oder geändert haben.
Abbildung 7.22 Berechtigungsvorschläge in Schritt 2b der Upgrade-Nacharbeiten
Die Systematik zur Pflege der Berechtigungsvorschlagswerte ent-spricht im Wesentlichen der Systematik, wie wir sie in Abschnitt7.1.1, »Grundzustand und Pflege der Berechtigungsvorschlagswerte«,im Hinblick auf die Berechtigungsvorschlagswerte entwickelt haben.
Nacharbeit Schritt 2b: Kundeneigene Organisations-ebenen
Sofern Sie kundeneigene Organisationsebenen nutzen (siehe Ab-schnitt 7.8, »Anhebung eines Berechtigungsfeldes zur Organisations-ebene«), sollten Sie den Report PFCG_ORGFIELD_UPGRADE (Anpas-sung nach Upgrade für neue Org.-Ebenen) ausführen. Dadurch
3768.book Seite 275 Mittwoch, 9. März 2016 1:39 13
Systemeinstellungen und Customizing7
276
werden alle neuen Berechtigungsvorschlagsdaten, die SAP zu neuenTransaktionen ausgeliefert hat, auf die neuen Organisationsebenen-felder umgestellt. Der Report arbeitet mandantenunabhängig (SAP-Hinweis 323817).
Schritt 2c:Zu überprüfende
Rollen
In diesem Schritt findet die Nachbearbeitung der durch das Upgradebetroffenen Rollen statt. Diese werden, wie in Abbildung 7.23 zusehen ist, vorgeschlagen; dabei markiert eine rote Ampel (links inder jeweiligen Ampel) Pflegebedarf und eine grüne (rechts in derjeweiligen Ampel), dass keine Pflege (mehr) erforderlich ist.
Abbildung 7.23 Rollenüberprüfung in Schritt 2c der Upgrade-Nacharbeiten
Um bei den bereits eingeführten Beispielen zu bleiben: In Ab-schnitt 6.3.2, »Rollenpflege«, haben wir die Rolle MMM_PXXXX_PURCHASINGORDER_N angelegt und daraus Rollen abgeleitet. Die-sen Rollen ist die Transaktion ME21N (Bestellung anlegen) zugeord-net, die ebenfalls im Rahmen des Abschnitt 7.1.1, »Grundzustandund Pflege der Berechtigungsvorschlagswerte«, gepflegt wurde undnun von dem Upgrade betroffen ist.
Abbildung 7.24 zeigt, dass das ergänzte Berechtigungsobjekt erkanntund vorgeschlagen wurde. Da der Vorschlag nur das Feld Aktivität
Berechtigungsprüfung betraf und das Feld Finanzkreis eine Orga-nisationsebene ist, verbleibt nur das Feld Fonds, das manuell gepflegtwerden muss. Die Änderung der Referenzrolle wird durch den ButtonAbgeleitete Rollen generieren automatisch mit gepflegt.
3768.book Seite 276 Mittwoch, 9. März 2016 1:39 13
Upgrade-Nacharbeiten von Berechtigungen 7.3
277
Abbildung 7.24 Rollenänderung in Schritt 2c der Upgrade-Nacharbeiten
SAP-Alternativ-vorschlag
In der Hilfe zu diesem Schritt wird von SAP folgende alternative Vor-gehensweise vorgeschlagen:
Alternativ können Sie auch auf eine Nachbearbeitung der Rollen ver-zichten und allen Benutzern zunächst die Rolle SAP_NEW generierenund manuell zuordnen (siehe dazu SAP-Hinweis 1711620) […] DieRollen behalten dann den Status »Profilabgleich erforderlich« undkönnen bei der nächsten notwendigen Änderung – z. B. wenn dasMenü der Rolle geändert wird – angepaßt werden. Bei Verwendungvon sehr vielen Rollen kann dieses Verfahren sinnvoll sein. Sie habendann Zeit, die Rollen nach und nach anzupassen. (Systemhilfe)
Dieser Vorschlag birgt erhebliche Risiken, vor allem in den Fällen, indenen neue Funktionen, neue Berechtigungsprüfungen oder neueDifferenzierungspotenziale bereitgestellt und genutzt werden. Dieselbst generierte Rolle SAP_NEW (siehe SAP-Hinweis 1711620) ent-hält alle neuen Berechtigungen für das neue Release. Damit wirddurch ein derartiges Vorgehen gegen das Prinzip verstoßen, dass nurdie Berechtigungen vergeben werden, die für die Ausführung einerdefinierten Tätigkeit des Benutzers erforderlich sind. Für die Zeit derNutzung der Rolle SAP_NEW ist davon auszugehen, dass die Berech-tigungen nicht regelkonform sind. Der Gegenbeweis wäre nur durcheine Risikoanalyse – basierend auf den alten und neuen Prüfungen –anzutreten.
Einfaches Upgrade
Die Nutzung eines gewissenhaft eingehaltenen Ableitungskonzepts, ste-tig gepflegter Berechtigungsvorschlagswerte und des Upgrade-Tools führtzu einem einfachen Upgrade im Bereich Berechtigungen. In diesem idea-
3768.book Seite 277 Mittwoch, 9. März 2016 1:39 13
Systemeinstellungen und Customizing7
278
len Fall müssen im Wesentlichen nur die neuen Transaktionen, Berechti-gungsobjekte und Vorschlagsänderungen bewertet und umgesetzt wer-den. Der Aufwand für das Upgrade sinkt mit der Genauigkeit der Stan-dardeinhaltung.
Empfehlung zumAufwand
Wir haben Upgrade-Projekte mit einem Aufwand für Berechtigun-gen zwischen 20 und 300 Beratertagen in Konzernstrukturen ken-nengelernt. Kommen Sie in der Abschätzung des Aufwands zu demErgebnis, dass mehr als 50 Tage Aufwand zu erwarten sind, emp-fiehlt es sich dringend, ein Redesign und die Rückkehr zum Standardzu prüfen. Das verursacht unter Umständen sofort einen geringerenAufwand, als den Status quo anzuheben. Definitiv werden Ihre Kos-ten bereits mittelfristig deutlich sinken.
Schritt 2d:Veränderte Trans-
aktionscodesanzeigen
In diesem Schritt findet ein Abgleich statt, welche Transaktionendurch neuere Transaktionen ersetzt werden könnten. Dieser Abgleichdient vor allem der Unterstützung der Prozessverantwortlichen.Diese müssen letztlich festlegen, welche Transaktionen wie zu nutzensind. Sie sollten das Ergebnis des Abgleichs also den Prozessverant-wortlichen übermitteln und diese die Festlegung treffen lassen.
Neue Transaktionen haben gegebenenfalls Auswirkungen auf diebestehenden Prozesse, aber auch auf die bestehenden Berechtigun-gen. Ein Beispiel für unter Umständen nicht gewollte Auswirkungenauf Berechtigungen ist die bereits diskutierte Enjoy-Transaktion(siehe Abschnitt 7.1.1) zur Bestellung, es kann auch aus Sicht vonBerechtigungen Gründe geben, lieber weiterhin auch die alte Trans-aktion zu nutzen.
7.4 Parameter für Kennwortregeln
Die für das Login geltenden Kennwortregeln werden über Profilpa-rameter gesetzt. Diese werden über die Transaktion RZ10 (Pflege derProfilparameter) gepflegt. Die Pflege der Profilparameter fällt in dieVerantwortung der Basisadministration. Wir empfehlen Ihnen, diegewünschten Einstellungen Ihrer Basisadministration zu überlassen.
Die Auswertung der Profilparameter ist über den Report RSPARAM(Anzeige der SAP-Profilparameter) möglich (siehe Abbildung 7.25).Einige exemplarische Parameter sind in Tabelle 7.9 dargestellt.
3768.book Seite 278 Mittwoch, 9. März 2016 1:39 13
Parameter für Kennwortregeln 7.4
279
Abbildung 7.25 Anzeige der Profilparameter
Parameter Beschreibung
login/accept_sso2_ticket
Um ein Single Sign-on (SSO) zwischen SAP-Syste-men bzw. auch übergreifend zu Nicht-SAP-Syste-men zu ermöglichen, können SSO-Tickets verwen-det werden.
login/failed_user_auto_unlock
Kontrolliert die Entsperrung von durch Fehlanmel-dungen gesperrten Benutzern. Ist der Parameter auf 1 gesetzt, werden Sperren, die wegen fehlge-schlagener Kennwortanmeldeversuche gesetzt wurden, automatisch am nächsten Tag durch das System aufgehoben.
login/fails_to_session_end
Anzahl der Falschanmeldungen, die mit einem Benutzerstamm gemacht werden können, bis das Anmeldeverfahren abgebrochen wird
Tabelle 7.9 Parameter für Kennwortregeln (Angaben aus der Systemdokumentation)
3768.book Seite 279 Mittwoch, 9. März 2016 1:39 13
Systemeinstellungen und Customizing7
280
login/fails_to_user_lock
Bei jedem fehlerhaften Kennwortanmeldeversuch wird der Falschanmeldezähler für den betreffen-den Benutzerstammsatz erhöht. Die Anmeldever-suche können im Security Audit Log protokolliert werden. Bei Überschreiten der durch diesen Para-meter vorgegebenen Grenze wird der betreffende Benutzer gesperrt. Dieser Vorgang wird zusätzlich im Syslog protokolliert.
login/min_password_diff
Mit diesem Parameter kann der Administrator festlegen, in wie vielen Zeichen sich ein neues Kennwort vom alten Kennwort mindestens unter-scheiden muss, wenn der Benutzer sein Kennwort ändert.
login/min_password_digits
Dieser Parameter bestimmt die minimale Anzahl von Ziffern (0–9), die im Kennwort enthalten sein müssen. Er wirkt sowohl bei der Vergabe neuer Kennwörter als auch bei der Kennwortänderung bzw. beim Rücksetzen von Kennwörtern.
login/min_password_letters
Dieser Parameter bestimmt die minimale Anzahl von Buchstaben, die im Kennwort enthalten sein müssen. Er wirkt sowohl bei der Vergabe neuer Kennwörter als auch bei der Kennwortänderung bzw. beim Rücksetzen von Kennwörtern.
login/min_password_lng
Der Parameter bestimmt die Minimallänge des Anmeldekennwortes. Das Kennwort muss mindes-tens drei Zeichen lang sein. Der Administrator kann aber auch eine größere Minimallänge festle-gen. Diese Vorgabe wirkt sich sowohl bei der Ver-gabe neuer Kennwörter als auch beim Ändern oder Rücksetzen bestehender Kennwörter aus.
login/min_password_lowercase
Dieser Parameter bestimmt die minimale Anzahl von Kleinbuchstaben, die im Kennwort enthalten sein müssen. Er wirkt sowohl bei der Vergabe neuer Kennwörter als auch bei der Kennwortände-rung bzw. beim Rücksetzen von Kennwörtern.
Dieser Parameter wird nicht ausgewertet, wenn der Profilparameter login/password_down-wards_compatibility auf den Wert 5 gesetzt ist.
Parameter Beschreibung
Tabelle 7.9 Parameter für Kennwortregeln (Angaben aus der Systemdokumentation) (Forts.)
3768.book Seite 280 Mittwoch, 9. März 2016 1:39 13
Parameter für Kennwortregeln 7.4
281
Bitte beachten Sie auch den SAP-Hinweis 2467 (Kennwortregeln undVermeidung fehlerhafter Anmeldungen).
login/min_password_specials
Dieser Parameter bestimmt die minimale Anzahl von Sonderzeichen, die im Kennwort enthalten sein müssen. Er wirkt sowohl bei der Vergabe neuer Kennwörter als auch bei der Kennwortän-derung bzw. beim Rücksetzen von Kennwörtern.
login/min_password_uppercase
Dieser Parameter bestimmt die minimale Anzahl von Großbuchstaben, die im Kennwort enthalten sein müssen. Er wirkt sowohl bei der Vergabe neuer Kennwörter als auch bei der Kennwortän-derung bzw. beim Rücksetzen von Kennwörtern.
Dieser Parameter wird nicht ausgewertet, wenn der Profilparameter login/password_down-wards_compatibility auf den Wert 5 gesetzt ist.
login/password_change_waittime
Mit diesem Parameter kann festgelegt werden, nach welcher Zeitspanne (gemessen in Tagen) ein Benutzer sein Kennwort erneut ändern kann. Nur Kennwortänderungen, die der Benutzer veranlasst hat, werden in Betracht gezogen.
login/password_expiration_time
Gültigkeitsdauer von durch den Benutzer gesetz-ten Kennwörtern (in Tagen) bis zur nächsten Änderung. Die Berechnung erfolgt abhängig vom Datum der letzten Kennwortänderung.
login/password_max_idle_productive
maximale Zeitspanne (in Tagen) zwischen dem Zeitpunkt der letzten Anmeldung mit einem durch den Benutzer gesetzten Kennwort und der nächs-ten Anmeldung mit diesem Kennwort
login/password_max_idle_initial
maximale Zeitspanne (in Tagen) zwischen dem Zeitpunkt der Kennwort(rück)setzung, Initital-kennwort durch den Administrator gesetzt, und der nächsten Anmeldung mit diesem Kennwort
login/password_history_size
Dieser Parameter regelt die Größe der Kennwort-historie. Die Kennworthistorie wird ausgewertet, wenn ein Benutzer ein neues Kennwort wählt: Das System lehnt die (Wieder-) Verwendung von Kennwörtern, die in der Kennworthistorie gespei-chert sind, ab.
Parameter Beschreibung
Tabelle 7.9 Parameter für Kennwortregeln (Angaben aus der Systemdokumentation) (Forts.)
3768.book Seite 281 Mittwoch, 9. März 2016 1:39 13
Systemeinstellungen und Customizing7
282
VerboteneKennwörter in der
Tabelle USR40
In der Tabelle USR40 (Tabelle für verbotene Kennwörter) könnendarüber hinaus »verbotene« Kennwörter hinterlegt werden. Dies istsowohl als Muster »*WORT*, *20??*,« als auch als konkreter Wert»Mama« möglich. Da dies Auswirkungen auf die Performance hat,sollten Sie unbedingt über die genannten Parameter eine sinnvollePassword Policy erzwingen, in dieser Tabelle sollten Sie möglichstnur unmittelbar offensichtliche Werte eintragen, wie z. B. denNamen des Unternehmens.
Customizing-Parameter in
der TabellePRGN_CUST
Über die Customizing-Parameter in der Tabelle PRGN_CUST wirdder Kennwortgenerator in den Transaktionen SU01 und SU10gesteuert. Eine Übersicht über diese Customizing-Parameter findenSie in Tabelle 7.10. Die Werte der Profilparameter übersteuern dieEinträge zu den Customizing-Parametern, damit keine ungültigenKennwörter generiert werden. Sollte also der Wert eines Customi-zing-Parameters kleiner sein als der Wert des korrespondierendenProfilparameters, wird stattdessen der Standardwert des Customi-zing-Parameters gezogen. Analog verhält es sich, wenn kein Wertgepflegt wurde.
Sicherheits-richtlinien
Zusätzlich zu den globalen Einstellungen der Kennwortregeln kön-nen Sie ab Release SAP NetWeaver 7.31 Kennwortregeln auch indi-viduell über Sicherheitsrichtlinien definieren. Sie ordnen einemBenutzer die jeweilige Sicherheitsrichtlinie über die TransaktionSU01 zu. Ist einem Benutzer eine Sicherheitsrichtlinie zugeordnet,überschreiben die Werte der Sicherheitsrichtlinie die global gültigenKennwortregeln. Für Einstellungen, deren Parameter nicht in derSicherheitsrichtlinie gepflegt wurden, oder Benutzer, denen keineSicherheitsrichtlinie zugeordnet ist, bleiben die globalen Einstellun-
Parameter Beschreibung
GEN_PSW_MAX_LENGTH Legt die maximale Länge des generierten Passwortes fest.
GEN_PSW_MAX_LETTERS Legt die maximale Anzahl an Buchstaben im generierten Passwort fest.
GEN_PSW_MAX_DIGITS Legt die maximale Anzahl an Zahlen im generierten Passwort fest.
GEN_PSW_MAX_SPECIALS Legt die maximale Anzahl an Sonderzei-chen im generierten Passwort fest.
Tabelle 7.10 Parameter für die Kennwortgenerierung
3768.book Seite 282 Mittwoch, 9. März 2016 1:39 13
Parameter für Kennwortregeln 7.4
283
gen der Profilparameter weiterhin relevant. Sie definieren Sicher-heitsrichtlinien über die Transaktion SECPOL; ein Beispiel haben wirin Abbildung 7.26 dargestellt und einige exemplarische Parametersind in Tabelle 7.11 aufgeführt.
Abbildung 7.26 Definition einer Sicherheitsrichtlinie in der Transaktion SECPOL
Parameter Beschreibung
DISABLE_TICKET_LOGON Legt fest, ob sich ein Benutzer mit Anmelde- oder Zusicherungsticket am System anmelden kann.
MAX_FAILED_PASSWORD_LOGON_ATTEMPTS
Funktion analog zum Profilparameter login/fails_to_user_lock
MIN_PASSWORD_DIFFERENCE Funktion analog zum Profilparameter login/min_password_diff
MIN_PASSWORD_DIGITS Funktion analog zum Profilparameter login/min_password_digits
MIN_PASSWORD_LETTERS Funktion analog zum Profilparameter login/min_password_letters
MIN_PASSWORD_LENGTH Funktion analog zum Profilparameter login/min_password_lng
Tabelle 7.11 Parameter der Sicherheitsrichtlinien
3768.book Seite 283 Mittwoch, 9. März 2016 1:39 13
Systemeinstellungen und Customizing7
284
Mit der Einführung der Sicherheitsrichtlinien gelten nun auch dieRegeln zu den Inhalten der Kennwörter für Benutzer vom Typ Sys-tem und Service. Regeln für die Änderung von Kennwörtern sindweiterhin nicht für diese Benutzertypen gültig. Diese Änderung isterfolgt, da es Ihnen nun möglich ist, für diese Benutzer eigeneSicherheitsrichtlinien zu definieren und so z. B. sicherzustellen, dassweiterhin abwärtskompatible Passwörter für diese Benutzer verwen-det werden.
7.5 Menükonzept
Ein Menükonzept wird häufig verwendet, um den Endbenutzernübersichtliche Benutzermenüs anzubieten. Das Menükonzept bedeu-tet keine Einschränkung von Berechtigungen. Im Folgenden werdenwir Ihnen einen einfachen Vorschlag machen, wie ein Menükonzeptaussehen kann. Dabei gehen wir davon aus, dass Sie entweder das»alte« Bereichsmenü (Transaktion SE43) oder Menüvorlagen, die innicht weiter ausgeprägten Rollen vorgehalten werden, als Schablonefür das Rollenmenü nutzen. Darüber hinaus empfehlen wir lediglich,alle Rollenmenüs auf Basis dieser Schablonen einzurichten.
Präferenzenfür Menüs
Die einzige dringende Anforderung, die an ein Menükonzept zu stellenist, ist die, dass es logisch konsistent sein muss. Ob ein Menükonzeptfür Ihre Organisation sinnvoll ist und ob Sie Ihr Menü auf Standard-,
PASSWORD_CHANGE_INTERVAL Funktion analog zum Profilparameter login/password_expiration_time
CHECK_PASSWORD_BLACKLIST Prüft bei der Eingabe des Kennwortes gegen die Negativliste verbotener Kenn-wörter (es werden die Einträge in der Tabelle USR40 geprüft).
SERVER_LOGON_PRIVILEGE Legt fest, ob sich ein Benutzer trotz gesetzter Zugriffsbeschränkung für einen Server an diesem anmelden kann.
Über den Profilparameter login/ser-ver_logon_restriction können Sie so eine Zugriffsbeschränkung setzen.
Parameter Beschreibung
Tabelle 7.11 Parameter der Sicherheitsrichtlinien (Forts.)
3768.book Seite 284 Mittwoch, 9. März 2016 1:39 13
Auf einen Blick
1 Einleitung ................................................................... 27
TEIL I Betriebswirtschaftliche Konzeption
2 Einführung und Begriffsdefinition ............................... 35
3 Organisation und Berechtigungen .............................. 67
4 Rechtlicher Rahmen – normativer Rahmen ................. 113
5 Berechtigungen in der Prozesssicht ............................. 143
TEIL II Werkzeuge und Berechtigungspflege im SAP-System
6 Technische Grundlagen der Berechtigungspflege ........ 163
7 Systemeinstellungen und Customizing ........................ 241
8 Rollenzuordnung über das Organisations-management .............................................................. 331
9 Zentrales Management von Benutzern und Berechtigungen .......................................................... 341
10 Berechtigungen: Standards und Analyse ..................... 387
11 SAP Access Control .................................................... 419
12 User Management Engine .......................................... 437
TEIL III Berechtigungen in spezifischen SAP-Lösungen
13 Berechtigungen in SAP ERP HCM ............................... 461
14 Berechtigungen in SAP CRM ...................................... 487
15 Berechtigungen in SAP SRM ....................................... 565
16 Berechtigungen in SAP BW ........................................ 589
17 Berechtigungen in der SAP-BusinessObjects-Business-Intelligence-Plattform 4.x ............................. 615
18 RFC-Sicherheit mittels Unified Connectivity ................ 631
19 Berechtigungen in SAP HANA .................................... 649
20 Berechtigungen in SAP S/4HANA ............................... 669
21 SAP Business Suite: Prozesse und Einstellungen .......... 679
22 Konzepte und Vorgehen im Projekt ............................ 759
3768.book Seite 5 Mittwoch, 9. März 2016 1:39 13
7
Inhalt
Vorwort .................................................................................... 21Danksagung .............................................................................. 23
1 Enleitung ................................................................. 27
TEIL I Betriebswirtschaftliche Konzeption
2 Einführung und Begriffsdefinition .......................... 35
2.1 Methodische Überlegungen .................................... 362.1.1 Ansätze für das betriebswirtschaftliche
Berechtigungskonzept ............................... 372.1.2 Beteiligte am Berechtigungskonzept .......... 39
2.2 Compliance ist Regelkonformität ............................ 402.3 Risiko ..................................................................... 412.4 Corporate Governance ............................................ 452.5 Technische vs. betriebswirtschaftliche Bedeutung
des Berechtigungskonzepts ..................................... 472.6 Technische vs. betriebswirtschaftliche Rolle ............ 492.7 Beschreibung von Berechtigungskonzepten ............. 51
2.7.1 Role Based Access Control ......................... 512.7.2 Core RBAC und SAP ERP ........................... 542.7.3 Hierarchical RBAC und SAP ERP –
limitierte Rollenhierarchien ....................... 602.7.4 Hierarchical RBAC und SAP –
allgemeine Rollenhierarchien ..................... 602.7.5 Constrained RBAC ..................................... 612.7.6 Constrained RBAC und SAP ERP ................ 632.7.7 Restriktionen des RBAC-Standards ............. 642.7.8 Beschreibung technischer
Berechtigungskonzepte .............................. 65
3 Organisation und Berechtigungen .......................... 67
3.1 Organisatorische Differenzierung am Beispiel .......... 693.2 Begriff der Organisation .......................................... 713.3 Institutioneller Organisationsbegriff ........................ 72
3768.book Seite 7 Mittwoch, 9. März 2016 1:39 13
Inhalt
8
3.4 Instrumenteller Organisationsbegriff ........................ 763.4.1 Aufbauorganisation .................................... 773.4.2 Aufgabenanalyse ........................................ 85
3.5 Folgerungen aus der Organisationsbetrachtung ....... 903.6 Die Grenzen der Organisation
und das Internet der Dinge ...................................... 913.7 Sichten der Aufbauorganisation in SAP-Systemen .... 92
3.7.1 Organisationsmanagement ......................... 933.7.2 Organisationssicht des externen
Rechnungswesens ...................................... 953.7.3 Organisationssicht des
Haushaltsmanagements .............................. 963.7.4 Organisationssicht der
Kostenstellenstandardhierarchie ................. 973.7.5 Organisationssicht der Profit-Center-
Hierarchie .................................................. 973.7.6 Unternehmensorganisation ........................ 983.7.7 Organisationssicht im Projektsystem .......... 993.7.8 Logistische Organisationssicht .................... 1003.7.9 Integration der Organisationssichten im
Berechtigungskonzept ................................ 1003.8 Organisationsebenen und -strukturen in der SAP
Business Suite .......................................................... 1013.8.1 Organisationsebene »Mandant« ................. 1023.8.2 Relevante Organisationsebenen des
Rechnungswesens ...................................... 1033.8.3 Relevante Organisationsebenen in der
Materialwirtschaft ...................................... 1073.8.4 Relevante Organisationsebenen im
Vertrieb ..................................................... 1083.8.5 Relevante Organisationsebenen in der
Lagerverwaltung ......................................... 1083.8.6 Integration der Organisationsebenen im
Berechtigungskonzept ................................ 1083.9 Hinweise zur Methodik im Projekt ........................... 1103.10 Fazit ........................................................................ 112
4 Rechtlicher Rahmen – normativer Rahmen ............. 113
4.1 Interne und externe Regelungsgrundlagen ............... 1144.2 Internes Kontrollsystem ........................................... 118
3768.book Seite 8 Mittwoch, 9. März 2016 1:39 13
Inhalt
9
4.3 Rechtsquellen des externen Rechnungswesens ........ 1204.3.1 Rechtsquellen und Auswirkungen für den
privaten Sektor .......................................... 1214.3.2 Konkrete Anforderungen an das
Berechtigungskonzept ............................... 1244.4 Datenschutzrecht .................................................... 124
4.4.1 Gesetzliche Definitionen in Bezug auf die Datenverarbeitung ..................................... 128
4.4.2 Rechte des Betroffenen ............................. 1294.4.3 Pflichten in Bezug auf das IKS .................... 1304.4.4 Vereinfachtes Sperren und Löschen per-
sonenbezogener Daten – Auswirkungen auf das Berechtigungskonzept ................... 131
4.4.5 Konkrete Anforderungen an das Berechtigungskonzept ............................... 133
4.4.6 Regelkonformität vs. Datenschutz .............. 1344.5 Allgemeine Anforderungen an ein
Berechtigungskonzept ............................................. 1354.5.1 Identitätsprinzip ........................................ 1374.5.2 Minimalprinzip .......................................... 1374.5.3 Stellenprinzip ............................................ 1384.5.4 Belegprinzip der Buchhaltung .................... 1394.5.5 Belegprinzip der Berechtigungs-
verwaltung ................................................ 1394.5.6 Funktionstrennungsprinzip ........................ 1394.5.7 Genehmigungsprinzip ................................ 1404.5.8 Standardprinzip ......................................... 1404.5.9 Schriftformprinzip ...................................... 1414.5.10 Kontrollprinzip .......................................... 141
4.6 Fazit ....................................................................... 142
5 Berechtigungen in der Prozesssicht ........................ 143
5.1 Prozessübersicht ..................................................... 1435.2 Der Verkaufsprozess ............................................... 1455.3 Der Beschaffungsprozess ......................................... 1515.4 Unterstützungsprozesse .......................................... 1555.5 Maßgaben für die Funktionstrennung ..................... 1585.6 Fazit ....................................................................... 160
3768.book Seite 9 Mittwoch, 9. März 2016 1:39 13
Inhalt
10
TEIL II Werkzeuge und Berechtigungspflege im SAP-System
6 Technische Grundlagen der Berechtigungspflege ... 163
6.1 Benutzer .................................................................. 1636.2 Berechtigungen ....................................................... 173
6.2.1 Berechtigungsfelder und Berechtigungsobjekte ................................. 173
6.2.2 Berechtigungsprüfungen für ABAP-Programme ................................................ 174
6.3 Rollen und Profile .................................................... 1766.3.1 Manuelle Profile und Berechtigungen ......... 1776.3.2 Rollenpflege ............................................... 1786.3.3 Massenpflege von Rollen ........................... 218
6.4 Transfer von Rollen .................................................. 2226.4.1 Rollentransport .......................................... 2236.4.2 Down-/Upload von Rollen ......................... 225
6.5 Benutzerabgleich ..................................................... 2256.6 Vom Trace zur Rolle ................................................ 2276.7 Weitere Auswertungen von
Berechtigungsprüfungen .......................................... 2346.7.1 Auswertung der Berechtigungsprüfung ....... 2346.7.2 Prüfung des Programms ............................. 236
6.8 Fazit ........................................................................ 239
7 Systemeinstellungen und Customizing ................... 241
7.1 Pflege und Nutzung der Vorschläge für den Profilgenerator ........................................................ 2427.1.1 Grundzustand und Pflege der
Berechtigungsvorschlagswerte .................... 2447.1.2 Nutzen der Berechtigungs-
vorschlagswerte ......................................... 2557.2 Traces ...................................................................... 262
7.2.1 Vorgehen beim Berechtigungstrace ............ 2657.2.2 Vorgehen beim Systemtrace ....................... 2697.2.3 Vorgehen beim Benutzertrace .................... 270
7.3 Upgrade-Nacharbeiten von Berechtigungen ............ 2717.4 Parameter für Kennwortregeln ................................. 2787.5 Menükonzept .......................................................... 2847.6 Berechtigungsgruppen ............................................. 290
3768.book Seite 10 Mittwoch, 9. März 2016 1:39 13
Inhalt
11
7.6.1 Optionale Berechtigungsprüfungen auf Berechtigungsgruppen ............................... 292
7.6.2 Tabellenberechtigungen ............................ 2977.6.3 Berechtigungsgruppen von Programmen ... 3037.6.4 Berechtigungsgruppen als
Organisationsebenen ................................. 3047.7 Parameter- und Query-Transaktionen ..................... 305
7.7.1 Parametertransaktion zur Pflege von Tabellen über definierte Views .................. 308
7.7.2 Parametertransaktion zur Ansicht von Tabellen .................................................... 311
7.7.3 Querys in Transaktionen umsetzen ............ 3117.7.4 Zuordnung eines Programms zu einem
Transaktionscode ....................................... 3147.8 Anhebung eines Berechtigungsfeldes zur
Organisationsebene ................................................ 3157.8.1 Auswirkungsanalyse ................................... 3157.8.2 Vorgehen zur Anhebung eines Feldes zur
Organisationsebene ................................... 3197.8.3 Anhebung des Verantwortungsbereichs
zur Organisationsebene ............................. 3217.9 Berechtigungsfelder und -objekte anlegen .............. 323
7.9.1 Berechtigungsfelder anlegen ...................... 3237.9.2 Berechtigungsobjekte anlegen ................... 325
7.10 Weitere Transaktionen der Berechtigungsadministration ................................... 327
7.11 Fazit ....................................................................... 329
8 Rollenzuordnung über das Organisations-management ............................................................ 331
8.1 Grundkonzept des SAP-ERP-HCM-Organisationsmanagements .................................... 332
8.2 Fachliche Voraussetzungen ..................................... 3358.3 Technische Umsetzung ........................................... 335
8.3.1 Voraussetzungen ....................................... 3358.3.2 Technische Grundlagen des SAP-ERP-
HCM-Organisationsmanagements .............. 3368.3.3 Zuweisung von Rollen ............................... 3368.3.4 Auswertungsweg ....................................... 3388.3.5 Benutzerstammabgleich ............................. 339
3768.book Seite 11 Mittwoch, 9. März 2016 1:39 13
Inhalt
12
8.4 Konzeptionelle Besonderheit ................................... 3398.5 Fazit ........................................................................ 340
9 Zentrales Management von Benutzern und Berechtigungen ....................................................... 341
9.1 Grundlagen ............................................................. 3429.1.1 Betriebswirtschaftlicher Hintergrund .......... 3429.1.2 User Lifecycle Management ........................ 3459.1.3 SAP-Lösungen für die zentrale Verwal-
tung von Benutzern .................................... 3489.2 Zentrale Benutzerverwaltung ................................... 348
9.2.1 Vorgehen zur Einrichtung einer ZBV ........... 3509.2.2 Integration mit dem Organisations-
management von SAP ERP HCM ................ 3569.2.3 Integration mit SAP Access Control ............ 357
9.3 SAP Access Control User Access Management ......... 3589.4 SAP Identity Management ....................................... 366
9.4.1 Funktionen ................................................ 3679.4.2 Technische Architektur ............................... 3699.4.3 Komponenten und Architektur in SAP
Identity Management 8.0 ........................... 3739.4.4 Funktionsweise .......................................... 3749.4.5 Integration mit SAP Access Control ............ 382
9.5 Compliant Identity Management ............................. 3839.6 Fazit ........................................................................ 385
10 Berechtigungen: Standards und Analyse ................ 387
10.1 Standards und ihre Analyse ..................................... 38710.1.1 Rolle anstelle von Profil .............................. 38810.1.2 Definition der Rolle über das Menü ........... 38910.1.3 Vorschlagsnutzung ..................................... 39110.1.4 Tabellenberechtigungen ............................. 39110.1.5 Programmausführungsberechtigungen ........ 39210.1.6 Ableitung ................................................... 39310.1.7 Programmierung – Programmier-
richtlinie .................................................... 39410.2 Kritische Transaktionen und Objekte ....................... 39610.3 Allgemeine Auswertungen technischer Standards .... 398
10.3.1 Benutzerinformationssystem ...................... 398
3768.book Seite 12 Mittwoch, 9. März 2016 1:39 13
Inhalt
13
10.3.2 Tabellengestützte Analyse von Berechtigungen ......................................... 402
10.4 AGS Security Services .............................................. 40610.4.1 Secure Operations Standard und Secure
Operations Map ........................................ 40810.4.2 Berechtigungs-Checks im SAP Early-
Watch Alert und Security Optimization Service ...................................................... 409
10.4.3 Reporting über die Zuordnung kritischer Berechtigungen mithilfe der Configuration Validation .................................................. 416
10.5 Fazit ....................................................................... 418
11 SAP Access Control ................................................. 419
11.1 Grundlagen ............................................................. 41911.2 Access Risk Analysis ................................................ 42311.3 Business Role Management .................................... 42911.4 User Access Management ....................................... 43111.5 Emergency Access Management ............................. 43311.6 Fazit ....................................................................... 436
12 User Management Engine ....................................... 437
12.1 Überblick über die UME ......................................... 43812.1.1 UME-Funktionen ....................................... 43812.1.2 Architektur der UME ................................. 44012.1.3 Oberfläche der UME .................................. 44112.1.4 Konfiguration der UME ............................. 442
12.2 Berechtigungskonzept von SAP NetWeaver AS Java ................................................................... 44612.2.1 UME-Rollen .............................................. 44612.2.2 UME-Aktionen .......................................... 44712.2.3 UME-Gruppe ............................................. 44812.2.4 Java-EE-Sicherheitsrollen ........................... 450
12.3 Benutzer- und Rollenadministration mit der UME ... 45112.3.1 Voraussetzungen zur Benutzer- und
Rollenadministration ................................. 45112.3.2 Administration von Benutzern ................... 45212.3.3 Benutzertypen ........................................... 45312.3.4 Administration von UME-Rollen ................ 454
3768.book Seite 13 Mittwoch, 9. März 2016 1:39 13
Inhalt
14
12.3.5 Administration von UME-Gruppen ............. 45612.3.6 Tracing und Logging ................................... 456
12.4 Fazit ........................................................................ 458
TEIL III Berechtigungen in spezifischen SAP-Lösungen
13 Berechtigungen in SAP ERP HCM ........................... 461
13.1 Grundlagen ............................................................. 46113.2 Besondere Anforderungen von SAP ERP HCM ......... 46213.3 Berechtigungen und Rollen ..................................... 464
13.3.1 Berechtigungsrelevante Attribute in SAP ERP HCM ................................................... 464
13.3.2 Beispiel »Personalmaßnahme« .................... 46613.4 Berechtigungshauptschalter ..................................... 47013.5 Organisationsmanagement und indirekte
Rollenzuordnung ..................................................... 47213.6 Strukturelle Berechtigungen .................................... 474
13.6.1 Strukturelles Berechtigungsprofil ................ 47513.6.2 Auswertungsweg ........................................ 47613.6.3 Strukturelle Berechtigungen und
Performance ............................................... 47813.6.4 Anmerkung zu strukturellen
Berechtigungen .......................................... 47813.7 Kontextsensitive Berechtigungen ............................. 47913.8 Zeitabhängiges Sperren personenbezogener
Daten ...................................................................... 48113.8.1 Zeitabhängige Berechtigungsprüfung –
Grundsätzliches .......................................... 48113.8.2 Ablauf der zeitabhängigen
Berechtigungsprüfung ................................ 48313.8.3 Einrichten der zeitabhängigen
Berechtigungsprüfung ................................ 48313.9 Fazit ........................................................................ 486
14 Berechtigungen in SAP CRM ................................... 487
14.1 Grundlagen ............................................................. 48814.1.1 Die SAP-CRM-Oberfläche: der CRM Web
Client ......................................................... 488
3768.book Seite 14 Mittwoch, 9. März 2016 1:39 13
Inhalt
15
14.1.2 Erstellen von Benutzerrollen für den CRM Web Client ................................................ 496
14.2 Abhängigkeiten zwischen der Benutzerrolle und PFCG-Rollen ........................................................... 498
14.3 Erstellen von PFCG-Rollen abhängig von Benutzerrollen ........................................................ 50014.3.1 Voraussetzungen für das Erstellen von
PFCG-Rollen .............................................. 50014.3.2 Erstellen von PFCG-Rollen ......................... 503
14.4 Zuweisen von Benutzerrollen und PFCG-Rollen ...... 50814.5 Beispiele für Berechtigungen in SAP CRM ............... 517
14.5.1 Berechtigen von Oberflächen-komponenten ............................................ 517
14.5.2 Berechtigen von Transaktions-starter-Links .............................................. 526
14.5.3 Sonstige Berechtigungsmöglichkeiten für den CRM Web Client ................................. 528
14.5.4 Berechtigen von Stammdaten .................... 53014.5.5 Berechtigen von Geschäftsvorgängen ......... 53314.5.6 Berechtigen von Attributgruppen .............. 54314.5.7 Berechtigen von Marketingelementen ....... 544
14.6 Fehlersuche im CRM Web Client ............................ 54614.7 Access Control Engine ............................................. 54914.8 Fazit ....................................................................... 563
15 Berechtigungen in SAP SRM ................................... 565
15.1 Grundlagen ............................................................. 56515.2 Berechtigungsvergabe in SAP SRM .......................... 568
15.2.1 Berechtigen der Oberflächenmenüs ........... 57215.2.2 Berechtigen typischer Geschäftsvorgänge .. 574
15.3 Fazit ....................................................................... 588
16 Berechtigungen in SAP BW .................................... 589
16.1 OLTP-Berechtigungen ............................................. 59016.2 Analyseberechtigungen ........................................... 593
16.2.1 Grundlagen ............................................... 59316.2.2 Schrankenprinzip ....................................... 59516.2.3 Transaktion RSECADMIN .......................... 59616.2.4 Berechtigungspflege .................................. 596
3768.book Seite 15 Mittwoch, 9. März 2016 1:39 13
Inhalt
16
16.2.5 Massenpflege ............................................. 60016.2.6 Zuordnung zu Benutzern ............................ 60016.2.7 Analyse und Berechtigungsprotokoll .......... 60416.2.8 Generierung ............................................... 60716.2.9 Berechtigungsmigration .............................. 609
16.3 Modellierung von Berechtigungen in SAP BW ......... 61016.3.1 InfoProvider-basierte Modelle .................... 61116.3.2 Merkmalsbasierte Modelle ......................... 61116.3.3 Gemischte Modelle .................................... 612
16.4 RBAC-Modell .......................................................... 61216.5 Fazit ........................................................................ 614
17 Berechtigungen in der SAP-BusinessObjects-Business-Intelligence-Plattform 4.x ....................... 615
17.1 Berechtigungskonzept ............................................. 61617.1.1 Benutzer und Benutzergruppen .................. 61717.1.2 Objekte, Ordner, Kategorien ...................... 62017.1.3 Zugriffsberechtigungen ............................... 621
17.2 Interaktion mit SAP BW .......................................... 62417.2.1 System für Endbenutzer anschließen .......... 62517.2.2 Beispiel einer Anwendung: Query in Web
Intelligence einbinden ................................ 62617.3 Fazit ........................................................................ 628
18 RFC-Sicherheit mittels Unified Connectivity .......... 631
18.1 RFC-Sicherheit im Überblick .................................... 63218.2 Das Konzept von Unified Connectivity ..................... 63418.3 UCON einrichten und betreiben .............................. 63718.4 Zusammenspiel von UCON und Berechtigungs-
prüfungen auf Funktionsbausteine ........................... 64118.5 Fazit ........................................................................ 648
19 Berechtigungen in SAP HANA ................................. 649
19.1 Anwendungsszenarien von SAP HANA .................... 65019.2 Architektur von SAP HANA ..................................... 651
19.2.1 Sicherheitsarchitektur in SAP HANA ........... 65419.2.2 Objekte des Berechtigungswesens in
SAP HANA ................................................. 656
3768.book Seite 16 Mittwoch, 9. März 2016 1:39 13
Inhalt
17
19.3 Benutzerverwaltung in SAP HANA .......................... 65719.4 Berechtigungen in SAP HANA ................................. 660
19.4.1 Privilegien in SAP HANA ........................... 66019.4.2 Rollen in SAP HANA .................................. 66419.4.3 Beispiel für Berechtigungen in
SAP HANA ................................................ 66519.5 Fazit ....................................................................... 667
20 Berechtigungen in SAP S/4HANA ........................... 669
20.1 Überblick ................................................................ 66920.2 Fiori-Anwendungsrollen anlegen ............................. 67020.3 Kontinuität im Benutzermanagement ...................... 67720.4 Fazit ....................................................................... 677
21 SAP Business Suite: Prozesse und Einstellungen ... 679
21.1 Grundlagen ............................................................. 68021.1.1 Stamm- und Bewegungsdaten ................... 68021.1.2 Organisationsebenen ................................. 681
21.2 Berechtigungen im Finanzwesen ............................. 68221.2.1 Organisatorische Differenzierungs-
kriterien .................................................... 68321.2.2 Stammdaten .............................................. 68521.2.3 Buchungen ................................................ 69721.2.4 Zahllauf ..................................................... 702
21.3 Berechtigungen im Controlling ................................ 70421.3.1 Organisatorische Differenzierungs-
kriterien .................................................... 70521.3.2 Stammdatenpflege .................................... 70621.3.3 Buchungen ................................................ 71521.3.4 Altes und neues Berechtigungskonzept
im Controlling ........................................... 71821.4 Berechtigungen in der Logistik (allgemein) .............. 718
21.4.1 Organisatorische Differenzierungs-kriterien .................................................... 719
21.4.2 Materialstamm/Materialart ........................ 72021.5 Berechtigungen im Einkauf ..................................... 724
21.5.1 Stammdatenpflege .................................... 72421.5.2 Beschaffungsabwicklung ............................ 724
21.6 Berechtigungen im Vertrieb .................................... 731
3768.book Seite 17 Mittwoch, 9. März 2016 1:39 13
Inhalt
18
21.6.1 Stammdatenpflege ..................................... 73121.6.2 Verkaufsabwicklung ................................... 732
21.7 Berechtigungen in technischen Prozessen ................ 73521.7.1 Funktionstrennung in der
Berechtigungsverwaltung ........................... 73621.7.2 Funktionstrennung im Transportwesen ....... 74021.7.3 RFC-Berechtigungen .................................. 74221.7.4 Debugging-Berechtigungen ........................ 74321.7.5 Mandantenänderung .................................. 74421.7.6 Änderungsprotokollierung .......................... 74521.7.7 Batchberechtigungen ................................. 746
21.8 Vereinfachtes Sperren und Löschen personen-bezogener Daten in der SAP Business Suite ............. 74721.8.1 Konzept des vereinfachten Sperrens und
Löschens personenbezogener Daten ........... 74821.8.2 Funktion in der SAP Business Suite ............. 75121.8.3 Berechtigungen für gesperrte Daten
verwalten ................................................... 75421.9 Fazit ........................................................................ 757
22 Konzepte und Vorgehen im Projekt ........................ 759
22.1 Berechtigungskonzept im Projekt ............................ 76022.2 Vorgehensmodell .................................................... 762
22.2.1 Logischer Ansatz ........................................ 76322.2.2 Implementierung ....................................... 76522.2.3 Redesign .................................................... 76622.2.4 Konkretes Vorgehen ................................... 767
22.3 SAP-Best-Practices-Template-Rollenkonzept ........... 77122.3.1 SAP Best Practices ...................................... 77122.3.2 SAP-Template-Rollen ................................. 77222.3.3 Methodische Vorgehensweise des SAP-
Best-Practices-Rollenkonzepts .................... 77422.3.4 Einsatz mit SAP Access Control .................. 77722.3.5 Template-Rollen für SAP HANA ................. 778
22.4 Inhalte eines Berechtigungskonzepts ....................... 77822.4.1 Einleitung und normativer Rahmen des
Konzepts .................................................... 77922.4.2 Technischer Rahmen .................................. 78122.4.3 Risikobetrachtung ...................................... 78122.4.4 Person – Benutzer – Berechtigung .............. 782
3768.book Seite 18 Mittwoch, 9. März 2016 1:39 13
Inhalt
19
22.4.5 Berechtigungsverwaltung ........................... 78322.4.6 Organisatorische Differenzierung ............... 78422.4.7 Prozessdokumentation .............................. 78422.4.8 Rollendokumentation ................................ 785
22.5 Schritte zum Berechtigungskonzept ........................ 78522.5.1 Rahmenkonzept und Projektmitglieder ...... 78522.5.2 Rollenkonzept ........................................... 78622.5.3 Rollenimplementierung ............................. 79122.5.4 Tests und Zuordnung zu Benutzern ............ 791
22.6 Fazit ....................................................................... 792
Anhang ........................................................................... 793
A Abkürzungsverzeichnis ...................................................... 795
B Glossar .............................................................................. 799
C Literaturverzeichnis ........................................................... 815
D Die Autoren ...................................................................... 823
Index ........................................................................................ 827
3768.book Seite 19 Mittwoch, 9. März 2016 1:39 13
827
Index
0BI_ALL 601, 603, 6040TCAACTVT 594, 596, 6130TCAIPROV 594, 596, 611, 6130TCAKYFNM 5940TCAVALID 594, 596, 597, 613
A
ABAP 799ABAP Dictionary 799ABAP-Benutzertyp 454Abgabenordnung 799abgeleitete Rolle 578Ablauforganisation 71, 799
betriebswirtschaftliches Berechtigungs-konzept 124
ID Management 346Ableitung von Rollen
Abweichung 393Manipulation 393Referenzrolle 212Standards 393
Ableitungskonzept 209, 315, 799Abstraktion 769AcceleratedSAP � ASAPAccess Control Engine � ACEAccess Control List 554, 560,
634, 799Access Control � SAP Access ControlAccess Risk Analysis � ARAACE 488, 549, 799ACE Design Report 556ACE-Aktionsgruppe 799ACE-Aktivierungs-Tool 557ACE-Aktualisierungs-Tool 559ACE-Benutzergruppe 551, 799ACE-Laufzeitreport 558ACE-Recht 551, 799ACE-Regel 550, 551, 552, 799ACL 634Active Directory 799
SAP ID Management 366Actors from Object 552Actors from User 552Ad-hoc Query 307, 800Aggregationsberechtigung 597, 606
AGS Security Services 406AktG 800Aktiengesetz � AktGAktionsgruppe 551, 552Aktivität im Berechtigungskonzept 89Aktortyp 552, 800ALE 350alternative Hierarchien 711, 800
Controlling 97Ampelfarben 193Analyse von Berechtigungs-
prüfungen 234Analyseberechtigungen 589, 593, 595Analyse-Synthese-Konzept 80Analytics 567analytische Privilegien 662Angebot im Verkaufsprozess 146ANSI INCITS 51Anspruchsgruppen 39Anwendungen in entfernten
verbundenen Systemen 186Anwendungskatalog
SAP S/4HANA 672Anwendungsrollen
SAP S/4HANA 671Anzeigeattribute 594Application Link Enabling � ALEApplication Programming Interface
(API) 441Applikationsprivilegien 661, 664ARA 422, 799Arbeitspaket 80, 553, 800Archivierung 593ARIS 38, 800ASAP 37, 800Attributgruppe 517, 543Audit 39, 256, 402, 682, 800Aufbauorganisation 71, 77, 79, 800
betriebswirtschaftliches Berechtigungs-konzept 124
SAP ERP 92Aufgabe 39, 49, 77, 80, 86, 768, 800
Berechtigungskonzept 88Funktionstrennungskonflikt 769
Aufgabenanalyse 85, 767, 800Aufgabensynthese 86, 768
3768.book Seite 827 Mittwoch, 9. März 2016 1:39 13
828
Index
Aufgabenanalyse (Forts.)Berechtigungskonzept 49Objektanalyse 85Stelle 87Stellen- und Abteilungsbildung 87Verrichtungsanalyse 85
Auftragsart 106, 800Auftragsbearbeiter 571Auftragserfassung im Verkaufs-
prozess 146Auftragsposition 146Auktion 566Auswertung
Profilzuordnung 388über Status 390
Auswertungsweg 476, 800Organisationsmanagement 333
Authentifizierung in SAP HANA 660Authority-Check 175, 236, 800
B
BANF 153, 728, 800Barriereprinzip � SchrankenprinzipBatchbenutzer 746Batchberechtigungen 746BDSG 126, 801Beleg 575, 577, 801
Bewegungsdaten 681Belegpositionsdaten 154Belegprinzip 139Benachrichtigungseinstellung im
Workflow 363Benachrichtigungs-E-Mail 445Benutzer 163, 511, 617, 801
Benutzerpflege 165Dialogbenutzer 164HCM-OM 465Kommunikationsbenutzer 165Mandant 165Person 166Protokollierungen von System-
zugriffen 166Referenzbenutzer 165SAP HANA 656Servicebenutzer 165Systembenutzer 165
Benutzer synchronisieren (ZBV) 353Benutzerabgleich 215, 225
Benutzeradministration 573Benutzeranlage 167Benutzerauthentifizierung 169Benutzerdaten im Organisations-
management 344Benutzerfehler 42Benutzerfestwerte 169Benutzergruppe 168, 513, 574, 587,
617, 618, 801Benutzerinformationssystem 398Benutzerkontext 553, 559Benutzerkonto 342, 345Benutzermenü 498, 505Benutzerparameter 170, 515
CRM_UI_PROFILE 515ZBV 349
Benutzerrolle 492, 493, 496, 498, 500, 503, 507, 510, 512, 514, 516, 518, 801Zuweisung 508
Benutzerstammabgleich 339, 801Benutzerstammsatz 437, 513
Elemente 165ID Management, Attribute 349ZBV, zentrale und dezentrale
Pflege 353Benutzertrace 264Benutzertyp 165, 168, 453, 801Benutzerverwalter 736Benutzerverwaltung (Java) 438Benutzer-Workflow 801Benutzerzuordnung 601Berechtigung 173, 801
Debug/Replace 413deklarative 450ID Management, regelbasiertes 344kontextsensitive 479kritische 44Nummer 197programmatische 451Standards 387tabellengestützte Analyse 402Upgrade 259Vertragsverhältnis 344verweigern 622vorschlagsbasierte 391
Berechtigungs-Check 409im EWA 411im SOS 413kundenspezifischer 415
3768.book Seite 828 Mittwoch, 9. März 2016 1:39 13
829
Index
Berechtigungs-Check (Forts.)Struktur 411
Berechtigungsdifferenzierung 79Berechtigungserstellung 438Berechtigungsfeld 173, 801
ACTVT 174, 613anlegen 323LL_TGT 527LL_TYPE 527RESPAREA 319, 709, 710, 810
Berechtigungsgruppe 290, 292, 303, 530, 801Debitor 146Haushaltsmanagement 292optionale Prüfung 292organisatorisches Unterscheidungs-
merkmal 304Tabellenzugriff 292
Berechtigungshauptschalter 801HCM 470
Berechtigungskonzept 80, 446, 496, 526, 801Anforderungen 135Aufgabenanalyse 49Aufwand 38Beschreibung 51betriebswirtschaftliches 37, 49Blueprints 760Corporate Governance 49Definition 35, 47, 48Erweiterungsprojekt 760Funktionstrennung 762heterogene Systemlandschaften 760IKS 760Inhalte 49komponentenbezogenes 37Kosten der Prävention 49Kosteneinsparung 761Partizipation 39positives 47Revision 760SAP BusinessObjects 616SAP-Einführung 760Stammdaten 680Standardisierung von Geschäfts-
prozessen 760Standards 760technisches 48, 65Upgrade 760Verfahrenssicht 761
Berechtigungsmigration 609Berechtigungsobjekt 173, 257, 396,
502, 567, 572, 575, 580, 801/SAPCND/CM 585B_BUPA_GRP 530B_BUPA_RLT 530, 585B_BUPR_BZT 532BBP_BUDGET 586BBP_CTR_2 582BBP_FUNCT 585, 586BBP_PD_AUC 578BBP_PD_BID 579BBP_PD_CNF 579BBP_PD_CTR 578, 582BBP_PD_INV 579BBP_PD_PCO 579BBP_PD_PO 579BBP_PD_QUO 579BBP_PD_SC 579BBP_PD_VL 579BBP_SUS_P2 583BBP_SUS_PD 583BBP_VEND 587C_CABN 543C_KLAH_BKL 544C_KLAH_BKP 543C_LL_TGT 527C_TCLA_BKA 544COM_ASET 584COM_PRD 532, 584COM_PRD_CT 532CRM_ACE_MD 560CRM_ACT 541CRM_BPROLE 530CRM_CMP 541CRM_CO_PU 541CRM_CO_SA 541CRM_CO_SE 541CRM_CO_SL 541CRM_CON_SE 541CRM_CPG 544CRM_CPGAGR 544CRM_CPGCTP 544CRM_CPGRES 544CRM_LEAD 541CRM_OPP 541CRM_ORD_LP 535, 540CRM_ORD_OE 542CRM_ORD_OP 534CRM_ORD_PR 541
3768.book Seite 829 Mittwoch, 9. März 2016 1:39 13
830
Index
Berechtigungsobjekt (Forts.)CRM_SAO 541CRM_SEO 541F_REGU_BUK 702F_REGU_KOA 702K_CCA 711K_VRGNG 716P_PERNR 469P_TCODE 470S_BDC_MONI 397S_CTS_ADMI 741S_DEVELOP 392, 396, 397, 744S_LOG_COM 397S_PROGNAM 176, 303S_PROGRAM 303S_RFC 176, 397, 641S_RS_ALVL 590S_RS_AUTH 591, 602S_RS_HIST 591S_RS_ICUBE 591S_RS_ISNEW 590S_RS_PLSE 590S_RS_PLSQ 590S_RSEC 591S_SERVICE 176S_START 176S_TABU_DIS 303, 305, 392,
396, 560, 641S_TABU_NAM 299S_TCODE 389, 502, 506
Standardberechtigung 197S_USER_AGR 739S_USER_PRO 740S_USER_SAS 739SAP HANA 656UIU_COMP 500, 503, 506, 517,
521, 528V_VBAK_AAT 733V_VBAK_VKO 733
BerechtigungspflegeALV-Sicht 190Drag & Drop 203generische Pflege 195regelbasierte Pflege 255
BerechtigungsprofilNutzung ausschließen 388
Berechtigungsprotokoll 604, 605Berechtigungsprüfung 595Berechtigungsrelevanz 591, 594, 596
Berechtigungstrace 227, 263, 546, 643
Berechtigungstyp 598Berechtigungsvergabe
objektorientierte 620Berechtigungsvorschlag 185Berechtigungsvorschlagswert 177Berechtigungsvorschlagswerte 645Bereichsmenü 801Bereichsstartseite 489, 493, 494, 495,
496, 505, 517, 520, 801Beschaffungsprozess
Bestellung 151Bewegungsart 154Buchungskreis 152Einkäufergruppe 153Einkaufsorganisation 152Freigabeverfahren 153Lagerort 154Lieferant 151Rechnungsprüfung 151Wareneingang 151
Bestellanforderung � BANFBestellung 726
Beschaffungsprozess 151Bewegungsdaten 681
betrieblicher Datenschutz 126Betriebsrat 74, 802
Datenschutz 125, 129Betriebsverfassung 74, 802betriebswirtschaftliches Berechti-
gungskonzept 760, 802Ablauforganisation 124Anforderungen 124Aufbauorganisation 124Benutzertypen 165Berechtigungsverwaltung 783Cross System Integration 762Datenschutz 124Datenschutzvorschriften 780funktionale Differenzierung 761Funktionstrennung 124Genehmigung 780Genehmigungsprinzip 783Grundprinzipien 136grüne Wiese 765IKS 778Implementierung 763Inhalte 39, 778institutioneller Rahmen 780
3768.book Seite 830 Mittwoch, 9. März 2016 1:39 13
831
Index
betriebswirtschaftliches Berechti-gungskonzept (Forts.)Konfiguration 782kritische Aktion 124Methode der Benutzerpflege 782Methode der Berechtigungspflege 781minimale Normen 780Mitbestimmung 780Organisationsabbildung 766organisatorische Differenzierung
762, 784Prozessabbildung 766Rechnungslegungsvorschriften 780Rechtsform 72Redesign 763, 766Risikobetrachtung 781Schriftform 124Schriftformprinzip 779Standardprinzip 784Stellenprinzip 783Systemlandschaft 781Teilkonzept 761Vieraugenprinzip 784
Bewegungsart im Beschaffungs-prozess 154
Bewegungsdaten 681BI Launchpad 616Bieter 570BRF+ 361BRM 422, 802Browser 488BSP 488, 573, 802BSP-Applikation 488, 492, 501BSP-Komponente 500Buchhaltungsbeleg 154Buchungen
Controlling 715Finanzbuchhaltung 698
Buchungskreis 95, 103, 802Beschaffungsprozess 152Customizing 683Verkaufsprozess 146
Bundesdatenschutzgesetz � BDSGBusiness Planning and Simulation
� BW-BPSBusiness Role 492Business Role Management � BRMBusiness Server Pages � BSPBusinessObjects-Server
� SAP-BusinessObjects-BI-Plattform
Business-Rolle 770BW-Berechtigungen 610BW-Berechtigungsobjekte 592
S_RS_AUTH 591S_RSEC 591
BW-Berechtigungsprüfung 606BW-BPS 590
C
Catalog Content Management 566Central Management Console � CMCCheckpoint 548
CRM_UIF_NAV_AUTH 548Cloud Edition 669
SAP S/4HANA Cloud Edition 669CMC 616CobiT 116Compliance 36, 40, 47, 802Compliant Identity Management 384Computing Center Management
System (CCMS) 641Configuration Tool 442Configuration Validation 410, 416Constrained RBAC 61, 63Controlling 156Core RBAC 53, 54Corporate Governance 36, 45, 802
Definition 46Managementaufgabe 46Organisation 47
COSO-Rahmenkonzept 116CRM Web Client 487, 488, 494, 496,
498, 500, 501, 511, 514, 802Anmeldung 516
CRM_UI_PROFILE 515CRM-Business-Objekt 488, 802CRM-Navigationsleiste 489Cross-Navigation 526Crystal Reports 620Customizing 487
Buchungskreis 683Einkäufergruppe 719Einkaufsorganisation 719Faktura 734Funktionsbereich 684Gesellschaft 683Kostenrechnungskreis 705Lagerort 720
3768.book Seite 831 Mittwoch, 9. März 2016 1:39 13
832
Index
Customizing (Forts.)Organisationsebene 681Profitcenter 710Sparte 720Verkäufergruppe 719Verkaufsorganisation 719Vertriebsauftragsart 732Vertriebsweg 720Werk 719
D
Dashboards � SAP BusinessObjectsData Browser 298, 802
Zugriff ausschließen 391DataStore-Objekte � DSODatenquelle 443, 444, 452, 624Datenschutz 802
betrieblicher 126Definition von personenbezogenen
Daten 127elektronische Datenverarbeitung 126IKS 130Logging 134Protokollierung der Programm-
nutzung 134Safe Harbor Privacy Principles 126Schweiz 127sensitive Daten 127
Datenschutzgesetze der Länder 126, 802
Datenschutzleitfaden 116Datenschutzrecht 124Datenschutzrichtlinien 125Datenselektion 595Datenübermittlung (Datenschutz) 129Datenverarbeitung (Datenschutz) 128Debitor 802
Feldstatusgruppenpflege 689Funktionstrennung 146Stammdaten 685Stammdatum 731Verkaufsprozess 145Vieraugenprinzip 146
Debitorenbuchhaltung 145Debitorenpflege
buchhalterische Sicht 145logistische Sicht 145zentrale Sicht 145
Debug/Replace 413Debugging 803
Berechtigungen 743deduktiver Ansatz 111Definition von personenbezogenen
Daten 127deklarative Berechtigung 450detektivische Kontrolle 119, 421, 427Dialogbenutzer 164, 803
keine Profile 388Dienstleistungsbeschaffung 566Differenzierungsschema 87Directory Server Log 457direkter Programmaufruf 304Dokumente zu Bewegungsdaten 593DSO 607Dynamic Separation of Duty 61, 63
E
EAM 202, 422, 433, 803Eingabekontrolle 130Einkauf, Berechtigungsprüfung für
Sachkonten 729Einkäuferadministrator 570Einkäufergruppe 107, 567, 577, 587,
803Beschaffungsprozess 153Customizing 719
Einkaufsorganisation 107, 567, 568, 572, 575, 577, 587, 803Beschaffungsprozess 152Customizing 719
Einkaufswagen 566, 569, 574, 576, 577, 579
Einlinienorganisation 77, 97Elementarfunktion 768E-Mail-Konto 342Emergency Access Management
� EAMEnd User Personalization � EUPEndbenutzer
verbotene Transaktionen 396Enjoy-Transaktion 252, 726, 803Ergebnisbereich 105erweiterte Stammdatenprüfung im
Berechtigungshauptschalter 470EUP 363EWA 411Excluding 597
3768.book Seite 832 Mittwoch, 9. März 2016 1:39 13
833
Index
Expertenmodus zur Profil-generierung 198
externe Regeln 39externer Service 500, 501, 502, 505,
507, 803
F
F2-Hilfe 518, 522Faktura 732, 803
Customizing 734Verkaufsprozess 148
Fakturaart 734FDA 765Fehlersuche 549
im CRM Web Client 546Feldstatusgruppen 803Feldstatusgruppenpflege
Debitor 689Kreditor 689
Festwerte 169Filterprinzip 595Finanzbuchhaltung 95, 803Finanzkreis 96Finanzpositionenhierarchie 96Finanzstellenhierarchie 96Fiori 669Fiori Launchpad 670Firmenadresse (ZBV) 353Fonds 96Food and Drug Administration � FDAFreigabestrategie 803
Beschaffung 725Beschaffungsprozess 153Finanzwesen 699
Führungsaufgaben 36Funktionsbereich 95, 104, 803
Berechtigungsgruppe 684Customizing 684
Funktionstrennung 43, 139, 420, 736, 803betriebswirtschaftliches Berechtigungs-
konzept 124Debitor 146Definition 44, 123dynamische 61, 63GoBS 123im Transportwesen 740Intersystemkonflikt 150
Funktionstrennung (Forts.)Intrasystemkonflikt 150Konfiguration 770Kosten 45Maßgaben 158Rollenzuweisung 359statische 61, 63unzureichende 760Zahllauf 703
Funktionstrennungskonflikt 39, 44, 420, 767, 803Identitätsprinzip 166
Funktionstrennungsprinzip 139
G
GDPdU 121Genehmigungsprinzip 140, 803Genehmigungsprozess 803
SAP ID Management 368, 381Genehmigungsverfahren 79Genehmigungsworkflow 587General Data Protection
Regulation 804General IT Controls 130Generierung 602, 607, 608generische Pflege S_TCODE 389generischer Link 526Geschäftsbereich 95, 103, 105, 804Geschäftspartner 74, 145, 511, 517,
530, 567, 575, 584, 585, 804Geschäftspartnerbeziehung 532Geschäftspartnermanagement 93Geschäftspartnerrolle 530Geschäftsprozess 81, 679, 804Geschäftsrollenhierarchie 804
SAP ID Management 377Geschäftsvorgang 511, 517, 533Geschäftsvorgangsart 536, 804Geschäftsvorgangstyp 541, 581, 804Gesellschaft 95
Customizing 683Gesetz zur Kontrolle und Transparenz
in Unternehmen � KonTraGGoB 120, 121, 139, 804GoBD 122, 804GoBS 121, 804Grundsätze ordnungsgemäßer Buch-
führung � GoB
3768.book Seite 833 Mittwoch, 9. März 2016 1:39 13
834
Index
Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme � GoBS
Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen 804
Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff 804
Gruppe mit direkten Links 489, 494, 804
Gültigkeitsbereich 598
H
HANA � SAP HANAHandelsgesetzbuch � HGBHashwert 505HGB 120, 805Hierarchical RBAC 57, 60Hierarchieberechtigungen 596, 597Hierarchiestruktur 598Hosting 805Hostingpartner 75, 805
I
IAM 671IC Web Client 487, 805Identitätsprinzip 137, 167, 805Identity and Access Management
� IAMIdentity Management 137, 342,
366, 439Identity Services 368Identity Store 376IKS 118, 805
Berechtigungskonzept 119COSO 116Datenschutz 130Definition 118Grundlagen 118Risikobeurteilung 116
Implementierungsmethoden 765Inbound-Plug 501, 503, 518, 805indirekte Rollenzuordnung 472, 805
Organisationsmanagement 333
induktiver Ansatz 112, 763InfoObjects 593InfoProvider 611Information und Kommunikation
� IKSInfotyp 465, 805
0105 (Kommunikation) 335IT0105 (Kommunikation) 468Tabellen 466
Initiator 361In-Memory � SAP HANAInnenauftrag 713, 805institutioneller Organisations-
begriff 71Regelkonformität 117
instrumenteller Organisations-begriff 71, 76
Integration der Organisations-sichten 100
Integrierte Planung 593, 609Interaktionskanäle 487interne Regeln 72Internes Kontrollsystem � IKSIntervallberechtigungen 596Intervallpflege S_TCODE 389IT Infrastructure Library � ITILIT-Grundschutzkatalog 805ITIL 116ITS 805
J
J2EE-Sicherheitsrolle 805Java 438Java Connector � JCoJava-Benutzertyp 454Java-EE-Sicherheitsrolle 446, 450JCo 444, 805juristische Person 71
K
Kalkulationsschema 732, 805Kameralistik 120Kategorie 621Kennwort 167
Gültigkeitsdauer 281Missbrauch 167
Kennworthistorie 281
3768.book Seite 834 Mittwoch, 9. März 2016 1:39 13
835
Index
Kennwortregel 167, 278, 445Kennzahl 594Kernprozess 144Klassifikation 543Kommunikationsbenutzer 444kompensierende Kontrolle 421, 805Komponentenfenster 501, 503,
518, 522Komponentenname 501, 518, 522Komponenten-Plug 522Kondition 585
Verkauf 731Verkaufsprozess 146
Konditionen 806Konditionsart 585Konditionsfindung 146Konditionspflege 731Konfiguration der UME 442Konnektor 806
SAP ID Management 368Kontengruppe 146, 296, 686Kontenplan 103, 806Kontextlösung 479, 806
Berechtigungshauptschalter 470kontextsensitive Berechtigungen 479,
806Kontierungsobjekt 97, 806
als Unterscheidungsmerkmal 84CO 156
KonTraG 121, 804, 806Kontrollaktivitäten (IKS) 116Kontrolle 806
detektivische 421, 427kompensierende 421präventive 427
Kontrollprinzip 141Kontrollumfeld im IKS 116Kopfblock 495Kosten und Leistungen 715Kostenart 706, 806Kostenrechnungskreis 104, 705, 806Kostenstelle 97, 707, 806Kostenstellenhierarchie 82, 92, 97,
98, 806Kostenstellenrechnung 97Kostenstellenstandardhierarchie 97,
105, 705Kreditkontrolle 732Kreditor 151, 806
Feldstatusgruppenpflege 689
Kreditor (Forts.)Stammdaten 685Vieraugenprinzip 152
Kreditorenbuchhaltung 151, 570Kreditorenkonto 151kriminelle Handlung 42kritische Aktion 39, 44, 806
betriebswirtschaftliches Berechtigungs-konzept 124
Datenschutz 133Definition 44, 124
kritische Berechtigung 44, 806Definition 44GoBS 123
kritische Berechtigungsobjekte 396kritische Transaktionen 396Kunde
Geschäftspartner und Berechtigungen 94
Stammdatum 731Verkaufsprozess 145
kundeneigene Transaktion 807Kunden-Exit 599kurative Maßnahmen 43
L
Lagerort 108, 807Beschaffungsprozess 154Customizing 720
LaufbahnZugriffsrechte 342
Layoutprofil 495LDAP 438, 807LDAP-Verzeichnis 438, 444legale Normen 72, 114Leistungserbringer 571Leistungsverrechnung 156Lieferant 570, 573, 574, 586, 587
Beschaffungsprozess 151Geschäftspartner und
Berechtigungen 94Stammdaten 680
Lieferantenadministrator 571Lieferantenbeziehung 565Lieferantenqualifizierung 566Lieferplan 732Liefersperre im Verkaufsprozess 148Lieferung im Verkaufsprozess 147
3768.book Seite 835 Mittwoch, 9. März 2016 1:39 13
836
Index
Lightweight Directory Access Protocol � LDAP
Linienorganisation 79, 807Organisationsmanagement 332
Linienvorgesetzter 84, 807Link, generischer � generischer LinkLinkgruppe 493Log Viewer 457Logging 456, 807logischer Link 489, 493, 496, 503,
505, 517, 520, 807logisches System 807
ZBV 350Logondaten 168Löschen personenbezogener
Daten 747
M
Manager 569Mandant 102, 807manueller Zahlungsausgang 700Marketingelement 517, 544Marketingmerkmal 543Massenpflege Berechtigungen 192,
203, 218, 600Maßnahmen
kurative 43präventive 43
Material 146, 807Materialart 721, 807Materialnummer 154Materialstamm 680, 720Matrixorganisation 807MaxAttention 407MDX 593Mehrlinienorganisation 77, 78Menü 505, 807Menüschalter im Customizing 287Metarollenhierarchie in SAP ID
Management 377Metarollenmodell 347Minimalprinzip 137
GoBS 123Missbrauch des Kennwortes 167Mitarbeiter 569
Geschäftspartner und Berechtigungen 94
Mitarbeitergruppe in HCM-OM 466Mitarbeiterkreis in HCM-OM 466
Mitbestimmung 74, 129Mobile Client 487Monitoring 807
Datenschutz 134Multidimensional Expressions � MDXMuster 596
N
Navigationsleiste 489, 497Navigationsleistenprofil 492, 493,
495, 498, 518, 807Nebenbuchhaltung 145, 807neues Berechtigungskonzept im
Controlling 718Norm 808
Vorschlagswerte 259normativ 808normativer Rahmen
Organisation 118Regelkonformität 117
Notfallbenutzer 166, 396, 808Notfalluser-Management 63
O
Oberflächenberechtigung 487, 517Objects by Filter 552Objektkontext 554, 559Objektprivilegien 661Objekttyp 465, 551OLAP 653, 808OLAP-Verbindungen 625OLTP 653, 808OneOrder-Objekt 808Online Analytical Processing � OLAPOnline Transaction Processing
� OLTPOn-Premise Edition
SAP S/4HANA On-Premise Edition 669
Operational Contract Management 566
operativer Einkäufer 569operativer Kontrakt 566optionale Prüfung 808Ordner 620Ordnerberechtigung 624Ordnerfreigabe 342
3768.book Seite 836 Mittwoch, 9. März 2016 1:39 13
837
Index
Organisation 808Ablauforganisation 71Aufbauorganisation 71, 77Begriff 71Einlinienorganisation 77institutioneller Begriff 71, 72, 117instrumenteller Begriff 71, 76Linienorganisation 71, 77Organisationsformen 71Projektorganisation 71Prozessmodell 72Rechenschaftspflichten 76Rechtsform 73Rechtsnormen 73Stelle 87zentrale Unterscheidungs-
merkmale 109Organisationsebene 101, 808
Auswertung der Nutzung 767Berechtigungen 101Customizing 681Definition in Bezug auf
Berechtigungen 102erstellen 315kundeneigene 101Stammdaten 680Zuordnung 682
Organisationsebenenpflege 193Organisationseinheit 508
HCM-OM 465ID Management 344
Organisationsmanagement 332, 472, 705, 808Auswertungsweg 333Benutzerdaten 344indirekte Rollenzuordnung 333Linienorganisation 332Metarolle 379Organisationseinheiten 332Person 332Planstelle 332SAP ID Management und SAP Access
Control 384SAP Identity Management 367Stelle 332ZBV 356
Organisationsmodell 508, 511, 512, 513, 514, 516, 535, 536, 537, 567, 568, 569, 575, 587
Organisationsschlüssel in HCM-OM 466
Organisationszweck 808Regelkonformität 117
organisatorische Differenzierung 808organisatorische Konzepte
in SAP ERP 93
P
Paket 309Parameter 170
auth/authorization_trace 265, 644auth/no_check_in_some_cases 250auth/rfc_authority_check 641login/ password_change_waittime
281login/ password_expiration_time 281login/ password_history_size 281login/accept_sso2_ticket 279login/failed_user_auto_unlock 279login/fails_to_session_end 279login/fails_to_user_lock 280login/min_password_diff 280login/min_password_digits 280login/min_password_letters 280login/min_password_lng 280login/min_password_lowercase 280login/min_password_specials 281login/min_password_uppercase 281login/password_downwards_
compatibility 281login/password_max_idle_initial 281login/password_max_idle_
productive 281ucon/rfc/active 639
Parameter CustomizingADD_COMPOSITE_ROLES 223ALL_USER_MENUS_OFF 288CLIENT_SET_FOR_ROLES 224COLL_READ_LEVEL_1 288CONDENSE_MENU 288CONDENSE_MENU_PFCG 288CUSTOMER_MENU_OFF 288DELETE_DOUBLE_TCODES 288GEN_PSW_MAX_DIGITS 282GEN_PSW_MAX_LENGTH 282GEN_PSW_MAX_LETTERS 282GEN_PSW_MAX_SPECIALS 282
3768.book Seite 837 Mittwoch, 9. März 2016 1:39 13
838
Index
Parameter Customizing (Forts.)PERSDAT_TRANSPORT 223PROFILE_TRANSPORT 223SAP_MENU_OFF 288SGL_ROLES_TRANSPORT 223US_ASGM_TRANSPORT 223
Parameter SicherheitsrichtlinieCHECK_PASSWORD_BLACKLIST
284DISABLE_TICKET_LOGON 283MAX_FAILED_PASSWORD_
LOGON_ATTEMPTS 283MIN_PASSWORD_DIFFERENCE
283MIN_PASSWORD_DIGITS 283MIN_PASSWORD_LENGTH 283MIN_PASSWORD_LETTERS 283PASSWORD_CHANGE_INTERVAL
284SERVER_LOGON_PRIVILEGE 284
Parametertransaktionen 308, 808Partner Channel Management 550Partnerfunktion 533, 808Path 364People-Centric UI 487Permission 446, 447, 808Persistenzmanager 441, 809Person 809
Geschäftspartner und Berechtigungen 94
ID Management 344Organisationsmanagement 332, 465
Personalbereich in HCM-OM 466Personalisierung 492, 587Personalnummer, Berechtigungs-
hauptschalter 470Personalrat 74
Datenschutz 125personenbezogene Daten 747PFCG-Rolle 179, 449, 452, 487, 493,
495, 496, 498, 500, 503, 505, 512, 514, 550, 567, 568, 574Ableitungskonzept 209Benutzerabgleich 215Expertenmodus zur Profil-
generierung 198Zuweisung 508
Plan-Driven Procurement � planungs-gesteuerte Beschaffung
Planstelle 508, 510, 512, 513, 575, 809HCM-OM 465ID Management 344Organisationsmanagement 332
planungsgesteuerte Beschaffung 566, 570
Planungsstatus in HCM-OM 466Planvariante in HCM-OM 465Portalberechtigung 567, 568Portalintegration 488Portalrolle 437, 573, 588, 809Position
Zugriffsrechte 342präventive Kontrolle 119, 427, 809präventive Maßnahmen 43, 809Primärkosten 156, 809Primärkostenart 706Prinzipale 619, 623Privilegien in SAP HANA 656, 660Privilegientypen
Repository-Privilegien 661Produkt 530, 532Profil 177, 388, 514
ZBV 349Profilanalyse 388Profilart 495Profilgenerator 388, 809Profilname 189Profilpflege 388Profilverwalter 736Profilzuordnung 172, 388Profit-Center 105, 710, 809Profit-Center-Hierarchie 97, 705Programm
Berechtigungsprüfung 394kundeneigenes 394
programmatische Berechtigung 451programmatische Berechtigungs-
prüfung 447Programmausführungs-
berechtigung 392Programmierrichtlinie 394Projektorganisation 77, 79Projektstrukturplan 99Protokollierung 809Protokollierungen von System-
zugriffen eines Benutzers 166Prozess 81, 809Prozesskontrolle 43, 809
3768.book Seite 838 Mittwoch, 9. März 2016 1:39 13
839
Index
Prozessmodell 38Prozessorganisation 77Prüfkennzeichen 250Prüfung der rechnerischen
Richtigkeit 151Prüfung der sachlichen
Richtigkeit 151
Q
Query 306, 311, 391, 594, 809Questionnaire im SOS 414QuickView 391
R
Radierverbot 809Debugging 44
RBAC 51Begriffe 52, 55Component 52Constrained 61, 63Core 53, 54Hierarchical 57, 60Kernelemente 52Objects 52Operations 52Permission 54Permissions 53Restriktionen 64Roles 53Session 53Session_Roles 53Subordinate Role 58, 60Superior Role 58Übertragung auf BW 612Übertragung auf SAP ERP 54User 53User_Sessions 53
RBAC-Standard Rollenkonzept 51rechnerische Richtigkeit 809Rechnungslegungsgrundsätze 73Rechnungsprüfung 730
Beschaffungsprozess 151Rechnungssteller 571Rechtsnormen 73Rechtsquellen für das externes
Rechnungswesen 120redundanzfreies Menü 285
Referenzbeleg 732Referenzbenutzer 172, 809
ZBV 349Referenzrolle 212, 809Regel
externe 39interne 39
Regelkonformität 41, 114, 810Branche 118Compliance 40Datenschutzleitfaden 116Gebot 115ID Management 346internationale Normen 114IT-Grundschutzkatalog 116Kontrolle 40normativer Rahmen 117Organisation 40Rechtsform 115, 117rechtsgleiche Normen 115Schaden 41Sicherheitsleitfäden von SAP 116soziale Normen 114Stakeholder-Normen 114Standards 114Verbot 115Vertrag 118vertragliche Normen 114Vorschlagswerte 260Ziel 47
Regelwerk 419, 423Regelwerk der Organisation 39Remote Function Call � RFCRemote Function Module � RFMRemote Services für die Sicherheit
407remotefähige Funktionsbausteine 631Report
CRMD_UI_ROLE_ASSIGN 513, 514CRMD_UI_ROLE_PREPARE 504,
517CRMD_UI_ROLE_REPARE 507PFCG_ORGFIELD_CREATE (Profilge-
nerator:Neues Org.-Ebenen-Feld anlegen) 319
PFCG_ORGFIELD_ROLES 321PFCG_ORGFIELD_UPGRADE (Anpas-
sung nach Upgrade für neue Org.-Ebenen ausführen) 275
3768.book Seite 839 Mittwoch, 9. März 2016 1:39 13
840
Index
Report (Forts.)PFCG_TIME_DEPENDENCY (Massen-
abgleich) 339RHAUTUPD_NEW (Abgleich Benut-
zerstamm) 339RSPARAM (Anzeige der SAP-Profil-
parameter) 278Report Painter 810Report Writer 810Reporting-Berechtigungen 609Repository-Privilegien 661, 663Requester 577RFC 165, 631, 742, 810
Berechtigungen 742Trusted 742Untrusted 742ZBV 351
RFC-Destinationen 632RFC-Statistiksätze 643RFC-Verbindungen 632RFM 631Risiko
aktivitätsbezogenes 41Definition 41Definition für Berechtigungen 43Funktionstrennung 43Grenzen der Erfassung 44Kosten der Erfassung 45Organisationsziel 41prozessuales 41strategisches 41
Risikomanagement 42Role Based Access Control
RBAC 52Role Based Access Control � RBACRolle 49, 176, 388, 810
abgeleitete 393ableiten 209Ableitungskonzept 209Anwendungen in entfernten
verbundenen Systemen 186Automatisierung 227Benutzerabgleich 215Berechtigungen ermitteln 227Berechtigungen, Ampel 193Berechtigungstrace 227betriebswirtschaftliche 50Definition durch Transaktionen 389Definiton 178Download 225
Rolle (Forts.)Einzelrolle 60, 181Expertenmodus zur Profil-
generierung 198generische Pflege 195HCM-OM 465Hierarchie 59Menü 184, 185Menü aus anderer Rolle 185Namenskonvention 179Organisationsebenen 193Pflegestatus von Berechtigungen 196,
208Profilgenerator 178Profilname 189Referenzrolle 212Sammelrolle 60, 181, 216SAP HANA 656, 664stellenbasierte Vergabe 90Systemtrace 232technische 50Trace 227Trace auswerten 232Transport 223Upgrade 272Upload 225Web-Dynpro-Anwendungen 186Web-Dynpro-Konfigurationen 186ZBV 349Zuordnung 170
Rollenadministrator 736Rollenhierarchie
allgemeine 59, 60limitierte 59, 60
Rollenimport 617Rollenkonfigurationsschlüssel 495,
810Rollenkonzept im RBAC 51Rollenmanager 810Rollenmenü 505Rollenpflege 389Rollentransport 223Route Mapping 364RSECADMIN (Analyseberechtigungen)
596RSECAUTH (Analyseberechtigungen
pflegen) 596
3768.book Seite 840 Mittwoch, 9. März 2016 1:39 13
841
Index
S
SAAB 548SACF 633Sachkontenstammsatz 686Sachkonto
Stammdaten 680, 685sachliche Richtigkeit 810Safe Harbor Privacy Principles 810Sammelrolle 216, 516
Kontext Organisation 90Sammelrollen 620SAP Access Control 362, 419, 762,
785, 810Access Risk Analysis (ARA) 422, 799Benutzerverwaltung 358Benutzer-Workflow 431BRF+ 360, 361, 362Business Process 423Business Role Management (BRM)
422, 429, 802Detour 364Emergency Access Management (EAM)
422, 433, 803End User Personalization 361, 363Funktion 424Funktionstrennungskonflikt 423,
424HANA 659ID Management und Organisations-
management 384Initiator 361kompensierende Kontrolle 424, 426Kontrolleur 434kritische Aktion 423, 424kritische Berechtigungen 423, 424MSMP-Workflow 360Path 361, 364Regeln 426Regelwerk 419, 423Risiko 423Route Mapping 361, 364Routing 433SAP ID Management 382Segregation of Duties (SoD) 423Stage 361, 432Standardregelwerk 426Superuser-ID 434User Access Management (UAM)
348, 357, 422, 431, 813
SAP Access Control (Forts.)Verantwortlicher 435Vorschlagswerte 260Workflow 359ZBV 357
SAP Active Global Support 407SAP Business Suite 487SAP Business Suite on SAP HANA 650SAP BusinessObjects 615, 626
BI-Plattform 615CMC 616Dashboards 620Web Intelligence 620, 626
SAP BW 566, 589SAP CRM 487SAP Customer Relationship
Management � SAP CRMSAP DB Control Center 652SAP EarlyWatch Alert 103SAP EarlyWatch Alert � EWASAP End-to-End Solution Operations
Standard for Security � Secure Operations Standard
SAP Enterprise Portal 437, 441, 567, 568, 573, 574, 588
SAP Enterprise Support 407SAP ERP 566SAP Gateway 633
reginfo 634secinfo 634
SAP GUI 487, 488, 502, 511, 516SAP HANA 649
analytische Privilegien 661, 662, 666Anwendungsszenarien 650Applikationsprivilegien 661, 664Architektur 651Audit Logging 655Authentifizierung 654, 660Benutzer 656Benutzertypen 657Benutzerverwaltung 658DBMS 658HALM 654In-Memory 811In-Memory-Technologie 652Katalogobjekt 653Objekt 656Objekte Berechtigungswesen 656Objektprivilegien 661Owner-Konzept 653
3768.book Seite 841 Mittwoch, 9. März 2016 1:39 13
842
Index
SAP HANA (Forts.)Passwort-Sicherheitsrichtlinien 660Privileg 656Privilegien 660Repository 653Repository-Objekte 653Repository-Objekte transportieren
654Repository-Privilegien 661, 663Restricted User 657Rolle 656, 664Rollenhierarchie 664SAP Identity Management 659Sicherheitsarchitektur 654, 655SSL-Verschlüsselung 655Standard User 657SYSTEM-Benutzer 658Systemprivilegien 661Transaktion SU01 658
SAP HANA Appliance 651SAP HANA Cockpit 652SAP HANA Datenbank 651, 811SAP HANA Live 650SAP HANA Persistenz 650, 811SAP HANA Realtime-Analysen 650,
811SAP HANA Security Guide 660SAP HANA Studio 651, 654SAP HANA View 650SAP HANA XS 652SAP Identity Management 348, 438
Genehmigungsprozess 381HANA-Anbindung 659Organisationsmanagement 384SAP Access Control 382Self-Services 381Vertretungsregelung 381
SAP Information Lifecycle Manage-ment (ILM) 750
SAP NetWeaver Application ServerSAP NetWeaver AS ABAP 567, 574
SAP NetWeaver Application Server ABAP � SAP NetWeaver AS ABAP
SAP NetWeaver Application Server Java � SAP NetWeaver AS Java
SAP NetWeaver AS ABAP 437SAP NetWeaver AS Java 437SAP S/4HANA 669SAP Security Baseline 416SAP Solution Manager 408, 785
SAP SRM 437, 565Berechtigungsvergabe 568Oberfläche 567
SAP Supplier Relationship Manage-ment � SAP SRM
SAP_ALL 75, 602SAP_CRM_UIU_FRAMEWORK 514,
525SAP_J2EE_ADMIN 452SAP_NEW 277SAP-Benutzerkonto
ID Management 342SAP-Best-Practices-Ansatz 771SAP-Best-Practices-Template
Rollen 772Rollenkatalog 773Rollenkonzept 771
SAP-EinführungTeilprojekt Berechtigungen 38
SAP-Fiori-Applikationen 669SAPJSF 444SapWorkDir-Verzeichnis 504Sarbanes-Oxley Act � SOXSatzung 73schaltbaren Berechtigungsprüfungs-
szenarien 633Schrankenprinzip 595Schriftformprinzip 35, 141, 811Schutzbedarfsanalyse 764Secure Network Communication 633Secure Network Communications
� SNCSecure Operations Map 408, 409Secure Operations Standard 408Security Audit Log 456Security Log 456Security Optimization Service � SOSSegregation of Duties � Funktions-
trennungSekundärkosten 156, 811Sekundärkostenart 706Self-Service 566, 569, 570, 574, 577
SAP ID Management 381Self-Service Procurement 566sensitive Daten 811
Datenschutz 127Service Procurement 566Service, externer � externer ServiceSession_Roles in RBAC 53Sicherheitskonzept 443, 445
3768.book Seite 842 Mittwoch, 9. März 2016 1:39 13
843
Index
Single Sign-on � SSOSNC 169, 633SOS 409
Questionnaire 414Whitelist 414
SOX 811soziale Normen
Definition 117Regelkonformität 114
Sparte 108, 811Customizing 720Verkaufsprozess 146
Sperren personenbezogener Daten 747
Spezialmerkmale 594, 596SQL-Trace (Datenschutz) 134SRM-Geschäftsprozesse 568SRM-Geschäftsszenarien 565, 573SRM-Geschäftsvorgänge 574SRM-Server 574SRM-Standardrolle 565SSO 169, 279, 440, 626, 811SSO-Ticket 279staatlicher Zugriff auf Daten 115Stage 362Staging 593Stakeholder 76Stakeholder-Ansatz 39, 812Stakeholder-Normen
Definition 117Regelkonformität 114
Stammdaten 511, 530, 575, 584, 680Berechtigungskonzept 680Controlling 704
Stammdatenprüfung im Berechti-gungshauptschalter 470
Standardberechtigung im S_TCODE 197
Standardprinzip 140Standardrolle 525, 568, 571, 574Standards 812
Berechtigungen 387Standards und internationale
Normen 115Standardtransaktionen
Vorschlagswerte 259Startberechtigung
externer Service 176RFC-Funktionsbaustein 176Service mit Objektkatalogeintrag 176
Startberechtigung (Forts.)Web-Dynpro-Anwendung 176Web-Dynpro-Konfiguration 176
Startberechtigungsprüfung 175Startmenü 169Static Separation of Duty 61, 63Status
Berechtigungsobjekt 257gepflegt 197, 209, 258manuell 209, 257Standard 196, 208, 258verändert 257
Stelle 77, 87, 768, 812HCM-OM 465ID Management 344Organisationsmanagement 332
Stellenprinzip 138Strategic Sourcing 566strategische Bezugsquellenfindung
566strategischer Einkäufer 569strukturelle Berechtigungen 812
Berechtigungshauptschalter 470Organisationsmanagement 472organisatorische Differenzierung 474Risikoanalyse 478SAP Access Control 479
strukturelle Profile 349, 475, 812Subordinate Role 58Subtyp 465Suchseiten 491, 495Superior Role 58Superobjekttypen 551Supplier Qualification 566Supplier Self-Service 570, 574, 575,
586Switchable Authorization Check Fra-
mework 633Systembenutzer 444, 812Systemprivilegien 661Systemtrace 232, 265, 268, 546, 642Systemzugriff 343
T
TabelleAGR_1251 394AGR_DEFINE 394Berechtigungsadministration 403
3768.book Seite 843 Mittwoch, 9. März 2016 1:39 13
844
Index
Tabelle (Forts.)CRMC_UI_COMP_IP 521, 524SSM_CUST 287TSTC 395USOBT 500USOBT_C 500USOBX 263USOBX_C 500USR10 388UST04 389
Tabellenberechtigung 391Tabellenzugriffsrecht 392technisches Berechtigungskonzept
812technisches Profil 495Teilaufgabe 39, 80, 86, 768, 812
Berechtigungskonzept 88Tochtersystem (ZBV) 351Toleranzzeitraum, Berechtigungs-
hauptschalter 470Trace 227, 262, 456, 812
Benutzertrace 264Berechtigungstrace 263Systemtrace 264
Trace-Datei 457Transaktion 812
Berechtigungspflege 328CRMC_UI_NBLINKS 493, 520CRMC_UI_PROFILE 496, 519DBCO 658Endbenutzer 396entfernen 258F-28 (Zahlungseingang buchen) 700F-53 (Zahlungsausgang buchen) 700FB60 (Kreditorenrechnung erfassen)
699FB70 (Debitorenrechnung erfassen)
699HR:OOAC (Berechtigungshauptschal-
ter) 470KA01 (Kostenart anlegen) 706KA02 (Kostenart ändern) 706KA06 (Kostenart sekundär: anlegen)
706KCHN5N (Standardhierarchie ändern)
712KE51 (Profit-Center anlegen) 712KE52 (Profit-Center ändern) 712Kreditorenpflege 294kritische 396
Transaktion (Forts.)KS01 (Kostenstelle anlegen) 707KS02 (Kostenstelle ändern) 707KSH1 (Kostenstellengruppe anlegen)
708LISTCUBE 593ME21N (Bestellung anlegen) 726ME22N (Bestellung ändern) 726ME23N (Bestellung anzeigen) 252,
726MIGO (Warenbewegung) 729MIR7 (Wareneingang vorerfassen)
730MIRO (Eingangsrechnung erfassen)
698, 730OKEON (Kostenstellenstandard-
hierarchie ändern) 707OKKP (Sicht Komponenten aktivieren/
Steuerungskennzeichen ändern) 711
PA30 (Personalstammdaten pflegen) 467
PA40 (Personalmaßnahme) 336PA40 (Pflege über Personal-
maßnahmen) 467PFCG (Pflege von Rollen) 179, 400PFCGMASSVAL 218PFUD 226PFUD (Abgleich Benutzerstamm)
339PPOCA_BBP 576PPOMA_BBP 567, 568, 576PPOMA_CRM 508PPOME (Organisation und Besetzung
ändern) 336RSECADMIN (Analyseberechtigungen)
596RSECAUTH (Analyseberechtigungen
pflegen) 596RSU01 (Benutzerzuordnung BW)
601RSUDO 604RZ10 (Pflege der Profilparameter)
278RZ11 (Pflege der Profilparameter)
264RZ11 (Profilparameter) 745S_ALR_87101219 392SA38 303
3768.book Seite 844 Mittwoch, 9. März 2016 1:39 13
845
Index
Transaktion (Forts.)SA38 (Programmausführung) 319,
392, 396, 504, 513SAAB 548SCC4 (Mandantenverwaltung) 744SE13 (Speicher-Param. für Tabellen
pflegen) 745SE16 (Data Browser) 298, 392, 395,
521SE16N (Allgemeine Tabellenanzeige)
306SE17 (Allgemeine Tabellenanzeige)
306SE38 (ABAP Editor) 395SE54 (Generierung Tabellensicht)
302SE80 (Object Navigator) 236SE93 (Transaktionspflege) 308SM12 (Sperren anzeigen und löschen)
398SM13 (Verbuchungssätze adminis-
trieren) 398SM30 (Aufruf View-Pflege) 306SM35 (Batch-Input-Monitoring) 397ST01 546, 549START_REPORT 303SU01 658SU01 (Benutzerpflege) 167, 349,
511, 514, 573SU02 (Profile) 388SU20 (Pflege der Berechtigungs-
felder) 323SU21 (Pflege der Berechtigungs-
objekte) 325, 544, 580SU22 (Pflege der Zuordnung von
Berechtigungsobjekten) 502SU24 (Berechtigungsobjektprüfung
unter Transaktion) 502, 507SU24 (Pflege der Berechtigungsvor-
schlagswerte) 500SU25 (Upgrade-Tool für den Profil-
generator) 259, 272SU53 (Auswertung der Berechtigungs-
prüfung) 234, 547SUB% 303SUIM (Benutzerinformationssystem)
398, 547VF01 (Anlegen Faktura) 698VF01 (Faktura anlegen) 735VF02 (Ändern Faktura) 698
Transaktion (Forts.)VF02 (Faktura ändern) 735VK31 (Konditionen anlegen) 731VK32 (Konditionen ändern) 731VK33 (Konditionen anzeigen) 731VL01N (Lieferung anlegen) 734VL02N (Lieferung ändern) 734
Transaktionscode 812Transaktionsstarter 526Transportauftrag Vorschlagswerte
253True and Fair View 48, 704, 779, 812Trusted RFC 742
U
UAM 348, 357, 422, 431, 813Übersichtsseite 491, 495Überwachung im IKS 116UCON 632, 634
Auswertungsphase 636, 641Communication Assembly (CA) 635Endphase 637, 641Protokollierungsphase 640Protokollphase 636RFC-Basisszenario 637Rollenbau-Szenario 646Setup 637
UI-Komponente 488, 500, 503, 506, 517
UME 437, 447, 451, 813Architektur 440Benutzer 451Benutzeroberfläche 441Datenquelle 439, 443Import- und Exportfunktion 439Sicherheitseinstellung 439
UME-Aktion 446, 447, 451, 813UME-Funktionen 438UME-Gruppe 446, 448, 451, 456,
574, 813UME-Konfiguration 442, 454UME-Rolle 446, 451, 454, 455, 813Unified Connectivity � UCONunkritische Berechtigungen 135, 813Unterdrückung der Berechtigungs-
prüfung 250Unternehmensorganisation 98, 705,
813
3768.book Seite 845 Mittwoch, 9. März 2016 1:39 13
846
Index
Unterordner 622Unterstellungsverhältnis 79Untrusted RFC 742Upgrade 813
Berechtigungen 259, 272Kosten 256Projekt 278Rolle 259, 272Teilprojekt Berechtigungen 38
User 813User Access Management � UAMUser Lifecycle Management 345, 813User Management Engine � UMEUser_Sessions in RBAC 53
V
Variablen 596, 599Veränderungshistorie in SAP ID
Management 368Verantwortungsbereich 813Verfahrensverzeichnis 130
Datenschutz 133Verfügbarkeitskontrolle 130Verkäufergruppe 537, 813
Customizing 719Verkaufsbelegart im Verkaufsprozess
147Verkaufsorganisation 108, 537, 813
Customizing 719Verkaufsprozess 145
Angebot 146Auftragserfassung 146Buchungskreis 146Debitor 145Faktura 148Konditionen 146Kunde 145Liefersperre 148Lieferung 147Sparte 146Verkaufsbelegart 147Verkaufsorganisation 146Vertriebsweg 146Zahlungseingang 149
Verrichtung 39, 80Berechtigungskonzept 88
Versand 732
Verteilung von Benutzerdaten in SAP Identity Management 374
vertragliche NormenDefinition 116Regelkonformität 114
VertragsverhältnisBerechtigungen 344
Vertretungsregelung in SAP ID Management 381
VertriebsauftragsartCustomizing 732Risiko 732
Vertriebsorganisation 542Vertriebsweg 108
Customizing 720Verkaufsprozess 146
Vieraugenprinzip 813asymmetrisches 693Benutzer- und Berechtigungs-
administration 784Debitor 146Debitorenbuchhaltung 693Kreditor 152symmetrisches 693
View 492, 501Vorgangsart 541, 581Vorschlagsnutzung 391Vorschlagswert 389, 391, 500, 502
normativer Nutzen 259Regelkonformität 260Standardtransaktionen 259Tabellen und ihre Relation 253Ziel 259
W
Wareneingang im Beschaffungsprozess 151, 154
Warenversender 571Warenzusteller 570Web Dynpro 441, 443Web Dynpro für ABAP 572Web Intelligence � SAP BusinessOb-
jectsWebservices 165Weitergabekontrolle 130Werk 107, 814
Customizing 719
3768.book Seite 846 Mittwoch, 9. März 2016 1:39 13
847
Index
Workflow 814Benachrichtigungseinstellung 363
X
X-509 660
Z
Zahllauf 149, 151, 814Finanzwesen 702
Zahlungseingang im Verkaufsprozess 149
Zahlungsprogramm im Finanzwesen 702
ZBV 348, 814Definition 349logisches System 350Organisationsmanagement 356SAP Access Control 357Tochtersystem 351UAM 357, 358zentraler Pflegemandant 350
Zentrale Benutzerverwaltung � ZBVzentraler Pflegemandant (ZBV) 350Ziel-ID 520, 521, 524Zugangskontrolle 131Zugriffsberechtigung 621, 622
vordefinierte 623Zugriffskontrolle 131Zuordnungsblock 490, 491, 495, 814Zutrittskontrolle 130
3768.book Seite 847 Mittwoch, 9. März 2016 1:39 13
Wir hoffen sehr, dass Ihnen diese Leseprobe gefallen hat. Sie dürfen sie gerne empfehlen und weitergeben, allerdings nur vollständig mit allen Seiten. Bitte beachten Sie, dass der Funktionsumfang dieser Leseprobe sowie ihre Darstel-lung von der E-Book-Fassung des vorgestellten Buches abweichen können. Diese Leseprobe ist in all ihren Teilen urheberrechtlich geschützt. Alle Nut-zungs- und Verwertungsrechte liegen beim Autor und beim Verlag.
Teilen Sie Ihre Leseerfahrung mit uns!
Volker Lehnert ist seit 2000 bei SAP in unterschiedlichen Positionen in den Bereichen Compliance und Sicherheit tätig.
Katharina Stelzner (geb. Bonitz) arbeitet seit 2006 als Technologiebera-terin für die SAP Deutschland AG.
Anna Otto arbeitet seit 2007 als GRC-Beraterin für die SAP Deutschland AG und war zwischenzeitlich ebenfalls als GRC-Beraterin für die SAP (Schweiz) AG tätig.
Dr. Peter John hat das neue Konzept der Analyseberechtigungen als Nachfolger der vorherigen Reportingberechtigungen in BW entworfen und entwickelt.
Volker Lehnert, Katharina Stelzner, Anna Otto, Peter John
SAP-Berechtigungswesen – Konzeption und Realisierung847 Seiten, gebunden, 3. Auflage 2016 79,90 Euro, ISBN 978-3-8362-3768-0
www.sap-press.de/3849
SAP-Wissen aus erster Hand.
top related