Teil 7: Adaptive Sicherheit bei SAP-Berechtigungen

So konfigurieren Sie eine Aufgabentrennung

Die Regularien der Good Manufacturing Practice (GMP) setzen eine funktionierende Arbeitsteilung in den Herstell- und Distributionsprozessen eines Unternehmens voraus. Diese spiegelt sich idealerweise auch in Ihrem SAP-System wider. Erfahren Sie, wie Sie Ihr SAP-System mit Hilfe kritischer SAP-Berechtigungen sicher einrichten.

In SAP-ECC stellen Sie über das SAP-Berechtigungskonzept die Funktionsteilung für die Benutzer ein. Dabei werden jeder „Aktion“ eine oder mehrere SAP-Systemfunktionen, sogenannte „SAP-Transaktionen“, zugeordnet. Eine SAP-Transaktion kann unterschiedliche Operationen oder Aktivitäten wie z. B. Schreiben, Lesen oder Löschvormerkung setzen mit den Daten ausführen.

Kritische Felder in Berechtigungsobjekten

Zu kritischen Feldern in Berechtigungsobjekten zählen beispielsweise Kostenstellen, Buchungskreise, Lager oder Werke. Hier müssen die kritischen SAP-Berechtigungen im SAP-Berechtigungskonzept bis auf die Ebene der Felder und Feldwerte (Berechtigungsobjekten) spezifiziert werden. Dabei legt der Programmierer fest, welche Berechtigungen und Werte abgefragt werden. Er kann dabei auch ungewünschte Prüfungen ausschalten (prüfen über Transaktionskode SU22).

Infobox SAP-Berechtigungsobjekte:

SAP-Mandanten sind im Wesentlichen eigenständige Geschäftseinheiten innerhalb des SAP-Systems. Jeder Mandant hat einerseits seine eigenen separaten Stammsätze und andererseits einen Satz von "mandantenunabhängigen (also systemeigenen, für alle Mandanten geltenden) Tabellen“. Innerhalb des Mandanten kann nach verschiedenen organisatorischen Einheiten (wie Lager, Vertriebsorganisation, Einkaufsorganisation usw.) unterschieden werden, und die Autorisierungen können entsprechend aufgebaut werden.

Sichere Anmeldung im SAP-System

Meldet sich ein SAP-Anwender am System an, so prüft die über die Transaktion gestartete SAP-Anwendung beim Aufruf, ob der aufrufende Benutzer über die notwendigen Berechtigungen verfügt, die angeforderte Operation auf den durch die Applikation angesprochenen Daten auszuführen.
Die SAP-Transaktionen werden in sogenannte „technische Rollen“ (Sammelprofile) zusammengeführt. Jeder Anwender erhält dabei eine oder mehrere technische Rollen. Diese können abhängig von der Geschäftsanwendung auch Webseiten, Dienste, Remote-Funktionsaufrufe, Handscanner oder andere Funktionen betreffen. Mehrfachanmeldungen im selben SAP-System und speziell von einem SAP-Mandanten sollten verhindert werden.
Eine Autorisierungsmatrix hilft Ihnen dabei, den Zugriff auf Daten im SAP-System mithilfe von Berechtigungsobjekten zu beschränken.

Beispiele kritischer SAP-Berechtigungen:

  • Alle Berechtigungsobjekte, die mit dem Präfix "S_" beginnen. Damit werden in der Regel Systemrollen gekennzeichnet.
  • Alle Profile und Rollen, die von SAP im Auslieferungszustand enthalten sind und auf "_ALL" enden, sind als kritisch anzusehen, da damit in der Regel alle Berechtigungen erteilt werden.
  • Alle Rollen, die die Zeichenkette "ADM" enthalten, sind als kritisch anzusehen, da diese in der Regel administrative Rollen bezeichnen.

Melden Sie sich an, um Beispiele von GMP-kritischen SAP-Transaktionscodes downzuloaden. 

Pflichtfelder sind mit einem Stern (*) markiert.

Anrede

Benutzeranmeldung

Geben Sie Ihre E-Mail-Adresse und Ihr Passwort ein, um sich anzumelden. Pflichtfelder sind mit einem Stern (*) markiert.

Sie möchten mit dem Autor Kontakt aufnehmen?
Schreiben Sie an: l.vandeurse@how2lifescience.com

Bildquelle: © Nmedia, Fotolia

Kommentare

Noch nicht bewertet

Es gibt noch keine Kommentare

Kommentar hinterlassen

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung.

Einverstanden