Konzepte der SAP Security
Alten Stand lesen und mit den neuen Daten abgleichen
Mit diesen Informationen gewappnet, geht es an die Konzeptarbeit. Beschreiben Sie, welche Mitarbeitergruppen welcher Organisationseinheiten welche Applikationen nutzen, und legen Sie den Umfang der Nutzung fest. Nehmen Sie in der Beschreibung auf, für welche organisatorischen Zugriffe (Organisationsebenen, aber auch Kostenstellen, Organisationseinheiten usw.) die Organisationseinheit je Applikation berechtigt sein soll; bilden Sie also die Aufbauorganisation ab. Halten Sie unbedingt auch fest, welche zwingenden Funktionstrennungen zu berücksichtigen sind. Dadurch erhalten Sie eine recht detaillierte Beschreibung, die im Prinzip schon betriebswirtschaftliche Rollen (in Bezug auf das System) ausweist.
Die für das System verantwortlichen Personen sollten Rollenbeschreibungen am besten vorab mit Ihren Fachbereichen erarbeiten und außerhalb von SAP SuccessFactors dokumentieren (wie bspw. in Abb. 2). Bei Rückfragen können sie mit dieser Grundlage genau erklären, warum jemand eine bestimmte Berechtigung bekommen hat. Die Rollenbeschreibungen und der Bericht helfen dabei, DSGVO-konform zu arbeiten. Da sich der Bericht automatisch aktualisiert, haben Unternehmen keinen zusätzlichen Aufwand für das Dokumentieren der Änderungen – eine ungeliebte (und oft „vergessene“) Aufgabe weniger.
Einführung & Best Practices
Wenn der Systemtrace Berechtigungsdaten für dieses Berechtigungsobjekt aufgezeichnet hat, werden diese im rechten Bereich des Fensters angezeigt. Im linken Bereich sehen Sie die bereits vorhandenen Vorschlagswerte. Wenn Ihnen auffällt, dass Vorschlagswerte fehlen, die Sie für notwendig halten und die vom Trace aufgezeichnet wurden, können Sie die Vorschlagswerte auf Ja setzen, indem Sie die entsprechende Zeile, die Spalte oder das Feld im rechten Bereich markieren und auf den Button Übernehmen klicken. Es steht Ihnen frei, noch manuelle Anpassungen an den Feldwerten vorzunehmen. Bestätigen Sie anschließend die Pflege, und Ihre Änderungen sind für dieses Berechtigungsobjekt gespeichert. Gehen Sie genauso für alle weiteren Berechtigungsobjekte vor.
So viele Informationen... wie kann man die aufheben, so dass man sie bei Bedarf wiederfindet? Scribble Papers ist ein "Zettelkasten", mit dem das sehr einfach möglich ist.
Grundsätzlich sollten Sie beachten, dass in der Benutzer- und Berechtigungsverwaltung nicht alle relevanten Änderungsbelege eines Systems vorhanden sind. In der Regel erfolgt die Berechtigungsadministration im Entwicklungssystem; daher entstehen die relevanten Änderungsbelege der Berechtigungsverwaltung in den Entwicklungssystemen. Im Gegensatz dazu finden Sie die relevanten Änderungsbelege der Benutzerverwaltung in den Produktivsystemen; daher sollten Sie beachten, dass beim Import von Rollen und Profilen in den Produktivsystemen keine Änderungsbelege geschrieben werden. Es entstehen nur Transportprotokolle, die festhalten, dass Änderungen an den Objekten vorgenommen wurden. Ihre Änderungsbelege der Berechtigungsverwaltung auf den Entwicklungssystemen sind aus diesem Grund revisionsrelevant und sollten entsprechend abgesichert werden.
Berechtigungen können auch über "Shortcut for SAP systems" zugewiesen werden.
Genau dieses Verhalten machen wir uns zunutze.
Im Nachgang des Einsatzes werden stets sämtliche Logdateien ausgewertet und alle Details in einer Dokumentation festgehalten.