Lösungen für die Benutzerverwaltung in SAP HANA anwenden
E-Mails verschlüsseln
Seit SAP NetWeaver 7.02 ist eine solche Funktion verfügbar, d. h., dass Sie auf die Daten des Berechtigungstrace aus dem Systemtrace zugreifen können, um PFCG-Rollen zu pflegen. Im Folgenden zeigen wir Ihnen, wie Sie die Berechtigungswerte aus dem Berechtigungstrace in Ihre Rolle übernehmen können. Dazu zeichnen Sie in einem ersten Schritt Anwendungen anhand ihrer Berechtigungsprüfungen auf und können diese anschließend in Ihr Rollenmenü übernehmen.
Sperren und Gültigkeiten des Benutzerkontos erfolgen über den Benutzeradministrator und sind auch für andere Authentifizierungsverfahren gültig. Das heißt, dass eine Anmeldung über SSO für einen ungültigen Benutzer oder einen Benutzer mit Administratorsperre nicht möglich ist. Wir empfehlen Ihnen daher immer, den Zugang zum System über das Setzen der Gültigkeit von Benutzern zu verhindern. Das Setzen von Gültigkeiten bei zugeordneten Rollen verhindert zwar ebenfalls, dass der Benutzer noch Aktionen im System durchführen kann, unterbindet aber nicht generell deren Anmeldung.
Rollen über das Organisationsmanagement zuordnen
Wie alle anderen Security-Themen auch müssen die SAP-Berechtigungen ins genutzte Framework integriert werden. Die Risiken durch falsch vergebene Berechtigungen sind als sehr hoch einzustufen. Die Definition eines ganzheitlichen Governance-, Risk- und Compliance-Management Systems ist erforderlich. Dieses stellt sicher, dass Risiken frühzeitig erfasst, analysiert, bewertet, koordiniert und innerhalb des Unternehmens weitergeleitet werden. Dementsprechend fließen auch die Risiken, die durch falsch vergebene SAP-Berechtigungen oder durch einen fehlenden Prozess zur Überwachung der Berechtigungen entstehen, hier mit ein.
Eine Massenanlage von Rollen für einen Roll-out ist eine sehr nützliche Sache. Dabei kann man durchaus auch Excel-basierte Daten verwenden – so wie beim skizzierten Anwendungsfall mit eCATT – da es sich für die betrachteten Rollen um eine einmalige Aktion handelt und im Hintergrund SAP-Standardprogramme verwendet werden. Eine andauernde Pflege des Berechtigungswesens mit fortwährenden Änderungen von Rollen und deren Detailberechtigungen erfordert jedoch die Abbildung wesentlich komplexerer Vorgänge. Eine ausschließliche Steuerung über Office-Programme sollte gut überlegt sein. Dies bedeutet natürlich nicht, dass es nicht auch sehr gute Partnerprodukte für die Pflege von Rollen gibt. Prüfen Sie sie einfach darauf, ob SAP-Standardverfahren verwendet werden und das Berechtigungswesen nach SAP-Best-Practices bewirtschaftet wird.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Wer über wertvolles, persönliches Eigentum verfügt, übernimmt hierfür Verantwortung – so wie bspw. ein Hausherr.
Wenn Sie in Ihrem System Sicherheitsrichtlinien einsetzen, können Sie sich mithilfe des Reports RSUSR_SECPOL_USAGE einen Überblick über die Zuordnung von Sicherheitsrichtlinien zu Benutzern verschaffen.