UNZUREICHEND GESCHÜTZTE TECHNISCHE SAP-BENUTZER STELLEN EINE GEFAHR DAR
Der SAP Employee Self-Service (ESS) Core User
Vor einigen Jahren stand ich in einer SAP-Produtivumgebung vor dem Problem, dass eine Reihe von IDocs nicht verbucht werden konnten, da ein Material gesperrt war. Prompt rief ich die Transaktion SM12 auf, um nachzuschauen, welcher User das Material sperrte. Hier stand, – sauber aufgelistet – dass seit Stunden eine Reihe von Materialien von einem bestimmten User gesperrt wurden. Hmmm … dachte ich mir, konnte ich dieser Aussage trauen, denn User sperren nicht Stunden lang Stammdaten. Mein Misstrauen rührte auch aus meiner Erfahrung, dass unter bestimmten Bedingungen Sperren „hängen“ bleiben und nicht sauber gelöst wurden. Also rief ich zunächst die Transaktion SM04 auf, um nachzuschauen, ob ich der User überhaupt angemeldet war – und siehe da, der User war gar nicht angemeldet! Doch wenige Sekunden später fiel es mir wie Schuppen von den Augen … ohh Mann, dachte ich mir, ich fiel wieder auf die beschränkte Sicht der SM04 rein!
Die Pflege ist daher ein fundamentaler Bestandteil des SAP-Systems. Abgewickelt werden diese Prozesse in der Transaktion SU01, welche hauptsächlich folgende Aufgaben abdeckt: • Hinzufügen und Löschen von SAP-Usern • Zuweisung der Benutzer zu Rollen und Berechtigungsgruppen • Sperren und Entsperren von Usern • Passwortverwaltung.
Das Verständnis für die Struktur und Funktionsweise des Systems ist insbesondere für die IT-Administration wichtig. Nicht umsonst ist „SAP Basis Administrator“ ein eigenes Berufsfeld. Auf der Seite www.sap-corner.de finden Sie nützliche Informationen zu diesem Thema.
Anbindung über NetWeaver Gateway
Im Bereich der Konzernkonsolidierung sorgt ein Berechtigungskonzept dafür, dass keine Daten bewusst manipuliert werden können, um z.B. Bilanzen zu verändern. So kann erheblicher finanzieller- oder Reputationsschaden gegenüber Banken und Stakeholdern verhindert werden. Des Weiteren muss der Zugriff auf Finanzdaten von Teilbereichen eines Konzerns, wie einzelne Geschäftsbereiche oder Gesellschaften nur den Mitarbeitern vorbehalten sein, die diese auch aufrufen dürfen, da ihre laufenden Tätigkeiten dies erfordern. Daraus resultiert, dass z.B. ein Controller eines Geschäftsbereichs nur die konsolidierten Zahlen seines Geschäftsbereichs einsehen kann, nicht aber die Zahlen des gesamten Konzerns. Weitere Berechtigungsrollen werden bspw. für externe Wirtschaftsprüfer benötigt. Diese prüfen sämtliche Zahlen des gesamten Konzerns, dürfen somit aber nur einen Lesezugriff auf diese Daten besitzen.
Es ist jedoch gar nicht so einfach, alle Drittsysteme zu identifizieren und festzustellen, ob Indirect Use der SAP-Systeme vorliegt. Die SAP-Tools zur Lizenzvermessung sind nicht in der Lage, eine solche vollständige Analyse durchzuführen.
Tools wie "Shortcut for SAP Systems" ergänzen fehlende Funktionen im Bereich der SAP Benutzerverwaltung.
In der Vergangenheit wurden einige der Richtlinien gelockert, was den Unternehmen mehr Spielraum zur Optimierung ihres Lizenzbestands gibt.
So viele Informationen... wie kann man die aufheben, so dass man sie bei Bedarf wiederfindet? Scribble Papers ist ein "Zettelkasten", mit dem das sehr einfach möglich ist.
Für Service Benutzer werden keine SSO Tickets generiert.