SAP Benutzer - Wie Sie die SAP Fiori Benutzerverwaltung sicher gestalten
S/4HANA Quick Check
Es empfiehlt sich ein eigenständiges SAP HANA Datenbank-Berechtigungskonzept aufzubauen und anzuwenden, um die Aufgabengebiete wie Administration, Konfiguration, Entwicklung als auch allfällige Anwendungen (Reporting) des Fachbereichs auf der Datenbankebene zu trennen. Somit kann gewährleistet werden, dass es zu keinen ungewollten Änderungen kommt. Der SYSTEM Benutzer sollte nach der initialen Konfiguration deaktiviert werden.
Steht bei Ihnen bald eine Audit-Prüfung an? Haben Sie sich gefragt: „Sind unsere SAP Systeme sicher und audit-konform”? Seit mehreren Jahren unterstützt unser Expertenteam namhafte global agierende Unternehmen bei der Umsetzung audit-konformer Systeme. Mit unseren zertifizierten GRC Beratern und tiefem Wissen im Bereich des SAP Berechtigungswesens bringen wir Ihnen Sicherheit und Transparenz in ihre SAP Systeme. Wir lassen unsere Kunden nicht alleine! Wir helfen Ihnen gerne bei einem sauberen SOX Prozessdesign.
Kommunikationsuser für PI
Ungeachtet dessen, dass dem SYSTEM Benutzer mögliche Anwendungsberechtigungen auf mögliche Schemas, Views, Prozeduren oder weitere Datenbank-Artefakte fehlen, ist der SYSTEM Benutzer im Aufgabenfeld der Administration hoch privilegiert. Dies kann dazu führen, dass dieser Benutzer u. a. für die tägliche Administration der SAP HANA Datenbank oder als Kommunikationsbenutzer in Schnittstellen Anwendung findet. Aus diesem Grund ist es ratsam, mit Hilfe des Benutzers SYSTEM, dedizierte Benutzer und ein eigenständiges Rollenset für die Administration, Entwicklung, Support und Business Anwender zu erstellen. Welche Arten von Rollen in der SAP HANA Datenbank genutzt und erstellt werden können, ist im Blog Beitrag dargestellt.
Um in SAP Berechtigungen zu vergeben, generiert man Rollen basierend auf Transaktionen, Objekten oder Tätigkeitsmöglichkeiten (Anlegen, Ändern und Anzeigen). Diese Rollen sind nur schwer definierbar, deswegen kann eine Lizenzvergabe nach Berechtigung nicht funktionieren.
Mit "Shortcut for SAP Systems" steht Ihnen eine Anwendung auf Ihrem PC zur Verfügung, die einige Funktionslücken des SAP-Standards abdeckt bzw. weitergehende Funktionen anbietet. So können z.B. Benutzer von einem System in ein anderes kopiert werden, weiterhin besteht über "Shortcut for SAP Systems" endlich die Möglickeit, einer Vielzahl von Benutzern ein individuelles Passwort zuzuweisen. Das kann z.B. für Test- oder Schulungsuser sinnvoll sein. Durch ein Command-Line-Tool können fast alle Funktionen auch automatisiert werden bzw. in Automatisierungsprodukte integriert werden.
Einige der von SAP verwendeten Metriken sind „Anzahl der Mitarbeiter“, „Anzahl der Aufträge“, „Jahresumsatz“, „jährliches Ausgabenvolumen“, „Barrel Öl pro Jahr“, „Prozessoren“, „Cores“, „Speichervolumen in GB“, etc..
Die User-Lizenzvergabe soll nun auf der Grundlage von Berechtigungen erfolgen.