SAP-Berechtigungswesen

Dieses Buch vermittelt Ihnen das Rüstzeug für ein Berechtigungskonzept, das den strengsten Anforderungen standhält! Von der Konzeption bis zur Umsetzung im SAP-System finden Sie alles, was Sie dazu brauchen. Sie lernen die Berechtigungspflege in SAP ERP und alle für Sie wichtigen Werkzeuge wie ID Management, ZBV, Access Control und UME kennen. Erfahren Sie, welche Besonderheiten Sie im Hinblick auf HCM, CRM, SRM, BW/BO und HANA beachten müssen. Neu in der 3. Auflage: RFC-Sicherheit mit UCON, das Switchable Authorization Check Framework (SACF), die neue Rollenpflege in SAP ERP und vieles mehr. Aus dem Inhalt: Rechtsgrundlagen und Organisation Berechtigungspflege im SAP-System (Transaktion PFCG) Berechtigungsobjekte, Rollen und Profile Berechtigungstrace (Transaktion ST01) Zentrale Benutzerverwaltung (ZBV) Tools und Reports zur Berechtigungspflege SAP Access Control SAP Identity Management User Management Engine (UME) Berechtigungen in SAP ERP, HCM, CRM, SRM, BW/BusinessObjects, HANA und S/4HANA RFC-Sicherheit mit Unified Connectivity (UCON) Switchable Authorization Check Framework (SACF)

Berechtigungen für SAP ERP, HCM, CRM, SRM, BW, SAP HANA und SAP BusinessObjects

Autorentext
Volker Lehnert ist seit 2000 bei SAP in unterschiedlichen Positionen in den Bereichen Compliance und Sicherheit tätig. Seit 2012 arbeitet er für SAP AG Installed Base Maintenance and Support (IMS) als Projektleiter Datenschutz. In seiner neunjährigen Beratungstätigkeit hat er Projekte rund um das Berechtigungswesen vorangetrieben. Um den gesetzlichen Anforderungen gerecht zu werden, führt Volker Lehnert Sicherheitskonzepte immer wieder auf die eigentlichen Kernfragen zurück: betriebswirtschaftliche Funktionen, organisatorische Konzepte und legale Anforderungen. Volker Lehnert ist Co-Autor des Datenschutzleitfadens der DSAG.Katharina Stelzner (geb. Bonitz) arbeitet seit 2006 als Technologieberaterin für die SAP Deutschland AG. Ihr Schwerpunkt liegt auf Berechtigungskonzepten im CRM-Umfeld. Sie berät branchenübergreifend in nationalen und internationalen Projekten zum Berechtigungswesen sowie zum Benutzermanagement. Zuvor absolvierte sie ein Studium zur Dipl.-Ingenieurin an der Hochschule für Technik, Wirtschaft und Kultur in Leipzig.Dr. Peter John hat das neue Konzept der Analyseberechtigungen als Nachfolger der vorherigen Reportingberechtigungen in BW entworfen und entwickelt. Er arbeitet seit 2003 für SAP und ist Softwarearchitekt bei SAP Netweaver BW. Dort arbeitete er im Bereich OLAP, Integrierte Planung und Security. Peter John hat an der RWTH Aachen Physik studiert und an der Universität Heidelberg in theoretischer Elementarteilchen-Physik promoviert.Anna Otto arbeitet seit 2007 als GRC-Beraterin für die SAP Deutschland AG und war zwischenzeitlich ebenfalls als GRC-Beraterin für die SAP (Schweiz) AG tätig. Sie absolvierte ein Studium zur Dipl.-Informatikerin an der Hochschule in Hamburg. Seit dieser Zeit befasst sie sich mit Anforderungen der Datenschutzgesetze an SAP-Software. Ihr Beratungsschwerpunkt in nationalen und internationalen Projekten liegt auf Berechtigungskonzepten und den Anwendungen SAP Access Control und Process Control. Anna Otto ist (zusammen mit Volker Lehnert) Co-Autorin des Datenschutzleitfadens der DSAG und Autorin des beim Vdm Verlag Dr. Müller erschienenen Buches »Entwicklung von Datenschutzrollen für das AIS im SAP ERP«.

Inhalt

Vorwort ... 21

Danksagung ... 23

1. Einleitung ... 27

TEIL I Betriebswirtschaftliche Konzeption ... 33

2. Einführung und Begriffsdefinition ... 35

2.1 ... Methodische Überlegungen ... 36

2.2 ... Compliance ist Regelkonformität ... 40

2.3 ... Risiko ... 41

2.4 ... Corporate Governance ... 45

2.5 ... Technische vs. betriebswirtschaftliche Bedeutung des Berechtigungskonzepts ... 47

2.6 ... Technische vs. betriebswirtschaftliche Rolle ... 49

2.7 ... Beschreibung von Berechtigungskonzepten ... 51

3. Organisation und Berechtigungen ... 67

3.1 ... Organisatorische Differenzierung am Beispiel ... 69

3.2 ... Begriff der Organisation ... 71

3.3 ... Institutioneller Organisationsbegriff ... 72

3.4 ... Instrumenteller Organisationsbegriff ... 76

3.5 ... Folgerungen aus der Organisationsbetrachtung ... 90

3.6 ... Die Grenzen der Organisation und das Internet der Dinge ... 91

3.7 ... Sichten der Aufbauorganisation in SAP-Systemen ... 92

3.8 ... Organisationsebenen und -strukturen in der SAP Business Suite ... 101

3.9 ... Hinweise zur Methodik im Projekt ... 110

3.10 ... Fazit ... 112

4. Rechtlicher Rahmen -- normativer Rahmen ... 113

4.1 ... Interne und externe Regelungsgrundlagen ... 114

4.2 ... Internes Kontrollsystem ... 118

4.3 ... Rechtsquellen des externen Rechnungswesens ... 120

4.4 ... Datenschutzrecht ... 124

4.5 ... Allgemeine Anforderungen an ein Berechtigungskonzept ... 135

4.6 ... Fazit ... 142

5. Berechtigungen in der Prozesssicht ... 143

5.1 ... Prozessübersicht ... 143

5.2 ... Der Verkaufsprozess ... 145

5.3 ... Der Beschaffungsprozess ... 151

5.4 ... Unterstützungsprozesse ... 155

5.5 ... Maßgaben für die Funktionstrennung ... 158

5.6 ... Fazit ... 160

TEIL II Werkzeuge und Berechtigungspflege im SAP-System ... 161

6. Technische Grundlagen der Berechtigungspflege ... 163

6.1 ... Benutzer ... 163

6.2 ... Berechtigungen ... 173

6.3 ... Rollen und Profile ... 176

6.4 ... Transfer von Rollen ... 222

6.5 ... Benutzerabgleich ... 225

6.6 ... Vom Trace zur Rolle ... 227

6.7 ... Weitere Auswertungen von Berechtigungsprüfungen ... 234

6.8 ... Fazit ... 239

7. Systemeinstellungen und Customizing ... 241

7.1 ... Pflege und Nutzung der Vorschläge für den Profilgenerator ... 242

7.2 ... Traces ... 262

7.3 ... Upgrade-Nacharbeiten von Berechtigungen ... 271

7.4 ... Parameter für Kennwortregeln ... 278

7.5 ... Menükonzept ... 284

7.6 ... Berechtigungsgruppen ... 290

7.7 ... Parameter- und Query-Transaktionen ... 305

7.8 ... Anhebung eines Berechtigungsfeldes zur Organisationsebene ... 315

7.9 ... Berechtigungsfelder und -objekte anlegen ... 323

7.10 ... Weitere Transaktionen der Berechtigungsadministration ... 327

7.11 ... Fazit ... 329

8. Rollenzuordnung über das Organisationsmanagement ... 331

8.1 ... Grundkonzept des SAP-ERP-HCM-Organisationsmanagements ... 332

8.2 ... Fachliche Voraussetzungen ... 335

8.3 ... Technische Umsetzung ... 335

8.4 ... Konzeptionelle Besonderheit ... 339

8.5 ... Fazit ... 340

9. Zentrales Management von Benutzern und Berechtigungen ... 341

9.1 ... Grundlagen ... 342

9.2 ... Zentrale Benutzerverwaltung ... 348

9.3 ... SAP Access Control User Access Management ... 358

9.4 ... SAP Identity Management ... 366

9.5 ... Compliant Identity Management ... 383

9.6 ... Fazit ... 385

10. Berechtigungen: Standards und Analyse ... 387

10.1 ... Standards und ihre Analyse ... 387

10.2 ... Kritische Transaktionen und Objekte ... 396

10.3 ... Allgemeine Auswertungen technischer Standards ... 398

10.4 ... AGS Security Services ... 406

10.5 ... Fazit ... 418

11. SAP Access Control ... 419

11.1 ... Grundlagen ... 419

11.2 ... Access Risk Analysis ... 423

11.3 ... Business Role Management ... 429

11.4 ... User Access Management ... 431

11.5 ... Emergency Access Management ... 433

11.6 ... Fazit ... 436

12. User Management Engine ... 437

12.1 ... Überblick über die UME ... 438

12.2 ... Berechtigungskonzept von SAP NetWeaver …