PFCG Rollenpflege
Definieren Sie die Queue
Kritische Geschäftsprozesse benötigen einen sicheren, effizienten und stabilen Betrieb einer SAP Systemlandschaft. Hohe Anforderungen an das Management als auch den Betrieb der darunter liegenden SAP NetWeaver Plattform bedürfen einer kompetenten Unterstützung bei allen Aufgaben der Planung, Betreuung und Aktualisierung der SAP Basis. Die Zunahme an installierten Komponenten als auch über Schnittstellen integrierter Systeme erweitert diese Bedarfe. Nur bei einer professionellen Pflege und Wartung seiner Komponenten kann SAP NetWeaver seine Vorzüge als integrative Plattform zum Einsatz bringen.
Zu einem sicheren SAP-System gehört nicht nur ein gutes Rollenkonzept. Es muss auch überprüft werden, ob ein Nutzer eine bestimmte Rolle überhaupt (noch) besitzen soll. Die regelmäßige Überprüfung der Rollenzuordnung wird als Rezertifizierung bezeichnet. In diesem Blogbeitrag möchte ich Ihnen die Notwendigkeit von Rezertifizierungen näherbringen und unser eigenes Tool, den EasyReCert, vorstellen. Die Notwendigkeit der Rezertifizierung - Szenarien: Beispiel 1: Das „Azubi Problem“ Stellen Sie sich folgendes Szenario vor: Ein neuer Mitarbeiter (beispielsweise ein Azubi oder Trainee) durchläuft im Rahmen seiner Einarbeitung verschiedene Abteilungen und arbeitet in verschiedenen Projekten mit. Natürlich wird Ihrem Mitarbeiter gleich zu Beginn ein SAP User zur Verfügung gestellt, welcher mit entsprechenden Rollen versehen ist. Beim Durchlauf der einzelnen Projekte und Abteilungen benötigt der Mitarbeiter immer wieder neue Berechtigungen, um den Anforderungen gerecht zu werden. Nachdem der Mitarbeiter seine Einarbeitung erfolgreich abgeschlossen hat und nun eine feste Stelle besetzt, verfügt er immer noch über Berechtigungen, die zur Bearbeitung seiner Aufgaben nicht nötig sind. Dies verletzt das Prinzip des „least privilede“ und stellt ein potentielles Sicherheitsrisiko für Ihr Unternehmen dar. Beispiel 2: Der Abteilungswechsel Ein Szenario, welches wohl in jedem Unternehmen vorkommt, ist der Abteilungswechsel. Sollte bei einem Abteilungswechsel nicht automatisch eine komplette Neuvergabe der Rollen durchgeführt werden und der Mitarbeiter seine alten Berechtigungen einfach mitnehmen, können sehr schnell kritische Kombinationen von Berechtigungen auftreten. So verletzt ein Mitarbeiter, der beispielsweise über Berechtigungen in der Kreditoren- und Debitorenbuchhaltung verfügt, das Prinzip SoD („Segregation of Duties“) und stellt ein potentielles Sicherheitsrisiko für Ihr Unternehmen dar. Rezertifizierung im Rahmen einer Revision: Die beiden genannten Beispiele zeigen, dass eine regelmäßige Überprüfung der Rollenvergabe potentielle Sicherheitsrisiken für Ihr Unternehmen aufzeigt und sich diese so beheben lassen.
Einsatz des Memory Inspectors
Die Identifikation kritischer SAP Berechtigungen für den Einsatz eines SAP Systems muss daher auf jeden Fall durchgeführt werden. Neben Berechtigungen lassen sich auch kritische Profile und Rollen identifizieren, die bereits im Auslieferungszustand enthalten sind.
Einige nützliche Tipps aus der Praxis zum Thema SAP Basis finden Sie auch auf der Seite www.sap-corner.de.
So viele Informationen... wie kann man die aufheben, so dass man sie bei Bedarf wiederfindet? Scribble Papers ist ein "Zettelkasten", mit dem das sehr einfach möglich ist.
Beispielhafte Bezeichnungen sind: SAP-Cross-Application, SAP-Innovation & -Technology, SAP-Services & -Innovation, SAP-Operations & -Innovation oder SAP-Service-Provider & -Business-Innovator. BESCHREIBUNG DES EIGENEN LEISTUNGS- UND SERVICEPORTFOLIOS Um von vor- oder nachgelagerten Instanzen konsultiert werden zu können, ist es notwendig, eine ausführliche und verständliche Beschreibung des eigenen Leistungsportfolios zu erstellen. Somit kann explizit festgehalten werden, in welchen Fällen die SAP-Basis kontaktiert und involviert werden muss, um notwendige Entscheidungen zu treffen und einen Projekt- oder Unternehmenserfolg nicht zu gefährden. Es ist ebenso erforderlich, neben dem Aufgabenspektrum, das durch die SAP-Basis abgedeckt wird, festzuhalten, für welche Aufgaben und Themen die SAP-Basis nicht verantwortlich ist. Diese Empfehlung ist als allgemeingültig anzusehen und trifft auf alle IT-Fachbereiche zu, um diese gegeneinander klar abzugrenzen und das Leistungsvermögen der eigenen IT-Organisation zu dokumentieren. INTERNES MARKETING KONZIPIEREN UND ETABLIEREN Aufbauend auf der Empfehlung [A3] wird empfohlen, ein internes Marketing zu konzipieren und zu etablieren. Es geht darum, die Tätigkeiten, die in Bezug auf den Unternehmenserfolg wahrgenommen werden und nicht für jedermann ersichtlich sind, transparent darzustellen.
Einige fehlende SAP Basis Funktionen im Standard werden durch die PC-Anwendung "Shortcut for SAP Systems" nachgeliefert.
Für den Bereich der Performanceanalyse bietet das SAP HANA Studio derzeit die ausgereiftesten Werkzeuge.
Was sind die Voraussetzungen? Zu Transportaufträgen gehören zwei Dateien, welche als "data" und "cofiles" betitelt sind.