SAP Berechtigungswesen

Transkript

1 Volker Lehnert, Katharina Stelzner, Peter John, Anna Otto SAP Berechtigungswesen Bonn Boston

2 Auf einen Blick 1 Einleitung TEIL I Betriebswirtschaftliche Konzeption 2 Einführung und Begriffsdefinition Organisation und Berechtigungen Rechtlicher Rahmen normativer Rahmen Berechtigungen in der Prozesssicht TEIL II Werkzeuge und Berechtigungspflege im SAP-System 6 Technische Grundlagen der Berechtigungspflege Systemeinstellungen und Customizing Rollenzuordnung über das Organisationsmanagement Zentrales Management von Benutzern und Berechtigungen Berechtigungen: Standards und Analyse SAP Access Control User Management Engine TEIL III Berechtigungen in spezifischen SAP-Lösungen 13 Berechtigungen in SAP ERP HCM Berechtigungen in SAP CRM Berechtigungen in SAP SRM Berechtigungen in SAP NetWeaver BW Berechtigungen in der SAP BusinessObjects Business Intelligence-Plattform 4.x Berechtigungen in SAP HANA Prozesse in SAP ERP spezifische Berechtigungen Konzepte und Vorgehen im Projekt

3 Inhalt Vorwort Danksagung Einleitung Teil I Betriebswirtschaftliche Konzeption 2 Einführung und Begriffsdefinition Methodische Überlegungen Ansätze für das betriebswirtschaftliche Berechtigungskonzept Beteiligte am Berechtigungskonzept Compliance ist Regelkonformität Risiko Corporate Governance Technische versus betriebswirtschaftliche Bedeutung des Berechtigungskonzepts Technische vs. betriebswirtschaftliche Rolle Beschreibung von Berechtigungskonzepten Role Based Access Control Core RBAC und SAP ERP Hierarchical RBAC und SAP ERP limitierte Rollenhierarchien Hierarchical RBAC und SAP allgemeine Rollenhierarchien Constrained RBAC Constrained RBAC und SAP ERP Restriktionen des RBAC-Standards Beschreibung technischer Berechtigungskonzepte Organisation und Berechtigungen Organisatorische Differenzierung am Beispiel Begriff der Organisation Institutioneller Organisationsbegriff Instrumenteller Organisationsbegriff

4 Inhalt Aufbauorganisation Aufgabenanalyse Folgerungen aus der Organisationsbetrachtung Sichten der Aufbauorganisation in SAP-Systemen Organisationsmanagement Organisationssicht des externen Rechnungswesens Organisationssicht des Haushalts- managements Organisationssicht der Kostenstellenstandardhierarchie Organisationssicht der Profit-Center-Hierarchie Unternehmensorganisation Organisationssicht im Projektsystem Logistische Organisationssicht Integration der Organisationssichten im Berechtigungskonzept Organisationsebenen und -strukturen in SAP ERP Organisationsebene»Mandant« Relevante Organisationsebenen des Rechnungswesens Relevante Organisationsebenen in der Materialwirtschaft Relevante Organisationsebenen im Vertrieb Relevante Organisationsebenen in der Lagerverwaltung Integration der Organisationsebenen im Berechtigungskonzept Hinweise zur Methodik im Projekt Fazit Rechtlicher Rahmen normativer Rahmen Interne und externe Regelungsgrundlagen Internes Kontrollsystem Rechtsquellen des externen Rechnungswesens Rechtsquellen und Auswirkungen für den privaten Sektor

5 Inhalt Konkrete Anforderungen an das Berechtigungskonzept Datenschutzrecht Gesetzliche Definitionen in Bezug auf die Datenverarbeitung Rechte des Betroffenen Pflichten in Bezug auf das IKS Konkrete Anforderungen an das Berechtigungskonzept Regelkonformität versus Datenschutz Allgemeine Anforderungen an ein Berechtigungskonzept Identitätsprinzip Minimalprinzip Stellenprinzip Belegprinzip der Buchhaltung Belegprinzip der Berechtigungsverwaltung Funktionstrennungsprinzip Genehmigungsprinzip Standardprinzip Schriftformprinzip Kontrollprinzip Fazit Berechtigungen in der Prozesssicht Prozessübersicht Der Verkaufsprozess Der Beschaffungsprozess Unterstützungsprozesse Maßgaben für die Funktionstrennung Fazit Teil II Werkzeuge und Berechtigungspflege im SAP-System 6 Technische Grundlagen der Berechtigungspflege Benutzer Berechtigungen

6 Inhalt Berechtigungsfelder und Berechtigungsobjekte Berechtigungsprüfungen für ABAP-Programme Rollen und Profile Manuelle Profile und Berechtigungen Rollenpflege Transfer von Rollen Rollentransport Down-/Upload von Rollen Benutzerabgleich Vom Trace zur Rolle Weitere Auswertungen von Berechtigungsprüfungen Auswertung der Berechtigungsprüfung Prüfung des Programms Fazit Systemeinstellungen und Customizing Pflege und Nutzung der Vorschläge für den Profilgenerator Grundzustand und Pflege der Berechtigungsvorschlagswerte Nutzen der Berechtigungs- vorschlagswerte Traces Vorgehen beim Berechtigungstrace Vorgehen beim System-Trace Upgrade von Berechtigungen Parameter für Kennwortregeln Menükonzept Berechtigungsgruppen Optionale Berechtigungsprüfungen auf Berechtigungsgruppen Tabellenberechtigungen Berechtigungsgruppen als Organisationsebenen Parameter- und Query-Transaktionen

7 Inhalt Parametertransaktion zur Pflege von Tabellen über definierte Views Parametertransaktion zur Ansicht von Tabellen Queries in Transaktionen umsetzen Anhebung eines Berechtigungsfeldes zur Organisationsebene Auswirkungsanalyse Vorgehen zur Anhebung eines Feldes zur Organisationsebene Anhebung des Verantwortungsbereichs zur Organisationsebene Berechtigungsfelder und -objekte anlegen Berechtigungsfelder anlegen Berechtigungsobjekte anlegen Weitere Transaktionen der Berechtigungsadministration Rollen zwischen Systemen oder Mandanten bewegen Down-/Upload von Rollen Transport von Rollen Benutzerstammabgleich Fazit Rollenzuordnung über das Organisationsmanagement Grundkonzept des SAP ERP HCM- Organisationsmanagements Fachliche Voraussetzungen Technische Umsetzung Voraussetzungen Technische Grundlagen des SAP ERP HCM-Organisationsmanagements Zuweisung von Rollen Auswertungsweg Benutzerstammabgleich Konzeptionelle Besonderheit Fazit

8 Inhalt 9 Zentrales Management von Benutzern und Berechtigungen Grundlagen Betriebswirtschaftlicher Hintergrund User Lifecycle Management SAP-Lösungen für die zentrale Verwaltung von Benutzern Zentrale Benutzerverwaltung Vorgehen zur Einrichtung einer ZBV Integration mit dem Organisations- management von SAP ERP HCM Integration mit SAP Access Control SAP Access Control User Access Management SAP NetWeaver Identity Management Relevante technische Details Funktionsweise Technische Architektur Integration mit SAP Access Control Fazit Berechtigungen: Standards und Analyse Standards und ihre Analyse Rolle anstelle von Profil Definition der Rolle über das Menü Vorschlagsnutzung Tabellenberechtigungen Programmausführungsberechtigungen Ableitung Programmierung Programmierrichtlinie Kritische Transaktionen und Objekte Allgemeine Auswertungen technischer Standards Benutzerinformationssystem Tabellengestützte Analyse von Berechtigungen AGS Security Services Secure Operations Standard und Secure Operations Map

9 Inhalt Berechtigungs-Checks im SAP EarlyWatch Alert und Security Optimization Service Reporting über die Zuordnung kritischer Berechtigungen mithilfe der Configuration Validation Fazit SAP Access Control Grundlagen Access Risk Analysis Business Role Management User Access Management Emergency Access Management Risk Terminator Fazit User Management Engine Überblick über die UME UME-Funktionen Architektur der UME Oberfläche der UME Konfiguration der UME Berechtigungskonzept von SAP NetWeaver AS Java UME-Rollen UME-Aktionen UME-Gruppe Java-EE-Sicherheitsrollen Benutzer- und Rollenadministration mit der UME Voraussetzungen zur Benutzer- und Rollenadministration Administration von Benutzern Benutzertypen Administration von UME-Rollen Administration von UME-Gruppen Tracing und Logging Fazit

10 Inhalt Teil III Berechtigungen in spezifischen SAP-Lösungen 13 Berechtigungen in SAP ERP HCM Grundlagen Besondere Anforderungen von SAP ERP HCM Berechtigungen und Rollen Berechtigungsrelevante Attribute in SAP ERP HCM Beispiel»Personalmaßnahme« Berechtigungshauptschalter Organisationsmanagement und indirekte Rollenzuordnung Strukturelle Berechtigungen Strukturelles Berechtigungsprofil Auswertungsweg Strukturelle Berechtigungen und Performance Anmerkung zu strukturellen Berechtigungen Kontextsensitive Berechtigungen Fazit Berechtigungen in SAP CRM Grundlagen Die SAP CRM-Oberfläche: der CRM Web Client Erstellen von Benutzerrollen für den CRM Web Client Abhängigkeiten zwischen der Benutzerrolle und PFCG-Rollen Erstellen von PFCG-Rollen abhängig von Benutzerrollen Voraussetzungen für das Erstellen von PFCG-Rollen Erstellen von PFCG-Rollen Zuweisen von Benutzerrollen und PFCG-Rollen Beispiele für Berechtigungen in SAP CRM

11 Inhalt Berechtigen von Oberflächenkomponenten Berechtigen von Transaktionsstarter-Links Sonstige Berechtigungsmöglichkeiten für den CRM Web Client Berechtigen von Stammdaten Berechtigen von Geschäftsvorgängen Berechtigen von Attributgruppen Berechtigen von Marketingelementen Fehlersuche im CRM Web Client Access-Control-Engine Fazit Berechtigungen in SAP SRM Grundlagen Berechtigungsvergabe in SAP SRM Berechtigen der Oberflächenmenüs Berechtigen typischer Geschäftsvorgänge Fazit Berechtigungen in SAP NetWeaver BW OLTP-Berechtigungen Analyseberechtigungen Grundlagen Schrankenprinzip Transaktion RSECADMIN Berechtigungspflege Massenpflege Zuordnung zu Benutzern Analyse und Berechtigungsprotokoll Generierung Berechtigungsmigration Modellierung von Berechtigungen in SAP NetWeaver BW InfoProvider-basierte Modelle Merkmalsbasierte Modelle Gemischte Modelle

12 Inhalt 16.4 RBAC-Modell Fazit Berechtigungen in der SAP BusinessObjects Business Intelligence-Plattform 4.x Berechtigungskonzept Benutzer und Benutzergruppen Objekte, Ordner, Kategorien Zugriffsberechtigungen Interaktion mit SAP NetWeaver BW System für Endbenutzer anschließen Beispiel einer Anwendung: Query in Web Intelligence einbinden Fazit Berechtigungen in SAP HANA Architektur von SAP HANA Anwendungsszenarien von SAP HANA Objekte des Berechtigungswesens in SAP HANA Benutzer Privilegien Rollen Beispiel Fazit Prozesse in SAP ERP spezifische Berechtigungen Grundlagen Stamm- und Bewegungsdaten Organisationsebenen Berechtigungen im Finanzwesen Organisatorische Differenzierungs- kriterien Stammdaten Buchungen Zahllauf Berechtigungen im Controlling Organisatorische Differenzierungs- kriterien

13 Inhalt Stammdatenpflege Buchungen Altes und neues Berechtigungskonzept im Controlling Berechtigungen in der Logistik (allgemein) Organisatorische Differenzierungs- kriterien Materialstamm/Materialart Berechtigungen im Einkauf Stammdatenpflege Beschaffungsabwicklung Berechtigungen im Vertrieb Stammdatenpflege Verkaufsabwicklung Berechtigungen in technischen Prozessen Funktionstrennung in der Berechtigungsverwaltung Funktionstrennung im Transportwesen RFC-Berechtigungen Debugging-Berechtigungen Mandantenänderung Änderungsprotokollierung Batchberechtigungen Fazit Konzepte und Vorgehen im Projekt Berechtigungskonzept im Projekt Vorgehensmodell Logischer Ansatz Implementierung Redesign Konkretes Vorgehen SAP Best Practices-Template-Rollenkonzept SAP Best Practices SAP-Template-Rollen Methodische Vorgehensweise des SAP Best Practices-Rollenkonzepts Einsatz mit SAP Access Control Inhalte eines Berechtigungskonzepts

14 Inhalt Einleitung und normativer Rahmen des Konzepts Technischer Rahmen Risikobetrachtung Person Benutzer Berechtigung Berechtigungsverwaltung Organisatorische Differenzierung Prozessdokumentation Rollendokumentation Schritte zum Berechtigungskonzept Fazit Anhang A Abkürzungsverzeichnis B Glossar C Literaturverzeichnis D Die Autoren Index

15 Das Berechtigungswesen ist ein originär betriebswirtschaftliches Aufgabengebiet, das nicht allein der Systemadministration überlassen werden kann. In diesem Buch zeigen wir Ihnen, wie Sie Berechtigungen auf Basis von Geschäftsprozessen umsetzen können. 1 Einleitung Dem Thema Berechtigungen in SAP-Systemen wird erst seit einigen Jahren verstärkt Aufmerksamkeit geschenkt. Dieser Umstand ist dem Bemühen von Organisationen geschuldet, Compliance nachzuweisen. Compliance wird in diesem Buch mit dem Ziel grundsätzlicher Regelkonformität und dem Aufbau beziehungsweise der Nutzung geeigneter Strukturen und Instrumente, um dieses Ziel zu erreichen, gleichgesetzt. Was heißt Compliance? Die faktisch übliche Fokussierung des Compliance-Begriffs auf die Rechnungslegung ist verständlich, da diese erst ein Bewusstsein für das Thema geschaffen hat. In weiten Teilen ist sie auch durch die relativ klare Normierung der Anforderungen und der etwaigen Konsequenzen fassbar. Trotzdem ist diese Fokussierung irreführend. Organisationen haben abhängig von ihrer Rechtsform und von den Märkten, in denen sie tätig sind eine manchmal unüberschaubare Vielzahl weiterer gesetzlicher Normen zu erfüllen. Beispiele sind die umfassenden Regeln der US-amerikanischen Food and Drug Administration (FDA) oder die europäischen Regeln des Datenschutzes. Dass z. B. dem Schutz von Kundendaten nicht immer angemessen Aufmerksamkeit geschenkt wird, ist durch den Verkauf von Schweizer (Bank-)Kundendaten an deutsche Ermittlungsbehörden im Jahr 2012 oder von Kreditkartendaten an kriminelle Dritte ebenfalls im Jahr 2012 öffentlichkeitswirksam dokumentiert worden. Neben dem wahrscheinlichen Verstoß gegen datenschutzrechtliche Regularien ist der Reputationsverlust für die Beteiligten erheblich. 23

16 1 Einleitung Benutzerberechtigungen in ERP-Systemen Thema dieses Buches Neuerungen in der 2. Auflage Der Übergang vom abstrakten und weitreichenden Begriff Compliance zu einem vergleichsweise konkreten Gegenstand wie Benutzerberechtigungen mag überraschend wirken. In ERP-Systemen werden zumeist erhebliche Teile der Geschäftsvorfälle einer Organisation abgebildet. In der Systemlandschaft finden die Erfassung, Buchung und Auswertung der relevanten Geschäftsvorfälle statt. Meistens stellt SAP ERP dabei das Herzstück dar, d. h., dass zumindest die buchhalterisch relevanten Daten in diesem System verarbeitet werden. Damit sind die Aktivitäten im System nichts anderes als Aufgaben bei der Bearbeitung eines Geschäftsvorfalls. Mithin ist jedes Risiko, das in der Bearbeitung eines einzelnen oder in der Summe der Bearbeitung aller Geschäftsvorfälle auftritt, ein Risiko im System. Die Aufgabenverteilung, die bei der Bearbeitung von Geschäftsvorfällen u. a. besteht, um kriminelles oder fehlerhaftes Handeln zu vermeiden, muss im System nachvollzogen werden. Die organisatorisch erforderliche Aufgabenverteilung muss über Berechtigungen, die erforderlichen detektivischen Kontrollen müssen durch eine sinnvolle Berichterstattung (Reporting) im System nachvollzogen werden. Berechtigungen sind in diesem Sinne kein technisches Thema, sondern ein originär betriebswirtschaftliches. Dementsprechend erhalten Sie in diesem Buch auch Hinweise auf Inhalte der Organisationslehre, des Geschäftsprozessmanagements und weiterer betriebswirtschaftlicher Themen. Der Schwerpunkt dieses Buches liegt in der Abbildung von Berechtigungen entlang der betriebswirtschaftlichen Prozesse in der Organisation. Um Berechtigungen abbilden zu können, müssen Sie einerseits die Prozesse und die Organisation verstehen. Anderseits bedarf es selbstverständlich auch des technischen Wissens darüber, wie Berechtigungen funktionieren, wie sie angelegt werden und wie sie durch komponentenbezogene Einstellungen differenziert werden können. Dieses Buch hat das Ziel, Berechtigungen im Rahmen durchgreifender Konzepte technischer Regelkonformität aus dem technischen in das betriebswirtschaftliche Blickfeld zu rücken. Nach dem großen Erfolg der 1. Auflage dieses Buches, die im Jahr 2010 erschienen ist, halten Sie nun die 2., aktualisierte und erweiterte Auflage in Händen. Wir haben das Buch komplett überarbeitet und auf den neuesten Wissensstand gebracht. Nicht nur im SAP- Berechtigungswesen sind bedeutende Neuerungen zu verzeichnen; es sind zudem neue SAP-Lösungen auf den Markt gekommen (z. B. 24

17 Einleitung 1 SAP HANA), die nun in das Blickfeld gerückt sind. Im Einzelnen finden Sie in der 2. Auflage nun Informationen zu den folgenden neuen Themen: Die neue und verbesserte Berechtigungspflege von SAP wird ausführlich beschrieben. Dort steht insbesondere der Einsatz des neuen Berechtigungstraces bei der Pflege von Rollen und Vorschlagswerten im Vordergrund (Kapitel 6 und 7). Die Darstellung von SAP NetWeaver Identity Management wurde aktualisiert und ausgebaut (Kapitel 9). Die Werkzeuge zum Sicherheitsmonitoring, die im SAP Solution Manager kostenfrei zur Verfügung stehen, werden umfassend erläutert. Wir stellen Ihnen die Services des SAP Active Global Supports vor, die Sie u. a. nutzen können, um Ihr Berechtigungskonzept regelmäßig zu prüfen (Kapitel 10). Aufgrund des neuen Releases von SAP Access Control (10.0) sind Änderungen und Ergänzungen in diesem Buch notwendig geworden (Kapitel 11). Zu den Berechtigungen in der SAP BusinessObjects BI-Plattform haben wir ein komplett neues Kapitel aufgenommen, denn mit zunehmender Verbreitung der BusinessObjects-Werkzeuge müssen Unternehmen auch ihre Berechtigungen überdenken (Kapitel 17). Ein zweites vollständig neues Kapitel gibt Ihnen einen Überblick über die Berechtigungen in SAP HANA. SAP HANA ermöglicht es Unternehmen, durch den Zugriff auf Daten im Arbeitsspeicher (In- Memory Computing) die Analyse von Geschäftsdaten immens zu beschleunigen (Kapitel 18). Das Buch ist in drei Teile gegliedert. Es ist im Einzelnen folgendermaßen aufgebaut und folgt damit auch unserem Beratungsansatz: Der erste Teil des Buches rüstet Sie mit den notwendigen Grundlagen aus, die Sie brauchen, um ein betriebswirtschaftliches Berechtigungskonzept zu erstellen. Kapitel 2 bietet eine allgemeine Einführung und klärt zentrale Begriffe. In Kapitel 3,»Organisation und Berechtigungen«, setzen wir uns dann mit der Organisation, ihrem Aufbau und ihren Abläufen auseinander. Kapitel 4,»Rechtlicher Rahmen normativer Rahmen«, wendet sich den legalen und internen Regeln zu, die die Grundlage für ein betriebswirtschaftliches Berechtigungskonzept bilden. Schließlich stellen wir in Kapitel 5,»Berechtigungen Aufbau dieses Buches Teil I: Betriebswirtschaftliche Konzeption 25

18 1 Einleitung in der Prozesssicht«, einen End-to-End-Prozess dar, der Ihnen an vielen Stellen im Buch wiederbegegnen wird. Teil II: Werkzeuge und Berechtigungspflege im SAP-System Kapitel 6 bis 12 in Teil III behandeln die verschiedenen Werkzeuge, die Ihnen rund um die Berechtigungspflege im SAP-System zur Verfügung stehen. In Kapitel 6,»Technische Grundlagen der Berechtigungspflege«, und Kapitel 7,»Systemeinstellungen und Customizing«, stellen wir Ihnen die wesentlichen technischen Grundlagen der Berechtigungspflege vor. In Kapitel 8,»Rollenzuordnung über das Organisationsmanagement«, folgt eine Einführung in die Methode der indirekten Rollenvergabe, die auf der Organisationsstruktur beruht. Kapitel 9,»Zentrales Management von Benutzern und Berechtigungen«, widmet sich dann der zentralen Verwaltung von Benutzern mithilfe der Zentralen Benutzerverwaltung (ZBV), SAP NetWeaver Identity Management und SAP Access Control. Kapitel 10,»Berechtigungen: Standards und Analyse«, beschreibt notwendige technische Minimalstandards, die wir gerne in einer so komprimierten Form am Anfang unserer Laufbahn vermittelt bekommen hätten. Kapitel 11 widmet sich dann ganz der GRC- Lösung SAP Access Control. Kapitel 12 stellt die User Management Engine dar. Teil III: Berechtigungen in spezifischen SAP-Lösungen Die Kapitel 13 bis 18 gehen auf Berechtigungen in den einzelnen SAP-Lösungen ein: Kapitel 13 behandelt die Berechtigungen in SAP ERP HCM. Kapitel 14 widmet sich SAP CRM und Kapitel 15 SAP SRM. In Kapitel 16,»Berechtigungen in SAP NetWeaver BW«, und Kapitel 17,»Berechtigungen in der SAP BusinessObjects Business Intelligence-Plattform 4.x«, geht es schließlich um BI-Lösungen von SAP. Kapitel 18 widmet sich den Berechtigungen in SAP HANA. Kapitel 19 umfasst schließlich die Berechtigungen in Bezug auf Prozesse in SAP ERP. Wir schließen dieses Buch mit einem Kapitel zum Vorgehen beim Erstellen eines betriebswirtschaftlichen Berechtigungskonzepts ab (Kapitel 20,»Konzepte und Vorgehen im Projekt«). Im Anhang finden Sie ein Glossar, Hinweise auf weiterführende und verwendete Literatur, Erläuterungen der in den Abbildungen verwendeten Symbole sowie ein Abkürzungsverzeichnis. 26

19 Einleitung 1 Auf der Website des Verlag unter https://ssl.galileo-press.de/bonusseite finden Sie weitere Informationen, z. B. das Kapitel zum Rollenmanager, das in der 1. Auflage dieses Buches enthalten war. Download- Angebot auf der Verlagswebsite Aus der Inhaltsübersicht für dieses Buch lässt sich bereits sein Umfang erahnen: Wir bieten Ihnen eine umfassende Darstellung des SAP-Berechtigungswesens. Auch wenn dieses Buch nicht alle Aspekte vollständig behandeln kann, haben wir versucht, Ihnen ein Handbuch mit vielen konkreten Hinweisen zu bieten. 27

20 In diesem Kapitel erfahren Sie, wie Sie Benutzer und Rollen anlegen können. Darüber hinaus soll ein grundlegendes Verständnis der Wirkung von Berechtigungen geschaffen werden. 6 Technische Grundlagen der Berechtigungspflege Das zentrale Instrument zur Verwaltung von Berechtigungen in SAP ERP sind Rollen. Die wichtigste Ergänzung des rollenbasierten Konzeptes in der Personalwirtschaft (SAP ERP HCM) wird in Kapitel 13 behandelt. Die wichtigsten Attribute einer Rolle sind das Menü und die Berechtigungen. Berechtigungen bestehen dabei aus Berechtigungsobjekten mit Berechtigungsfeldern, in die die gewünschten Werte eingetragen werden. Aus den Berechtigungen der Rolle wird das Berechtigungsprofil automatisch generiert. Ohne das generierte Berechtigungsprofil bleiben die in einer Rolle enthaltenen Berechtigungen unwirksam. Die Pflege von Berechtigungsdaten über Rollen mit anschließender Profilgenerierung ist die Nachfolgemethode zur manuellen Pflege von Profilen und Berechtigungen (siehe Abschnitt 6.3.1,»Manuelle Profile und Berechtigungen«). In diesem Kapitel werden die zentralen Definitionen und Instrumente zur Pflege von Benutzern und Berechtigungen im SAP ERP- System vorgestellt. Nach der Benutzerpflege (Abschnitt 6.1,»Benutzer«) beschreiben wir in Abschnitt 6.2,»Berechtigungen«, die Struktur von Berechtigungen und deren Prüfung in ABAP-Programmen. Die Rollenpflege ist Gegenstand des Abschnitts 6.3,»Rollen und Profile«, gefolgt von Informationen zum Transfer von Rollen in andere Mandanten in Abschnitt 6.4,»Transfer von Rollen«, und zum Benutzerabgleich in Abschnitt 6.5,»Benutzerabgleich«. Die Auswertung von Berechtigungsprüfungen in Abschnitt 6.6,»Vom Trace zur Rolle«, schließt das Kapitel ab. 155

21 6 Technische Grundlagen der Berechtigungspflege 6.1 Benutzer Unterschiedliche Benutzertypen Damit eine (natürliche) Person im SAP-System Aktionen ausführen kann, benötigt sie einen Benutzer, dem Berechtigungen zugeordnet sind. Dies ist in Abbildung 6.1 dargestellt. Eine Person 1 verfügt 2 über einen Benutzer 3. Dem Benutzer sind eine (oder mehrere) Rollen 4 zugeordnet. Eine Rolle 5 verfügt über ein Menü 6, das Anwendungen 7 enthält. In Bezug auf diese Anwendungen gehören zur Rolle Berechtigungen 8. Die einzelnen Berechtigungen sind Berechtigungen zu einem Berechtigungsobjekt 9. S-TCODE ME22N ME25 Menü der Rolle Berechtigungen TCD: ME22N, ME25, M_BEST_BSA ACTVT: 02, 03, BSART: NB Abbildung 6.1 Person Benutzer Rolle Berechtigungen Alle Aktionen im SAP-System werden durch Benutzer ausgeführt. Es gibt unterschiedliche Benutzertypen für unterschiedliche Arten von Aktionen. Dialogbenutzer Servicebenutzer Kommunikationsbenutzer Systembenutzer Referenzbenutzer 156

22 Benutzer 6.1 Dialogbenutzer sind für natürliche Personen personalisierte Benutzer, die sich über das SAP GUI, die graphische Benutzeroberfläche (Graphical User Interface), am SAP-System anmelden. Der Dialogbenutzer ist der zentrale Benutzertyp, er steht deshalb in diesem Buch im Vordergrund. Servicebenutzer dienen z. B. in Webservices dem anonymen Zugriff mehrerer Benutzer. Aus diesem Grund sollten die Berechtigungen für diesen Benutzertyp stark eingeschränkt werden. Ein Anwender meldet sich über das SAP GUI an; dabei ist es möglich, dass er sich mehrfach anmeldet. Der Status des Kennwortes eines Servicebenutzers ist immer produktiv. Das bedeutet auch, dass nur ein Benutzeradministrator das Kennwort ändern kann. Kommunikationsbenutzer sind personenbezogene Benutzer, die sich allerdings nicht über das SAP GUI, sondern per RFC-Aufruf (Remote Function Call) anmelden. Es ist dem Benutzer möglich, das Kennwort zu ändern. Es erfolgt eine Prüfung, ob das Kennwort abgelaufen oder initial ist. Je nachdem, ob sich der Nutzer interaktiv angemeldet hat oder nicht, muss das Kennwort geändert werden. Systembenutzer sind Benutzer, die in technischen Abläufen, wie z. B. Batchläufen, Verwendung finden. Der Benutzer meldet sich hier nicht über das SAP GUI an. Beim Einsatz von Systembenutzern sind Mehrfachanmeldungen möglich. Für Kennwörter gibt es keine Änderungspflicht. Der Referenzbenutzer ist ein Mittel, um die Berechtigungsadministration zu vereinfachen. Es ist nicht möglich, sich über einen solchen Benutzer am SAP-System anzumelden. Der Referenzbenutzer dient dazu, Berechtigungen zu vererben. Dialogbenutzer Servicebenutzer Kommunikationsbenutzer Systembenutzer Referenzbenutzer Das betriebswirtschaftliche Berechtigungskonzept muss auch Aussagen zu den dargestellten Benutzern enthalten. Aus Gründen der Regelkonformität dürfen auch für technische Benutzer nur die Berechtigungen vergeben werden, die erforderlich sind. Umso mehr gilt dieses Prinzip für alle Benutzer, die Personen Zugriffe auf das System ermöglichen. In der Benutzerpflege wird für einen Benutzer jeweils in einem (oder mehreren) Mandanten ein Benutzerstammsatz angelegt. Der Benutzerstammsatz ist mandantenspezifisch. Er wird über einen Benutzernamen identifiziert und enthält: Benutzerstammsatz 157

23 6 Technische Grundlagen der Berechtigungspflege Anmeldeinformationen wie Authentifizierungs- und Gruppierungsmerkmale, Gültigkeiten des Benutzers sowie den Sperrstatus des Benutzers Angaben zur natürlichen Person und Firmenzuordnung persönliche Einstellungen zum Benutzerstamm, wie z. B. Parameter, Datumsdarstellung oder Drucker Zuordnungen zu Berechtigungen in Form von Rollen- und/oder Profilzuordnungen Der Benutzerstammsatz hat eine erhebliche Bedeutung für die Sicherheit und Ordnungsmäßigkeit des Systems. Sämtliche Protokollierungen von Systemzugriffen und in den Belegen beziehen sich auf den Benutzernamen. Diese Protokolle müssen je nach definierter Aufbewahrungsfrist aufbewahrt werden. In Bezug auf die Buchführungspflichten kann von einer Aufbewahrungsfrist von zehn Jahren nach Abschluss des Geschäftsjahres der letzten Aktivität des Benutzers ausgegangen werden. In anderen Bereichen (z. B. Pharmaunternehmen, die der Kontrolle der Food and Drug Administration, FDA, unterliegen) kann auch die Notwendigkeit einer Aufbewahrung von bis zu 30 Jahren erforderlich sein. Die Protokolle müssen darüber hinaus lesbar bleiben, und das bedeutet in diesem Kontext, dass der Benutzer, der eine bestimmte Charge freigab oder einen Beleg buchte, gegebenenfalls auch nach zehn Jahren ermittelbar sein muss. Daraus ergibt sich zwingend und ausnahmslos, dass ein Benutzer nur einmalig einer Person zugeordnet werden darf. Benutzer zu»vererben«(dienstposten-, arbeitsplatzoder stellenbezogenen Benutzer-IDs), also sie im Laufe der Zeit unterschiedlichen Mitarbeitern zur Verfügung zu stellen, ist in jedem Fall eine substanzielle Gefährdung der Sicherheit und Ordnungsmäßigkeit der EDV-Buchführung. Eine Person ein Benutzer Auch die Praxis, eine Person im System mit mehreren Benutzern auszustatten, ist eine ähnlich erhebliche Gefährdung. Allerdings kann hier eine logische Ausnahme geltend gemacht werden, wie sie z. B. im Emergency Access Management (EAM) von SAP Access Control möglich ist. Dort wird in einem definierten und protokollierten Verfahren aus dem»normalen«benutzer heraus ein Superuser gestartet, der entsprechend umfangreiche Berechtigungen hat. Generell gilt, 158