SAP Berechtigungswesen

Volker Lehnert, Katharina Stelzner, Peter John, Anna Otto SAP Berechtigungswesen Bonn Boston

Auf einen Blick 1 Einleitung... 23 TEIL I Betriebswirtschaftliche Konzeption 2 Einführung und Begriffsdefinition... 31 3 Organisation und Berechtigungen... 61 4 Rechtlicher Rahmen normativer Rahmen... 107 5 Berechtigungen in der Prozesssicht... 135 TEIL II Werkzeuge und Berechtigungspflege im SAP-System 6 Technische Grundlagen der Berechtigungspflege... 155 7 Systemeinstellungen und Customizing... 227 8 Rollenzuordnung über das Organisationsmanagement... 311 9 Zentrales Management von Benutzern und Berechtigungen... 321 10 Berechtigungen: Standards und Analyse... 363 11 SAP Access Control... 393 12 User Management Engine... 413 TEIL III Berechtigungen in spezifischen SAP-Lösungen 13 Berechtigungen in SAP ERP HCM... 437 14 Berechtigungen in SAP CRM... 459 15 Berechtigungen in SAP SRM... 541 16 Berechtigungen in SAP NetWeaver BW... 567 17 Berechtigungen in der SAP BusinessObjects Business Intelligence-Plattform 4.x... 593 18 Berechtigungen in SAP HANA... 609 19 Prozesse in SAP ERP spezifische Berechtigungen... 625 20 Konzepte und Vorgehen im Projekt... 693

Inhalt Vorwort... 19 Danksagung... 21 1 Einleitung... 23 Teil I Betriebswirtschaftliche Konzeption 2 Einführung und Begriffsdefinition... 31 2.1 Methodische Überlegungen... 32 2.1.1 Ansätze für das betriebswirtschaftliche Berechtigungskonzept... 33 2.1.2 Beteiligte am Berechtigungskonzept... 35 2.2 Compliance ist Regelkonformität... 36 2.3 Risiko... 37 2.4 Corporate Governance... 41 2.5 Technische versus betriebswirtschaftliche Bedeutung des Berechtigungskonzepts... 43 2.6 Technische vs. betriebswirtschaftliche Rolle... 45 2.7 Beschreibung von Berechtigungskonzepten... 47 2.7.1 Role Based Access Control... 47 2.7.2 Core RBAC und SAP ERP... 50 2.7.3 Hierarchical RBAC und SAP ERP limitierte Rollenhierarchien... 55 2.7.4 Hierarchical RBAC und SAP allgemeine Rollenhierarchien... 56 2.7.5 Constrained RBAC... 56 2.7.6 Constrained RBAC und SAP ERP... 58 2.7.7 Restriktionen des RBAC-Standards... 58 2.7.8 Beschreibung technischer Berechtigungskonzepte... 59 3 Organisation und Berechtigungen... 61 3.1 Organisatorische Differenzierung am Beispiel... 63 3.2 Begriff der Organisation... 65 3.3 Institutioneller Organisationsbegriff... 66 3.4 Instrumenteller Organisationsbegriff... 70 7

Inhalt 3.4.1 Aufbauorganisation... 70 3.4.2 Aufgabenanalyse... 79 3.5 Folgerungen aus der Organisationsbetrachtung... 84 3.6 Sichten der Aufbauorganisation in SAP-Systemen... 85 3.6.1 Organisationsmanagement... 86 3.6.2 Organisationssicht des externen Rechnungswesens... 87 3.6.3 Organisationssicht des Haushalts- managements... 88 3.6.4 Organisationssicht der Kostenstellenstandardhierarchie... 89 3.6.5 Organisationssicht der Profit-Center-Hierarchie... 90 3.6.6 Unternehmensorganisation... 91 3.6.7 Organisationssicht im Projektsystem... 92 3.6.8 Logistische Organisationssicht... 93 3.6.9 Integration der Organisationssichten im Berechtigungskonzept... 93 3.7 Organisationsebenen und -strukturen in SAP ERP... 94 3.7.1 Organisationsebene»Mandant«... 95 3.7.2 Relevante Organisationsebenen des Rechnungswesens... 96 3.7.3 Relevante Organisationsebenen in der Materialwirtschaft... 99 3.7.4 Relevante Organisationsebenen im Vertrieb... 100 3.7.5 Relevante Organisationsebenen in der Lagerverwaltung... 101 3.7.6 Integration der Organisationsebenen im Berechtigungskonzept... 101 3.8 Hinweise zur Methodik im Projekt... 102 3.9 Fazit... 105 4 Rechtlicher Rahmen normativer Rahmen... 107 4.1 Interne und externe Regelungsgrundlagen... 108 4.2 Internes Kontrollsystem... 112 4.3 Rechtsquellen des externen Rechnungswesens... 113 4.3.1 Rechtsquellen und Auswirkungen für den privaten Sektor... 115 8

Inhalt 4.3.2 Konkrete Anforderungen an das Berechtigungskonzept... 118 4.4 Datenschutzrecht... 118 4.4.1 Gesetzliche Definitionen in Bezug auf die Datenverarbeitung... 121 4.4.2 Rechte des Betroffenen... 122 4.4.3 Pflichten in Bezug auf das IKS... 123 4.4.4 Konkrete Anforderungen an das Berechtigungskonzept... 124 4.4.5 Regelkonformität versus Datenschutz... 125 4.5 Allgemeine Anforderungen an ein Berechtigungskonzept... 126 4.5.1 Identitätsprinzip... 128 4.5.2 Minimalprinzip... 128 4.5.3 Stellenprinzip... 129 4.5.4 Belegprinzip der Buchhaltung... 130 4.5.5 Belegprinzip der Berechtigungsverwaltung... 130 4.5.6 Funktionstrennungsprinzip... 131 4.5.7 Genehmigungsprinzip... 131 4.5.8 Standardprinzip... 131 4.5.9 Schriftformprinzip... 132 4.5.10 Kontrollprinzip... 132 4.6 Fazit... 133 5 Berechtigungen in der Prozesssicht... 135 5.1 Prozessübersicht... 135 5.2 Der Verkaufsprozess... 137 5.3 Der Beschaffungsprozess... 143 5.4 Unterstützungsprozesse... 147 5.5 Maßgaben für die Funktionstrennung... 150 5.6 Fazit... 152 Teil II Werkzeuge und Berechtigungspflege im SAP-System 6 Technische Grundlagen der Berechtigungspflege... 155 6.1 Benutzer... 156 6.2 Berechtigungen... 164 9

Inhalt 6.2.1 Berechtigungsfelder und Berechtigungsobjekte... 164 6.2.2 Berechtigungsprüfungen für ABAP-Programme... 166 6.3 Rollen und Profile... 169 6.3.1 Manuelle Profile und Berechtigungen... 170 6.3.2 Rollenpflege... 171 6.4 Transfer von Rollen... 209 6.4.1 Rollentransport... 209 6.4.2 Down-/Upload von Rollen... 211 6.5 Benutzerabgleich... 212 6.6 Vom Trace zur Rolle... 214 6.7 Weitere Auswertungen von Berechtigungsprüfungen... 221 6.7.1 Auswertung der Berechtigungsprüfung... 221 6.7.2 Prüfung des Programms... 223 6.8 Fazit... 225 7 Systemeinstellungen und Customizing... 227 7.1 Pflege und Nutzung der Vorschläge für den Profilgenerator... 228 7.1.1 Grundzustand und Pflege der Berechtigungsvorschlagswerte... 230 7.1.2 Nutzen der Berechtigungs- vorschlagswerte... 240 7.2 Traces... 247 7.2.1 Vorgehen beim Berechtigungstrace... 249 7.2.2 Vorgehen beim System-Trace... 251 7.3 Upgrade von Berechtigungen... 252 7.4 Parameter für Kennwortregeln... 259 7.5 Menükonzept... 262 7.6 Berechtigungsgruppen... 268 7.6.1 Optionale Berechtigungsprüfungen auf Berechtigungsgruppen... 270 7.6.2 Tabellenberechtigungen... 276 7.6.3 Berechtigungsgruppen als Organisationsebenen... 281 7.7 Parameter- und Query-Transaktionen... 283 10

Inhalt 7.7.1 Parametertransaktion zur Pflege von Tabellen über definierte Views... 285 7.7.2 Parametertransaktion zur Ansicht von Tabellen... 288 7.7.3 Queries in Transaktionen umsetzen... 289 7.8 Anhebung eines Berechtigungsfeldes zur Organisationsebene... 291 7.8.1 Auswirkungsanalyse... 292 7.8.2 Vorgehen zur Anhebung eines Feldes zur Organisationsebene... 296 7.8.3 Anhebung des Verantwortungsbereichs zur Organisationsebene... 297 7.9 Berechtigungsfelder und -objekte anlegen... 300 7.9.1 Berechtigungsfelder anlegen... 300 7.9.2 Berechtigungsobjekte anlegen... 301 7.10 Weitere Transaktionen der Berechtigungsadministration... 304 7.11 Rollen zwischen Systemen oder Mandanten bewegen... 306 7.11.1 Down-/Upload von Rollen... 306 7.11.2 Transport von Rollen... 307 7.12 Benutzerstammabgleich... 308 7.13 Fazit... 308 8 Rollenzuordnung über das Organisationsmanagement... 311 8.1 Grundkonzept des SAP ERP HCM- Organisationsmanagements... 312 8.2 Fachliche Voraussetzungen... 314 8.3 Technische Umsetzung... 315 8.3.1 Voraussetzungen... 315 8.3.2 Technische Grundlagen des SAP ERP HCM-Organisationsmanagements... 315 8.3.3 Zuweisung von Rollen... 316 8.3.4 Auswertungsweg... 318 8.3.5 Benutzerstammabgleich... 318 8.4 Konzeptionelle Besonderheit... 319 8.5 Fazit... 319 11

Inhalt 9 Zentrales Management von Benutzern und Berechtigungen... 321 9.1 Grundlagen... 322 9.1.1 Betriebswirtschaftlicher Hintergrund... 322 9.1.2 User Lifecycle Management... 325 9.1.3 SAP-Lösungen für die zentrale Verwaltung von Benutzern... 328 9.2 Zentrale Benutzerverwaltung... 328 9.2.1 Vorgehen zur Einrichtung einer ZBV... 330 9.2.2 Integration mit dem Organisations- management von SAP ERP HCM... 335 9.2.3 Integration mit SAP Access Control... 336 9.3 SAP Access Control User Access Management... 337 9.4 SAP NetWeaver Identity Management... 345 9.4.1 Relevante technische Details... 347 9.4.2 Funktionsweise... 348 9.4.3 Technische Architektur... 354 9.4.4 Integration mit SAP Access Control... 359 9.5 Fazit... 362 10 Berechtigungen: Standards und Analyse... 363 10.1 Standards und ihre Analyse... 364 10.1.1 Rolle anstelle von Profil... 364 10.1.2 Definition der Rolle über das Menü... 365 10.1.3 Vorschlagsnutzung... 367 10.1.4 Tabellenberechtigungen... 367 10.1.5 Programmausführungsberechtigungen... 368 10.1.6 Ableitung... 369 10.1.7 Programmierung Programmierrichtlinie... 370 10.2 Kritische Transaktionen und Objekte... 372 10.3 Allgemeine Auswertungen technischer Standards... 374 10.3.1 Benutzerinformationssystem... 374 10.3.2 Tabellengestützte Analyse von Berechtigungen... 377 10.4 AGS Security Services... 381 10.4.1 Secure Operations Standard und Secure Operations Map... 382 12

Inhalt 10.4.2 Berechtigungs-Checks im SAP EarlyWatch Alert und Security Optimization Service... 384 10.4.3 Reporting über die Zuordnung kritischer Berechtigungen mithilfe der Configuration Validation... 390 10.5 Fazit... 392 11 SAP Access Control... 393 11.1 Grundlagen... 393 11.2 Access Risk Analysis... 397 11.3 Business Role Management... 403 11.4 User Access Management... 405 11.5 Emergency Access Management... 407 11.6 Risk Terminator... 410 11.7 Fazit... 411 12 User Management Engine... 413 12.1 Überblick über die UME... 414 12.1.1 UME-Funktionen... 414 12.1.2 Architektur der UME... 416 12.1.3 Oberfläche der UME... 417 12.1.4 Konfiguration der UME... 419 12.2 Berechtigungskonzept von SAP NetWeaver AS Java... 422 12.2.1 UME-Rollen... 422 12.2.2 UME-Aktionen... 423 12.2.3 UME-Gruppe... 425 12.2.4 Java-EE-Sicherheitsrollen... 427 12.3 Benutzer- und Rollenadministration mit der UME... 427 12.3.1 Voraussetzungen zur Benutzer- und Rollenadministration... 428 12.3.2 Administration von Benutzern... 428 12.3.3 Benutzertypen... 430 12.3.4 Administration von UME-Rollen... 431 12.3.5 Administration von UME-Gruppen... 432 12.3.6 Tracing und Logging... 432 12.4 Fazit... 434 13

Inhalt Teil III Berechtigungen in spezifischen SAP-Lösungen 13 Berechtigungen in SAP ERP HCM... 437 13.1 Grundlagen... 437 13.2 Besondere Anforderungen von SAP ERP HCM... 438 13.3 Berechtigungen und Rollen... 440 13.3.1 Berechtigungsrelevante Attribute in SAP ERP HCM... 441 13.3.2 Beispiel»Personalmaßnahme«... 442 13.4 Berechtigungshauptschalter... 446 13.5 Organisationsmanagement und indirekte Rollenzuordnung... 448 13.6 Strukturelle Berechtigungen... 450 13.6.1 Strukturelles Berechtigungsprofil... 451 13.6.2 Auswertungsweg... 452 13.6.3 Strukturelle Berechtigungen und Performance... 454 13.6.4 Anmerkung zu strukturellen Berechtigungen... 454 13.7 Kontextsensitive Berechtigungen... 455 13.8 Fazit... 457 14 Berechtigungen in SAP CRM... 459 14.1 Grundlagen... 460 14.1.1 Die SAP CRM-Oberfläche: der CRM Web Client... 460 14.1.2 Erstellen von Benutzerrollen für den CRM Web Client... 468 14.2 Abhängigkeiten zwischen der Benutzerrolle und PFCG-Rollen... 469 14.3 Erstellen von PFCG-Rollen abhängig von Benutzerrollen... 471 14.3.1 Voraussetzungen für das Erstellen von PFCG-Rollen... 471 14.3.2 Erstellen von PFCG-Rollen... 477 14.4 Zuweisen von Benutzerrollen und PFCG-Rollen... 482 14.5 Beispiele für Berechtigungen in SAP CRM... 490 14

Inhalt 14.5.1 Berechtigen von Oberflächenkomponenten... 490 14.5.2 Berechtigen von Transaktionsstarter-Links... 500 14.5.3 Sonstige Berechtigungsmöglichkeiten für den CRM Web Client... 502 14.5.4 Berechtigen von Stammdaten... 504 14.5.5 Berechtigen von Geschäftsvorgängen... 507 14.5.6 Berechtigen von Attributgruppen... 518 14.5.7 Berechtigen von Marketingelementen... 519 14.6 Fehlersuche im CRM Web Client... 521 14.7 Access-Control-Engine... 524 14.8 Fazit... 539 15 Berechtigungen in SAP SRM... 541 15.1 Grundlagen... 541 15.2 Berechtigungsvergabe in SAP SRM... 544 15.2.1 Berechtigen der Oberflächenmenüs... 548 15.2.2 Berechtigen typischer Geschäftsvorgänge... 550 15.3 Fazit... 565 16 Berechtigungen in SAP NetWeaver BW... 567 16.1 OLTP-Berechtigungen... 568 16.2 Analyseberechtigungen... 570 16.2.1 Grundlagen... 571 16.2.2 Schrankenprinzip... 573 16.2.3 Transaktion RSECADMIN... 574 16.2.4 Berechtigungspflege... 574 16.2.5 Massenpflege... 577 16.2.6 Zuordnung zu Benutzern... 578 16.2.7 Analyse und Berechtigungsprotokoll... 582 16.2.8 Generierung... 585 16.2.9 Berechtigungsmigration... 587 16.3 Modellierung von Berechtigungen in SAP NetWeaver BW... 588 16.3.1 InfoProvider-basierte Modelle... 589 16.3.2 Merkmalsbasierte Modelle... 589 16.3.3 Gemischte Modelle... 590 15

Inhalt 16.4 RBAC-Modell... 590 16.5 Fazit... 592 17 Berechtigungen in der SAP BusinessObjects Business Intelligence-Plattform 4.x... 593 17.1 Berechtigungskonzept... 593 17.1.1 Benutzer und Benutzergruppen... 595 17.1.2 Objekte, Ordner, Kategorien... 598 17.1.3 Zugriffsberechtigungen... 599 17.2 Interaktion mit SAP NetWeaver BW... 602 17.2.1 System für Endbenutzer anschließen... 603 17.2.2 Beispiel einer Anwendung: Query in Web Intelligence einbinden... 604 17.3 Fazit... 606 18 Berechtigungen in SAP HANA... 609 18.1 Architektur von SAP HANA... 610 18.2 Anwendungsszenarien von SAP HANA... 611 18.3 Objekte des Berechtigungswesens in SAP HANA... 614 18.3.1 Benutzer... 615 18.3.2 Privilegien... 617 18.3.3 Rollen... 620 18.3.4 Beispiel... 621 18.4 Fazit... 622 19 Prozesse in SAP ERP spezifische Berechtigungen 625 19.1 Grundlagen... 626 19.1.1 Stamm- und Bewegungsdaten... 626 19.1.2 Organisationsebenen... 627 19.2 Berechtigungen im Finanzwesen... 628 19.2.1 Organisatorische Differenzierungs- kriterien... 629 19.2.2 Stammdaten... 631 19.2.3 Buchungen... 643 19.2.4 Zahllauf... 648 19.3 Berechtigungen im Controlling... 650 19.3.1 Organisatorische Differenzierungs- kriterien... 651 16

Inhalt 19.3.2 Stammdatenpflege... 652 19.3.3 Buchungen... 661 19.3.4 Altes und neues Berechtigungskonzept im Controlling... 663 19.4 Berechtigungen in der Logistik (allgemein)... 664 19.4.1 Organisatorische Differenzierungs- kriterien... 664 19.4.2 Materialstamm/Materialart... 666 19.5 Berechtigungen im Einkauf... 669 19.5.1 Stammdatenpflege... 670 19.5.2 Beschaffungsabwicklung... 670 19.6 Berechtigungen im Vertrieb... 676 19.6.1 Stammdatenpflege... 676 19.6.2 Verkaufsabwicklung... 678 19.7 Berechtigungen in technischen Prozessen... 681 19.7.1 Funktionstrennung in der Berechtigungsverwaltung... 681 19.7.2 Funktionstrennung im Transportwesen... 684 19.7.3 RFC-Berechtigungen... 686 19.7.4 Debugging-Berechtigungen... 687 19.7.5 Mandantenänderung... 688 19.7.6 Änderungsprotokollierung... 689 19.7.7 Batchberechtigungen... 690 19.8 Fazit... 690 20 Konzepte und Vorgehen im Projekt... 693 20.1 Berechtigungskonzept im Projekt... 694 20.2 Vorgehensmodell... 696 20.2.1 Logischer Ansatz... 697 20.2.2 Implementierung... 699 20.2.3 Redesign... 700 20.2.4 Konkretes Vorgehen... 701 20.3 SAP Best Practices-Template-Rollenkonzept... 705 20.3.1 SAP Best Practices... 705 20.3.2 SAP-Template-Rollen... 706 20.3.3 Methodische Vorgehensweise des SAP Best Practices-Rollenkonzepts... 708 20.3.4 Einsatz mit SAP Access Control... 711 20.4 Inhalte eines Berechtigungskonzepts... 712 17

Inhalt 20.4.1 Einleitung und normativer Rahmen des Konzepts... 713 20.4.2 Technischer Rahmen... 715 20.4.3 Risikobetrachtung... 715 20.4.4 Person Benutzer Berechtigung... 716 20.4.5 Berechtigungsverwaltung... 717 20.4.6 Organisatorische Differenzierung... 718 20.4.7 Prozessdokumentation... 718 20.4.8 Rollendokumentation... 718 20.5 Schritte zum Berechtigungskonzept... 719 20.6 Fazit... 721 Anhang... 723 A Abkürzungsverzeichnis... 725 B Glossar... 729 C Literaturverzeichnis... 745 D Die Autoren... 751 Index... 755 18

Das Berechtigungswesen ist ein originär betriebswirtschaftliches Aufgabengebiet, das nicht allein der Systemadministration überlassen werden kann. In diesem Buch zeigen wir Ihnen, wie Sie Berechtigungen auf Basis von Geschäftsprozessen umsetzen können. 1 Einleitung Dem Thema Berechtigungen in SAP-Systemen wird erst seit einigen Jahren verstärkt Aufmerksamkeit geschenkt. Dieser Umstand ist dem Bemühen von Organisationen geschuldet, Compliance nachzuweisen. Compliance wird in diesem Buch mit dem Ziel grundsätzlicher Regelkonformität und dem Aufbau beziehungsweise der Nutzung geeigneter Strukturen und Instrumente, um dieses Ziel zu erreichen, gleichgesetzt. Was heißt Compliance? Die faktisch übliche Fokussierung des Compliance-Begriffs auf die Rechnungslegung ist verständlich, da diese erst ein Bewusstsein für das Thema geschaffen hat. In weiten Teilen ist sie auch durch die relativ klare Normierung der Anforderungen und der etwaigen Konsequenzen fassbar. Trotzdem ist diese Fokussierung irreführend. Organisationen haben abhängig von ihrer Rechtsform und von den Märkten, in denen sie tätig sind eine manchmal unüberschaubare Vielzahl weiterer gesetzlicher Normen zu erfüllen. Beispiele sind die umfassenden Regeln der US-amerikanischen Food and Drug Administration (FDA) oder die europäischen Regeln des Datenschutzes. Dass z. B. dem Schutz von Kundendaten nicht immer angemessen Aufmerksamkeit geschenkt wird, ist durch den Verkauf von Schweizer (Bank-)Kundendaten an deutsche Ermittlungsbehörden im Jahr 2012 oder von Kreditkartendaten an kriminelle Dritte ebenfalls im Jahr 2012 öffentlichkeitswirksam dokumentiert worden. Neben dem wahrscheinlichen Verstoß gegen datenschutzrechtliche Regularien ist der Reputationsverlust für die Beteiligten erheblich. 23

1 Einleitung Benutzerberechtigungen in ERP-Systemen Thema dieses Buches Neuerungen in der 2. Auflage Der Übergang vom abstrakten und weitreichenden Begriff Compliance zu einem vergleichsweise konkreten Gegenstand wie Benutzerberechtigungen mag überraschend wirken. In ERP-Systemen werden zumeist erhebliche Teile der Geschäftsvorfälle einer Organisation abgebildet. In der Systemlandschaft finden die Erfassung, Buchung und Auswertung der relevanten Geschäftsvorfälle statt. Meistens stellt SAP ERP dabei das Herzstück dar, d. h., dass zumindest die buchhalterisch relevanten Daten in diesem System verarbeitet werden. Damit sind die Aktivitäten im System nichts anderes als Aufgaben bei der Bearbeitung eines Geschäftsvorfalls. Mithin ist jedes Risiko, das in der Bearbeitung eines einzelnen oder in der Summe der Bearbeitung aller Geschäftsvorfälle auftritt, ein Risiko im System. Die Aufgabenverteilung, die bei der Bearbeitung von Geschäftsvorfällen u. a. besteht, um kriminelles oder fehlerhaftes Handeln zu vermeiden, muss im System nachvollzogen werden. Die organisatorisch erforderliche Aufgabenverteilung muss über Berechtigungen, die erforderlichen detektivischen Kontrollen müssen durch eine sinnvolle Berichterstattung (Reporting) im System nachvollzogen werden. Berechtigungen sind in diesem Sinne kein technisches Thema, sondern ein originär betriebswirtschaftliches. Dementsprechend erhalten Sie in diesem Buch auch Hinweise auf Inhalte der Organisationslehre, des Geschäftsprozessmanagements und weiterer betriebswirtschaftlicher Themen. Der Schwerpunkt dieses Buches liegt in der Abbildung von Berechtigungen entlang der betriebswirtschaftlichen Prozesse in der Organisation. Um Berechtigungen abbilden zu können, müssen Sie einerseits die Prozesse und die Organisation verstehen. Anderseits bedarf es selbstverständlich auch des technischen Wissens darüber, wie Berechtigungen funktionieren, wie sie angelegt werden und wie sie durch komponentenbezogene Einstellungen differenziert werden können. Dieses Buch hat das Ziel, Berechtigungen im Rahmen durchgreifender Konzepte technischer Regelkonformität aus dem technischen in das betriebswirtschaftliche Blickfeld zu rücken. Nach dem großen Erfolg der 1. Auflage dieses Buches, die im Jahr 2010 erschienen ist, halten Sie nun die 2., aktualisierte und erweiterte Auflage in Händen. Wir haben das Buch komplett überarbeitet und auf den neuesten Wissensstand gebracht. Nicht nur im SAP- Berechtigungswesen sind bedeutende Neuerungen zu verzeichnen; es sind zudem neue SAP-Lösungen auf den Markt gekommen (z. B. 24

Einleitung 1 SAP HANA), die nun in das Blickfeld gerückt sind. Im Einzelnen finden Sie in der 2. Auflage nun Informationen zu den folgenden neuen Themen: Die neue und verbesserte Berechtigungspflege von SAP wird ausführlich beschrieben. Dort steht insbesondere der Einsatz des neuen Berechtigungstraces bei der Pflege von Rollen und Vorschlagswerten im Vordergrund (Kapitel 6 und 7). Die Darstellung von SAP NetWeaver Identity Management wurde aktualisiert und ausgebaut (Kapitel 9). Die Werkzeuge zum Sicherheitsmonitoring, die im SAP Solution Manager kostenfrei zur Verfügung stehen, werden umfassend erläutert. Wir stellen Ihnen die Services des SAP Active Global Supports vor, die Sie u. a. nutzen können, um Ihr Berechtigungskonzept regelmäßig zu prüfen (Kapitel 10). Aufgrund des neuen Releases von SAP Access Control (10.0) sind Änderungen und Ergänzungen in diesem Buch notwendig geworden (Kapitel 11). Zu den Berechtigungen in der SAP BusinessObjects BI-Plattform haben wir ein komplett neues Kapitel aufgenommen, denn mit zunehmender Verbreitung der BusinessObjects-Werkzeuge müssen Unternehmen auch ihre Berechtigungen überdenken (Kapitel 17). Ein zweites vollständig neues Kapitel gibt Ihnen einen Überblick über die Berechtigungen in SAP HANA. SAP HANA ermöglicht es Unternehmen, durch den Zugriff auf Daten im Arbeitsspeicher (In- Memory Computing) die Analyse von Geschäftsdaten immens zu beschleunigen (Kapitel 18). Das Buch ist in drei Teile gegliedert. Es ist im Einzelnen folgendermaßen aufgebaut und folgt damit auch unserem Beratungsansatz: Der erste Teil des Buches rüstet Sie mit den notwendigen Grundlagen aus, die Sie brauchen, um ein betriebswirtschaftliches Berechtigungskonzept zu erstellen. Kapitel 2 bietet eine allgemeine Einführung und klärt zentrale Begriffe. In Kapitel 3,»Organisation und Berechtigungen«, setzen wir uns dann mit der Organisation, ihrem Aufbau und ihren Abläufen auseinander. Kapitel 4,»Rechtlicher Rahmen normativer Rahmen«, wendet sich den legalen und internen Regeln zu, die die Grundlage für ein betriebswirtschaftliches Berechtigungskonzept bilden. Schließlich stellen wir in Kapitel 5,»Berechtigungen Aufbau dieses Buches Teil I: Betriebswirtschaftliche Konzeption 25

1 Einleitung in der Prozesssicht«, einen End-to-End-Prozess dar, der Ihnen an vielen Stellen im Buch wiederbegegnen wird. Teil II: Werkzeuge und Berechtigungspflege im SAP-System Kapitel 6 bis 12 in Teil III behandeln die verschiedenen Werkzeuge, die Ihnen rund um die Berechtigungspflege im SAP-System zur Verfügung stehen. In Kapitel 6,»Technische Grundlagen der Berechtigungspflege«, und Kapitel 7,»Systemeinstellungen und Customizing«, stellen wir Ihnen die wesentlichen technischen Grundlagen der Berechtigungspflege vor. In Kapitel 8,»Rollenzuordnung über das Organisationsmanagement«, folgt eine Einführung in die Methode der indirekten Rollenvergabe, die auf der Organisationsstruktur beruht. Kapitel 9,»Zentrales Management von Benutzern und Berechtigungen«, widmet sich dann der zentralen Verwaltung von Benutzern mithilfe der Zentralen Benutzerverwaltung (ZBV), SAP NetWeaver Identity Management und SAP Access Control. Kapitel 10,»Berechtigungen: Standards und Analyse«, beschreibt notwendige technische Minimalstandards, die wir gerne in einer so komprimierten Form am Anfang unserer Laufbahn vermittelt bekommen hätten. Kapitel 11 widmet sich dann ganz der GRC- Lösung SAP Access Control. Kapitel 12 stellt die User Management Engine dar. Teil III: Berechtigungen in spezifischen SAP-Lösungen Die Kapitel 13 bis 18 gehen auf Berechtigungen in den einzelnen SAP-Lösungen ein: Kapitel 13 behandelt die Berechtigungen in SAP ERP HCM. Kapitel 14 widmet sich SAP CRM und Kapitel 15 SAP SRM. In Kapitel 16,»Berechtigungen in SAP NetWeaver BW«, und Kapitel 17,»Berechtigungen in der SAP BusinessObjects Business Intelligence-Plattform 4.x«, geht es schließlich um BI-Lösungen von SAP. Kapitel 18 widmet sich den Berechtigungen in SAP HANA. Kapitel 19 umfasst schließlich die Berechtigungen in Bezug auf Prozesse in SAP ERP. Wir schließen dieses Buch mit einem Kapitel zum Vorgehen beim Erstellen eines betriebswirtschaftlichen Berechtigungskonzepts ab (Kapitel 20,»Konzepte und Vorgehen im Projekt«). Im Anhang finden Sie ein Glossar, Hinweise auf weiterführende und verwendete Literatur, Erläuterungen der in den Abbildungen verwendeten Symbole sowie ein Abkürzungsverzeichnis. 26

Einleitung 1 Auf der Website des Verlag unter https://ssl.galileo-press.de/bonusseite finden Sie weitere Informationen, z. B. das Kapitel zum Rollenmanager, das in der 1. Auflage dieses Buches enthalten war. Download- Angebot auf der Verlagswebsite Aus der Inhaltsübersicht für dieses Buch lässt sich bereits sein Umfang erahnen: Wir bieten Ihnen eine umfassende Darstellung des SAP-Berechtigungswesens. Auch wenn dieses Buch nicht alle Aspekte vollständig behandeln kann, haben wir versucht, Ihnen ein Handbuch mit vielen konkreten Hinweisen zu bieten. 27

In diesem Kapitel erfahren Sie, wie Sie Benutzer und Rollen anlegen können. Darüber hinaus soll ein grundlegendes Verständnis der Wirkung von Berechtigungen geschaffen werden. 6 Technische Grundlagen der Berechtigungspflege Das zentrale Instrument zur Verwaltung von Berechtigungen in SAP ERP sind Rollen. Die wichtigste Ergänzung des rollenbasierten Konzeptes in der Personalwirtschaft (SAP ERP HCM) wird in Kapitel 13 behandelt. Die wichtigsten Attribute einer Rolle sind das Menü und die Berechtigungen. Berechtigungen bestehen dabei aus Berechtigungsobjekten mit Berechtigungsfeldern, in die die gewünschten Werte eingetragen werden. Aus den Berechtigungen der Rolle wird das Berechtigungsprofil automatisch generiert. Ohne das generierte Berechtigungsprofil bleiben die in einer Rolle enthaltenen Berechtigungen unwirksam. Die Pflege von Berechtigungsdaten über Rollen mit anschließender Profilgenerierung ist die Nachfolgemethode zur manuellen Pflege von Profilen und Berechtigungen (siehe Abschnitt 6.3.1,»Manuelle Profile und Berechtigungen«). In diesem Kapitel werden die zentralen Definitionen und Instrumente zur Pflege von Benutzern und Berechtigungen im SAP ERP- System vorgestellt. Nach der Benutzerpflege (Abschnitt 6.1,»Benutzer«) beschreiben wir in Abschnitt 6.2,»Berechtigungen«, die Struktur von Berechtigungen und deren Prüfung in ABAP-Programmen. Die Rollenpflege ist Gegenstand des Abschnitts 6.3,»Rollen und Profile«, gefolgt von Informationen zum Transfer von Rollen in andere Mandanten in Abschnitt 6.4,»Transfer von Rollen«, und zum Benutzerabgleich in Abschnitt 6.5,»Benutzerabgleich«. Die Auswertung von Berechtigungsprüfungen in Abschnitt 6.6,»Vom Trace zur Rolle«, schließt das Kapitel ab. 155

6 Technische Grundlagen der Berechtigungspflege 6.1 Benutzer Unterschiedliche Benutzertypen Damit eine (natürliche) Person im SAP-System Aktionen ausführen kann, benötigt sie einen Benutzer, dem Berechtigungen zugeordnet sind. Dies ist in Abbildung 6.1 dargestellt. Eine Person 1 verfügt 2 über einen Benutzer 3. Dem Benutzer sind eine (oder mehrere) Rollen 4 zugeordnet. Eine Rolle 5 verfügt über ein Menü 6, das Anwendungen 7 enthält. In Bezug auf diese Anwendungen gehören zur Rolle Berechtigungen 8. Die einzelnen Berechtigungen sind Berechtigungen zu einem Berechtigungsobjekt 9. S-TCODE ME22N ME25 Menü der Rolle Berechtigungen TCD: ME22N, ME25, M_BEST_BSA ACTVT: 02, 03, BSART: NB Abbildung 6.1 Person Benutzer Rolle Berechtigungen Alle Aktionen im SAP-System werden durch Benutzer ausgeführt. Es gibt unterschiedliche Benutzertypen für unterschiedliche Arten von Aktionen. Dialogbenutzer Servicebenutzer Kommunikationsbenutzer Systembenutzer Referenzbenutzer 156

Benutzer 6.1 Dialogbenutzer sind für natürliche Personen personalisierte Benutzer, die sich über das SAP GUI, die graphische Benutzeroberfläche (Graphical User Interface), am SAP-System anmelden. Der Dialogbenutzer ist der zentrale Benutzertyp, er steht deshalb in diesem Buch im Vordergrund. Servicebenutzer dienen z. B. in Webservices dem anonymen Zugriff mehrerer Benutzer. Aus diesem Grund sollten die Berechtigungen für diesen Benutzertyp stark eingeschränkt werden. Ein Anwender meldet sich über das SAP GUI an; dabei ist es möglich, dass er sich mehrfach anmeldet. Der Status des Kennwortes eines Servicebenutzers ist immer produktiv. Das bedeutet auch, dass nur ein Benutzeradministrator das Kennwort ändern kann. Kommunikationsbenutzer sind personenbezogene Benutzer, die sich allerdings nicht über das SAP GUI, sondern per RFC-Aufruf (Remote Function Call) anmelden. Es ist dem Benutzer möglich, das Kennwort zu ändern. Es erfolgt eine Prüfung, ob das Kennwort abgelaufen oder initial ist. Je nachdem, ob sich der Nutzer interaktiv angemeldet hat oder nicht, muss das Kennwort geändert werden. Systembenutzer sind Benutzer, die in technischen Abläufen, wie z. B. Batchläufen, Verwendung finden. Der Benutzer meldet sich hier nicht über das SAP GUI an. Beim Einsatz von Systembenutzern sind Mehrfachanmeldungen möglich. Für Kennwörter gibt es keine Änderungspflicht. Der Referenzbenutzer ist ein Mittel, um die Berechtigungsadministration zu vereinfachen. Es ist nicht möglich, sich über einen solchen Benutzer am SAP-System anzumelden. Der Referenzbenutzer dient dazu, Berechtigungen zu vererben. Dialogbenutzer Servicebenutzer Kommunikationsbenutzer Systembenutzer Referenzbenutzer Das betriebswirtschaftliche Berechtigungskonzept muss auch Aussagen zu den dargestellten Benutzern enthalten. Aus Gründen der Regelkonformität dürfen auch für technische Benutzer nur die Berechtigungen vergeben werden, die erforderlich sind. Umso mehr gilt dieses Prinzip für alle Benutzer, die Personen Zugriffe auf das System ermöglichen. In der Benutzerpflege wird für einen Benutzer jeweils in einem (oder mehreren) Mandanten ein Benutzerstammsatz angelegt. Der Benutzerstammsatz ist mandantenspezifisch. Er wird über einen Benutzernamen identifiziert und enthält: Benutzerstammsatz 157

6 Technische Grundlagen der Berechtigungspflege Anmeldeinformationen wie Authentifizierungs- und Gruppierungsmerkmale, Gültigkeiten des Benutzers sowie den Sperrstatus des Benutzers Angaben zur natürlichen Person und Firmenzuordnung persönliche Einstellungen zum Benutzerstamm, wie z. B. Parameter, Datumsdarstellung oder Drucker Zuordnungen zu Berechtigungen in Form von Rollen- und/oder Profilzuordnungen Der Benutzerstammsatz hat eine erhebliche Bedeutung für die Sicherheit und Ordnungsmäßigkeit des Systems. Sämtliche Protokollierungen von Systemzugriffen und in den Belegen beziehen sich auf den Benutzernamen. Diese Protokolle müssen je nach definierter Aufbewahrungsfrist aufbewahrt werden. In Bezug auf die Buchführungspflichten kann von einer Aufbewahrungsfrist von zehn Jahren nach Abschluss des Geschäftsjahres der letzten Aktivität des Benutzers ausgegangen werden. In anderen Bereichen (z. B. Pharmaunternehmen, die der Kontrolle der Food and Drug Administration, FDA, unterliegen) kann auch die Notwendigkeit einer Aufbewahrung von bis zu 30 Jahren erforderlich sein. Die Protokolle müssen darüber hinaus lesbar bleiben, und das bedeutet in diesem Kontext, dass der Benutzer, der eine bestimmte Charge freigab oder einen Beleg buchte, gegebenenfalls auch nach zehn Jahren ermittelbar sein muss. Daraus ergibt sich zwingend und ausnahmslos, dass ein Benutzer nur einmalig einer Person zugeordnet werden darf. Benutzer zu»vererben«(dienstposten-, arbeitsplatzoder stellenbezogenen Benutzer-IDs), also sie im Laufe der Zeit unterschiedlichen Mitarbeitern zur Verfügung zu stellen, ist in jedem Fall eine substanzielle Gefährdung der Sicherheit und Ordnungsmäßigkeit der EDV-Buchführung. Eine Person ein Benutzer Auch die Praxis, eine Person im System mit mehreren Benutzern auszustatten, ist eine ähnlich erhebliche Gefährdung. Allerdings kann hier eine logische Ausnahme geltend gemacht werden, wie sie z. B. im Emergency Access Management (EAM) von SAP Access Control möglich ist. Dort wird in einem definierten und protokollierten Verfahren aus dem»normalen«benutzer heraus ein Superuser gestartet, der entsprechend umfangreiche Berechtigungen hat. Generell gilt, 158