SAP-Berechtigungswesen – Konzeption und Realisierung · SAP-Berechtigungswesen – Konzeption und Realisierung 847 Seiten, gebunden, 3. Auflage 2016 79,90 Euro, ISBN 978-3-8362-3768-0.sap-press.de/3849www

LeseprobeIn dieser Leseprobe erfahren Sie, wie Sie ein ausdifferenziertes und effizientes Berechtigungskonzept entwickeln. Die Autoren zeigen Ihnen, welche Einstellungen und Funktionen Ihnen die Berechtigungspflege erleichtern und stellen Ihnen unter-schiedliche Tracemöglichkeiten vor. Außerdem wissen Sie nach der Lektüre, wie Sie nach einem Upgrade die Rollen und Berechtigungen überführen und erhalten Tipps zu den Parametern für Kennwortregeln.

Volker Lehnert, Katharina Stelzner, Anna Otto, Peter John

SAP-Berechtigungswesen – Konzeption und Realisierung847 Seiten, gebunden, 3. Auflage 2016 79,90 Euro, ISBN 978-3-8362-3768-0

www.sap-press.de/3849

Systemeinstellungen und Customizing: »Pflege und Nutzung der Vorschläge für den Profilgenerator« »Traces« »Upgrade-Nacharbeiten von Berechtigungen« »Parameter für Kennwortregeln«

Inhaltsverzeichnis

Index

Die Autoren

Leseprobe weiterempfehlen

SAP-Wissen aus erster Hand.

mailto:?body=Leseproben-Empfehlung:%20%C2%BBSAP-Berechtigungswesen%20%E2%80%93%20Konzeption%20und%20Realisierung%C2%AB%20von%20SAP%20PRESS,%20http://gxmedia.galileo-press.de/leseproben/3849/leseprobe_sappress_sap-berechtigungswesen.pdf&subject=Leseprobe:%20%C2%BBSAP-Berechtigungswesen%20%E2%80%93%20Konzeption%20und%20Realisierung%C2%AB

https://www.rheinwerk-verlag.de/sap-berechtigungswesen_3849/?GPP=lpn

241

Kapitel 7

Dieses Kapitel beschreibt die Einstellungen und Funktionen in der Rollen- und Berechtigungsadministration. Diese ermöglichen ein ausdifferenziertes Berechtigungskonzept und erleichtern Ihnen die Pflege der Berechtigungen.

7 Systemeinstellungen und Customizing

Der Aufbau dieses Kapitels folgt dem normativen Ansatz der Berech-tigungspflege. Normativ ist der Ansatz, weil das Ziel der Regelkon-formität (siehe Kapitel 4, »Rechtlicher Rahmen – normativer Rah-men«) nur durch möglichst präzise Regeln erreichbar ist. Aus dengesetzlichen Regeln müssen Regeln der Organisation werden. Ausdiesen müssen wiederum für das Berechtigungskonzept technischeRegeln werden. Die wichtigste technische Regel besteht darin, dassdie Möglichkeiten des technischen Systems effizient genutzt undnicht umgangen werden.

Entsprechend ist Abschnitt 7.1, »Pflege und Nutzung der Vorschlägefür den Profilgenerator«, den Berechtigungsvorschlagswerten gewid-met, die eine effiziente Pflege von Rollen erst ermöglichen. InAbschnitt 7.2, »Traces«, stellen wir die unterschiedlichen Tracemög-lichkeiten vor. Abschnitt 7.3 beschreibt die Upgrade-Nacharbeitenvon Berechtigungen. Wir beziehen uns in diesem Abschnitt systema-tisch auf die Tätigkeiten nach einem Upgrade im Bezug auf den Pro-filgenerator und somit auf die Überführung der Rollen, gestützt aufdie Berechtigungsvorschlagswerte. Abschnitt 7.4 stellt schließlich»Parameter für Kennwortregeln« vor.

In Verbindung mit Kapitel 6, »Technische Grundlagen der Berechti-gungspflege«, werden Sie mit diesen Abschnitten alle Einstellungenfür den Betrieb eines normativ fundierten Berechtigungskonzeptskennengelernt und erfahren haben, welcher Zusammenhang zwi-schen den Möglichkeiten im SAP-System und den Anforderungen andie Regelkonformität besteht.

3768.book Seite 241 Mittwoch, 9. März 2016 1:39 13

Systemeinstellungen und Customizing7

242

Die nächsten Abschnitte stellen wichtige Erweiterungen des Berech-tigungskonzepts dar, die es Ihnen ermöglichen, Regelkonformität zuerreichen: Abschnitt 7.5, »Menükonzept«, beschreibt die Möglich-keiten eines normativen Menükonzepts, und Abschnitt 7.6 führt Siein die Nutzung und Erweiterung von Berechtigungsgruppen in Bezugauf optionale Prüfungen und die Tabellenberechtigungen ein. InAbschnitt 7.7, »Parameter- und Query-Transaktionen«, erfahren Sie,wie Sie Tabellenzugriffe und Querys in Transaktionen umwandelnkönnen, um zu verhindern, dass Endbenutzer direkte Tabellenzu-griffe haben.

Um die Möglichkeiten, ein Standardberechtigungskonzept zu erstel-len, auszuprägen und kundenspezifische Einstellungen, Transaktio-nen und Funktionen zu ergänzen, folgen die nächsten drei Abschnitte:Abschnitt 7.8, »Anhebung eines Berechtigungsfeldes zur Organisati-onsebene«, widmet sich der weiteren organisatorischen Differenzie-rung Ihres Berechtigungskonzepts mittels zusätzlicher Organisations-ebenen. Abschnitt 7.9, »Berechtigungsfelder und -objekte anlegen«,beschreibt die Anlage eigener Berechtigungsobjekte. Abschnitt 7.10,»Weitere Transaktionen der Berechtigungsadministration«, stellt eineSammlung weiterer nützlicher Transaktionen vor. Zusätzlich solltenSie im Rahmen der Ermittlung von erforderlichen Berechtigungen vorallem in kundeneigenen Programmen die Informationen in Ab-schnitt 7.2, »Traces«, berücksichtigen.

7.1 Pflege und Nutzung der Vorschläge für den Profilgenerator

In diesem Abschnitt stellen wir die zentrale Funktion der Berechti-gungsvorschlagswerte dar. Berechtigungsvorschläge sind vordefi-nierte Werte, die beim Anlegen und Ändern von Rollen auf Basis desRollenmenüs als Berechtigungen vorgeschlagen werden. Sie erleich-tern die effiziente und regelkonforme Pflege von Rollen.

Bedeutung derVorschlagswerte

Abbildung 7.1 verdeutlicht die zentrale Bedeutung der Pflege der Be-rechtigungsvorschlagswerte sowohl für alle Aktivitäten der Rollen-pflege als auch für alle analytischen Methoden. Im mittleren Bereichder Abbildung sehen Sie, dass für jede Anwendung (Transaktion,Web Dynpro, RFC-Funktionsbausteine, externe Services etc.) Be-rechtigungsvorschläge festgelegt werden. Diese Berechtigungsvor-


Pflege und Nutzung der Vorschläge für den Profilgenerator 7.1

243

schläge können dann in der Rollenpflege übernommen werden. Da-rüber hinaus werden die Berechtigungsvorschlagswerte für dieRisikoanalyse (kritische Aktionen, Funktionstrennungskonflikte)und die technische Analyse (Normeinhaltung) benötigt.

Abbildung 7.1 Berechtigungsvorschlagswerte – Unterstützung bei der Rollenpflege und -analyse

Nutzen der Vorschlagswerte

Wir werden im Folgenden darstellen, welchen Nutzen die Vor-schlagswertpflege für folgende Bereiche hat:

� die Arbeit mit dem Profilgenerator (Anlage und Pflege von Rollen)

� die Berechtigungspflege beim Upgrade

� die Nachvollziehbarkeit der Regeleinhaltung

� ordentlich definierte Risikodefinitionen

In Abschnitt 6.3.1, »Manuelle Profile und Berechtigungen«, sind wirbereits auf die Funktion der Berechtigungsvorschlagswerte für denProfilgenerator eingegangen, die eine umfangreiche Automatisie-rung der Berechtigungspflege erlauben.

Berechtigungsvorschlagswerte enthalten eine Menge von Berechti-gungen in Bezug auf jeweils eine Anwendung. Meistens werden jeAnwendung zu mehreren Berechtigungsobjekten notwendige Wertevorgeschlagen. Den überwiegenden Teil dieser Vorschläge liefert

Anwendung

Berechtigungsobjekt 1

Ausprägung Feld 1

Ausprägung Feld 2

Berechtigungsobjekt 2

Ausprägung Feld 1

Ausprägung Feld 2

F110

XK03

ME21

F_BKPF_BUKACTVT: 01, 02BUKRS: $ BUKRS



Rollenpflege

Rollenanalyse

Anlage Wartung Upgrade

Risikoanalyse

technische Analyse



244

SAP aus. Die Berechtigungsvorschlagswerte müssen organisations-spezifisch ergänzt werden. Die Berechtigungsprüfungen sind unab-hängig von den Vorschlagswerten, die Prüfung ist Teil des Pro-gramms. Die Berechtigungsvorschlagswerte sollten für diese Prüfungmöglichst genaue Berechtigungsvorschläge in der Rollenpflege er-möglichen. Bevor wir den Nutzen der Berechtigungsvorschlagswertedarstellen, werden wir Ihnen zunächst ihren Grundzustand und ihrePflege erläutern.

7.1.1 Grundzustand und Pflege der Berechtigungs-vorschlagswerte

SAP liefert für alle dazu geeigneten Anwendungen Berechtigungsvor-schlagswerte aus. Voraussetzung für die Berechtigungsvorschlags-pflege ist, dass diese Berechtigungen im Programmcode der jeweili-gen Anwendung als Berechtigungsprüfung implementiert sind. Nurdiese Berechtigungsobjekte können als Berechtigungsvorschlägegepflegt werden. Die Berechtigungsprüfung ist allerdings abhängigvon der Konfiguration der Prozesse und der Stammdatendefinition.Entschließt sich eine Organisation z. B., optionale Berechtigungsprü-fungen einzusetzen, wird dies vermutlich weitere Berechtigungsprü-fungen im Programmablauf zur Folge haben. Dieses Prinzip gilt fürviele mögliche kundenspezifische Ausprägungen eines Prozesses inden Komponenten. Es gilt aber ebenso für die Integration der Kom-ponenten. Mit anderen Worten: Berechtigungsvorschlagswerte sindteilweise zwingend systemspezifisch. Aus diesem Grund muss dieOrganisation die Berechtigungsvorschlagswerte entsprechend nach-pflegen. Dazu wird die Transaktion SU24 (Pflege der Berechtigungs-vorschlagswerte) genutzt.

Releasehinweis

Ab dem Basisrelease 7.02 steht eine Reihe neuer Funktionen für diePflege der Berechtigungsvorschlagswerte zur Verfügung. Die folgendenAusführungen beziehen sich auf Systeme mit einem Releasestand (SAP_BASIS) gleich oder größer 7.02.

Abbildung 7.2 verdeutlicht, wie die Pflege von Berechtigungsvor-schlagswerten und Berechtigungen in aller Regel erfolgen soll. In derersten Säule (Entwicklung) sehen Sie die Aufgaben der Entwicklung.Die Entwicklung legt die notwendigen Berechtigungsvorschläge fest.



245

Die Vorschlagswerte sollten zum Abschluss jeder Entwicklung voll-ständig vorliegen. Beim »Bauen einer Anwendung« legt die Entwick-lung technisch fest, welche Berechtigungsobjekte im Zusammenhangmit einer Anwendung zu prüfen sind: Sie »baut den Authority-Check«mit konkreten Berechtigungsobjekten und ausgewählten Berechti-gungswerten. Konkret: Wenn ein Entwickler in eine Anwendungeinen Authority-Check z. B. auf M_BEST_EKO (Einkaufsorganisation inBestellung) mit der Aktion Anlegen (ACTVT: 01) und die zugehörigeEinkaufsorganisation (EKORG: $EKORG) einbaut, dann weiß er, dassgenau diese Berechtigung auch unter der Anwendung geprüft werdenwird. Es ist also nur ein sehr geringer Aufwand, an dieser Stelle auchdie Berechtigungsvorschlagswerte zu pflegen. Die nachträglicheErmittlung von Vorschlagswerten beim Testen der Anwendung kostetbereits erheblich mehr. Die »historische« Ermittlung durch Mitarbei-ter, die die Anwendung nicht gebaut haben, verursacht nahezu dieKosten eines erneuten Funktions- und Integrationstests.

Um eine nachträgliche Ermittlung der Vorschlagswerte zu umgehen,können Sie den Langzeitberechtigungstrace verwenden (siehe Ab-schnitt 7.2, »Traces«). Bei diesem Langzeittrace werden schon wäh-rend der Entwicklung bzw. beim Aufruf der Anwendung Berech-tigungsprüfungen getract und protokolliert.

Abbildung 7.2 Von der programmierten Berechtigungsprüfung zur Rolle (nach: http://help.sap.com. SAP NetWeaver 7.0 EHP 3)

Transaktion PFCG

Entwicklung

3. Legt Berechtigungs-objekte an; legt not-wendige Prüfungen fest; gibt Vorschlagswerte an.

2. Testet Anwendung.

ABAP Workbench

1. Baut Anwendung mit AUTHORITY-CHECK.

Transaktion SU22

4. Legt Beispielrolle mit Menü an; erzeugt Rollenprofil; gibt Be- rechtigungswerte ein.

Transaktion PFCG

Fachanwender

1. Meldet sich in SAP-System an; navigiert mittels Daten aus Rollenmenü; greift auf Anwendungen zu, für die Berechtigungen in der Rolle enthalten sind.

Berechtigungs-verwaltung

erzeugt

2. Passt Berechtigungs-vorschläge an seine Bedürfnisse an.

Transaktion SU25

Transaktion SU24

3. Legt Rolle mit Menü an; Rollenprofil.

4. Ordnet Rolle Benutzer zu.

1. Übernimmt Berechtigungsdaten.

Transaktion PFCG



246

Für die Pflege von Vorschlagswerten nutzen SAP und ihre Entwick-lungspartner die Transaktion SU22 (Berechtigungsvorschlagspflege –SAP). Generell können Sie für die Pflege von Berechtigungsvor-schlagswerten die Transaktion SU24 (Berechtigungsvorschlags-pflege) nutzen.

Für beide Transaktionen stehen (mittlerweile) Traces als Hilfsmittelzur Verfügung. Dabei handelt es sich um den Berechtigungstrace(siehe Abschnitt 7.2.1, »Vorgehen beim Berechtigungstrace«) undden Systemtrace (siehe Abschnitt 7.2.2, »Vorgehen beim System-trace«).

Pflege derVoschlagswert-

tabelle –Kundenwerte

In Abbildung 7.3 ist der Einstiegsbildschirm der Transaktion SU24(Berechtigungsvorschlagspflege) dargestellt. Die Buttons Download

1 und Upload 2 dienen dem Down- und Upload der Werte; dieskann zur Sicherung oder zur Verteilung zwischen gleich konfigurier-ten Systemen nützlich sein. Der Button Berechtigungsvorlagen 3dient der Definition von Berechtigungsvorlagen, die in der Rollen-pflege genutzt werden können. Diese Funktion betrachten wir nichtweiter, da wir eine Nutzung nicht empfehlen. Der Button Vor-

schlagswerteabgleich 4 ermöglicht Ihnen einen selektiven Ab-gleich von Berechtigungsvorschlagswerten zwischen den SAP-Werten(Transaktion SU22) und den kundeneigenen Werten (TransaktionSU24). Dieser selektive Abgleich ist eine neue Funktion und steht sys-tematisch mit Upgrade-Aktivitäten in Verbindung. Abhängig davon,für welche Anwendung Sie Berechtigungsvorschlagswerte pflegenwollen, selektieren Sie im Selektionsfeld Typ der Anwendung 5 denentsprechenden Typ. Zur Verfügung stehen die folgenden Anwen-dungstypen:

� Transaktion

� Web-Dynpro-Applikation

� Web-Dynpro-Anwendungskonfiguration

� IDoc-Typ

� Workflowmuster

� RFC-Funktionsbaustein

� SAP Gateway: Service Groups Metadata

� SAP Gateway Business Suite Enablement – Service

� Zuordnung Service � Berechtigungsobjekt

� BSP-(Business-Server-Pages-)Applikation



247

� JCO-iView

� People Centric UI Service (CRM)

� Webservice

� CRM UIU Component

� CRM Web Channel Experience Management Module

� TADIR-Service

� externer Service

� Suche nach technischem Namen (Hashcode)

Abbildung 7.3 Einstieg in die Transaktion SU24 (Berechtigungsvorschlagspflege) – Auswahl »Transaktion«

Die Selektion einer Anwendung beeinflusst die weiteren Eingabe-möglichkeiten. So sehen Sie die Selektion Transaktionscode 6, indie ein oder mehrere Transaktionscodes eingetragen werden kön-nen. Unter Weitere Einschränkungen (Berechtigungsobjektver-

wendung) 7 haben Sie die folgenden Möglichkeiten der Suche:

� Suche nach Anwendungen für ein bestimmtes Berechtigungsobjekt

� Suche nach einer Kombination aus Anwendung und Berechti-gungsobjekt inklusive Prüfkennzeichen oder Vorschlagsstatus

Die Bearbeitung der Berechtigungsvorschlagswerte wird im Folgebild-schirm vorgenommen (siehe Abbildung 7.4). Im mit 1 gekennzeich-neten Bereich finden Sie (von links nach rechts) folgende Buttons:

� (Anzeigen < – > Ändern): Mit diesem Button wechseln Sie zwi-schen Anzeige und Pflege der Berechtigungsvorschlagswerte.



248

� (Anderes Objekt): Mit diesem Button können Sie eine andereAnwendung oder ein anderes Objekt auswählen.

� SAP-Daten: Hier können Sie sich die SAP-Originaldaten anzeigenlassen.

� Berechtigungs-Trace: Ein oder Aus: Dieser Button informiert Siezunächst darüber, ob der Berechtigungstrace (siehe Abschnitt 7.2.1,»Vorgehen beim Berechtigungstrace«) eingeschaltet ist. Wenn Siedaraufklicken, erhalten Sie eine Kurzinformation zum Berechti-gungstrace.

� Abmischmodus für PFCG: Ein oder Aus: Über diesen Buttonerfahren Sie, ob der Abmischmodus für PFCG-Rollen ein- oderausgeschaltet ist. Werden Änderungen an den Vorschlagswertenvorgenommen, so hat das Einfluss auf die Berechtigungswerte derPFCG-Rollen, die die jeweilige Anwendung im Rollenmenü bein-haltet. Ist der Abmischmodus eingeschaltet, werden betroffeneRollen in den Status Profilabgleich erforderlich gesetzt und beider nächsten Änderung der Rolle berücksichtigt. Den Abmischmo-dus können Sie mittels des Parameters S42X_SET_FORCE_MIX inder Tabelle PRGN_CUST setzen.

� (Verwendung in Einzelrollen): Mithilfe dieses Buttonserhalten Sie Informationen, in welchen PFCG-Einzelrollen die aus-gewählte Anwendung im Rollenmenü verwendet wird.

Abbildung 7.4 Transaktion SU24 (Berechtigungsvorschlagspflege) – Anzeige und Pflege



249

Im Bereich Selektionsergebnis 2 sehen Sie die Menge der selektiertenObjekte. Dies können, abhängig von der Selektion im Einstiegsbild-schirm, entweder Transaktionen, Web-Dynpro-Applikationen, Web-Dynpro-Anwendungskonfigurationen, Workflowmuster, RFC-Funkti-onsbausteine, TADIR-Services, externe Services etc. sein. Durch Mar-kieren einer Anwendung erscheinen im Bereich Berechtigungs-

objekte 3 die jeweils zugehörigen Objekte. Hier pflegen Sie die inTabelle 7.1 spezifizierten Einstellungen. Dazu müssen Sie zunächst inden Änderungsmodus wechseln. In diesem Bereich sind alle Berech-tigungsobjekte enthalten, die im Standard oder in den kundeneigenenAusprägungen zugeordnet sind. Es handelt sich aber weder um alleBerechtigungsobjekte, die im System zur Verfügung stehen, nochunbedingt um alle, die im Programmablauf tatsächlich geprüft werden.

Im Bereich Berechtigungsvorschlagswerte 4 können Sie für diein Bereich 3 ausgewählten Berechtigungsobjekte Vorschlagswertefür die Berechtigungsfelder pflegen.

Im Änderungsmodus werden zusätzliche Buttons angeboten (sieheAbbildung 7.5). Zunächst jedoch sehen Sie im Titel 1, dass Sie im Ände-rungsmodus sind. Mit dem Button Objekt 2 können Sie sich (sofernunten ein Objekt selektiert ist) die Objektdefinition, die Objektdoku-mentation oder den Verwendungsnachweis anzeigen lassen. Sie kön-nen aber auch ein Objekt hinzufügen, entweder manuell 2 oder ausdem Berechtigungstrace 6 (siehe Abschnitt 7.2.1, »Vorgehen beimBerechtigungstrace«).

Abbildung 7.5 Transaktion SU24 (Berechtigungsvorschlagspflege) im Änderungs-modus: Zuordnungen und Status



250

Mit dem Button Prüfkennzeichen 3 können Sie festlegen, ob einObjekt im Programmablauf geprüft werden soll.

Das Prüfkennzeichen kann die in Tabelle 7.1 dargestellten Ausprä-gungen haben, in der Spalte Funktion wird die Wirkung beschrie-ben. Auf der folgenden Seite beschreiben wir in einem kurzenExkurs die Funktion des Kennzeichens »nicht prüfen« etwas genauer.

Sie legen über das Prüfkennzeichen fest, ob ein Objekt unter derAnwendung geprüft werden soll. Das Prüfkennzeichen wird in dieTabelle USOBX_C (Checktabelle zu Tabelle USOBT_C) eingetragenund definiert, ob ein Berechtigungsobjekt unter der Anwendunggeprüft werden muss. Beachten Sie in jedem Fall, dass Sie die Unter-drückung auch transportieren oder manuell im Zielsystem vorneh-men müssen. Da das Unterdrücken der Prüfung kritisch ist, unter-nehmen wir an dieser Stelle einen Exkurs zum Ausschalten vonPrüfungen.

Exkurs: Verringerung des Umfangs von Berechtigungsprüfungen

Eine etwaige Unterdrückung der Berechtigungsprüfung kann nur nachgenauer Prüfung und Dokumentation der Prüfungsergebnisse vorgenom-men werden. Um Prüfungen über die Transaktion SU24 (Berechtigungs-objektprüfungen unter Transaktionen) wirksam unterdrücken zu können,muss der Profilparameter (Parameter auth/no_check_in_some_cases)auf Y gesetzt sein (Default). Diese Einstellung ist ebenfalls nötig, um denProfilgenerator überhaupt nutzen zu können.

Berechtigungsprüfungen von Berechtigungsobjekten, die zu Komponen-ten der Basis oder von SAP ERP Human Capital Management (HCM)gehören, lassen sich nicht unterdrücken.

Bei der Prüfung von Berechtigungskonzepten müssen Sie auf jeden Fallklären, welche Einstellungen zur Unterdrückung von Prüfungen vorge-

Funktion Prfkz.

Prüfkennzeichen wurde nicht spezifiziert – Berechti-gungsobjekt wird geprüft.

–

Berechtigungsobjekt wird unter der Anwendung nicht geprüft.

nicht prüfen

Berechtigungsobjekt wird unter der Anwendung geprüft.

prüfen

Tabelle 7.1 Prüfkennzeichen für Berechtigungsobjektprüfungen unter Anwendungen



251

nommen wurden. Dabei gilt die Maßgabe, dass SAP-seitig vorgenom-mene Unterdrückungen Standard sind und kundenseitig angelegte Unter-drückungen erklärungs- und nachweisbedürftig sind.

Die Überprüfung auf Änderungen in diesem Sinne muss als kompensie-rende Kontrolle durchgeführt werden. Dazu wird die Tabelle USOBX_C(Checktabelle zu Tabelle USOBT_C) im Feld OK-Kennzeichen mit demWert N (keine Berechtigungsprüfung) und dem Feld Änderer = »SAP« aus-gewertet.

Über den Button Vorschlag 4 in Abbildung 7.5 legen Sie fest, obund wie das selektierte Berechtigungsobjekt zu einer Anwendung ineiner Rolle vorgeschlagen werden soll. Ihre Wahl wird dann in derSpalte Vorschlag durch ein Ja oder Nein 8 kenntlich gemacht. DieWirkung ist in Tabelle 7.2 zusammengefasst.

Pflege der Berechtigungs-vorschlagswerte auf Feldebene

Nachdem Sie das Vorschlagsverhalten festgelegt haben, können Sienun über den Button Feldwerte 5 detailliert die Werte pflegen, dievorgeschlagen werden sollen. Sinnvollerweise werden nur die Werteeingetragen (Bereich Berechtigungsvorschlagswerte 4 der Abbil-dung 7.4), für deren Notwendigkeit es einen positiven Nachweisgibt. Dieser Nachweis ist in aller Regel ein Trace. Aus diesem Grundempfehlen wir, über die Auswertung der Traces 6 die Berechti-gungsvorschlagswerte zu pflegen.

Die Übernahme aus den Traces in die Berechtigungsvorschlagswerteentspricht dem in Abschnitt 6.6, »Vom Trace zur Rolle«, dargestell-ten Vorgehen. Darum werden wir dies an dieser Stelle nicht weiterausführen.

Status Wirkung

Ja Das Berechtigungsobjekt wird in einer Rolle vorge-schlagen und muss mit Werten ausgeprägt werden. Einige Felder enthalten bereits Vorschlagswerte.

Ja ohne Werte Das Berechtigungsobjekt wird in einer Rolle vorge-schlagen. Es gibt allerdings keine gepflegten Vor-schläge für Werte.

Nein Das Berechtigungsobjekt wird nicht vorgeschlagen.

Neu/Ungepflegt Das Berechtigungsobjekt wird zurückgesetzt und erhält in der Spalte Status 9 eine rote Ampel.

Tabelle 7.2 Vorschlag und Status



252

Zur Feldpflege muss das Objekt zum Vorschlag bestimmt sein (Vor-schlag Ja). Sofern Sie eindeutige Feldwerte ermittelt haben, könnendiese als Vorschlag eingetragen werden. Sie können keine Organisa-tionsebenen eintragen. Die anderen Werte müssen nach sorgfältigerPrüfung eingetragen werden. Oft besteht die erforderliche Eindeu-tigkeit nur in Bezug auf die Aktivität.

Sie können das am Beispiel der Bestellung nachvollziehen: Wenn Siewollen, dass mit der Transaktion ME23N (Bestellung anzeigen) aus-schließlich Bestellungen angezeigt werden können, müssten Siejeweils im Feld ACTVT (Aktivität) die Werte 03 (Anzeigen) und 08(Änderungsbelege anzeigen) mitgeben. Da es aber wahrscheinlicherforderlich ist, den Zugriff organisatorisch zu differenzieren, kön-nen Sie im Feld Belegart in Bestellung (BSART) keinen Wert eintra-gen, da die Belegart ein ablauforganisatorisches Kriterium ist und Sieden Zugriff wahrscheinlich für einzelne Belegarten unterschiedlichausprägen wollen.

Dieses Vorgehen ist erforderlich, um einerseits das Berechtigungsob-jekt und die Aktivität automatisch vorgeschlagen zu bekommen.Anderseits wollen Sie verhindern, dass Sie das Feld Belegart ändernmüssen, da dies den Status des Objekts auf Verändert im Profil set-zen würde.

Enjoy-Transaktionen

Die Transaktionen zur Bestellung sind deswegen ein gutes Beispiel,weil sie als Enjoy-Transaktionen prinzipiell vergleichbare Aktionenerlauben: Wenn die entsprechenden Berechtigungen zur Transaktionvergeben sind, kann aus der Transaktion ME23N (Bestellung anzei-gen) eine Bestellung auch angelegt oder geändert werden (siehe SAP-Hinweis 751129 – Berechtigungen in Enjoy-Transaktionen im Ein-kauf). Die zu pflegenden Werte ergeben sich aus Ihrer Nutzung derEnjoy-Logik. Für das Beispiel der Transaktion ME23N (Bestellunganzeigen) heißt das:

� ausnahmslos Enjoy-Logik nutzen = Anlegen, Ändern, Anzeigen

� überwiegend Enjoy-Logik nutzen = keine Werte

� Enjoy-Logik nicht nutzen = Anzeigen

Berechtigungsvorschlagswerte stellen die mächtigste positiv regelba-sierte Steuerung von Berechtigungen dar. Sie verleiten allerdingsunter Umständen dazu, sie einfach zu übernehmen. Das kann jedochfalsch sein: Wenn Sie also die Transaktion ME23N (Bestellung anzei-gen) tatsächlich nur zum Anzeigen nutzen wollen, wenn Sie aber die



253

Werte Anlegen, Ändern und Anzeigen zulassen, wird mit Sicher-heit irgendwann dieser Wert auch so in eine Rolle, die nur das Anzei-gen erlauben soll, aufgenommen.

Obligatorischer Transportauftrag

Sämtliche Änderungen der Berechtigungsvorschlagswerte werden ineinen Transportauftrag übernommen. Dabei sollten Sie die üblichen Emp-fehlungen zur Transport Policy und Ihre hauseigene Policy beachten.

Vorschlagswert-tabellen und ihre Relation

Änderungen der Vorschläge für den Profilgenerator werden inunterschiedliche Tabellen geschrieben. Die Tabelle USOBT (RelationTransaktion R Ber.objekt) enthält die Auslieferungsdaten für Vor-schläge. Die kundenseitigen Änderungen der Berechtigungsvor-schlagswerte werden in die Tabelle USOBT_C (Relation TransaktionR Berechtigungsobjekt – Kunde) eingetragen. Die Tabelle USOBX(Checktabelle zu Tabelle USOBT) enthält die Auslieferungsdaten fürPrüfkennzeichen. Die kundenseitigen Änderungen der Prüfkennzei-chen werden in die Tabelle USOBX_C (Checktabelle zu TabelleUSOBT_C) eingetragen.

In Abbildung 7.6 sind beispielhaft drei Änderungen vorgenommen: InBezug auf die Transaktion ME21N (Bestellung anlegen) wurde dasBerechtigungsobjekt F_FICA_FOG (Haushaltsmanagement: Berechti-gungsgruppe des Fonds) auf »nicht prüfen« gesetzt 1, das Berechti-gungsobjekt F_FICA_FCD – (Haushaltsmanagement Fonds) wurde aufVorschlag Ja gesetzt 2, und im Feld Aktivität Berechtigungsprüfung

(FM_AUTHACT) 3 wurden die Aktionen 01, 02, 08 und 10 eingetragen.

Abbildung 7.6 Exemplarische Pflege von Berechtigungsobjekten



254

Diese Änderungen wirken sich nicht auf die Tabelle USOBT (RelationTransaktion � Ber.objekt) und die Tabelle USOBX (Checktabelle zuTabelle USOBT) aus. Stattdessen werden die Werte in die TabelleUSOBT_C (Relation Transaktion � Berechtigungsobjekt – Kunde)und die Tabelle USOBX_C (Checktabelle zu Tabelle USOBT_C) einge-tragen.

In der Tabelle USOBT_C (Relation Transaktion R Berechtigungsob-jekt – Kunde) ergeben sich durch die Änderung die in Tabelle 7.3dargestellten Einträge. Aus der Tabelle sind zur Vereinfachung nurdie folgenden Spalten dargestellt:

� Object = Berechtigungsobjekt

� Field = Berechtigungsfeld

� Low = Einzelwert oder der kleinste Wert eines Intervalls

� Modifier = letzter Änderer

� Modified = Kennzeichen für Änderung

Die erste Zeile bedeutet also, dass im Berechtigungsobjekt F_FICA_FCD das Feld FM_AUTHACT mit dem generischen Wert * durch denBenutzer I055366 geändert wurde.

In der Tabelle USOBX_C (Checktabelle zu Tabelle USOBT_C) ergebensich die in Tabelle 7.4 dargestellten Einträge.

OBJECT FIELD LOW MODIFIER MODIFIED

F_FICA_FCD FM_AUTHACT 01 I055366 X




F_FICA_FCD FM_FIKRS $FIKRS I055366 X

F_FICA_FCD FM_FINCODE I055366 X

Tabelle 7.3 Tabelle »Relation Transaktion ? Ber.objekt (Kunde)« nach Anpassung

OBJECT MODIFIER OKFLAG MODIFIED

F_FICA_FCD I055366 Y X

F_FICA_FOG I055366 N X

Tabelle 7.4 Tabelle »Checktabelle zu Tabelle USOBT_C« nach Anpassung



255

Die Änderungshistorie können Sie den in Tabelle 7.5 benanntenTabellen entnehmen.

Wenn die Berechtigungsvorschlagswerte gut gepflegt und in denRollen entsprechend verwendet werden, kann ein Upgrade zügigdurchgeführt werden. Zum Upgrade kommen wir im nächstenAbschnitt.

Der Vollständigkeit halber kommen wir noch einmal auf Abbil-dung 7.5 zurück. Dort hatten wir noch nicht darauf hingewiesen,dass ein Startberechtigungsobjekt in der Spalte TSTCA dieser Abbil-dung unter 7 besonders gekennzeichnet ist.

7.1.2 Nutzen der Berechtigungsvorschlagswerte

Eine umfassende Pflege der Berechtigungsvorschlagswerte in Ver-bindung mit dem angegebenen Statusziel hat folgenden Nutzen:

� Funktion für den ProfilgeneratorBerechtigungspflege erfolgt regelbasiert statt by incident. Konkretwird eine technische Regel hinterlegt, welche Berechtigungsob-jekte mit welchen Feldwerten zu einer Anwendung (Transaktion,Web Dynpro, RFC-Funktionsbausteine, externe Services etc.)gehören und somit in den Berechtigungen einer Rolle vorgeschla-gen werden sollen. Da diese Feldwerte, Aktivitäten und differen-zierenden Merkmale die konkrete Nutzung bestimmen, ist diesetechnische Regel auch gleichzeitig eine Norm in Bezug auf die statt-haften Aktivitäten (z. B. Vorerfassen) einer Verrichtung (z. B.Belegbearbeitung). Diese Normbildung unterstützt die Regelkon-formität und die Transparenz über die Erreichung der Regelkon-formität. Eine detaillierte Beschreibung dazu finden Sie im Unter-abschnitt »Funktion für den Profilgenerator« in diesem Abschnitt.

Eine weitere Funktion für den Profilgenerators ist es, Erfahrungs-wissen zu sichern, indem Sie nicht jedes Mal neu ermitteln müs-sen, welche Berechtigungsobjekte für eine bestimmte Anwendung

Tabelle Bezeichnung

USOBT_CD Änderungshistorie für Feldwerte

USOBX_CD Änderungshistorie zu Prüfkennzeichen

Tabelle 7.5 Weitere Tabellen zu Berechtigungsvorschlagswerten



256

(Transaktion, Web Dynpro, RFC-Funktionsbausteine, externe Ser-vices etc.) nötig sind. Diese Funktion steigert die Effizienz undNachhaltigkeit.

Schließlich ermöglicht die Pflege über den Profilgenerator, Rollensauber zu halten (entzogene Anwendungen – Transaktion, WebDynpro, RFC-Funktionsbausteine, externe Services etc. – führenzum Entzug von Berechtigungen), auch diese Funktion sichertRegelkonformität.

� Funktion im UpgradeDie Pflege der Berechtigungsvorschlagswerte soll die Upgrade-Kosten angemessen halten. Diese Funktion ist Ausdruck der Effizi-enz, die bei präziser Pflege erreicht werden kann. Mehr dazuerfahren Sie im Unterabschnitt »Funktion im Upgrade« in diesemAbschnitt.

� Normativer NutzenPflege der Berechtigungsvorschlagswerte soll die Auditierbarkeitsicherstellen. Der technisch definierte Zusammenhang zwischenAnwendung (Transaktion, Web Dynpro, RFC-Funktionsbausteine,externe Services etc.) und Berechtigungsobjekt erleichtert sinn-volle Audits von Berechtigungskonzepten. Ausführliche Informa-tionen dazu finden Sie im Unterabschnitt »Normativer Nutzen« indiesem Abschnitt.

� Nutzen für die RisikoanalyseDie Pflege der Berechtigungsvorschlagswerte soll sicherstellen,dass bei der Definition von Risiken in einem Werkzeug wie SAPAccess Control die »richtigen« Werte genutzt werden. Alle selbsterstellten Risikodefinitionen basieren auf den Werten der Vor-schlagstabellen. Dazu finden Sie eine detaillierte Beschreibung imUnterabschnitt »Nutzen der Berechtigungsvorschlagswerte fürRisikoanalyse und externe Rollenpflegetools« in diesem Abschnitt.

Die Pflege der Berechtigungsvorschlagswerte für den Profilgeneratorvereinfacht mittelfristig die Rollenpflege und macht sie transparenter.

Funktion für den Profilgenerator

Die Berechtigungsvorschlagswerte für Berechtigungen werden – imKundensystem – über die Transaktion SU24 (Pflege der Zuordnun-gen von Berechtigungsobjekten zu Transaktionen) gepflegt. Sie ver-



257

sorgen den Profilgenerator mit Vorschlägen für Berechtigungswerte.Jede im Menü eingefügte Anwendung (Transaktion, Web Dynpro,RFC-Funktionsbausteine, externe Services etc.) wird mit diesenDefault-Werten versorgt. Abbildung 7.7 verdeutlicht, dass in Bezugauf die im Menü vergebene Anwendung die Berechtigungsvor-schlagswerte in die Berechtigungen zur Rolle übernommen werden.

Abbildung 7.7 Übernahme der Berechtigungsvorschlagswerte für die im Menü vergebenen Anwendungen (Transaktion, Web Dynpro, RFC-Funktionsbausteine, externe Services etc.)

Übernahme von Berechtigungs-vorschlagswerten

Die Übernahme von Berechtigungsvorschlagswerten funktioniert beider Rollenänderung im Menü entweder, indem Sie auf der Register-karte Berechtigungen den Button Berechtigungsdaten ändern

wählen oder auf den Button Expertenmodus zur Profilgenerie-

rung klicken und dort Alten Stand lesen und mit den neuen

Daten abgleichen auswählen. Die Pflege über den Expertenmodussollte der Standard sein, da Sie in diesem Fall selbst festlegen, wiesich der Profilgenerator verhalten soll. Nach der Selektion springenSie in die Pflege der Berechtigungen. Dabei fallen die unterschiedli-chen Status der Berechtigungen auf, die wir schon in Abschnitt 6.3.2,»Rollenpflege«, erläutert haben.

Berechtigungsobjekte können vier Status haben:

� Manuell: Das ganze Objekt wurde manuell hinzugefügt.

� Verändert: Der Vorschlagswert wurde verändert.

Vorschläge für denProfilgenerator

Menüder Rolle

F110

XK03

NNNN

PRO

FIL

TCD: F110, XK03, NNNNS_TCODE

BUKRS: DEMO

FBTCH: 02, 11, 14,F_REGU_BUK

ACTVT: 01, 02FIELD: XXXE_XAM_PLE



258

� Gepflegt: Entspricht dem Vorschlagswert, es wurden offene Fel-der gepflegt.

� Standard: Entspricht dem Vorschlagswert.

Der Unterschied zwischen Pflegen und Verändern besteht darin,dass bei der Pflege offene Felder gepflegt, bei der Veränderung dage-gen Standardfeldausprägungen verändert werden.

Status undEntzug von

Anwendungen

Dieser Unterschied ist relevant. Der Mechanismus, der beim Ergän-zen einer Rolle um eine Anwendung (Transaktion, Web Dynpro,RFC-Funktionsbausteine, externe Services etc.) abläuft, arbeitet ana-log beim Entziehen einer Anwendung. Die Berechtigungsobjekte imStatus Gepflegt oder Standard, die ausschließlich zur entzogenenAnwendung gehören, werden wieder entzogen. Damit wird einemKernproblem oft veränderter Rollen vorgebeugt: dem Problem, dasses keine nachhaltige logische Zuordnung von enthaltenen Berechti-gungsobjekten zu den vergebenen Anwendungen gibt.

Beispiel: Verwendung von Berechtigungsobjekten in Rollen und deren Pflegestatus

Dies soll an einem Beispiel dargestellt werden: Einer Rolle, die ausschließ-lich Reporting-Transaktionen enthält, wird die Transaktion SQVI (Quick-Viewer) hinzugefügt. Da das Berechtigungsobjekt für Tabellenzugriffe (S_TABU_DIS) kein Standardvorschlag ist, wird es manuell der Rolle hinzuge-fügt. Später wird – ganz im Sinne wünschenswerter Regelkonformität –die Nutzung des QuickViewers massiv eingeschränkt, die Transaktionwird der Reporting-Rolle entzogen. Da das Berechtigungsobjekt fürTabellenzugriffe manuell hinzugefügt wurde, verbleibt es in der Rolle. Dashat Folgen:

� Die Rolle enthält mehr Berechtigungen als erforderlich.

� Das Risiko, das in einer Kombination mit anderen Rollen entstehenkann, ist erheblich und nicht vorab zu bestimmen.

Je präziser die Default-Werte in den Tabellen gepflegt sind, destogenauer passen die Berechtigungsvorschlagswerte für die Rollen.Anzustreben ist minimal ein Zustand, in dem auf Objektebene 95 %aller Berechtigungsobjekte als Default in die Rolle übernommen wer-den. Das heißt, dass nur noch 5 % der Berechtigungsobjekte mit demStatus Verändert gekennzeichnet sind.

Da Berechtigungsausprägungen immer einen kundenspezifischenAnteil haben, d. h. durch die Konfiguration, das Stammdatenkon-



259

zept, aber auch individuelle Präferenzen bestimmt werden, sind dieStandardberechtigungsvorschlagswerte unvollständig.

Standardvorschläge pflegen

Wir empfehlen Ihnen die detaillierte Pflege der Berechtigungsvorschlags-werte ausdrücklich auch für Standardanwendungen (Transaktion, WebDynpro, RFC-Funktionsbausteine, externe Services etc.), da sinnvolleBerechtigungsvorschlagswerte gegebenenfalls besondere Nutzungen,Systemeinstellungen und Stammdatenmerkmale reflektieren.

Funktion im Upgrade

Mit der Transaktion SU25 (Upgrade-Tool für den Profilgenerator) wer-den verschiedene Schritte vollzogen, um im Upgrade die alten Berech-tigungen und Rollen den neuen Erfordernissen anpassen zu können. ImPrinzip werden dort die alten Berechtigungsvorschlagswerte (Kunde)mit den neuen Berechtigungsvorschlagswerten (SAP) abgemischt unddie Rollen mit Änderungsbedarf identifiziert. Die Upgrade-Nachar-beiten bezüglich Berechtigungen selbst werden in Abschnitt 7.3,»Upgrade-Nacharbeiten von Berechtigungen«, beschrieben.

Normativer Nutzen

Aus den in Kapitel 4, »Rechtlicher Rahmen – normativer Rahmen«,angeführten Gründen sind immer nur die nachweislich notwendigenBerechtigungen zu vergeben. Soll ein Mitarbeiter Bestellungen än-dern dürfen, dann muss er einen Benutzer im System mit genau die-sen Berechtigungen bekommen. Technisch sollte dabei ein Zustanderreicht werden, in dem durch das Einfügen der Transaktion ME21N(Bestellung anlegen) alle notwendigen Berechtigungsobjekte mit al-len erforderlichen aktivitätsbezogenen Feldwerten vorgeschlagenwerden. Auf diese Weise müssen anschließend nur noch die organi-satorischen Werte wie Werk/Belegart u. Ä. eintragen werden. Wirdso vorgegangen, kann auch der Auditor nachvollziehen, dass dieAusprägung der Berechtigungen den im System hinterlegten Regelnentspricht. Stellen Sie sich eine Rolle mit 100 Anwendungen, 40 Be-rechtigungsobjekten und 120 Feldausprägungen in den Berechti-gungsobjekten vor. Wenn sämtliche Objekte manuell hinzugefügtwurden, können Sie nicht mehr erkennen, welche Berechtigungsob-jektausprägung für eine bestimmte Anwendung erforderlich ist und



260

ob für die 100 Anwendungen wirklich nur notwendige Werte verge-ben wurden. Während Sie für eine Anwendung dies gegebenenfallsüber einen Trace beweisen können, dürfte der Aufwand für 100 An-wendungen meistens zu groß sein.

Wenn Berechtigungsobjekte manuell einem Profil hinzugefügt odergeändert wurden, besteht keine Relation zwischen dem Umfang anAnwendungen der Rolle (Transaktion, Web Dynpro, RFC-Funktions-bausteine, externe Services etc.) und den zugeordneten Berechti-gungsobjekten. Das bedeutet, dass keine Auskunft darüber möglichist, warum etwa ein kritisches Objekt einer Rolle zugeordnet wurde.

Vorschlagstabelleund Regel-

konformität

Es besteht ein direkter Zusammenhang zwischen der Nutzung derBerechtigungsvorschlagswerte und der Regelkonformität von Berech-tigungen. Berechtigungen können in einem komplexen System wieSAP ERP nur dann regelkonform sein, wenn sie technischen Regelnfolgen – das sind die Berechtigungsvorschlagswerte.

Ohne Nachvollziehbarkeit keine wirksame Prüfung

Nur wenn nachvollziehbar bleibt, warum welche Berechtigungsobjekteund Werte vergeben wurden, kann die Regelkonformität von Rollen effi-zient geprüft werden. Diese Prüfbarkeit entsteht über die Berechtigungs-vorschlagswerte.

Im Sinne eines umfassenden Verständnisses des Internen Kontrollsystems(IKS) ist ein Nachweis erforderlich, warum welcher Benutzer welcheBerechtigungen hat, also auch warum eine Rolle ein bestimmtes Berech-tigungsobjekt enthält. Dieser Nachweis auf Objektebene ist ohne vor-schlagswertbasierte Pflege nicht möglich. Die Vorschlagswertpflege ist indiesem Sinne eine Normsetzung, wie Berechtigungen ausgesteuert wer-den dürfen. Die Umsetzung ist der Nachweis, ob die Norm eingehaltenwurde. Die Norm selbst ist Ausdruck eines technisch detaillierten IKS.

Nutzen der Berechtigungsvorschlagswerte für Risikoanalyse und externe Rollenpflegetools

Eine detaillierte Analyse von Funktionstrennungskonflikten und kri-tischen Transaktionen kann nur durchgeführt werden, wenn diekundenspezifischen Berechtigungsvorschlagswerte eingeschlossenwerden: Die Präzisierung der Berechtigungsvorschlagswerte stellteine Präzisierung der notwendigen Werte für Zugriffe und somit fürRisiken dar. Diese Systematik ist u. a. in der Definition neuer Risikenin SAP Access Control enthalten.



261

Um das an einem Beispiel darzustellen: Das mit dem Anlegen einerBestellung verbundene Risiko wird dargestellt, indem zunächst fest-gestellt wird, dass die Transaktion ME21N notwendig ist. Diese sehreinfache Risikodefinition ist in Tabelle 7.6 zusammengefasst.

Mit dieser Transaktion allein kann ein Benutzer nicht viel anfangen,er benötigt in jedem Fall noch drei Berechtigungsobjekte mit denentsprechenden Ausprägungen. Mit anderen Worten: Die in Tabel-le 7.6 dargestellte Definition ist zu einfach, sie wird zu falschen Be-funden führen, denn jeder, der die Transaktion ME21N (Bestellunganlegen) überhaupt hat, wird erfasst.

Gute Berechti-gungsvorschlags-werte – präzise Risikodefinitionen

Dementsprechend muss die Risikodefinition ergänzt werden, umsicherzustellen, dass auch nur die echten Risiken nachgewiesen wer-den. Dies ist exemplarisch in Tabelle 7.7 dargestellt. Wie detailliertein Risiko zu beschreiben ist, behandeln wir in Kapitel 11, »SAPAccess Control«. An dieser Stelle soll nur Folgendes deutlich werden:Ohne die Berechtigungsvorschlagswerte können Sie ein Risiko nurpräzise definieren, indem Sie ersatzweise Transaktion für Transak-tion tracen.

Das Gleiche gilt sinngemäß für alle Risikoanalyselösungen – inklu-sive der selbst gebauten. Sind diese nicht mit den Vorschlagstabellenintegriert, können sie nicht dauerhaft die Rollenpflege Upgrade-

Anwendung Berechtigungsobjekt Feld Ausprägung

ME21N S_TCODE TCD ME21N

Tabelle 7.6 Einfache Risikodefinition

Anwendung Berechtigungsobjekt Feld Ausprägung

ME21N S_TCODE TCD ME21N

M_BEST_BSA ACTVT 01

BSART FO, NB

M_BEST_EKG ACTVT 01

EKGRP $EKRGP

M_BEST_EKO ACTVT 01

EKORG $EKORG

Tabelle 7.7 Präzise Risikodefinition



262

sicher und regelkonform vereinfachen. Das gilt auch für die Nutzungdes Business Role Managements von SAP Access Control. Die Nut-zung im Rollenmanagement und in der Risikoanalyse wird in Abbil-dung 7.8 verdeutlicht. Zu sehen ist, dass die Werte der TabelleUSOBT_C einerseits in der Risikoanalyse und andererseits im Rollen-management Verwendung finden.

Abbildung 7.8 Nutzung der Berechtigungsvorschlagswerte für die Risikoanalyse und externe Rollenpflegelösungen

7.2 Traces

In Abschnitt 7.1.1, »Grundzustand und Pflege der Berechtigungsvor-schlagswerte«, wurde der Trace als Hilfsmittel für die Ermittlung derrelevanten Vorschlagswerte und in Abschnitt 6.6, »Vom Trace zurRolle«, als Hilfsmittel für die Rollenpflege und für die Vorschlags-wertpflege dargestellt. In diesem Abschnitt sollen die beiden Tracessystematisch erläutert werden. Ein Trace ist in unserem Kontext undstark vereinfacht eine Aufzeichnung von Benutzeraktionen und Sys-temreaktionen.

USOBT_C (Transaktion SU24)

Vorschläge für denProfilgenerator

SAP

Acc

ess

Con

trol

Access Risk Analysis

Für die Definition von Funktionen einesRisikos werden die »synchronisierten«

USOBT_C-Werte herangezogen.

Business Role Management

Für die Definition von Rollen werdendie »synchronisierten« USOBT_C-Werte

herangezogen.


Traces 7.2

263

Hinweis aus der Entwicklung

Ein Entwickler braucht für seine Anwendung keinen Trace, er kann aus denvon ihm »eingebauten« Berechtigungsprüfungen unmittelbar die notwen-digen Berechtigungsvorschläge ohne nennenswerten Aufwand festlegen.

TraceartenEs stehen Ihnen drei Arten von Traces zur Verfügung: der Berechti-gungstrace, der Systemtrace und der Benutzertrace:

BerechtigungstraceFür die erste Befüllung der Tabelle USOBX (Checktabelle zu TabelleUSOBT) für den Profilgenerator wird SAP-intern der Berechtigungs-trace genutzt. Dieser wird meistens als Langzeittrace verwendet, dermandantenübergreifend und benutzerunabhängig Daten sammeltund in der Datenbank ablegt. Sobald der Trace während der Ausfüh-rung eines Programms auf eine Berechtigungsprüfung stößt, die imZusammenhang mit der aktuellen Anwendung bislang nicht erfasstwar, legt er einen entsprechenden Eintrag in der Tracedatenbank-tabelle an. Das bedeutet, dass Sie die Anwendung möglichst vollstän-dig testen müssen, um aussagekräftige Tracedaten zu erhalten. Umden Trace auswerten zu können, müssen Sie ihn vor dem Testen/Aufzeichnen aktivieren und die wesentlichen Aktionen lokal oder imZielsystem ausführen.

In SAP-Hinweis 543164 (Bedeutung der Werte von auth/authori-zation_trace) wird deutlich darauf hingewiesen, dass dieser Tracedie Performance verringert und vom Kunden auf eigenes Risiko ein-gesetzt wird. Sinnvoll ist dieser Trace, um die Berechtigungsprüfun-gen von kundeneigenen Programmen in die Berechtigungsvor-schlagswerte zu übertragen. Diese Übertragung ist eine manuelleÜbernahme, da eine Bewertung erfolgen muss. Es ist ab Basisrelease7.02 nicht mehr erforderlich, dazu die Transaktion SU22 (Berechti-gungsvorschlagspflege – SAP) zu verwenden. Wie schon ausgeführt,steht für die Pflege von Berechtigungsvorschlagswerten die Transak-tion SU24 (Berechtigungsvorschlagspflege) zur Verfügung. Dort kön-nen auch die Werte des Berechtigungstrace angezeigt werden, wiewir im Folgenden erläutern werden. Wir raten Ihnen dringend, die-sen Profilparameter in produktiven Systemen inaktiv zu setzen – diesist auch Auslieferungsstandard. Es ist aber durchaus empfehlens-wert, diesen Trace auf dem Entwicklungs- und gegebenenfalls auchauf dem Qualitätssicherungssystem zu aktivieren, so sammeln Siebereits während der Entwicklung von neuen Funktionen die ent-



264

sprechenden Berechtigungsvorschlagswerte. Profilparameter kön-nen über die Transaktion RZ11 (Pflege der Profilparameter) geändertwerden.

Systemtrace Der Systemtrace (Transaktion ST01 oder STAUTHTRACE) ist einKurzzeittrace, der mandantenabhängig und nur auf dem aktuellenAnwendungsserver Berechtigungsdaten sammelt. In die Rollenpflegeund die Vorschlagswertpflege müssen über RFC auch die Traceergeb-nisse aus beliebigen Zielmandanten eingebunden werden. Auch die-ser Trace kann über RFC auf beliebigen Mandanten ausgeführt sowieausgewertet werden.

Benutzertrace Der Benutzertrace ist ein neuer Trace, der ab SAP NetWeaver 7.40 ver-fügbar ist (siehe SAP-Hinweis 2220030). Er ist ebenfalls als Lang-zeittrace konzipiert, sammelt aber im Gegensatz zum Berechtigungs-trace mandanten- und benutzerabhängige Berechtigungsdaten. Diesewerden wie beim Berechtigungstrace in der Datenbank abgelegt. Ana-log zum Berechtigungstrace erfolgt die Aufzeichnung der Berechti-gungsprüfungen. Dabei werden die laufende Anwendung mit derProgrammstelle, das Berechtigungsobjekt und dessen geprüfte Wertesowie das Ergebnis der Berechtigungsprüfung pro Benutzer einmalgespeichert. Sie haben die Möglichkeit, die Aufzeichnung auf den An-wendungstyp, die Benutzer und die Berechtigungsobjekte hin zu fil-tern. Für den Filter können Sie zwei unterschiedliche Anwendungs-typen, bis zu zehn Benutzer und bis zu zehn Berechtigungsobjektefestlegen.

Der Benutzertrace wird über den Profilparameter auth/auth_user_trace aktiviert. Sollten Sie den Benutzertrace mit einem Filter akti-viert haben, müssen Sie in der Transaktion STUSERTRACE aucheinen Filter definieren, denn sonst wird nichts aufgezeichnet. Auchfür den Benutzertrace gilt, dass die Aktivierung ohne einen Filter zuhohen Performanceeinbußen führen kann. Prüfen Sie daher diemöglichen Anwendungsszenarien immer auch im Hinblick auf dieAuswirkungen auf die Performance. Der Benutzertrace ist hilfreichbei Szenarien, in denen Sie spezielle Benutzer oder Berechtigungsob-jekte auswerten wollen. Sie können z. B. die erforderlichen Berechti-gungen für Batch-Benutzer oder Tabellenzugriffe über S_TABU_NAMaufzeichnen.


Traces 7.2

265

7.2.1 Vorgehen beim Berechtigungstrace

Zunächst müssen Sie die Transaktion RZ11 (Pflege der Profilparame-ter) aufrufen und den Parameter auth/authorization_trace eintra-gen (siehe Abbildung 7.9).

Abbildung 7.9 Profilparameterpflege für Berechtigungstrace

Klicken Sie auf den Button Anzeigen. Auf dem nächsten Bild Profil-

parametereigenschaften klicken Sie auf den Button Wert ändern

(siehe Abbildung 7.10).

Abbildung 7.10 Profilparametereigenschaften

Auf dem folgenden Bild setzen Sie den Wert auf Y (aktiv) oder F(aktiv mit Filter) (siehe Abbildung 7.11). Den Filter für diesen Trace



266

können Sie über die Transaktion STUSOBTRACE festlegen undanhand der Kriterien Typ der Anwendung, Berechtigungsobjekteoder Benutzer einschränken. Den Warnhinweis Änderung nicht

permanent, geht nach dem Neustart des Servers verloren bestä-tigen Sie, und anschließend bestätigen Sie Ihre Eingabe. Der Trace istnun aktiv.

Abbildung 7.11 Parameterwert setzen

Transaktionentracen

Führen Sie nun die Anwendung(en) aus, für die Sie die notwendigenBerechtigungsobjekte ermitteln wollen. In unserem Beispiel ist esdie Transaktion, die wir in Abschnitt 7.7.1 angelegt haben, also eineParametertransaktion zur Pflege von Tabellen über definierte Views.

Die Ergebnisse dieses Trace werden in die Tabelle USOB_AUTHVALTRC geschrieben und können ebenfalls in der TransaktionSTUSOBTRACE über einen Klick auf den Button Auswerten eingese-hen werden (siehe Abbildung 7.12).

Eintrag in dieBerechtigungs-

vorschlagspflege

Für die Auswertung ist die Einschränkung Typ der Anwendung:Transaktion ausgewählt worden, damit nur Tracedaten für neueTransaktionen angezeigt werden. Die Auswertung (siehe Abbil-dung 7.13) listet nun für jede Transaktion Berechtigungsobjekte mitden geprüften Berechtigungswerten auf. Diese Informationen kön-nen Sie als Grundlage zur Pflege von Berechtigungsvorschlagswertenoder in der Rollenpflege verwenden.


Traces 7.2

267

Abbildung 7.12 Auswertung des Berechtigungstrace über Transaktion STUSOBTRACE

Abbildung 7.13 Auswertung des Berechtigungstrace



268

Starten Sie danach die Transaktion SU24 (Berechtigungsvorschlags-pflege). In Abbildung 7.14 fällt im Bereich 1 auf, dass keine Objekteenthalten sind. Sie erhalten den Hinweis Zu Ihrer Selektion existie-

ren keine Berechtigungsobjektzuordnungen 2. Dieser Hinweisbedeutet, dass es entweder keine Daten in der Transaktion SU22 gibtoder (der Regelfall) dass eine Übernahme noch nicht erfolgt ist. DerButton Berechtigungstrace: Ein 3 zeigt an, dass der Berechtigungs-trace aktuell eingeschaltet ist. Durch einen Klick auf den Button SAP-

Daten 4 können Sie die Übernahme der SAP-Daten starten. Sindkeine SAP-Daten gepflegt, können Sie die Werte aus dem Berechti-gungstrace durch einen Klick auf Objekt � Objekte aus Berechti-

gungstrace einfügen � Lokal einfügen.

Abbildung 7.14 Werte für die kundeneigene Transaktion SU24 vor Übernahme der SAP-Daten

Berechtigungstrace für Berechtigungsvorschlagswerte und Rollenpflege

Die Werte des Berechtigungstrace stehen Ihnen auch in der Rollenpflege(Berechtigungen) zur Verfügung, siehe Abschnitt 6.6, »Vom Trace zurRolle«.

Nach der Übernahme der SAP-Daten bzw. der Berechtigungsobjekteaus dem Berechtigungstrace sehen Sie die aufgezeichneten Objekte imStatus ungepflegt (siehe Abbildung 7.15 1). Nun können Sie auf alleTracewerte 2 zur Pflege zugreifen, um die Berechtigungsvorschlags-werte auszuprägen. Die Funktion der Übernahme der Tracewerte istvergleichbar mit dem in Abschnitt 6.6 dargestellten Verfahren.


Traces 7.2

269

Abbildung 7.15 Werte für kundeneigene Transaktion SU24 nach der Übernahme der SAP-Daten bzw. der Daten aus dem Berechtigungstrace

7.2.2 Vorgehen beim Systemtrace

Um den Systemtrace zu nutzen, stehen Ihnen verschiedene Möglich-keiten zur Verfügung. Wie Sie den Systemtrace aus der Auswertungin der Rollen- und Vorschlagswertpflege starten, sehen Sie in Abbil-dung 7.16. Sie können den Systemtrace aus folgenden Funktionendieses Kontextes heraus starten:

� Transaktion PFCG (Pflege von Rollen) � Registerkarte Menü � But-ton Übernahme von Menüs � Menüeintrag Import aus Trace

� Transaktion PFCG (Pflege von Rollen) � Registerkarte Berechti-

gungen � Bereich Berechtigungsdaten pflegen und Profile

generieren � Folgebildschirm � Button Trace

� Transaktion SU24 (Berechtigungsvorschlagspflege) � Button Trace

� Folgebildschirm � Button Trace auswerten

Abbildung 7.16 Trace aus der Auswertung in der Rollen- und Vorschlagswertpflege starten



270

Klicken Sie auf den Button Trace auswerten (1 in Abbildung 7.16).Sie erhalten die Info, ob der Systemtrace ein- oder ausgeschaltet ist2, wer der letzte Änderer war und wann die Änderung stattgefun-den hat 3, schließlich klicken Sie auf den Button Trace einschalten

4, der den Trace startet.

Neben diesen Optionen steht Ihnen der Zugang über die TransaktionST01 (Systemtrace) sowie über die Transaktion STAUTHTRACE(Berechtigungstrace) zur Verfügung.

7.2.3 Vorgehen beim Benutzertrace

Den Benutzertrace aktivieren Sie über den Profilparameter auth/auth_user_trace. Wie Sie Profilparameter pflegen, haben wirbereits in Abschnitt 7.2.1, »Vorgehen beim Berechtigungstrace«,beschrieben. Setzen Sie den Wert des Profilparameters auf Y (aktiv)oder F (aktiv mit Filter) (siehe Abbildung 7.11), diese Einstellungenkönnen Sie auch dynamisch setzen. Den Filter setzen Sie, wie obenbeschrieben, in der Transaktion STUSERTRACE entsprechend IhrenAnforderungen. Die Ergebnisse des Benutzertrace können Sie eben-falls in dieser Transaktion über einen Klick auf den Button Auswer-

ten einsehen (siehe Abbildung 7.17).

Abbildung 7.17 Einstellungen des Filters für den Benutzertrace über Transaktion STUSERTRACE


Upgrade-Nacharbeiten von Berechtigungen 7.3

271

Die Auswertung (siehe Abbildung 7.18) zeigt nun alle ausgeführtenAnwendungen und die darin erfolgten Berechtigungsprüfungen mitObjekt und Feldwerten an. Im Gegensatz zum Berechtigungstracekönnen Sie bei der Auswertung auf einen bestimmten Benutzer fil-tern, und die Benutzer sind in der Liste enthalten. Diese Informatio-nen können Sie nun nutzen, um Berechtigungsvorschlagswerte oderRollen zu pflegen.

Abbildung 7.18 Auswertung des Benutzertrace über Transaktion STUSERTRACE

7.3 Upgrade-Nacharbeiten von Berechtigungen

Mit den Basisreleases 7.31 und 7.40 sind eine Reihe von Änderungenim Upgrade-Tool für den Profilgenerator vollzogen worden. DesWeiteren wurde die Dokumentationslage verbessert, die nun dieWartung von Berechtigungsvorschlagswerten und Rollen im Upgradeund beim Einspielen von Support Packages vereinfacht. Wir habenaktuelle SAP-Hinweise dazu in Tabelle 7.8 zusammengestellt.

SAP-Hinweis Kurztext Release

1539556 FAQ Administration von Berechtigungsvorschlagswerten

releaseunabhängig

1599128 SU25 – Optimierung der Upgrade-Nachbereitung

SAP_BASIS 70 700–702

SAP_BASIS 71 710– 30

SAP_BASIS 731

Tabelle 7.8 SAP-Hinweise zum Upgrade von Berechtigungen



272

Die folgenden Ausführungen und Screenshots beziehen sich aufSAP_BASIS 7.40, allerdings sind die meisten Funktionen auch in frü-heren Releases enthalten.

Die Transaktion SU25 (Upgrade-Tool für den Profilgenerator) dientdem initialen Befüllen der Kundentabellen zum ersten Einsatz desProfilgenerators und dazu, die Kundentabellen in einem Upgrade aufden neuesten Stand zu bringen. Insgesamt stehen in der TransaktionSU25 folgende Schritte zur Verfügung (siehe Abbildung 7.19):

� Schritt 1 bereitet den Profilgenerator auf seine erste Verwendungvor, und die Kundentabellen werden initial befüllt. Mit Hinweis1691993 (SU2X – Optimierung der Berechtigungsvorschlagswer-tepflege) ist dieser Schritt so verändert worden, dass ein zufälligesÜberschreiben bereits gefüllter Kundentabellen und somit dieVernichtung kundeneigener Daten erschwert wird. Mehr dazuerfahren Sie in diesem Hinweis. Durch diese neue Funktion verän-dert sich die Anzeige der Transaktion SU25 (Upgrade-Tool für denProfilgenerator) in Schritt 1 dann, wenn Schritt 2a bereits einmalim System ausgeführt wurde. Die neue Darstellung ist in Abbil-dung 7.19 unter Kundentabellen wurden initial befüllt zusehen.

� Die Schritte 2a–2d sind für das Upgrade selbst erforderlich.

� Schritt 3 dient dem Transport der durch die vorangegangenenSchritte geänderten Kundenvorschlagswerttabellen. Beachten Sie,dass nur diese transportiert werden.

� Schritt 4 ist ein Absprung in die Transaktion SU24 (Berechtigungs-objektprüfungen unter Transaktionen).

� Schritt 5 ermöglicht das globale Deaktivieren von Berechtigungs-prüfungen.

1696484 SU25 – Behandlung kunden-eigener Berechtigungsvor-schlagswerte



1691993 SU2X – Optimierung der Berechtigungsvorschlags-wertepflege



SAP_BASIS 731

SAP-Hinweis Kurztext Release

Tabelle 7.8 SAP-Hinweise zum Upgrade von Berechtigungen (Forts.)



273

Abbildung 7.19 Upgrade-Tool für den Profilgenerator

Dargestellt wird nun das Upgrade, also das Nachbearbeiten der Ein-stellungen nach dem Upgrade auf ein höheres Release. Dieses wirdin den Schritten 2a–2d vollzogen.

Schritt 2a: Vorbereitung – Abgleich mit SAP-Werten

Zunächst wird in Schritt 2a der Abgleich der Vorschlagswerte ausge-führt. Dieser Schritt ist zwingend erforderlich. Dabei werden die neuenBerechtigungsvorschlagswerte (also die Werte nach Upgrade oder Ein-spielen eines Support Packages) in die Kundentabellen übernommen.

Verwenden Sie dafür am besten den Expertenmodus für Schritt 2,indem Sie auf den gleichnamigen Button klicken. Dabei können Sie(ab Basisrelease 7.00) wählen, ob Sie einen Abgleich der SAP-Standard-anwendungen oder einen Abgleich von kundeneigenen und Partner-anwendungen der neu ausgelieferten Werte mit Ihren kunden-spezifischen Werten vornehmen möchten, wie es in Abbildung 7.20gezeigt wird.

Die Übersicht in Abbildung 7.21 zeigt, welche Anwendungen abzu-gleichen sind und bei welchen Anwendungen ein manuellerAbgleich notwendig ist. Ein manueller Abgleich ist erforderlich,wenn Daten in der Transaktion SU24 für diese Anwendung im Vor-feld geändert worden sind und Sie entscheiden müssen, ob dieseÄnderungen übernommen werden oder ob die aktuellen Standard-werte aus der Transaktion SU22 übernommen werden sollen.



274

Abbildung 7.20 Auswahl des Abgleichs bei Upgrade-Nacharbeiten unter Verwendung des Expertenmodus für Schritt 2

Abbildung 7.21 Übernahmeoptionen von Anwendungen in Schritt 2a

Die Werte, die in der »alten« Kundentabelle kundenseitig gepflegtwurden, werden gekennzeichnet, um sie in Schritt 2b manuell über-prüfen zu können. Dabei markieren Sie die Anwendungen, die Siemanuell abgleichen möchten, und klicken auf den Button Manuel-

ler Abgleich.

Schritt 2b:Abgleich

betroffenerTransaktionen

Änderungen an Prüfkennzeichen oder Feldwerten werden in die-sem Schritt mit den neuen SAP-Vorschlägen verglichen. In Abbil-dung 7.22 ist der Bereich mit 1 gekennzeichnet, in dem die Transak-tionen enthalten sind, die von den aktuellen Standardvorschlägenabweichen. Die Einstellungen, die wir in Abschnitt 7.1.1, »Grundzu-stand und Pflege der Berechtigungsvorschlagswerte«, in Bezug auf die



275

Transaktion Anzeigen einer Bestellung vorgenommen haben, werdenentsprechend nach dem Abgleich in Schritt 2a in Schritt 2b zur Bear-beitung angeboten. Sie sehen in Abbildung 7.22, dass die mit 2gekennzeichnete Änderung des Prüfkennzeichens dazu führt, dassder neue SAP-Vorschlag angezeigt wird. Ebenso ist es mit der durch3 gekennzeichneten Änderung des Vorschlags. Diese Änderungenerkennen Sie daran, dass in der Spalte Sync. die Buttons SAP-Daten

Kopieren zu sehen sind 4. Durch einen Klick auf diese Buttons kopie-ren Sie den SAP-Vorschlag und überschreiben Ihre Kundenvor-schlagswerte. Mit 5 sind Änderungen der Feldwertvorschlägegekennzeichnet. Sie können die jeweiligen Werte nachpflegen. ImBereich 1 können Sie bestätigen, dass Sie die Prüfung vorgenommenhaben, oder die gesamten restlichen Werte übernehmen. Davonraten wir Ihnen jedoch ab, sofern Sie regelmäßig und genau Ihre kun-deneigenen Vorschläge ergänzt oder geändert haben.

Abbildung 7.22 Berechtigungsvorschläge in Schritt 2b der Upgrade-Nacharbeiten

Die Systematik zur Pflege der Berechtigungsvorschlagswerte ent-spricht im Wesentlichen der Systematik, wie wir sie in Abschnitt7.1.1, »Grundzustand und Pflege der Berechtigungsvorschlagswerte«,im Hinblick auf die Berechtigungsvorschlagswerte entwickelt haben.

Nacharbeit Schritt 2b: Kundeneigene Organisations-ebenen

Sofern Sie kundeneigene Organisationsebenen nutzen (siehe Ab-schnitt 7.8, »Anhebung eines Berechtigungsfeldes zur Organisations-ebene«), sollten Sie den Report PFCG_ORGFIELD_UPGRADE (Anpas-sung nach Upgrade für neue Org.-Ebenen) ausführen. Dadurch



276

werden alle neuen Berechtigungsvorschlagsdaten, die SAP zu neuenTransaktionen ausgeliefert hat, auf die neuen Organisationsebenen-felder umgestellt. Der Report arbeitet mandantenunabhängig (SAP-Hinweis 323817).

Schritt 2c:Zu überprüfende

Rollen

In diesem Schritt findet die Nachbearbeitung der durch das Upgradebetroffenen Rollen statt. Diese werden, wie in Abbildung 7.23 zusehen ist, vorgeschlagen; dabei markiert eine rote Ampel (links inder jeweiligen Ampel) Pflegebedarf und eine grüne (rechts in derjeweiligen Ampel), dass keine Pflege (mehr) erforderlich ist.

Abbildung 7.23 Rollenüberprüfung in Schritt 2c der Upgrade-Nacharbeiten

Um bei den bereits eingeführten Beispielen zu bleiben: In Ab-schnitt 6.3.2, »Rollenpflege«, haben wir die Rolle MMM_PXXXX_PURCHASINGORDER_N angelegt und daraus Rollen abgeleitet. Die-sen Rollen ist die Transaktion ME21N (Bestellung anlegen) zugeord-net, die ebenfalls im Rahmen des Abschnitt 7.1.1, »Grundzustandund Pflege der Berechtigungsvorschlagswerte«, gepflegt wurde undnun von dem Upgrade betroffen ist.

Abbildung 7.24 zeigt, dass das ergänzte Berechtigungsobjekt erkanntund vorgeschlagen wurde. Da der Vorschlag nur das Feld Aktivität

Berechtigungsprüfung betraf und das Feld Finanzkreis eine Orga-nisationsebene ist, verbleibt nur das Feld Fonds, das manuell gepflegtwerden muss. Die Änderung der Referenzrolle wird durch den ButtonAbgeleitete Rollen generieren automatisch mit gepflegt.



277

Abbildung 7.24 Rollenänderung in Schritt 2c der Upgrade-Nacharbeiten

SAP-Alternativ-vorschlag

In der Hilfe zu diesem Schritt wird von SAP folgende alternative Vor-gehensweise vorgeschlagen:

Alternativ können Sie auch auf eine Nachbearbeitung der Rollen ver-zichten und allen Benutzern zunächst die Rolle SAP_NEW generierenund manuell zuordnen (siehe dazu SAP-Hinweis 1711620) […] DieRollen behalten dann den Status »Profilabgleich erforderlich« undkönnen bei der nächsten notwendigen Änderung – z. B. wenn dasMenü der Rolle geändert wird – angepaßt werden. Bei Verwendungvon sehr vielen Rollen kann dieses Verfahren sinnvoll sein. Sie habendann Zeit, die Rollen nach und nach anzupassen. (Systemhilfe)

Dieser Vorschlag birgt erhebliche Risiken, vor allem in den Fällen, indenen neue Funktionen, neue Berechtigungsprüfungen oder neueDifferenzierungspotenziale bereitgestellt und genutzt werden. Dieselbst generierte Rolle SAP_NEW (siehe SAP-Hinweis 1711620) ent-hält alle neuen Berechtigungen für das neue Release. Damit wirddurch ein derartiges Vorgehen gegen das Prinzip verstoßen, dass nurdie Berechtigungen vergeben werden, die für die Ausführung einerdefinierten Tätigkeit des Benutzers erforderlich sind. Für die Zeit derNutzung der Rolle SAP_NEW ist davon auszugehen, dass die Berech-tigungen nicht regelkonform sind. Der Gegenbeweis wäre nur durcheine Risikoanalyse – basierend auf den alten und neuen Prüfungen –anzutreten.

Einfaches Upgrade

Die Nutzung eines gewissenhaft eingehaltenen Ableitungskonzepts, ste-tig gepflegter Berechtigungsvorschlagswerte und des Upgrade-Tools führtzu einem einfachen Upgrade im Bereich Berechtigungen. In diesem idea-



278

len Fall müssen im Wesentlichen nur die neuen Transaktionen, Berechti-gungsobjekte und Vorschlagsänderungen bewertet und umgesetzt wer-den. Der Aufwand für das Upgrade sinkt mit der Genauigkeit der Stan-dardeinhaltung.

Empfehlung zumAufwand

Wir haben Upgrade-Projekte mit einem Aufwand für Berechtigun-gen zwischen 20 und 300 Beratertagen in Konzernstrukturen ken-nengelernt. Kommen Sie in der Abschätzung des Aufwands zu demErgebnis, dass mehr als 50 Tage Aufwand zu erwarten sind, emp-fiehlt es sich dringend, ein Redesign und die Rückkehr zum Standardzu prüfen. Das verursacht unter Umständen sofort einen geringerenAufwand, als den Status quo anzuheben. Definitiv werden Ihre Kos-ten bereits mittelfristig deutlich sinken.

Schritt 2d:Veränderte Trans-

aktionscodesanzeigen

In diesem Schritt findet ein Abgleich statt, welche Transaktionendurch neuere Transaktionen ersetzt werden könnten. Dieser Abgleichdient vor allem der Unterstützung der Prozessverantwortlichen.Diese müssen letztlich festlegen, welche Transaktionen wie zu nutzensind. Sie sollten das Ergebnis des Abgleichs also den Prozessverant-wortlichen übermitteln und diese die Festlegung treffen lassen.

Neue Transaktionen haben gegebenenfalls Auswirkungen auf diebestehenden Prozesse, aber auch auf die bestehenden Berechtigun-gen. Ein Beispiel für unter Umständen nicht gewollte Auswirkungenauf Berechtigungen ist die bereits diskutierte Enjoy-Transaktion(siehe Abschnitt 7.1.1) zur Bestellung, es kann auch aus Sicht vonBerechtigungen Gründe geben, lieber weiterhin auch die alte Trans-aktion zu nutzen.

7.4 Parameter für Kennwortregeln

Die für das Login geltenden Kennwortregeln werden über Profilpa-rameter gesetzt. Diese werden über die Transaktion RZ10 (Pflege derProfilparameter) gepflegt. Die Pflege der Profilparameter fällt in dieVerantwortung der Basisadministration. Wir empfehlen Ihnen, diegewünschten Einstellungen Ihrer Basisadministration zu überlassen.

Die Auswertung der Profilparameter ist über den Report RSPARAM(Anzeige der SAP-Profilparameter) möglich (siehe Abbildung 7.25).Einige exemplarische Parameter sind in Tabelle 7.9 dargestellt.


Parameter für Kennwortregeln 7.4

279

Abbildung 7.25 Anzeige der Profilparameter

Parameter Beschreibung

login/accept_sso2_ticket

Um ein Single Sign-on (SSO) zwischen SAP-Syste-men bzw. auch übergreifend zu Nicht-SAP-Syste-men zu ermöglichen, können SSO-Tickets verwen-det werden.

login/failed_user_auto_unlock

Kontrolliert die Entsperrung von durch Fehlanmel-dungen gesperrten Benutzern. Ist der Parameter auf 1 gesetzt, werden Sperren, die wegen fehlge-schlagener Kennwortanmeldeversuche gesetzt wurden, automatisch am nächsten Tag durch das System aufgehoben.

login/fails_to_session_end

Anzahl der Falschanmeldungen, die mit einem Benutzerstamm gemacht werden können, bis das Anmeldeverfahren abgebrochen wird

Tabelle 7.9 Parameter für Kennwortregeln (Angaben aus der Systemdokumentation)



280

login/fails_to_user_lock

Bei jedem fehlerhaften Kennwortanmeldeversuch wird der Falschanmeldezähler für den betreffen-den Benutzerstammsatz erhöht. Die Anmeldever-suche können im Security Audit Log protokolliert werden. Bei Überschreiten der durch diesen Para-meter vorgegebenen Grenze wird der betreffende Benutzer gesperrt. Dieser Vorgang wird zusätzlich im Syslog protokolliert.

login/min_password_diff

Mit diesem Parameter kann der Administrator festlegen, in wie vielen Zeichen sich ein neues Kennwort vom alten Kennwort mindestens unter-scheiden muss, wenn der Benutzer sein Kennwort ändert.

login/min_password_digits

Dieser Parameter bestimmt die minimale Anzahl von Ziffern (0–9), die im Kennwort enthalten sein müssen. Er wirkt sowohl bei der Vergabe neuer Kennwörter als auch bei der Kennwortänderung bzw. beim Rücksetzen von Kennwörtern.

login/min_password_letters

Dieser Parameter bestimmt die minimale Anzahl von Buchstaben, die im Kennwort enthalten sein müssen. Er wirkt sowohl bei der Vergabe neuer Kennwörter als auch bei der Kennwortänderung bzw. beim Rücksetzen von Kennwörtern.

login/min_password_lng

Der Parameter bestimmt die Minimallänge des Anmeldekennwortes. Das Kennwort muss mindes-tens drei Zeichen lang sein. Der Administrator kann aber auch eine größere Minimallänge festle-gen. Diese Vorgabe wirkt sich sowohl bei der Ver-gabe neuer Kennwörter als auch beim Ändern oder Rücksetzen bestehender Kennwörter aus.

login/min_password_lowercase

Dieser Parameter bestimmt die minimale Anzahl von Kleinbuchstaben, die im Kennwort enthalten sein müssen. Er wirkt sowohl bei der Vergabe neuer Kennwörter als auch bei der Kennwortände-rung bzw. beim Rücksetzen von Kennwörtern.

Dieser Parameter wird nicht ausgewertet, wenn der Profilparameter login/password_down-wards_compatibility auf den Wert 5 gesetzt ist.


Tabelle 7.9 Parameter für Kennwortregeln (Angaben aus der Systemdokumentation) (Forts.)



281

Bitte beachten Sie auch den SAP-Hinweis 2467 (Kennwortregeln undVermeidung fehlerhafter Anmeldungen).

login/min_password_specials

Dieser Parameter bestimmt die minimale Anzahl von Sonderzeichen, die im Kennwort enthalten sein müssen. Er wirkt sowohl bei der Vergabe neuer Kennwörter als auch bei der Kennwortän-derung bzw. beim Rücksetzen von Kennwörtern.

login/min_password_uppercase

Dieser Parameter bestimmt die minimale Anzahl von Großbuchstaben, die im Kennwort enthalten sein müssen. Er wirkt sowohl bei der Vergabe neuer Kennwörter als auch bei der Kennwortän-derung bzw. beim Rücksetzen von Kennwörtern.

Dieser Parameter wird nicht ausgewertet, wenn der Profilparameter login/password_down-wards_compatibility auf den Wert 5 gesetzt ist.

login/password_change_waittime

Mit diesem Parameter kann festgelegt werden, nach welcher Zeitspanne (gemessen in Tagen) ein Benutzer sein Kennwort erneut ändern kann. Nur Kennwortänderungen, die der Benutzer veranlasst hat, werden in Betracht gezogen.

login/password_expiration_time

Gültigkeitsdauer von durch den Benutzer gesetz-ten Kennwörtern (in Tagen) bis zur nächsten Änderung. Die Berechnung erfolgt abhängig vom Datum der letzten Kennwortänderung.

login/password_max_idle_productive

maximale Zeitspanne (in Tagen) zwischen dem Zeitpunkt der letzten Anmeldung mit einem durch den Benutzer gesetzten Kennwort und der nächs-ten Anmeldung mit diesem Kennwort

login/password_max_idle_initial

maximale Zeitspanne (in Tagen) zwischen dem Zeitpunkt der Kennwort(rück)setzung, Initital-kennwort durch den Administrator gesetzt, und der nächsten Anmeldung mit diesem Kennwort

login/password_history_size

Dieser Parameter regelt die Größe der Kennwort-historie. Die Kennworthistorie wird ausgewertet, wenn ein Benutzer ein neues Kennwort wählt: Das System lehnt die (Wieder-) Verwendung von Kennwörtern, die in der Kennworthistorie gespei-chert sind, ab.


Tabelle 7.9 Parameter für Kennwortregeln (Angaben aus der Systemdokumentation) (Forts.)



282

VerboteneKennwörter in der

Tabelle USR40

In der Tabelle USR40 (Tabelle für verbotene Kennwörter) könnendarüber hinaus »verbotene« Kennwörter hinterlegt werden. Dies istsowohl als Muster »*WORT*, *20??*,« als auch als konkreter Wert»Mama« möglich. Da dies Auswirkungen auf die Performance hat,sollten Sie unbedingt über die genannten Parameter eine sinnvollePassword Policy erzwingen, in dieser Tabelle sollten Sie möglichstnur unmittelbar offensichtliche Werte eintragen, wie z. B. denNamen des Unternehmens.

Customizing-Parameter in

der TabellePRGN_CUST

Über die Customizing-Parameter in der Tabelle PRGN_CUST wirdder Kennwortgenerator in den Transaktionen SU01 und SU10gesteuert. Eine Übersicht über diese Customizing-Parameter findenSie in Tabelle 7.10. Die Werte der Profilparameter übersteuern dieEinträge zu den Customizing-Parametern, damit keine ungültigenKennwörter generiert werden. Sollte also der Wert eines Customi-zing-Parameters kleiner sein als der Wert des korrespondierendenProfilparameters, wird stattdessen der Standardwert des Customi-zing-Parameters gezogen. Analog verhält es sich, wenn kein Wertgepflegt wurde.

Sicherheits-richtlinien

Zusätzlich zu den globalen Einstellungen der Kennwortregeln kön-nen Sie ab Release SAP NetWeaver 7.31 Kennwortregeln auch indi-viduell über Sicherheitsrichtlinien definieren. Sie ordnen einemBenutzer die jeweilige Sicherheitsrichtlinie über die TransaktionSU01 zu. Ist einem Benutzer eine Sicherheitsrichtlinie zugeordnet,überschreiben die Werte der Sicherheitsrichtlinie die global gültigenKennwortregeln. Für Einstellungen, deren Parameter nicht in derSicherheitsrichtlinie gepflegt wurden, oder Benutzer, denen keineSicherheitsrichtlinie zugeordnet ist, bleiben die globalen Einstellun-


GEN_PSW_MAX_LENGTH Legt die maximale Länge des generierten Passwortes fest.

GEN_PSW_MAX_LETTERS Legt die maximale Anzahl an Buchstaben im generierten Passwort fest.

GEN_PSW_MAX_DIGITS Legt die maximale Anzahl an Zahlen im generierten Passwort fest.

GEN_PSW_MAX_SPECIALS Legt die maximale Anzahl an Sonderzei-chen im generierten Passwort fest.

Tabelle 7.10 Parameter für die Kennwortgenerierung



283

gen der Profilparameter weiterhin relevant. Sie definieren Sicher-heitsrichtlinien über die Transaktion SECPOL; ein Beispiel haben wirin Abbildung 7.26 dargestellt und einige exemplarische Parametersind in Tabelle 7.11 aufgeführt.

Abbildung 7.26 Definition einer Sicherheitsrichtlinie in der Transaktion SECPOL


DISABLE_TICKET_LOGON Legt fest, ob sich ein Benutzer mit Anmelde- oder Zusicherungsticket am System anmelden kann.

MAX_FAILED_PASSWORD_LOGON_ATTEMPTS

Funktion analog zum Profilparameter login/fails_to_user_lock

MIN_PASSWORD_DIFFERENCE Funktion analog zum Profilparameter login/min_password_diff

MIN_PASSWORD_DIGITS Funktion analog zum Profilparameter login/min_password_digits

MIN_PASSWORD_LETTERS Funktion analog zum Profilparameter login/min_password_letters

MIN_PASSWORD_LENGTH Funktion analog zum Profilparameter login/min_password_lng

Tabelle 7.11 Parameter der Sicherheitsrichtlinien



284

Mit der Einführung der Sicherheitsrichtlinien gelten nun auch dieRegeln zu den Inhalten der Kennwörter für Benutzer vom Typ Sys-tem und Service. Regeln für die Änderung von Kennwörtern sindweiterhin nicht für diese Benutzertypen gültig. Diese Änderung isterfolgt, da es Ihnen nun möglich ist, für diese Benutzer eigeneSicherheitsrichtlinien zu definieren und so z. B. sicherzustellen, dassweiterhin abwärtskompatible Passwörter für diese Benutzer verwen-det werden.

7.5 Menükonzept

Ein Menükonzept wird häufig verwendet, um den Endbenutzernübersichtliche Benutzermenüs anzubieten. Das Menükonzept bedeu-tet keine Einschränkung von Berechtigungen. Im Folgenden werdenwir Ihnen einen einfachen Vorschlag machen, wie ein Menükonzeptaussehen kann. Dabei gehen wir davon aus, dass Sie entweder das»alte« Bereichsmenü (Transaktion SE43) oder Menüvorlagen, die innicht weiter ausgeprägten Rollen vorgehalten werden, als Schablonefür das Rollenmenü nutzen. Darüber hinaus empfehlen wir lediglich,alle Rollenmenüs auf Basis dieser Schablonen einzurichten.

Präferenzenfür Menüs

Die einzige dringende Anforderung, die an ein Menükonzept zu stellenist, ist die, dass es logisch konsistent sein muss. Ob ein Menükonzeptfür Ihre Organisation sinnvoll ist und ob Sie Ihr Menü auf Standard-,

PASSWORD_CHANGE_INTERVAL Funktion analog zum Profilparameter login/password_expiration_time

CHECK_PASSWORD_BLACKLIST Prüft bei der Eingabe des Kennwortes gegen die Negativliste verbotener Kenn-wörter (es werden die Einträge in der Tabelle USR40 geprüft).

SERVER_LOGON_PRIVILEGE Legt fest, ob sich ein Benutzer trotz gesetzter Zugriffsbeschränkung für einen Server an diesem anmelden kann.

Über den Profilparameter login/ser-ver_logon_restriction können Sie so eine Zugriffsbeschränkung setzen.


Tabelle 7.11 Parameter der Sicherheitsrichtlinien (Forts.)


Auf einen Blick

1 Einleitung ................................................................... 27

TEIL I Betriebswirtschaftliche Konzeption

2 Einführung und Begriffsdefinition ............................... 35

3 Organisation und Berechtigungen .............................. 67

4 Rechtlicher Rahmen – normativer Rahmen ................. 113

5 Berechtigungen in der Prozesssicht ............................. 143

TEIL II Werkzeuge und Berechtigungspflege im SAP-System

6 Technische Grundlagen der Berechtigungspflege ........ 163

7 Systemeinstellungen und Customizing ........................ 241

8 Rollenzuordnung über das Organisations-management .............................................................. 331

9 Zentrales Management von Benutzern und Berechtigungen .......................................................... 341

10 Berechtigungen: Standards und Analyse ..................... 387

11 SAP Access Control .................................................... 419

12 User Management Engine .......................................... 437

TEIL III Berechtigungen in spezifischen SAP-Lösungen

13 Berechtigungen in SAP ERP HCM ............................... 461

14 Berechtigungen in SAP CRM ...................................... 487

15 Berechtigungen in SAP SRM ....................................... 565

16 Berechtigungen in SAP BW ........................................ 589

17 Berechtigungen in der SAP-BusinessObjects-Business-Intelligence-Plattform 4.x ............................. 615

18 RFC-Sicherheit mittels Unified Connectivity ................ 631

19 Berechtigungen in SAP HANA .................................... 649

20 Berechtigungen in SAP S/4HANA ............................... 669

21 SAP Business Suite: Prozesse und Einstellungen .......... 679

22 Konzepte und Vorgehen im Projekt ............................ 759


7

Inhalt

Vorwort .................................................................................... 21Danksagung .............................................................................. 23

1 Enleitung ................................................................. 27

TEIL I Betriebswirtschaftliche Konzeption

2 Einführung und Begriffsdefinition .......................... 35

2.1 Methodische Überlegungen .................................... 362.1.1 Ansätze für das betriebswirtschaftliche

Berechtigungskonzept ............................... 372.1.2 Beteiligte am Berechtigungskonzept .......... 39

2.2 Compliance ist Regelkonformität ............................ 402.3 Risiko ..................................................................... 412.4 Corporate Governance ............................................ 452.5 Technische vs. betriebswirtschaftliche Bedeutung

des Berechtigungskonzepts ..................................... 472.6 Technische vs. betriebswirtschaftliche Rolle ............ 492.7 Beschreibung von Berechtigungskonzepten ............. 51

2.7.1 Role Based Access Control ......................... 512.7.2 Core RBAC und SAP ERP ........................... 542.7.3 Hierarchical RBAC und SAP ERP –

limitierte Rollenhierarchien ....................... 602.7.4 Hierarchical RBAC und SAP –

allgemeine Rollenhierarchien ..................... 602.7.5 Constrained RBAC ..................................... 612.7.6 Constrained RBAC und SAP ERP ................ 632.7.7 Restriktionen des RBAC-Standards ............. 642.7.8 Beschreibung technischer

Berechtigungskonzepte .............................. 65

3 Organisation und Berechtigungen .......................... 67

3.1 Organisatorische Differenzierung am Beispiel .......... 693.2 Begriff der Organisation .......................................... 713.3 Institutioneller Organisationsbegriff ........................ 72


Inhalt

8

3.4 Instrumenteller Organisationsbegriff ........................ 763.4.1 Aufbauorganisation .................................... 773.4.2 Aufgabenanalyse ........................................ 85

3.5 Folgerungen aus der Organisationsbetrachtung ....... 903.6 Die Grenzen der Organisation

und das Internet der Dinge ...................................... 913.7 Sichten der Aufbauorganisation in SAP-Systemen .... 92

3.7.1 Organisationsmanagement ......................... 933.7.2 Organisationssicht des externen

Rechnungswesens ...................................... 953.7.3 Organisationssicht des

Haushaltsmanagements .............................. 963.7.4 Organisationssicht der

Kostenstellenstandardhierarchie ................. 973.7.5 Organisationssicht der Profit-Center-

Hierarchie .................................................. 973.7.6 Unternehmensorganisation ........................ 983.7.7 Organisationssicht im Projektsystem .......... 993.7.8 Logistische Organisationssicht .................... 1003.7.9 Integration der Organisationssichten im

Berechtigungskonzept ................................ 1003.8 Organisationsebenen und -strukturen in der SAP

Business Suite .......................................................... 1013.8.1 Organisationsebene »Mandant« ................. 1023.8.2 Relevante Organisationsebenen des

Rechnungswesens ...................................... 1033.8.3 Relevante Organisationsebenen in der

Materialwirtschaft ...................................... 1073.8.4 Relevante Organisationsebenen im

Vertrieb ..................................................... 1083.8.5 Relevante Organisationsebenen in der

Lagerverwaltung ......................................... 1083.8.6 Integration der Organisationsebenen im

Berechtigungskonzept ................................ 1083.9 Hinweise zur Methodik im Projekt ........................... 1103.10 Fazit ........................................................................ 112

4 Rechtlicher Rahmen – normativer Rahmen ............. 113

4.1 Interne und externe Regelungsgrundlagen ............... 1144.2 Internes Kontrollsystem ........................................... 118


Inhalt

9

4.3 Rechtsquellen des externen Rechnungswesens ........ 1204.3.1 Rechtsquellen und Auswirkungen für den

privaten Sektor .......................................... 1214.3.2 Konkrete Anforderungen an das

Berechtigungskonzept ............................... 1244.4 Datenschutzrecht .................................................... 124

4.4.1 Gesetzliche Definitionen in Bezug auf die Datenverarbeitung ..................................... 128

4.4.2 Rechte des Betroffenen ............................. 1294.4.3 Pflichten in Bezug auf das IKS .................... 1304.4.4 Vereinfachtes Sperren und Löschen per-

sonenbezogener Daten – Auswirkungen auf das Berechtigungskonzept ................... 131

4.4.5 Konkrete Anforderungen an das Berechtigungskonzept ............................... 133

4.4.6 Regelkonformität vs. Datenschutz .............. 1344.5 Allgemeine Anforderungen an ein

Berechtigungskonzept ............................................. 1354.5.1 Identitätsprinzip ........................................ 1374.5.2 Minimalprinzip .......................................... 1374.5.3 Stellenprinzip ............................................ 1384.5.4 Belegprinzip der Buchhaltung .................... 1394.5.5 Belegprinzip der Berechtigungs-

verwaltung ................................................ 1394.5.6 Funktionstrennungsprinzip ........................ 1394.5.7 Genehmigungsprinzip ................................ 1404.5.8 Standardprinzip ......................................... 1404.5.9 Schriftformprinzip ...................................... 1414.5.10 Kontrollprinzip .......................................... 141

4.6 Fazit ....................................................................... 142

5 Berechtigungen in der Prozesssicht ........................ 143

5.1 Prozessübersicht ..................................................... 1435.2 Der Verkaufsprozess ............................................... 1455.3 Der Beschaffungsprozess ......................................... 1515.4 Unterstützungsprozesse .......................................... 1555.5 Maßgaben für die Funktionstrennung ..................... 1585.6 Fazit ....................................................................... 160


Inhalt

10

TEIL II Werkzeuge und Berechtigungspflege im SAP-System

6 Technische Grundlagen der Berechtigungspflege ... 163

6.1 Benutzer .................................................................. 1636.2 Berechtigungen ....................................................... 173

6.2.1 Berechtigungsfelder und Berechtigungsobjekte ................................. 173

6.2.2 Berechtigungsprüfungen für ABAP-Programme ................................................ 174

6.3 Rollen und Profile .................................................... 1766.3.1 Manuelle Profile und Berechtigungen ......... 1776.3.2 Rollenpflege ............................................... 1786.3.3 Massenpflege von Rollen ........................... 218

6.4 Transfer von Rollen .................................................. 2226.4.1 Rollentransport .......................................... 2236.4.2 Down-/Upload von Rollen ......................... 225

6.5 Benutzerabgleich ..................................................... 2256.6 Vom Trace zur Rolle ................................................ 2276.7 Weitere Auswertungen von

Berechtigungsprüfungen .......................................... 2346.7.1 Auswertung der Berechtigungsprüfung ....... 2346.7.2 Prüfung des Programms ............................. 236

6.8 Fazit ........................................................................ 239

7 Systemeinstellungen und Customizing ................... 241

7.1 Pflege und Nutzung der Vorschläge für den Profilgenerator ........................................................ 2427.1.1 Grundzustand und Pflege der

Berechtigungsvorschlagswerte .................... 2447.1.2 Nutzen der Berechtigungs-

vorschlagswerte ......................................... 2557.2 Traces ...................................................................... 262

7.2.1 Vorgehen beim Berechtigungstrace ............ 2657.2.2 Vorgehen beim Systemtrace ....................... 2697.2.3 Vorgehen beim Benutzertrace .................... 270

7.3 Upgrade-Nacharbeiten von Berechtigungen ............ 2717.4 Parameter für Kennwortregeln ................................. 2787.5 Menükonzept .......................................................... 2847.6 Berechtigungsgruppen ............................................. 290


Inhalt

11

7.6.1 Optionale Berechtigungsprüfungen auf Berechtigungsgruppen ............................... 292

7.6.2 Tabellenberechtigungen ............................ 2977.6.3 Berechtigungsgruppen von Programmen ... 3037.6.4 Berechtigungsgruppen als

Organisationsebenen ................................. 3047.7 Parameter- und Query-Transaktionen ..................... 305

7.7.1 Parametertransaktion zur Pflege von Tabellen über definierte Views .................. 308

7.7.2 Parametertransaktion zur Ansicht von Tabellen .................................................... 311

7.7.3 Querys in Transaktionen umsetzen ............ 3117.7.4 Zuordnung eines Programms zu einem

Transaktionscode ....................................... 3147.8 Anhebung eines Berechtigungsfeldes zur

Organisationsebene ................................................ 3157.8.1 Auswirkungsanalyse ................................... 3157.8.2 Vorgehen zur Anhebung eines Feldes zur

Organisationsebene ................................... 3197.8.3 Anhebung des Verantwortungsbereichs

zur Organisationsebene ............................. 3217.9 Berechtigungsfelder und -objekte anlegen .............. 323

7.9.1 Berechtigungsfelder anlegen ...................... 3237.9.2 Berechtigungsobjekte anlegen ................... 325

7.10 Weitere Transaktionen der Berechtigungsadministration ................................... 327

7.11 Fazit ....................................................................... 329

8 Rollenzuordnung über das Organisations-management ............................................................ 331

8.1 Grundkonzept des SAP-ERP-HCM-Organisationsmanagements .................................... 332

8.2 Fachliche Voraussetzungen ..................................... 3358.3 Technische Umsetzung ........................................... 335

8.3.1 Voraussetzungen ....................................... 3358.3.2 Technische Grundlagen des SAP-ERP-

HCM-Organisationsmanagements .............. 3368.3.3 Zuweisung von Rollen ............................... 3368.3.4 Auswertungsweg ....................................... 3388.3.5 Benutzerstammabgleich ............................. 339


Inhalt

12

8.4 Konzeptionelle Besonderheit ................................... 3398.5 Fazit ........................................................................ 340

9 Zentrales Management von Benutzern und Berechtigungen ....................................................... 341

9.1 Grundlagen ............................................................. 3429.1.1 Betriebswirtschaftlicher Hintergrund .......... 3429.1.2 User Lifecycle Management ........................ 3459.1.3 SAP-Lösungen für die zentrale Verwal-

tung von Benutzern .................................... 3489.2 Zentrale Benutzerverwaltung ................................... 348

9.2.1 Vorgehen zur Einrichtung einer ZBV ........... 3509.2.2 Integration mit dem Organisations-

management von SAP ERP HCM ................ 3569.2.3 Integration mit SAP Access Control ............ 357

9.3 SAP Access Control User Access Management ......... 3589.4 SAP Identity Management ....................................... 366

9.4.1 Funktionen ................................................ 3679.4.2 Technische Architektur ............................... 3699.4.3 Komponenten und Architektur in SAP

Identity Management 8.0 ........................... 3739.4.4 Funktionsweise .......................................... 3749.4.5 Integration mit SAP Access Control ............ 382

9.5 Compliant Identity Management ............................. 3839.6 Fazit ........................................................................ 385

10 Berechtigungen: Standards und Analyse ................ 387

10.1 Standards und ihre Analyse ..................................... 38710.1.1 Rolle anstelle von Profil .............................. 38810.1.2 Definition der Rolle über das Menü ........... 38910.1.3 Vorschlagsnutzung ..................................... 39110.1.4 Tabellenberechtigungen ............................. 39110.1.5 Programmausführungsberechtigungen ........ 39210.1.6 Ableitung ................................................... 39310.1.7 Programmierung – Programmier-

richtlinie .................................................... 39410.2 Kritische Transaktionen und Objekte ....................... 39610.3 Allgemeine Auswertungen technischer Standards .... 398

10.3.1 Benutzerinformationssystem ...................... 398


Inhalt

13

10.3.2 Tabellengestützte Analyse von Berechtigungen ......................................... 402

10.4 AGS Security Services .............................................. 40610.4.1 Secure Operations Standard und Secure

Operations Map ........................................ 40810.4.2 Berechtigungs-Checks im SAP Early-

Watch Alert und Security Optimization Service ...................................................... 409

10.4.3 Reporting über die Zuordnung kritischer Berechtigungen mithilfe der Configuration Validation .................................................. 416

10.5 Fazit ....................................................................... 418

11 SAP Access Control ................................................. 419

11.1 Grundlagen ............................................................. 41911.2 Access Risk Analysis ................................................ 42311.3 Business Role Management .................................... 42911.4 User Access Management ....................................... 43111.5 Emergency Access Management ............................. 43311.6 Fazit ....................................................................... 436

12 User Management Engine ....................................... 437

12.1 Überblick über die UME ......................................... 43812.1.1 UME-Funktionen ....................................... 43812.1.2 Architektur der UME ................................. 44012.1.3 Oberfläche der UME .................................. 44112.1.4 Konfiguration der UME ............................. 442

12.2 Berechtigungskonzept von SAP NetWeaver AS Java ................................................................... 44612.2.1 UME-Rollen .............................................. 44612.2.2 UME-Aktionen .......................................... 44712.2.3 UME-Gruppe ............................................. 44812.2.4 Java-EE-Sicherheitsrollen ........................... 450

12.3 Benutzer- und Rollenadministration mit der UME ... 45112.3.1 Voraussetzungen zur Benutzer- und

Rollenadministration ................................. 45112.3.2 Administration von Benutzern ................... 45212.3.3 Benutzertypen ........................................... 45312.3.4 Administration von UME-Rollen ................ 454


Inhalt

14

12.3.5 Administration von UME-Gruppen ............. 45612.3.6 Tracing und Logging ................................... 456

12.4 Fazit ........................................................................ 458

TEIL III Berechtigungen in spezifischen SAP-Lösungen

13 Berechtigungen in SAP ERP HCM ........................... 461

13.1 Grundlagen ............................................................. 46113.2 Besondere Anforderungen von SAP ERP HCM ......... 46213.3 Berechtigungen und Rollen ..................................... 464

13.3.1 Berechtigungsrelevante Attribute in SAP ERP HCM ................................................... 464

13.3.2 Beispiel »Personalmaßnahme« .................... 46613.4 Berechtigungshauptschalter ..................................... 47013.5 Organisationsmanagement und indirekte

Rollenzuordnung ..................................................... 47213.6 Strukturelle Berechtigungen .................................... 474

13.6.1 Strukturelles Berechtigungsprofil ................ 47513.6.2 Auswertungsweg ........................................ 47613.6.3 Strukturelle Berechtigungen und

Performance ............................................... 47813.6.4 Anmerkung zu strukturellen

Berechtigungen .......................................... 47813.7 Kontextsensitive Berechtigungen ............................. 47913.8 Zeitabhängiges Sperren personenbezogener

Daten ...................................................................... 48113.8.1 Zeitabhängige Berechtigungsprüfung –

Grundsätzliches .......................................... 48113.8.2 Ablauf der zeitabhängigen

Berechtigungsprüfung ................................ 48313.8.3 Einrichten der zeitabhängigen

Berechtigungsprüfung ................................ 48313.9 Fazit ........................................................................ 486

14 Berechtigungen in SAP CRM ................................... 487

14.1 Grundlagen ............................................................. 48814.1.1 Die SAP-CRM-Oberfläche: der CRM Web

Client ......................................................... 488


Inhalt

15

14.1.2 Erstellen von Benutzerrollen für den CRM Web Client ................................................ 496

14.2 Abhängigkeiten zwischen der Benutzerrolle und PFCG-Rollen ........................................................... 498

14.3 Erstellen von PFCG-Rollen abhängig von Benutzerrollen ........................................................ 50014.3.1 Voraussetzungen für das Erstellen von

PFCG-Rollen .............................................. 50014.3.2 Erstellen von PFCG-Rollen ......................... 503

14.4 Zuweisen von Benutzerrollen und PFCG-Rollen ...... 50814.5 Beispiele für Berechtigungen in SAP CRM ............... 517

14.5.1 Berechtigen von Oberflächen-komponenten ............................................ 517

14.5.2 Berechtigen von Transaktions-starter-Links .............................................. 526

14.5.3 Sonstige Berechtigungsmöglichkeiten für den CRM Web Client ................................. 528

14.5.4 Berechtigen von Stammdaten .................... 53014.5.5 Berechtigen von Geschäftsvorgängen ......... 53314.5.6 Berechtigen von Attributgruppen .............. 54314.5.7 Berechtigen von Marketingelementen ....... 544

14.6 Fehlersuche im CRM Web Client ............................ 54614.7 Access Control Engine ............................................. 54914.8 Fazit ....................................................................... 563

15 Berechtigungen in SAP SRM ................................... 565

15.1 Grundlagen ............................................................. 56515.2 Berechtigungsvergabe in SAP SRM .......................... 568

15.2.1 Berechtigen der Oberflächenmenüs ........... 57215.2.2 Berechtigen typischer Geschäftsvorgänge .. 574

15.3 Fazit ....................................................................... 588

16 Berechtigungen in SAP BW .................................... 589

16.1 OLTP-Berechtigungen ............................................. 59016.2 Analyseberechtigungen ........................................... 593

16.2.1 Grundlagen ............................................... 59316.2.2 Schrankenprinzip ....................................... 59516.2.3 Transaktion RSECADMIN .......................... 59616.2.4 Berechtigungspflege .................................. 596


Inhalt

16

16.2.5 Massenpflege ............................................. 60016.2.6 Zuordnung zu Benutzern ............................ 60016.2.7 Analyse und Berechtigungsprotokoll .......... 60416.2.8 Generierung ............................................... 60716.2.9 Berechtigungsmigration .............................. 609

16.3 Modellierung von Berechtigungen in SAP BW ......... 61016.3.1 InfoProvider-basierte Modelle .................... 61116.3.2 Merkmalsbasierte Modelle ......................... 61116.3.3 Gemischte Modelle .................................... 612

16.4 RBAC-Modell .......................................................... 61216.5 Fazit ........................................................................ 614

17 Berechtigungen in der SAP-BusinessObjects-Business-Intelligence-Plattform 4.x ....................... 615

17.1 Berechtigungskonzept ............................................. 61617.1.1 Benutzer und Benutzergruppen .................. 61717.1.2 Objekte, Ordner, Kategorien ...................... 62017.1.3 Zugriffsberechtigungen ............................... 621

17.2 Interaktion mit SAP BW .......................................... 62417.2.1 System für Endbenutzer anschließen .......... 62517.2.2 Beispiel einer Anwendung: Query in Web

Intelligence einbinden ................................ 62617.3 Fazit ........................................................................ 628

18 RFC-Sicherheit mittels Unified Connectivity .......... 631

18.1 RFC-Sicherheit im Überblick .................................... 63218.2 Das Konzept von Unified Connectivity ..................... 63418.3 UCON einrichten und betreiben .............................. 63718.4 Zusammenspiel von UCON und Berechtigungs-

prüfungen auf Funktionsbausteine ........................... 64118.5 Fazit ........................................................................ 648

19 Berechtigungen in SAP HANA ................................. 649

19.1 Anwendungsszenarien von SAP HANA .................... 65019.2 Architektur von SAP HANA ..................................... 651

19.2.1 Sicherheitsarchitektur in SAP HANA ........... 65419.2.2 Objekte des Berechtigungswesens in

SAP HANA ................................................. 656


Inhalt

17

19.3 Benutzerverwaltung in SAP HANA .......................... 65719.4 Berechtigungen in SAP HANA ................................. 660

19.4.1 Privilegien in SAP HANA ........................... 66019.4.2 Rollen in SAP HANA .................................. 66419.4.3 Beispiel für Berechtigungen in

SAP HANA ................................................ 66519.5 Fazit ....................................................................... 667

20 Berechtigungen in SAP S/4HANA ........................... 669

20.1 Überblick ................................................................ 66920.2 Fiori-Anwendungsrollen anlegen ............................. 67020.3 Kontinuität im Benutzermanagement ...................... 67720.4 Fazit ....................................................................... 677

21 SAP Business Suite: Prozesse und Einstellungen ... 679

21.1 Grundlagen ............................................................. 68021.1.1 Stamm- und Bewegungsdaten ................... 68021.1.2 Organisationsebenen ................................. 681

21.2 Berechtigungen im Finanzwesen ............................. 68221.2.1 Organisatorische Differenzierungs-

kriterien .................................................... 68321.2.2 Stammdaten .............................................. 68521.2.3 Buchungen ................................................ 69721.2.4 Zahllauf ..................................................... 702

21.3 Berechtigungen im Controlling ................................ 70421.3.1 Organisatorische Differenzierungs-

kriterien .................................................... 70521.3.2 Stammdatenpflege .................................... 70621.3.3 Buchungen ................................................ 71521.3.4 Altes und neues Berechtigungskonzept

im Controlling ........................................... 71821.4 Berechtigungen in der Logistik (allgemein) .............. 718

21.4.1 Organisatorische Differenzierungs-kriterien .................................................... 719

21.4.2 Materialstamm/Materialart ........................ 72021.5 Berechtigungen im Einkauf ..................................... 724

21.5.1 Stammdatenpflege .................................... 72421.5.2 Beschaffungsabwicklung ............................ 724

21.6 Berechtigungen im Vertrieb .................................... 731


Inhalt

18

21.6.1 Stammdatenpflege ..................................... 73121.6.2 Verkaufsabwicklung ................................... 732

21.7 Berechtigungen in technischen Prozessen ................ 73521.7.1 Funktionstrennung in der

Berechtigungsverwaltung ........................... 73621.7.2 Funktionstrennung im Transportwesen ....... 74021.7.3 RFC-Berechtigungen .................................. 74221.7.4 Debugging-Berechtigungen ........................ 74321.7.5 Mandantenänderung .................................. 74421.7.6 Änderungsprotokollierung .......................... 74521.7.7 Batchberechtigungen ................................. 746

21.8 Vereinfachtes Sperren und Löschen personen-bezogener Daten in der SAP Business Suite ............. 74721.8.1 Konzept des vereinfachten Sperrens und

Löschens personenbezogener Daten ........... 74821.8.2 Funktion in der SAP Business Suite ............. 75121.8.3 Berechtigungen für gesperrte Daten

verwalten ................................................... 75421.9 Fazit ........................................................................ 757

22 Konzepte und Vorgehen im Projekt ........................ 759

22.1 Berechtigungskonzept im Projekt ............................ 76022.2 Vorgehensmodell .................................................... 762

22.2.1 Logischer Ansatz ........................................ 76322.2.2 Implementierung ....................................... 76522.2.3 Redesign .................................................... 76622.2.4 Konkretes Vorgehen ................................... 767

22.3 SAP-Best-Practices-Template-Rollenkonzept ........... 77122.3.1 SAP Best Practices ...................................... 77122.3.2 SAP-Template-Rollen ................................. 77222.3.3 Methodische Vorgehensweise des SAP-

Best-Practices-Rollenkonzepts .................... 77422.3.4 Einsatz mit SAP Access Control .................. 77722.3.5 Template-Rollen für SAP HANA ................. 778

22.4 Inhalte eines Berechtigungskonzepts ....................... 77822.4.1 Einleitung und normativer Rahmen des

Konzepts .................................................... 77922.4.2 Technischer Rahmen .................................. 78122.4.3 Risikobetrachtung ...................................... 78122.4.4 Person – Benutzer – Berechtigung .............. 782


Inhalt

19

22.4.5 Berechtigungsverwaltung ........................... 78322.4.6 Organisatorische Differenzierung ............... 78422.4.7 Prozessdokumentation .............................. 78422.4.8 Rollendokumentation ................................ 785

22.5 Schritte zum Berechtigungskonzept ........................ 78522.5.1 Rahmenkonzept und Projektmitglieder ...... 78522.5.2 Rollenkonzept ........................................... 78622.5.3 Rollenimplementierung ............................. 79122.5.4 Tests und Zuordnung zu Benutzern ............ 791

22.6 Fazit ....................................................................... 792

Anhang ........................................................................... 793

A Abkürzungsverzeichnis ...................................................... 795

B Glossar .............................................................................. 799

C Literaturverzeichnis ........................................................... 815

D Die Autoren ...................................................................... 823

Index ........................................................................................ 827


827

Index

0BI_ALL 601, 603, 6040TCAACTVT 594, 596, 6130TCAIPROV 594, 596, 611, 6130TCAKYFNM 5940TCAVALID 594, 596, 597, 613

A

ABAP 799ABAP Dictionary 799ABAP-Benutzertyp 454Abgabenordnung 799abgeleitete Rolle 578Ablauforganisation 71, 799

betriebswirtschaftliches Berechtigungs-konzept 124

ID Management 346Ableitung von Rollen

Abweichung 393Manipulation 393Referenzrolle 212Standards 393

Ableitungskonzept 209, 315, 799Abstraktion 769AcceleratedSAP � ASAPAccess Control Engine � ACEAccess Control List 554, 560,

634, 799Access Control � SAP Access ControlAccess Risk Analysis � ARAACE 488, 549, 799ACE Design Report 556ACE-Aktionsgruppe 799ACE-Aktivierungs-Tool 557ACE-Aktualisierungs-Tool 559ACE-Benutzergruppe 551, 799ACE-Laufzeitreport 558ACE-Recht 551, 799ACE-Regel 550, 551, 552, 799ACL 634Active Directory 799

SAP ID Management 366Actors from Object 552Actors from User 552Ad-hoc Query 307, 800Aggregationsberechtigung 597, 606

AGS Security Services 406AktG 800Aktiengesetz � AktGAktionsgruppe 551, 552Aktivität im Berechtigungskonzept 89Aktortyp 552, 800ALE 350alternative Hierarchien 711, 800

Controlling 97Ampelfarben 193Analyse von Berechtigungs-

prüfungen 234Analyseberechtigungen 589, 593, 595Analyse-Synthese-Konzept 80Analytics 567analytische Privilegien 662Angebot im Verkaufsprozess 146ANSI INCITS 51Anspruchsgruppen 39Anwendungen in entfernten

verbundenen Systemen 186Anwendungskatalog

SAP S/4HANA 672Anwendungsrollen

SAP S/4HANA 671Anzeigeattribute 594Application Link Enabling � ALEApplication Programming Interface

(API) 441Applikationsprivilegien 661, 664ARA 422, 799Arbeitspaket 80, 553, 800Archivierung 593ARIS 38, 800ASAP 37, 800Attributgruppe 517, 543Audit 39, 256, 402, 682, 800Aufbauorganisation 71, 77, 79, 800


SAP ERP 92Aufgabe 39, 49, 77, 80, 86, 768, 800

Berechtigungskonzept 88Funktionstrennungskonflikt 769

Aufgabenanalyse 85, 767, 800Aufgabensynthese 86, 768


828

Index

Aufgabenanalyse (Forts.)Berechtigungskonzept 49Objektanalyse 85Stelle 87Stellen- und Abteilungsbildung 87Verrichtungsanalyse 85

Auftragsart 106, 800Auftragsbearbeiter 571Auftragserfassung im Verkaufs-

prozess 146Auftragsposition 146Auktion 566Auswertung

Profilzuordnung 388über Status 390

Auswertungsweg 476, 800Organisationsmanagement 333

Authentifizierung in SAP HANA 660Authority-Check 175, 236, 800

B

BANF 153, 728, 800Barriereprinzip � SchrankenprinzipBatchbenutzer 746Batchberechtigungen 746BDSG 126, 801Beleg 575, 577, 801

Bewegungsdaten 681Belegpositionsdaten 154Belegprinzip 139Benachrichtigungseinstellung im

Workflow 363Benachrichtigungs-E-Mail 445Benutzer 163, 511, 617, 801

Benutzerpflege 165Dialogbenutzer 164HCM-OM 465Kommunikationsbenutzer 165Mandant 165Person 166Protokollierungen von System-

zugriffen 166Referenzbenutzer 165SAP HANA 656Servicebenutzer 165Systembenutzer 165

Benutzer synchronisieren (ZBV) 353Benutzerabgleich 215, 225

Benutzeradministration 573Benutzeranlage 167Benutzerauthentifizierung 169Benutzerdaten im Organisations-

management 344Benutzerfehler 42Benutzerfestwerte 169Benutzergruppe 168, 513, 574, 587,

617, 618, 801Benutzerinformationssystem 398Benutzerkontext 553, 559Benutzerkonto 342, 345Benutzermenü 498, 505Benutzerparameter 170, 515

CRM_UI_PROFILE 515ZBV 349

Benutzerrolle 492, 493, 496, 498, 500, 503, 507, 510, 512, 514, 516, 518, 801Zuweisung 508

Benutzerstammabgleich 339, 801Benutzerstammsatz 437, 513

Elemente 165ID Management, Attribute 349ZBV, zentrale und dezentrale

Pflege 353Benutzertrace 264Benutzertyp 165, 168, 453, 801Benutzerverwalter 736Benutzerverwaltung (Java) 438Benutzer-Workflow 801Benutzerzuordnung 601Berechtigung 173, 801

Debug/Replace 413deklarative 450ID Management, regelbasiertes 344kontextsensitive 479kritische 44Nummer 197programmatische 451Standards 387tabellengestützte Analyse 402Upgrade 259Vertragsverhältnis 344verweigern 622vorschlagsbasierte 391

Berechtigungs-Check 409im EWA 411im SOS 413kundenspezifischer 415


829

Index

Berechtigungs-Check (Forts.)Struktur 411

Berechtigungsdifferenzierung 79Berechtigungserstellung 438Berechtigungsfeld 173, 801

ACTVT 174, 613anlegen 323LL_TGT 527LL_TYPE 527RESPAREA 319, 709, 710, 810

Berechtigungsgruppe 290, 292, 303, 530, 801Debitor 146Haushaltsmanagement 292optionale Prüfung 292organisatorisches Unterscheidungs-

merkmal 304Tabellenzugriff 292

Berechtigungshauptschalter 801HCM 470

Berechtigungskonzept 80, 446, 496, 526, 801Anforderungen 135Aufgabenanalyse 49Aufwand 38Beschreibung 51betriebswirtschaftliches 37, 49Blueprints 760Corporate Governance 49Definition 35, 47, 48Erweiterungsprojekt 760Funktionstrennung 762heterogene Systemlandschaften 760IKS 760Inhalte 49komponentenbezogenes 37Kosten der Prävention 49Kosteneinsparung 761Partizipation 39positives 47Revision 760SAP BusinessObjects 616SAP-Einführung 760Stammdaten 680Standardisierung von Geschäfts-

prozessen 760Standards 760technisches 48, 65Upgrade 760Verfahrenssicht 761

Berechtigungsmigration 609Berechtigungsobjekt 173, 257, 396,

502, 567, 572, 575, 580, 801/SAPCND/CM 585B_BUPA_GRP 530B_BUPA_RLT 530, 585B_BUPR_BZT 532BBP_BUDGET 586BBP_CTR_2 582BBP_FUNCT 585, 586BBP_PD_AUC 578BBP_PD_BID 579BBP_PD_CNF 579BBP_PD_CTR 578, 582BBP_PD_INV 579BBP_PD_PCO 579BBP_PD_PO 579BBP_PD_QUO 579BBP_PD_SC 579BBP_PD_VL 579BBP_SUS_P2 583BBP_SUS_PD 583BBP_VEND 587C_CABN 543C_KLAH_BKL 544C_KLAH_BKP 543C_LL_TGT 527C_TCLA_BKA 544COM_ASET 584COM_PRD 532, 584COM_PRD_CT 532CRM_ACE_MD 560CRM_ACT 541CRM_BPROLE 530CRM_CMP 541CRM_CO_PU 541CRM_CO_SA 541CRM_CO_SE 541CRM_CO_SL 541CRM_CON_SE 541CRM_CPG 544CRM_CPGAGR 544CRM_CPGCTP 544CRM_CPGRES 544CRM_LEAD 541CRM_OPP 541CRM_ORD_LP 535, 540CRM_ORD_OE 542CRM_ORD_OP 534CRM_ORD_PR 541


830

Index

Berechtigungsobjekt (Forts.)CRM_SAO 541CRM_SEO 541F_REGU_BUK 702F_REGU_KOA 702K_CCA 711K_VRGNG 716P_PERNR 469P_TCODE 470S_BDC_MONI 397S_CTS_ADMI 741S_DEVELOP 392, 396, 397, 744S_LOG_COM 397S_PROGNAM 176, 303S_PROGRAM 303S_RFC 176, 397, 641S_RS_ALVL 590S_RS_AUTH 591, 602S_RS_HIST 591S_RS_ICUBE 591S_RS_ISNEW 590S_RS_PLSE 590S_RS_PLSQ 590S_RSEC 591S_SERVICE 176S_START 176S_TABU_DIS 303, 305, 392,

396, 560, 641S_TABU_NAM 299S_TCODE 389, 502, 506

Standardberechtigung 197S_USER_AGR 739S_USER_PRO 740S_USER_SAS 739SAP HANA 656UIU_COMP 500, 503, 506, 517,

521, 528V_VBAK_AAT 733V_VBAK_VKO 733

BerechtigungspflegeALV-Sicht 190Drag & Drop 203generische Pflege 195regelbasierte Pflege 255

BerechtigungsprofilNutzung ausschließen 388

Berechtigungsprotokoll 604, 605Berechtigungsprüfung 595Berechtigungsrelevanz 591, 594, 596

Berechtigungstrace 227, 263, 546, 643

Berechtigungstyp 598Berechtigungsvergabe

objektorientierte 620Berechtigungsvorschlag 185Berechtigungsvorschlagswert 177Berechtigungsvorschlagswerte 645Bereichsmenü 801Bereichsstartseite 489, 493, 494, 495,

496, 505, 517, 520, 801Beschaffungsprozess

Bestellung 151Bewegungsart 154Buchungskreis 152Einkäufergruppe 153Einkaufsorganisation 152Freigabeverfahren 153Lagerort 154Lieferant 151Rechnungsprüfung 151Wareneingang 151

Bestellanforderung � BANFBestellung 726

Beschaffungsprozess 151Bewegungsdaten 681

betrieblicher Datenschutz 126Betriebsrat 74, 802

Datenschutz 125, 129Betriebsverfassung 74, 802betriebswirtschaftliches Berechti-

gungskonzept 760, 802Ablauforganisation 124Anforderungen 124Aufbauorganisation 124Benutzertypen 165Berechtigungsverwaltung 783Cross System Integration 762Datenschutz 124Datenschutzvorschriften 780funktionale Differenzierung 761Funktionstrennung 124Genehmigung 780Genehmigungsprinzip 783Grundprinzipien 136grüne Wiese 765IKS 778Implementierung 763Inhalte 39, 778institutioneller Rahmen 780


831

Index

betriebswirtschaftliches Berechti-gungskonzept (Forts.)Konfiguration 782kritische Aktion 124Methode der Benutzerpflege 782Methode der Berechtigungspflege 781minimale Normen 780Mitbestimmung 780Organisationsabbildung 766organisatorische Differenzierung

762, 784Prozessabbildung 766Rechnungslegungsvorschriften 780Rechtsform 72Redesign 763, 766Risikobetrachtung 781Schriftform 124Schriftformprinzip 779Standardprinzip 784Stellenprinzip 783Systemlandschaft 781Teilkonzept 761Vieraugenprinzip 784

Bewegungsart im Beschaffungs-prozess 154

Bewegungsdaten 681BI Launchpad 616Bieter 570BRF+ 361BRM 422, 802Browser 488BSP 488, 573, 802BSP-Applikation 488, 492, 501BSP-Komponente 500Buchhaltungsbeleg 154Buchungen

Controlling 715Finanzbuchhaltung 698

Buchungskreis 95, 103, 802Beschaffungsprozess 152Customizing 683Verkaufsprozess 146

Bundesdatenschutzgesetz � BDSGBusiness Planning and Simulation

� BW-BPSBusiness Role 492Business Role Management � BRMBusiness Server Pages � BSPBusinessObjects-Server

� SAP-BusinessObjects-BI-Plattform

Business-Rolle 770BW-Berechtigungen 610BW-Berechtigungsobjekte 592

S_RS_AUTH 591S_RSEC 591

BW-Berechtigungsprüfung 606BW-BPS 590

C

Catalog Content Management 566Central Management Console � CMCCheckpoint 548

CRM_UIF_NAV_AUTH 548Cloud Edition 669

SAP S/4HANA Cloud Edition 669CMC 616CobiT 116Compliance 36, 40, 47, 802Compliant Identity Management 384Computing Center Management

System (CCMS) 641Configuration Tool 442Configuration Validation 410, 416Constrained RBAC 61, 63Controlling 156Core RBAC 53, 54Corporate Governance 36, 45, 802

Definition 46Managementaufgabe 46Organisation 47

COSO-Rahmenkonzept 116CRM Web Client 487, 488, 494, 496,

498, 500, 501, 511, 514, 802Anmeldung 516

CRM_UI_PROFILE 515CRM-Business-Objekt 488, 802CRM-Navigationsleiste 489Cross-Navigation 526Crystal Reports 620Customizing 487

Buchungskreis 683Einkäufergruppe 719Einkaufsorganisation 719Faktura 734Funktionsbereich 684Gesellschaft 683Kostenrechnungskreis 705Lagerort 720


832

Index

Customizing (Forts.)Organisationsebene 681Profitcenter 710Sparte 720Verkäufergruppe 719Verkaufsorganisation 719Vertriebsauftragsart 732Vertriebsweg 720Werk 719

D

Dashboards � SAP BusinessObjectsData Browser 298, 802

Zugriff ausschließen 391DataStore-Objekte � DSODatenquelle 443, 444, 452, 624Datenschutz 802

betrieblicher 126Definition von personenbezogenen

Daten 127elektronische Datenverarbeitung 126IKS 130Logging 134Protokollierung der Programm-

nutzung 134Safe Harbor Privacy Principles 126Schweiz 127sensitive Daten 127

Datenschutzgesetze der Länder 126, 802

Datenschutzleitfaden 116Datenschutzrecht 124Datenschutzrichtlinien 125Datenselektion 595Datenübermittlung (Datenschutz) 129Datenverarbeitung (Datenschutz) 128Debitor 802

Feldstatusgruppenpflege 689Funktionstrennung 146Stammdaten 685Stammdatum 731Verkaufsprozess 145Vieraugenprinzip 146

Debitorenbuchhaltung 145Debitorenpflege

buchhalterische Sicht 145logistische Sicht 145zentrale Sicht 145

Debug/Replace 413Debugging 803

Berechtigungen 743deduktiver Ansatz 111Definition von personenbezogenen

Daten 127deklarative Berechtigung 450detektivische Kontrolle 119, 421, 427Dialogbenutzer 164, 803

keine Profile 388Dienstleistungsbeschaffung 566Differenzierungsschema 87Directory Server Log 457direkter Programmaufruf 304Dokumente zu Bewegungsdaten 593DSO 607Dynamic Separation of Duty 61, 63

E

EAM 202, 422, 433, 803Eingabekontrolle 130Einkauf, Berechtigungsprüfung für

Sachkonten 729Einkäuferadministrator 570Einkäufergruppe 107, 567, 577, 587,

803Beschaffungsprozess 153Customizing 719

Einkaufsorganisation 107, 567, 568, 572, 575, 577, 587, 803Beschaffungsprozess 152Customizing 719

Einkaufswagen 566, 569, 574, 576, 577, 579

Einlinienorganisation 77, 97Elementarfunktion 768E-Mail-Konto 342Emergency Access Management

� EAMEnd User Personalization � EUPEndbenutzer

verbotene Transaktionen 396Enjoy-Transaktion 252, 726, 803Ergebnisbereich 105erweiterte Stammdatenprüfung im

Berechtigungshauptschalter 470EUP 363EWA 411Excluding 597


833

Index

Expertenmodus zur Profil-generierung 198

externe Regeln 39externer Service 500, 501, 502, 505,

507, 803

F

F2-Hilfe 518, 522Faktura 732, 803

Customizing 734Verkaufsprozess 148

Fakturaart 734FDA 765Fehlersuche 549

im CRM Web Client 546Feldstatusgruppen 803Feldstatusgruppenpflege

Debitor 689Kreditor 689

Festwerte 169Filterprinzip 595Finanzbuchhaltung 95, 803Finanzkreis 96Finanzpositionenhierarchie 96Finanzstellenhierarchie 96Fiori 669Fiori Launchpad 670Firmenadresse (ZBV) 353Fonds 96Food and Drug Administration � FDAFreigabestrategie 803

Beschaffung 725Beschaffungsprozess 153Finanzwesen 699

Führungsaufgaben 36Funktionsbereich 95, 104, 803

Berechtigungsgruppe 684Customizing 684

Funktionstrennung 43, 139, 420, 736, 803betriebswirtschaftliches Berechtigungs-

konzept 124Debitor 146Definition 44, 123dynamische 61, 63GoBS 123im Transportwesen 740Intersystemkonflikt 150

Funktionstrennung (Forts.)Intrasystemkonflikt 150Konfiguration 770Kosten 45Maßgaben 158Rollenzuweisung 359statische 61, 63unzureichende 760Zahllauf 703

Funktionstrennungskonflikt 39, 44, 420, 767, 803Identitätsprinzip 166

Funktionstrennungsprinzip 139

G

GDPdU 121Genehmigungsprinzip 140, 803Genehmigungsprozess 803

SAP ID Management 368, 381Genehmigungsverfahren 79Genehmigungsworkflow 587General Data Protection

Regulation 804General IT Controls 130Generierung 602, 607, 608generische Pflege S_TCODE 389generischer Link 526Geschäftsbereich 95, 103, 105, 804Geschäftspartner 74, 145, 511, 517,

530, 567, 575, 584, 585, 804Geschäftspartnerbeziehung 532Geschäftspartnermanagement 93Geschäftspartnerrolle 530Geschäftsprozess 81, 679, 804Geschäftsrollenhierarchie 804

SAP ID Management 377Geschäftsvorgang 511, 517, 533Geschäftsvorgangsart 536, 804Geschäftsvorgangstyp 541, 581, 804Gesellschaft 95

Customizing 683Gesetz zur Kontrolle und Transparenz

in Unternehmen � KonTraGGoB 120, 121, 139, 804GoBD 122, 804GoBS 121, 804Grundsätze ordnungsgemäßer Buch-

führung � GoB


834

Index

Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme � GoBS

Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen 804

Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff 804

Gruppe mit direkten Links 489, 494, 804

Gültigkeitsbereich 598

H

HANA � SAP HANAHandelsgesetzbuch � HGBHashwert 505HGB 120, 805Hierarchical RBAC 57, 60Hierarchieberechtigungen 596, 597Hierarchiestruktur 598Hosting 805Hostingpartner 75, 805

I

IAM 671IC Web Client 487, 805Identitätsprinzip 137, 167, 805Identity and Access Management

� IAMIdentity Management 137, 342,

366, 439Identity Services 368Identity Store 376IKS 118, 805

Berechtigungskonzept 119COSO 116Datenschutz 130Definition 118Grundlagen 118Risikobeurteilung 116

Implementierungsmethoden 765Inbound-Plug 501, 503, 518, 805indirekte Rollenzuordnung 472, 805

Organisationsmanagement 333

induktiver Ansatz 112, 763InfoObjects 593InfoProvider 611Information und Kommunikation

� IKSInfotyp 465, 805

0105 (Kommunikation) 335IT0105 (Kommunikation) 468Tabellen 466

Initiator 361In-Memory � SAP HANAInnenauftrag 713, 805institutioneller Organisations-

begriff 71Regelkonformität 117

instrumenteller Organisations-begriff 71, 76

Integration der Organisations-sichten 100

Integrierte Planung 593, 609Interaktionskanäle 487interne Regeln 72Internes Kontrollsystem � IKSIntervallberechtigungen 596Intervallpflege S_TCODE 389IT Infrastructure Library � ITILIT-Grundschutzkatalog 805ITIL 116ITS 805

J

J2EE-Sicherheitsrolle 805Java 438Java Connector � JCoJava-Benutzertyp 454Java-EE-Sicherheitsrolle 446, 450JCo 444, 805juristische Person 71

K

Kalkulationsschema 732, 805Kameralistik 120Kategorie 621Kennwort 167

Gültigkeitsdauer 281Missbrauch 167

Kennworthistorie 281


835

Index

Kennwortregel 167, 278, 445Kennzahl 594Kernprozess 144Klassifikation 543Kommunikationsbenutzer 444kompensierende Kontrolle 421, 805Komponentenfenster 501, 503,

518, 522Komponentenname 501, 518, 522Komponenten-Plug 522Kondition 585

Verkauf 731Verkaufsprozess 146

Konditionen 806Konditionsart 585Konditionsfindung 146Konditionspflege 731Konfiguration der UME 442Konnektor 806

SAP ID Management 368Kontengruppe 146, 296, 686Kontenplan 103, 806Kontextlösung 479, 806

Berechtigungshauptschalter 470kontextsensitive Berechtigungen 479,

806Kontierungsobjekt 97, 806

als Unterscheidungsmerkmal 84CO 156

KonTraG 121, 804, 806Kontrollaktivitäten (IKS) 116Kontrolle 806

detektivische 421, 427kompensierende 421präventive 427

Kontrollprinzip 141Kontrollumfeld im IKS 116Kopfblock 495Kosten und Leistungen 715Kostenart 706, 806Kostenrechnungskreis 104, 705, 806Kostenstelle 97, 707, 806Kostenstellenhierarchie 82, 92, 97,

98, 806Kostenstellenrechnung 97Kostenstellenstandardhierarchie 97,

105, 705Kreditkontrolle 732Kreditor 151, 806

Feldstatusgruppenpflege 689

Kreditor (Forts.)Stammdaten 685Vieraugenprinzip 152

Kreditorenbuchhaltung 151, 570Kreditorenkonto 151kriminelle Handlung 42kritische Aktion 39, 44, 806


Datenschutz 133Definition 44, 124

kritische Berechtigung 44, 806Definition 44GoBS 123

kritische Berechtigungsobjekte 396kritische Transaktionen 396Kunde

Geschäftspartner und Berechtigungen 94

Stammdatum 731Verkaufsprozess 145

kundeneigene Transaktion 807Kunden-Exit 599kurative Maßnahmen 43

L

Lagerort 108, 807Beschaffungsprozess 154Customizing 720

LaufbahnZugriffsrechte 342

Layoutprofil 495LDAP 438, 807LDAP-Verzeichnis 438, 444legale Normen 72, 114Leistungserbringer 571Leistungsverrechnung 156Lieferant 570, 573, 574, 586, 587

Beschaffungsprozess 151Geschäftspartner und

Berechtigungen 94Stammdaten 680

Lieferantenadministrator 571Lieferantenbeziehung 565Lieferantenqualifizierung 566Lieferplan 732Liefersperre im Verkaufsprozess 148Lieferung im Verkaufsprozess 147


836

Index

Lightweight Directory Access Protocol � LDAP

Linienorganisation 79, 807Organisationsmanagement 332

Linienvorgesetzter 84, 807Link, generischer � generischer LinkLinkgruppe 493Log Viewer 457Logging 456, 807logischer Link 489, 493, 496, 503,

505, 517, 520, 807logisches System 807

ZBV 350Logondaten 168Löschen personenbezogener

Daten 747

M

Manager 569Mandant 102, 807manueller Zahlungsausgang 700Marketingelement 517, 544Marketingmerkmal 543Massenpflege Berechtigungen 192,

203, 218, 600Maßnahmen

kurative 43präventive 43

Material 146, 807Materialart 721, 807Materialnummer 154Materialstamm 680, 720Matrixorganisation 807MaxAttention 407MDX 593Mehrlinienorganisation 77, 78Menü 505, 807Menüschalter im Customizing 287Metarollenhierarchie in SAP ID

Management 377Metarollenmodell 347Minimalprinzip 137

GoBS 123Missbrauch des Kennwortes 167Mitarbeiter 569


Mitarbeitergruppe in HCM-OM 466Mitarbeiterkreis in HCM-OM 466

Mitbestimmung 74, 129Mobile Client 487Monitoring 807

Datenschutz 134Multidimensional Expressions � MDXMuster 596

N

Navigationsleiste 489, 497Navigationsleistenprofil 492, 493,

495, 498, 518, 807Nebenbuchhaltung 145, 807neues Berechtigungskonzept im

Controlling 718Norm 808

Vorschlagswerte 259normativ 808normativer Rahmen

Organisation 118Regelkonformität 117

Notfallbenutzer 166, 396, 808Notfalluser-Management 63

O

Oberflächenberechtigung 487, 517Objects by Filter 552Objektkontext 554, 559Objektprivilegien 661Objekttyp 465, 551OLAP 653, 808OLAP-Verbindungen 625OLTP 653, 808OneOrder-Objekt 808Online Analytical Processing � OLAPOnline Transaction Processing

� OLTPOn-Premise Edition

SAP S/4HANA On-Premise Edition 669

Operational Contract Management 566

operativer Einkäufer 569operativer Kontrakt 566optionale Prüfung 808Ordner 620Ordnerberechtigung 624Ordnerfreigabe 342


837

Index

Organisation 808Ablauforganisation 71Aufbauorganisation 71, 77Begriff 71Einlinienorganisation 77institutioneller Begriff 71, 72, 117instrumenteller Begriff 71, 76Linienorganisation 71, 77Organisationsformen 71Projektorganisation 71Prozessmodell 72Rechenschaftspflichten 76Rechtsform 73Rechtsnormen 73Stelle 87zentrale Unterscheidungs-

merkmale 109Organisationsebene 101, 808

Auswertung der Nutzung 767Berechtigungen 101Customizing 681Definition in Bezug auf

Berechtigungen 102erstellen 315kundeneigene 101Stammdaten 680Zuordnung 682

Organisationsebenenpflege 193Organisationseinheit 508

HCM-OM 465ID Management 344

Organisationsmanagement 332, 472, 705, 808Auswertungsweg 333Benutzerdaten 344indirekte Rollenzuordnung 333Linienorganisation 332Metarolle 379Organisationseinheiten 332Person 332Planstelle 332SAP ID Management und SAP Access

Control 384SAP Identity Management 367Stelle 332ZBV 356

Organisationsmodell 508, 511, 512, 513, 514, 516, 535, 536, 537, 567, 568, 569, 575, 587

Organisationsschlüssel in HCM-OM 466

Organisationszweck 808Regelkonformität 117

organisatorische Differenzierung 808organisatorische Konzepte

in SAP ERP 93

P

Paket 309Parameter 170

auth/authorization_trace 265, 644auth/no_check_in_some_cases 250auth/rfc_authority_check 641login/ password_change_waittime

281login/ password_expiration_time 281login/ password_history_size 281login/accept_sso2_ticket 279login/failed_user_auto_unlock 279login/fails_to_session_end 279login/fails_to_user_lock 280login/min_password_diff 280login/min_password_digits 280login/min_password_letters 280login/min_password_lng 280login/min_password_lowercase 280login/min_password_specials 281login/min_password_uppercase 281login/password_downwards_

compatibility 281login/password_max_idle_initial 281login/password_max_idle_

productive 281ucon/rfc/active 639

Parameter CustomizingADD_COMPOSITE_ROLES 223ALL_USER_MENUS_OFF 288CLIENT_SET_FOR_ROLES 224COLL_READ_LEVEL_1 288CONDENSE_MENU 288CONDENSE_MENU_PFCG 288CUSTOMER_MENU_OFF 288DELETE_DOUBLE_TCODES 288GEN_PSW_MAX_DIGITS 282GEN_PSW_MAX_LENGTH 282GEN_PSW_MAX_LETTERS 282GEN_PSW_MAX_SPECIALS 282


838

Index

Parameter Customizing (Forts.)PERSDAT_TRANSPORT 223PROFILE_TRANSPORT 223SAP_MENU_OFF 288SGL_ROLES_TRANSPORT 223US_ASGM_TRANSPORT 223

Parameter SicherheitsrichtlinieCHECK_PASSWORD_BLACKLIST

284DISABLE_TICKET_LOGON 283MAX_FAILED_PASSWORD_

LOGON_ATTEMPTS 283MIN_PASSWORD_DIFFERENCE

283MIN_PASSWORD_DIGITS 283MIN_PASSWORD_LENGTH 283MIN_PASSWORD_LETTERS 283PASSWORD_CHANGE_INTERVAL

284SERVER_LOGON_PRIVILEGE 284

Parametertransaktionen 308, 808Partner Channel Management 550Partnerfunktion 533, 808Path 364People-Centric UI 487Permission 446, 447, 808Persistenzmanager 441, 809Person 809


ID Management 344Organisationsmanagement 332, 465

Personalbereich in HCM-OM 466Personalisierung 492, 587Personalnummer, Berechtigungs-

hauptschalter 470Personalrat 74

Datenschutz 125personenbezogene Daten 747PFCG-Rolle 179, 449, 452, 487, 493,

495, 496, 498, 500, 503, 505, 512, 514, 550, 567, 568, 574Ableitungskonzept 209Benutzerabgleich 215Expertenmodus zur Profil-

generierung 198Zuweisung 508

Plan-Driven Procurement � planungs-gesteuerte Beschaffung

Planstelle 508, 510, 512, 513, 575, 809HCM-OM 465ID Management 344Organisationsmanagement 332

planungsgesteuerte Beschaffung 566, 570

Planungsstatus in HCM-OM 466Planvariante in HCM-OM 465Portalberechtigung 567, 568Portalintegration 488Portalrolle 437, 573, 588, 809Position

Zugriffsrechte 342präventive Kontrolle 119, 427, 809präventive Maßnahmen 43, 809Primärkosten 156, 809Primärkostenart 706Prinzipale 619, 623Privilegien in SAP HANA 656, 660Privilegientypen

Repository-Privilegien 661Produkt 530, 532Profil 177, 388, 514

ZBV 349Profilanalyse 388Profilart 495Profilgenerator 388, 809Profilname 189Profilpflege 388Profilverwalter 736Profilzuordnung 172, 388Profit-Center 105, 710, 809Profit-Center-Hierarchie 97, 705Programm

Berechtigungsprüfung 394kundeneigenes 394

programmatische Berechtigung 451programmatische Berechtigungs-

prüfung 447Programmausführungs-

berechtigung 392Programmierrichtlinie 394Projektorganisation 77, 79Projektstrukturplan 99Protokollierung 809Protokollierungen von System-

zugriffen eines Benutzers 166Prozess 81, 809Prozesskontrolle 43, 809


839

Index

Prozessmodell 38Prozessorganisation 77Prüfkennzeichen 250Prüfung der rechnerischen

Richtigkeit 151Prüfung der sachlichen

Richtigkeit 151

Q

Query 306, 311, 391, 594, 809Questionnaire im SOS 414QuickView 391

R

Radierverbot 809Debugging 44

RBAC 51Begriffe 52, 55Component 52Constrained 61, 63Core 53, 54Hierarchical 57, 60Kernelemente 52Objects 52Operations 52Permission 54Permissions 53Restriktionen 64Roles 53Session 53Session_Roles 53Subordinate Role 58, 60Superior Role 58Übertragung auf BW 612Übertragung auf SAP ERP 54User 53User_Sessions 53

RBAC-Standard Rollenkonzept 51rechnerische Richtigkeit 809Rechnungslegungsgrundsätze 73Rechnungsprüfung 730

Beschaffungsprozess 151Rechnungssteller 571Rechtsnormen 73Rechtsquellen für das externes

Rechnungswesen 120redundanzfreies Menü 285

Referenzbeleg 732Referenzbenutzer 172, 809

ZBV 349Referenzrolle 212, 809Regel

externe 39interne 39

Regelkonformität 41, 114, 810Branche 118Compliance 40Datenschutzleitfaden 116Gebot 115ID Management 346internationale Normen 114IT-Grundschutzkatalog 116Kontrolle 40normativer Rahmen 117Organisation 40Rechtsform 115, 117rechtsgleiche Normen 115Schaden 41Sicherheitsleitfäden von SAP 116soziale Normen 114Stakeholder-Normen 114Standards 114Verbot 115Vertrag 118vertragliche Normen 114Vorschlagswerte 260Ziel 47

Regelwerk 419, 423Regelwerk der Organisation 39Remote Function Call � RFCRemote Function Module � RFMRemote Services für die Sicherheit

407remotefähige Funktionsbausteine 631Report

CRMD_UI_ROLE_ASSIGN 513, 514CRMD_UI_ROLE_PREPARE 504,

517CRMD_UI_ROLE_REPARE 507PFCG_ORGFIELD_CREATE (Profilge-

nerator:Neues Org.-Ebenen-Feld anlegen) 319

PFCG_ORGFIELD_ROLES 321PFCG_ORGFIELD_UPGRADE (Anpas-

sung nach Upgrade für neue Org.-Ebenen ausführen) 275


840

Index

Report (Forts.)PFCG_TIME_DEPENDENCY (Massen-

abgleich) 339RHAUTUPD_NEW (Abgleich Benut-

zerstamm) 339RSPARAM (Anzeige der SAP-Profil-

parameter) 278Report Painter 810Report Writer 810Reporting-Berechtigungen 609Repository-Privilegien 661, 663Requester 577RFC 165, 631, 742, 810

Berechtigungen 742Trusted 742Untrusted 742ZBV 351

RFC-Destinationen 632RFC-Statistiksätze 643RFC-Verbindungen 632RFM 631Risiko

aktivitätsbezogenes 41Definition 41Definition für Berechtigungen 43Funktionstrennung 43Grenzen der Erfassung 44Kosten der Erfassung 45Organisationsziel 41prozessuales 41strategisches 41

Risikomanagement 42Role Based Access Control

RBAC 52Role Based Access Control � RBACRolle 49, 176, 388, 810

abgeleitete 393ableiten 209Ableitungskonzept 209Anwendungen in entfernten

verbundenen Systemen 186Automatisierung 227Benutzerabgleich 215Berechtigungen ermitteln 227Berechtigungen, Ampel 193Berechtigungstrace 227betriebswirtschaftliche 50Definition durch Transaktionen 389Definiton 178Download 225

Rolle (Forts.)Einzelrolle 60, 181Expertenmodus zur Profil-

generierung 198generische Pflege 195HCM-OM 465Hierarchie 59Menü 184, 185Menü aus anderer Rolle 185Namenskonvention 179Organisationsebenen 193Pflegestatus von Berechtigungen 196,

208Profilgenerator 178Profilname 189Referenzrolle 212Sammelrolle 60, 181, 216SAP HANA 656, 664stellenbasierte Vergabe 90Systemtrace 232technische 50Trace 227Trace auswerten 232Transport 223Upgrade 272Upload 225Web-Dynpro-Anwendungen 186Web-Dynpro-Konfigurationen 186ZBV 349Zuordnung 170

Rollenadministrator 736Rollenhierarchie

allgemeine 59, 60limitierte 59, 60

Rollenimport 617Rollenkonfigurationsschlüssel 495,

810Rollenkonzept im RBAC 51Rollenmanager 810Rollenmenü 505Rollenpflege 389Rollentransport 223Route Mapping 364RSECADMIN (Analyseberechtigungen)

596RSECAUTH (Analyseberechtigungen

pflegen) 596


841

Index

S

SAAB 548SACF 633Sachkontenstammsatz 686Sachkonto

Stammdaten 680, 685sachliche Richtigkeit 810Safe Harbor Privacy Principles 810Sammelrolle 216, 516

Kontext Organisation 90Sammelrollen 620SAP Access Control 362, 419, 762,

785, 810Access Risk Analysis (ARA) 422, 799Benutzerverwaltung 358Benutzer-Workflow 431BRF+ 360, 361, 362Business Process 423Business Role Management (BRM)

422, 429, 802Detour 364Emergency Access Management (EAM)

422, 433, 803End User Personalization 361, 363Funktion 424Funktionstrennungskonflikt 423,

424HANA 659ID Management und Organisations-

management 384Initiator 361kompensierende Kontrolle 424, 426Kontrolleur 434kritische Aktion 423, 424kritische Berechtigungen 423, 424MSMP-Workflow 360Path 361, 364Regeln 426Regelwerk 419, 423Risiko 423Route Mapping 361, 364Routing 433SAP ID Management 382Segregation of Duties (SoD) 423Stage 361, 432Standardregelwerk 426Superuser-ID 434User Access Management (UAM)

348, 357, 422, 431, 813

SAP Access Control (Forts.)Verantwortlicher 435Vorschlagswerte 260Workflow 359ZBV 357

SAP Active Global Support 407SAP Business Suite 487SAP Business Suite on SAP HANA 650SAP BusinessObjects 615, 626

BI-Plattform 615CMC 616Dashboards 620Web Intelligence 620, 626

SAP BW 566, 589SAP CRM 487SAP Customer Relationship

Management � SAP CRMSAP DB Control Center 652SAP EarlyWatch Alert 103SAP EarlyWatch Alert � EWASAP End-to-End Solution Operations

Standard for Security � Secure Operations Standard

SAP Enterprise Portal 437, 441, 567, 568, 573, 574, 588

SAP Enterprise Support 407SAP ERP 566SAP Gateway 633

reginfo 634secinfo 634

SAP GUI 487, 488, 502, 511, 516SAP HANA 649

analytische Privilegien 661, 662, 666Anwendungsszenarien 650Applikationsprivilegien 661, 664Architektur 651Audit Logging 655Authentifizierung 654, 660Benutzer 656Benutzertypen 657Benutzerverwaltung 658DBMS 658HALM 654In-Memory 811In-Memory-Technologie 652Katalogobjekt 653Objekt 656Objekte Berechtigungswesen 656Objektprivilegien 661Owner-Konzept 653


842

Index

SAP HANA (Forts.)Passwort-Sicherheitsrichtlinien 660Privileg 656Privilegien 660Repository 653Repository-Objekte 653Repository-Objekte transportieren

654Repository-Privilegien 661, 663Restricted User 657Rolle 656, 664Rollenhierarchie 664SAP Identity Management 659Sicherheitsarchitektur 654, 655SSL-Verschlüsselung 655Standard User 657SYSTEM-Benutzer 658Systemprivilegien 661Transaktion SU01 658

SAP HANA Appliance 651SAP HANA Cockpit 652SAP HANA Datenbank 651, 811SAP HANA Live 650SAP HANA Persistenz 650, 811SAP HANA Realtime-Analysen 650,

811SAP HANA Security Guide 660SAP HANA Studio 651, 654SAP HANA View 650SAP HANA XS 652SAP Identity Management 348, 438

Genehmigungsprozess 381HANA-Anbindung 659Organisationsmanagement 384SAP Access Control 382Self-Services 381Vertretungsregelung 381

SAP Information Lifecycle Manage-ment (ILM) 750

SAP NetWeaver Application ServerSAP NetWeaver AS ABAP 567, 574

SAP NetWeaver Application Server ABAP � SAP NetWeaver AS ABAP

SAP NetWeaver Application Server Java � SAP NetWeaver AS Java

SAP NetWeaver AS ABAP 437SAP NetWeaver AS Java 437SAP S/4HANA 669SAP Security Baseline 416SAP Solution Manager 408, 785

SAP SRM 437, 565Berechtigungsvergabe 568Oberfläche 567

SAP Supplier Relationship Manage-ment � SAP SRM

SAP_ALL 75, 602SAP_CRM_UIU_FRAMEWORK 514,

525SAP_J2EE_ADMIN 452SAP_NEW 277SAP-Benutzerkonto

ID Management 342SAP-Best-Practices-Ansatz 771SAP-Best-Practices-Template

Rollen 772Rollenkatalog 773Rollenkonzept 771

SAP-EinführungTeilprojekt Berechtigungen 38

SAP-Fiori-Applikationen 669SAPJSF 444SapWorkDir-Verzeichnis 504Sarbanes-Oxley Act � SOXSatzung 73schaltbaren Berechtigungsprüfungs-

szenarien 633Schrankenprinzip 595Schriftformprinzip 35, 141, 811Schutzbedarfsanalyse 764Secure Network Communication 633Secure Network Communications

� SNCSecure Operations Map 408, 409Secure Operations Standard 408Security Audit Log 456Security Log 456Security Optimization Service � SOSSegregation of Duties � Funktions-

trennungSekundärkosten 156, 811Sekundärkostenart 706Self-Service 566, 569, 570, 574, 577

SAP ID Management 381Self-Service Procurement 566sensitive Daten 811

Datenschutz 127Service Procurement 566Service, externer � externer ServiceSession_Roles in RBAC 53Sicherheitskonzept 443, 445


843

Index

Single Sign-on � SSOSNC 169, 633SOS 409

Questionnaire 414Whitelist 414

SOX 811soziale Normen

Definition 117Regelkonformität 114

Sparte 108, 811Customizing 720Verkaufsprozess 146

Sperren personenbezogener Daten 747

Spezialmerkmale 594, 596SQL-Trace (Datenschutz) 134SRM-Geschäftsprozesse 568SRM-Geschäftsszenarien 565, 573SRM-Geschäftsvorgänge 574SRM-Server 574SRM-Standardrolle 565SSO 169, 279, 440, 626, 811SSO-Ticket 279staatlicher Zugriff auf Daten 115Stage 362Staging 593Stakeholder 76Stakeholder-Ansatz 39, 812Stakeholder-Normen

Definition 117Regelkonformität 114

Stammdaten 511, 530, 575, 584, 680Berechtigungskonzept 680Controlling 704

Stammdatenprüfung im Berechti-gungshauptschalter 470

Standardberechtigung im S_TCODE 197

Standardprinzip 140Standardrolle 525, 568, 571, 574Standards 812

Berechtigungen 387Standards und internationale

Normen 115Standardtransaktionen

Vorschlagswerte 259Startberechtigung

externer Service 176RFC-Funktionsbaustein 176Service mit Objektkatalogeintrag 176

Startberechtigung (Forts.)Web-Dynpro-Anwendung 176Web-Dynpro-Konfiguration 176

Startberechtigungsprüfung 175Startmenü 169Static Separation of Duty 61, 63Status

Berechtigungsobjekt 257gepflegt 197, 209, 258manuell 209, 257Standard 196, 208, 258verändert 257

Stelle 77, 87, 768, 812HCM-OM 465ID Management 344Organisationsmanagement 332

Stellenprinzip 138Strategic Sourcing 566strategische Bezugsquellenfindung

566strategischer Einkäufer 569strukturelle Berechtigungen 812

Berechtigungshauptschalter 470Organisationsmanagement 472organisatorische Differenzierung 474Risikoanalyse 478SAP Access Control 479

strukturelle Profile 349, 475, 812Subordinate Role 58Subtyp 465Suchseiten 491, 495Superior Role 58Superobjekttypen 551Supplier Qualification 566Supplier Self-Service 570, 574, 575,

586Switchable Authorization Check Fra-

mework 633Systembenutzer 444, 812Systemprivilegien 661Systemtrace 232, 265, 268, 546, 642Systemzugriff 343

T

TabelleAGR_1251 394AGR_DEFINE 394Berechtigungsadministration 403


844

Index

Tabelle (Forts.)CRMC_UI_COMP_IP 521, 524SSM_CUST 287TSTC 395USOBT 500USOBT_C 500USOBX 263USOBX_C 500USR10 388UST04 389

Tabellenberechtigung 391Tabellenzugriffsrecht 392technisches Berechtigungskonzept

812technisches Profil 495Teilaufgabe 39, 80, 86, 768, 812

Berechtigungskonzept 88Tochtersystem (ZBV) 351Toleranzzeitraum, Berechtigungs-

hauptschalter 470Trace 227, 262, 456, 812

Benutzertrace 264Berechtigungstrace 263Systemtrace 264

Trace-Datei 457Transaktion 812

Berechtigungspflege 328CRMC_UI_NBLINKS 493, 520CRMC_UI_PROFILE 496, 519DBCO 658Endbenutzer 396entfernen 258F-28 (Zahlungseingang buchen) 700F-53 (Zahlungsausgang buchen) 700FB60 (Kreditorenrechnung erfassen)

699FB70 (Debitorenrechnung erfassen)

699HR:OOAC (Berechtigungshauptschal-

ter) 470KA01 (Kostenart anlegen) 706KA02 (Kostenart ändern) 706KA06 (Kostenart sekundär: anlegen)

706KCHN5N (Standardhierarchie ändern)

712KE51 (Profit-Center anlegen) 712KE52 (Profit-Center ändern) 712Kreditorenpflege 294kritische 396

Transaktion (Forts.)KS01 (Kostenstelle anlegen) 707KS02 (Kostenstelle ändern) 707KSH1 (Kostenstellengruppe anlegen)

708LISTCUBE 593ME21N (Bestellung anlegen) 726ME22N (Bestellung ändern) 726ME23N (Bestellung anzeigen) 252,

726MIGO (Warenbewegung) 729MIR7 (Wareneingang vorerfassen)

730MIRO (Eingangsrechnung erfassen)

698, 730OKEON (Kostenstellenstandard-

hierarchie ändern) 707OKKP (Sicht Komponenten aktivieren/

Steuerungskennzeichen ändern) 711

PA30 (Personalstammdaten pflegen) 467

PA40 (Personalmaßnahme) 336PA40 (Pflege über Personal-

maßnahmen) 467PFCG (Pflege von Rollen) 179, 400PFCGMASSVAL 218PFUD 226PFUD (Abgleich Benutzerstamm)

339PPOCA_BBP 576PPOMA_BBP 567, 568, 576PPOMA_CRM 508PPOME (Organisation und Besetzung

ändern) 336RSECADMIN (Analyseberechtigungen)

596RSECAUTH (Analyseberechtigungen

pflegen) 596RSU01 (Benutzerzuordnung BW)

601RSUDO 604RZ10 (Pflege der Profilparameter)

278RZ11 (Pflege der Profilparameter)

264RZ11 (Profilparameter) 745S_ALR_87101219 392SA38 303


845

Index

Transaktion (Forts.)SA38 (Programmausführung) 319,

392, 396, 504, 513SAAB 548SCC4 (Mandantenverwaltung) 744SE13 (Speicher-Param. für Tabellen

pflegen) 745SE16 (Data Browser) 298, 392, 395,

521SE16N (Allgemeine Tabellenanzeige)

306SE17 (Allgemeine Tabellenanzeige)

306SE38 (ABAP Editor) 395SE54 (Generierung Tabellensicht)

302SE80 (Object Navigator) 236SE93 (Transaktionspflege) 308SM12 (Sperren anzeigen und löschen)

398SM13 (Verbuchungssätze adminis-

trieren) 398SM30 (Aufruf View-Pflege) 306SM35 (Batch-Input-Monitoring) 397ST01 546, 549START_REPORT 303SU01 658SU01 (Benutzerpflege) 167, 349,

511, 514, 573SU02 (Profile) 388SU20 (Pflege der Berechtigungs-

felder) 323SU21 (Pflege der Berechtigungs-

objekte) 325, 544, 580SU22 (Pflege der Zuordnung von

Berechtigungsobjekten) 502SU24 (Berechtigungsobjektprüfung

unter Transaktion) 502, 507SU24 (Pflege der Berechtigungsvor-

schlagswerte) 500SU25 (Upgrade-Tool für den Profil-

generator) 259, 272SU53 (Auswertung der Berechtigungs-

prüfung) 234, 547SUB% 303SUIM (Benutzerinformationssystem)

398, 547VF01 (Anlegen Faktura) 698VF01 (Faktura anlegen) 735VF02 (Ändern Faktura) 698

Transaktion (Forts.)VF02 (Faktura ändern) 735VK31 (Konditionen anlegen) 731VK32 (Konditionen ändern) 731VK33 (Konditionen anzeigen) 731VL01N (Lieferung anlegen) 734VL02N (Lieferung ändern) 734

Transaktionscode 812Transaktionsstarter 526Transportauftrag Vorschlagswerte

253True and Fair View 48, 704, 779, 812Trusted RFC 742

U

UAM 348, 357, 422, 431, 813Übersichtsseite 491, 495Überwachung im IKS 116UCON 632, 634

Auswertungsphase 636, 641Communication Assembly (CA) 635Endphase 637, 641Protokollierungsphase 640Protokollphase 636RFC-Basisszenario 637Rollenbau-Szenario 646Setup 637

UI-Komponente 488, 500, 503, 506, 517

UME 437, 447, 451, 813Architektur 440Benutzer 451Benutzeroberfläche 441Datenquelle 439, 443Import- und Exportfunktion 439Sicherheitseinstellung 439

UME-Aktion 446, 447, 451, 813UME-Funktionen 438UME-Gruppe 446, 448, 451, 456,

574, 813UME-Konfiguration 442, 454UME-Rolle 446, 451, 454, 455, 813Unified Connectivity � UCONunkritische Berechtigungen 135, 813Unterdrückung der Berechtigungs-

prüfung 250Unternehmensorganisation 98, 705,

813


846

Index

Unterordner 622Unterstellungsverhältnis 79Untrusted RFC 742Upgrade 813

Berechtigungen 259, 272Kosten 256Projekt 278Rolle 259, 272Teilprojekt Berechtigungen 38

User 813User Access Management � UAMUser Lifecycle Management 345, 813User Management Engine � UMEUser_Sessions in RBAC 53

V

Variablen 596, 599Veränderungshistorie in SAP ID

Management 368Verantwortungsbereich 813Verfahrensverzeichnis 130

Datenschutz 133Verfügbarkeitskontrolle 130Verkäufergruppe 537, 813

Customizing 719Verkaufsbelegart im Verkaufsprozess

147Verkaufsorganisation 108, 537, 813


Angebot 146Auftragserfassung 146Buchungskreis 146Debitor 145Faktura 148Konditionen 146Kunde 145Liefersperre 148Lieferung 147Sparte 146Verkaufsbelegart 147Verkaufsorganisation 146Vertriebsweg 146Zahlungseingang 149

Verrichtung 39, 80Berechtigungskonzept 88

Versand 732

Verteilung von Benutzerdaten in SAP Identity Management 374

vertragliche NormenDefinition 116Regelkonformität 114

VertragsverhältnisBerechtigungen 344

Vertretungsregelung in SAP ID Management 381

VertriebsauftragsartCustomizing 732Risiko 732

Vertriebsorganisation 542Vertriebsweg 108


Vieraugenprinzip 813asymmetrisches 693Benutzer- und Berechtigungs-

administration 784Debitor 146Debitorenbuchhaltung 693Kreditor 152symmetrisches 693

View 492, 501Vorgangsart 541, 581Vorschlagsnutzung 391Vorschlagswert 389, 391, 500, 502

normativer Nutzen 259Regelkonformität 260Standardtransaktionen 259Tabellen und ihre Relation 253Ziel 259

W

Wareneingang im Beschaffungsprozess 151, 154

Warenversender 571Warenzusteller 570Web Dynpro 441, 443Web Dynpro für ABAP 572Web Intelligence � SAP BusinessOb-

jectsWebservices 165Weitergabekontrolle 130Werk 107, 814

Customizing 719


847

Index

Workflow 814Benachrichtigungseinstellung 363

X

X-509 660

Z

Zahllauf 149, 151, 814Finanzwesen 702

Zahlungseingang im Verkaufsprozess 149

Zahlungsprogramm im Finanzwesen 702

ZBV 348, 814Definition 349logisches System 350Organisationsmanagement 356SAP Access Control 357Tochtersystem 351UAM 357, 358zentraler Pflegemandant 350

Zentrale Benutzerverwaltung � ZBVzentraler Pflegemandant (ZBV) 350Ziel-ID 520, 521, 524Zugangskontrolle 131Zugriffsberechtigung 621, 622

vordefinierte 623Zugriffskontrolle 131Zuordnungsblock 490, 491, 495, 814Zutrittskontrolle 130


Wir hoffen sehr, dass Ihnen diese Leseprobe gefallen hat. Sie dürfen sie gerne empfehlen und weitergeben, allerdings nur vollständig mit allen Seiten. Bitte beachten Sie, dass der Funktionsumfang dieser Leseprobe sowie ihre Darstel-lung von der E-Book-Fassung des vorgestellten Buches abweichen können. Diese Leseprobe ist in all ihren Teilen urheberrechtlich geschützt. Alle Nut-zungs- und Verwertungsrechte liegen beim Autor und beim Verlag.

Teilen Sie Ihre Leseerfahrung mit uns!

Volker Lehnert ist seit 2000 bei SAP in unterschiedlichen Positionen in den Bereichen Compliance und Sicherheit tätig.

Katharina Stelzner (geb. Bonitz) arbeitet seit 2006 als Technologiebera-terin für die SAP Deutschland AG.

Anna Otto arbeitet seit 2007 als GRC-Beraterin für die SAP Deutschland AG und war zwischenzeitlich ebenfalls als GRC-Beraterin für die SAP (Schweiz) AG tätig.

Dr. Peter John hat das neue Konzept der Analyseberechtigungen als Nachfolger der vorherigen Reportingberechtigungen in BW entworfen und entwickelt.

Volker Lehnert, Katharina Stelzner, Anna Otto, Peter John

SAP-Berechtigungswesen – Konzeption und Realisierung847 Seiten, gebunden, 3. Auflage 2016 79,90 Euro, ISBN 978-3-8362-3768-0

www.sap-press.de/3849

SAP-Wissen aus erster Hand.

https://www.rheinwerk-verlag.de/sap-berechtigungswesen_3849/?GPP=lpn

https://www.facebook.com/rheinwerkverlag

https://plus.google.com/118435207805510651040

http://twitter.com/rheinwerkverlag

Documents

SAP-Berechtigungswesen – Konzeption und Realisierung · SAP-Berechtigungswesen – Konzeption und Realisierung 847 Seiten, gebunden, 3. Auflage 2016 79,90 Euro, ISBN 978-3-8362-3768-0.sap-press.de/3849www