wir sind aktuell dabei, das in die Jahre gekommene Berechtigungskonzept zu überprüfen. Hierbei ist die Frage aufgetaucht, mit welchen Berechtigungen externe Berater/Programmierer ausgestattet werden müssen.

Aktuell haben diese auf Produktivebene sehr weitreichende Zugriffsmöglichkeiten, was schon einem "SAP-ALL" gleich kommt. Dies wurde damit begründet, dass der Berater im Notfall ja auch das Problem nachstellen können muss und auch nicht so viele Lizenzen vorhanden wären, um nach Modulen zu splitten.

Meiner Meinung nach ist das doch ein bisschen viel, immerhin gibt es ja auch einen Notfalluser.

Wie wird dies denn bei Euch gehandhabt? Nur Leseberechtigung auf Produktivebene? Welche Rechte haben Externe in E bzw. Q/K-Systemen (auch im Hinblick auf die DSGVO)?

Vielen Dank für Euer Feedback, ich freue mich über jede Empfehlung.

Utah

also bei uns gibt es auch einige Berater mit sehr weitläufigen Berechtigungen.

Aber natürlich die schöne Lösung, wären nur Lebensberechtigungen.

Dafür muss halt gewährleistet sein, dass das System darunter möglichst immer auf dem gleichen Stand ist.

Gibt es bei euch regelmäßige Systemkopien ?

Gruß

saplerAT

In aller Regel reicht ja ein Firefighter User aus, der strikt von euch verwaltet wird und SAP All hat.

Dann kann in echten Notfällen auch wirklich sofort agiert werden.

Für alle anderen reichen doch lesende User im Produktivsystem.

Wobei man hierbei nicht übersehen darf, dass in der Praxis ja regelmäßig Systemkopien gemcht werden und die Daten in Testsystemen vergleichbar problematisch sind, nur auf das Produktivsystem zu schauen bei solchen Themen, ist daher nur die halbe Wahrheit. 😉

https://rz10.de/sap-berechtigungstools/firefighter-software-fuer-sap/ 

Wir haben eine drei-Systemlandschaft, das Produktivsystem wird ca. einmal jährlich kopiert.

Das Konzept wurde vor meiner Zeit erstellt, und enthält einige Schwachstellen, u. a. die weitreichenden Rechte von externen. Imho kann man, wenn es tatsächlich brennt, den Notfalluser verwenden, aber nicht wie aktuell die Berechtigung generell für alles vergeben.

Haben bei Euch die Berateruser eine Leseberechtigung für alle Module, oder trennt Ihr dies nochmals?

Gruß, Utah

...

Haben bei Euch die Berateruser eine Leseberechtigung für alle Module, oder trennt Ihr dies nochmals?...

Die DSGVO verlangt unter anderem das Minimalprinzip und Zweckbindung, weshalb die "offizielle" Antwort sein muss, halte dich an die DSGVO.

Die Frage ist also wie exzessiv bei euch die DSGVO durchgesetzt und "ausgelebt" wird.

Bei Kunden bei denen das so ist kann ich nur empfehlen, lasst nur einzelfallbezogen Externe auf euer Produktivsystem, andernfalls könnt ihr euch mit der Compliance Abteilung ein Büro teilen um nicht nonstop Besprechungsräume zu blockieren. 🤬

"Offiziell" dürfte man auch bei einem Qualitätssicherungssystem (QAS) nicht anders Verfahren wenn hier "reale Daten" z.B. durch Manadanten-/Systemkopie des Produktivsystems (PRD) enthalten sind.

Aufgrund der "Systemeigenheit" muss jeder selbst wissen ob er das so strikt einhalten möchte bei einem QAS.

den DSAG Handlungsempfehlung Prüf-Leitfaden ERP 6.0 durch!

Diesen habe ich in unserem Unternehmen mit viel Arbeit umgesetzt.

Dazu bin ich neben der normalen Tätigkeit, die fine tuning settings, immer noch dabei, sie so umzustetzen. Dies ist ein Standardwerk.

https://www.dsag.de/leitfaeden 😎