SAP Jobsuche bei DV-Treff
energy
vor 9 Jahre
Es gibt z. B. den Report RSUSR008_009_NEW mit dem man kritische Berechtigungen auswerten kann.

Dazu muss man diese aber vorher definiert haben, welche das sind und vor allem die Kombination.

Hat jemand Erfahrung damit und wie geht man am besten vor?

Gibt es so eine Art Vorlagelisten für kritische Berechtigungen die man dann nur noch entsprechend erweitern müsste?

Vielen Dank.

Jotanovic
vor 9 Jahre
Wenn ich hierzu als Mitarbeiter eines kommerziellen Anbieters etwas beitragen darf, wir haben ein Produkt in dem ca. 500 fertige Prüfroutinen/Analysen hinterlegt sind, unterteilt nach SAP-Modul (z.B. Basis i.V.m. SD) und Risikoklasse (1-10). Die Prüfmakros haben bereits die kritischen Berechtigungsobjekte und Transaktionscodes hinterlegt.

Die Firma heißt Audion und das Produkt SoD-Risk. Wen es interessiert kann/darf mich gerne kontaktieren. Um an dieser Stelle nicht zu werblich/kommerziell zu sein spare ich hier an Kontaktdaten, das soll ja ein fachliches Forum sein und bleiben. 🙂

waltersen
vor 9 Jahre
Hallo,

wer was darf ist zuerst doch einmal ein fachliches Problem. Es wird in Deinem Unternehmen ja sowas wie interne Richtlinien gegeben (4-Augen Prinzip, grenzen etc., unabhängig von irgendwelchen EDV-Lösungen).

Diese Fachlichkeit muss sich im SAP wiederfinden. Die aus dem Berechtigungskonzept gebauten Rollen (+ deren Profile) sollten eigentlich keine kritischen Berechtigungen aufweisen (oder es wurde explizit erlaubt).

Und falls die Rollen ordnungsgemäß gewartet werden, sollte das auch so bleiben.

Den Bedarf zur Überprüfung (ob mit SAP Bordmittel oder SoD addon von Drittanbietern) sehe ich in zwei Fällen:

1.) Die Rollen selber werden oft erweitert (ich brauch noch dies und jenes, es erfolgt keine kritische Prüfung).

2.) Die Rechte aus Rollen addieren sich ja bekanntlich. Wenn ich viele Rollen habe, kann ich eventuell etwas, was ich mit den einzelnen Rollen allein nicht kann.

Also: Ersteinmal gucken, ob mein Berechtigungskonzept das wirkliche Leben (interne Anweisungen, Gesetze, Compliance) wiederspiegelt.

Dann: Mache ich aus den oben genannten Punkten Stichproben / Überprüfungen: Wann und womit?

Abgesehen davon gehen einige Sachen technischer Art grundsätzlich nicht (änderndes Debugging in der Produktion z. B., aber sehr wohl in der Entwicklung).

Gruß