Wie Sie die SAP Fiori Benutzerverwaltung sicher gestalten: On-Premises vs. Cloud
SAP Benutzerverwaltung und Identity Management in ABAP-Systemen
Technische SAP-Benutzer, die mit weitreichenden Berechtigungen wie SAP_ALL ausgestattet sind, stellen ein erhöhtes Sicherheitsrisiko dar. Die Gefahr, dass durch Sicherheitslücken Schnittstellen gefährdet und Prozesse lahmgelegt werden, ist groß. Daher gerät die Berechtigungsverwaltung auch zunehmend ins Visier der Wirtschaftsprüfer. So stand einer unserer Kunden – ein Unternehmen aus dem Energiesektor – erst kürzlich vor der Herausforderung, die Berechtigungen seiner technischen Benutzer (Batch-Verarbeitung / RFC-Schnittstellen) einzuschränken.
Die folgende Abbildung zeigt die transparente Auswertung von SAP User Licenses durch samQ gemäß der verwendeten SAP-Funktionalität. Diese Nutzungsdaten werden mit Hilfe einer Transaktionsdatenbank ausgewertet. Diese Datenbank definiert, welche Lizenzen für jede in SAP ausgeführte Transaktion benötigt werden. So kann das Tool für jeden SAP-Benutzer den optimalen Lizenztyp ermitteln. Diese Auswertung der Transaktionen darf jedoch nicht nur einmal erfolgen, sondern muss immer wieder durchgeführt werden, da sonst nur eine Momentaufnahme entsteht. Da sich sowohl die Arbeitsumgebung (z. B. Verwendung eines neuen SAP-Programms) als auch die Aufgaben des Benutzers ständig ändern, muss der Lizenzbestand dynamisch angepasst werden. Das Tool muss in der Lage sein, neue Transaktionen zu erkennen und hinsichtlich des richtigen Lizenztyps zu bewerten. Ebenso muss das Programm in der Lage sein zu erkennen, wenn ein Benutzer seine SAP License nicht in vollem Umfang nutzt oder gegen die Lizenzbedingungen verstößt. In jedem Fall muss das Tool in der Lage sein, jedem SAP-Benutzer automatisch, ohne manuellen Eingriff, den passenden Lizenztyp zu vergeben und bei Bedarf zu ändern.
SAP FIORI: Passwort ändern
Die Änderungen, die Sie an Benutzerstammsätzen vornehmen, werden erst wirksam, wenn sich der Benutzer das nächste Mal am System anmeldet. Dies gilt auch für Benutzer, die zum Zeitpunkt der Änderung bereits angemeldet sind.
Die Erstellung von 9 vordefinierten Dokumenttypen muss lizenziert werden, wenn diese durch externe (Nicht-SAP) Anwendungen initiiert werden. Mit diesem Lizenzierungsmodell werden alle weiteren Aktivitäten wie Daten-Updates, Informationsaustausch oder Datenlöschung in SAP kostenlos.
Tools wie z.B. "Shortcut for SAP Systems" sind bei der Benutzerverwaltung extrem nützlich.
Manager Self Service User (MSS) - umfasst u. a. die Beantragung von administrativen Änderungen mit Prozessen und Formularen für Human Capital Management (HCM), die Erstellung von Anforderungen und die Beurteilung von Bewerbern, die Durchführung von Talentbeurteilungen und Mitarbeiterbewertungen, die Planung und Genehmigung von Vergütungen, die Einsichtnahme in Gesamtbudgets, die Organisation von Projektmanagementaufgaben, die Durchführung von Terminplanungsaufgaben, die Genehmigung von Reiseanträgen und -kosten sowie die Durchführung von Personal- und Beschaffungsaufgaben des Managers für die ihm direkt unterstehenden Mitarbeiter oder den Bereich/die Abteilung des Managers.
Meist können die Aktivitäten schwierig nachvollzogen werden, wodurch die meisten Kunden sich für eine Lizenzierung nach Berechtigung entscheiden, wodurch eine Überlizenzierung erfolgen kann.