Entwicklung
Nach Benutzer- und Passwortsperren suchen
Ebenso verhält es sich mit dem Konzept der Dateneigentümerschaft. Hierbei übernimmt eine Person die Verantwortung für die Daten eines bestimmten Geltungsbereichs (z. B. SAP-System X oder Systemlandschaft Y) und achtet auf diese, als seien sie der eigene, kostbare Besitz. Er beantwortet gewissenhaft Fragen wie „Dürfen Daten verändert / eingesehen / gelöscht werden?“, „Wie wird bei einem Datenabfluss gehandelt?“, „Wer darf wie auf die Daten zugreifen und was mit ihnen machen?“.
Das Ziel eines Berechtigungskonzepts besteht darin, jeden User nach einer vorher definierten Regel individuell für seine Aufgaben mit den entsprechenden Berechtigungen im System zu versehen. Hierfür muss ein Berechtigungskonzept als Fundament für eine effiziente Berechtigungsvergabe definiert werden. So erhält jeder Mitarbeiter durch die rollenspezifische Vergabe von Berechtigungen entsprechend seiner Aufgaben System-Zugriff. Damit können einerseits sensible Informationen geschützt und andererseits Schäden durch falsche Verwendung von Daten verhindert werden.
Bereits enthaltene Berechtigungsobjekte
Definieren Sie kritische Berechtigungskombinationen, die in den überwachten Systemen nicht vergeben sein dürfen. Über eine Whitelist können Sie festlegen, welche Benutzer (z. B. Notfallbenutzer) Sie von der Auswertung ausschließen wollen.
Sie sollten alle Belegarten in denselben Zeitintervallen archivieren; dies gilt besonders für die Archivobjekte US_USER und US_PASS. Üblich ist es, die Änderungsbelege zwischen zwölf und achtzehn Monate aufzubewahren, da dies den Aufbewahrungsfristen für die Revision entspricht. Wollen Sie aus Performancegründen in kürzeren Intervallen archivieren, sollten Sie immer alle Archivobjekte zeitgleich archivieren und die Archivobjektklassen PFCG und IDENTITY in separaten Archiven ablegen. In diesem Fall ist es unter Umständen sinnvoll, die archivierten Änderungsbelege in eine Schattendatenbank zurückzuladen, um sie zur schnelleren Auswertung durch die Revision zur Verfügung zu stellen. Dazu können Sie die folgenden Reports nutzen: RSUSR_LOAD_FROM_ARCH_PROF_AUTH / RSUSR_LOAD_FROM_ARCHIVE. Mit dem Archivobjekt BC_DBLOGS können Sie zusätzlich die Tabellenänderungsprotokolle archivieren.
Berechtigungen können auch über "Shortcut for SAP systems" zugewiesen werden.
Vor dem Aktivsetzen muss daher sichergestellt sein, dass alle betroffenen Benutzer in den ihnen zugeordneten Berechtigungsprofilen über die notwendigen Werte in den Berechtigungsfeldern von S_START verfügen.
In SAP HANA ist es sowohl möglich, eine Rolle mehreren Rollen als auch mehrere Rollen einer Rolle zuzuordnen.