SAP Career Guide - A beginner’s manual on SAP careers for students and professionals

I myself have 14 years of experience in various modules. The book is sensationally written. Great examples, excellent integration aspects, one of the best non-fiction books I have ever read.

D. Filler

Schnelleinstieg in SAP GRC – Access Control

Korruption, Verluste oder Datendiebstahl lassen sich häufig auf ein mangelhaftes Berechtigungsmanagement im Unternehmen zurückführen. Als wichtiger Bestandteil der SAP-Lösung für Governance, Risk und Compliance (GRC) dient SAP Access Control der Erkennung...

Reading sample
Learn for free for 7 days now

Table of content

  • Vorwort
  • 1 Risiken und rechtliche Grundlagen im Berechtigungsmanagement
  • 2 Vorstellung der GRC-Suite von SAP
  • 3 ARA – das Herzstück des GRC
  • 4 BRM – konfliktfreie Rollen als Voraussetzung für ein funktionierendes Berechtigungsmanagement
  • 5 ARM – Benutzermanagementprozesse mit integierter Berechtigungsprüfung
  • 6 EAM – Zugriff auf das System mit speziellen kritischen Rechten
  • 7 Verantwortlichkeiten im Umfeld von SAP Access Control
  • 8 Fazit
  • A Anhang

More Information

Author:

Martin Metz, Sebastian Mayer

Category:

Security & Identity Management

Language:

Deutsch

Reading sample

2.1   Kurzvorstellung der SAP-Rollen- und Profilstruktur

Programme, Services, Informationen und Tabellen werden in SAP mittels Berechtigungen vor unerlaubtem Zugriff geschützt. Endanwender benötigen daher in SAP für ihre tägliche Arbeit passende Befugnisse in Form von Transaktionen und adäquat ausgeprägten Berechtigungsobjekten. Im SAP-Berechtigungswesen wird zur Verwaltung von Berechtigungen grundsätzlich zwischen den folgenden Objekttypen unterschieden:

  • Berechtigungsprofil (kurz: Profil),
    • <li>Einzelrolle,</li>

<li>Sammelrolle,</li>

<li>abgeleitete Rolle.</li>

Berechtigungen werden in SAP mittels sogenannter Berechtigungsprofile gebündelt. Soll ein Endanwender Zugriff auf bestimmte Informationen oder Programme erhalten, ist es erforderlich, seinem Benutzer(konto) Berechtigungsprofile mit den notwendigen Berechtigungen zuzuweisen.

Unterscheidung zwischen Anwender und Benutzer

<p class="BoxTipText"><img alt="Tip" class="BoxImage" height="90" src="%%ATTACHMENT:109876%%" width="90">Ein (End-)Anwender ist eine Person bzw. ein Mitarbeiter Ihres Unternehmens, der ein IT-System nutzt. Ein Benutzer(konto) hingegen ist ein technischer Account auf dem IT-System, der es Mitarbeitern ermöglicht, auf ein gewünschtes IT-System zuzugreifen.</p>

Zur einfachen Verwaltung von Berechtigungsprofilen wurde seitens der SAP der Profilgenerator eingeführt, den Sie mittels der Transaktion PFCG aufrufen können. Im Profilgenerator legen Sie sog. Rollen an, verwalten diese, definieren deren Attribute und ordnen ihnen Berechtigungen zu. Rollen ermöglichen die automatische Generierung eines Profils. Auch diese können Sie einem Benutzerkonto in SAP unmittelbar zuweisen. Damit einhergehend wird ihm jedoch immer automatisch auch das entsprechende, einer Rolle zugehörige Berechtigungsprofil zugeordnet.

Wie zuvor aufgelistet, gibt es drei unterschiedliche Arten von Rollen. In einer Einzelrolle sind, vereinfacht dargestellt, verschiedene Transaktionen und Berechtigungsobjekte enthalten, die Anwender für den Zugriff auf bspw. Programme oder Informationen benötigen. Sammelrollen wiederum ermöglichen Ihnen die Bündelung von Einzelrollen. Dies geschieht bspw. zur Verringerung des Pflegeaufwands bei der Benutzerverwaltung. Hätten Sie ausschließlich Einzelrollen im Einsatz, müssten Sie in SAP stets alle von einem Anwender benötigten Einzelrollen manuell zuordnen. In Sammelrollen fassen Sie fachlich verbundene Einzelrollen zusammen und ordnen dem Benutzer lediglich die übergeordnete Sammelrolle zu. Abgeleitete Rollen entstehen, indem Sie bestimmte, in einer Einzelrolle nicht näher definierte Organisationswerte wie bspw. Buchungskreise (in der SAP-Terminologie BUKRS) im Rahmen der Rollenableitung ausprägen. Einzelrollen, die in diesem Rahmen als Vorlage dienen, werden häufig auch als Masterrollen oder Stammrollen bezeichnet. Abgeleitete Rollen werden automatisch vom System inkl. der jeweiligen Organisationswerte erzeugt und gehören technisch gesehen ebenfalls zu den Einzelrollen. In Abbildung 2.1 veranschaulichen wir Ihnen nochmals die Funktionsweise der Rollenableitung.

GRC

Abbildung 2.1: Rollenableitung in SAP

Neben der Nutzung der über die PFCG automatisch aus Rollen generierten Profile können Sie nach wie vor manuelle Profile mittels der Transaktion SU02 anlegen und verwalten sowie diese Benutzerkonten zuordnen. Manuelle Profile werden mittlerweile jedoch nur noch selten eingesetzt, sodass wir diesen keine weitere Aufmerksamkeit schenken.

In Abbildung 2.2 stellen wir das Zusammenwirken von Rollen, Profilen und Berechtigungen zur Verdeutlichung grafisch dar.

GRC

Abbildung 2.2: Zusammenwirken von Rollen, Profilen und Berechtigungen

All content - Learn for 7 days now, free of charge and with no obligation.

7 days of free and unlimited access to all learning content1 und den Espresso Tutorials SAP-Copiloten Espressi.

1
Enter mail
2
Confirm mail
3
Learn 7 days

1. You can unsubscribe from the Espresso Tutorials newsletter at any time by clicking on Unsubscribe in an email from the newsletter.

Already have an account? Log in now.

1 You will have access to all learning content included in the Silver subscription. Certificates are part of the Gold subscription. Online training courses are NOT part of the Digital subscription.