SAP-Berechtigungswesen

Über dieses Buch Dieses Buch vermittelt Ihnen das Rüstzeug für ein Berechtigungskonzept, das den strengsten Anforderungen standhält! Von der Konzeption bis zur Umsetzung im SAP-System finden Sie alles, was Sie dazu brauchen. Sie lernen die Berechtigungspflege in SAP ERP und alle für Sie wichtigen Werkzeuge wie ID Management, ZBV, Access Control und UME kennen. Erfahren Sie, welche Besonderheiten Sie im Hinblick auf HCM, CRM, SRM, BW/BO und HANA beachten müssen. Neu in der 3. Auflage: RFC-Sicherheit mit UCON, das Switchable Authorization Check Framework (SACF), die neue Rollenpflege in SAP ERP und vieles mehr. Aus dem Inhalt:- Rechtsgrundlagen und Organisation- Berechtigungspflege im SAP-System (Transaktion PFCG)- Berechtigungsobjekte, Rollen und Profile- Berechtigungstrace (Transaktion ST01)- Zentrale Benutzerverwaltung (ZBV)- Tools und Reports zur Berechtigungspflege- SAP Access Control- SAP Identity Management- User Management Engine (UME)- Berechtigungen in SAP ERP, HCM, CRM, SRM, BW/BusinessObjects, HANA und S/4HANA- RFC-Sicherheit mit Unified Connectivity (UCON)- Switchable Authorization Check Framework (SACF)

Volker Lehnert ist seit 2000 bei SAP in unterschiedlichen Positionen in den Bereichen Compliance und Sicherheit tätig. In seiner Rolle als Product Owner Datenschutz für die SAP Business Suite und später auch SAP S/4HANA definierte er die Inhalte und den Umfang der Datenschutzfunktionen in dieser Software. Seit 2018 ist er als Senior Director Datenschutz überwiegend für den Datenschutz in SAP S/4HANA zuständig. In seiner langjährigen Beratungstätigkeit hat er Projekte rund um Complianceanforderungen vorangetrieben. Um den gesetzlichen Anforderungen gerecht zu werden, führt Volker Lehnert Sicherheitskonzepte immer wieder auf die eigentlichen Kernfragen zurück: betriebswirtschaftliche Funktionen, organisatorische Konzepte und legale Anforderungen.Volker Lehnert ist (zusammen mit Anna Otto) Co-Autor des Datenschutzleitfadens der DSAG und (zusammen mit Anna Otto, Katharina Stelzner und Peter John) Autor des Buches SAP-Berechtigungswesen, das mittlerweile in dritter Auflage bei SAP PRESS erschienen ist. Zusammen mit Anna Otto und Katharina Stelzner hat er auch das Buch Datenschutz in SAP-Systemen bei SAP PRESS veröffentlicht. Darüber hinaus publiziert er Fachartikel zum Datenschutz.

Vorwort ... 21 Danksagung ... 23 1. Einleitung ... 27 TEIL I Betriebswirtschaftliche Konzeption ... 33 2. Einführung und Begriffsdefinition ... 35 2.1 ... Methodische Überlegungen ... 36 2.2 ... Compliance ist Regelkonformität ... 40 2.3 ... Risiko ... 41 2.4 ... Corporate Governance ... 45 2.5 ... Technische vs. betriebswirtschaftliche Bedeutung des Berechtigungskonzepts ... 47 2.6 ... Technische vs. betriebswirtschaftliche Rolle ... 49 2.7 ... Beschreibung von Berechtigungskonzepten ... 51 3. Organisation und Berechtigungen ... 67 3.1 ... Organisatorische Differenzierung am Beispiel ... 69 3.2 ... Begriff der Organisation ... 71 3.3 ... Institutioneller Organisationsbegriff ... 72 3.4 ... Instrumenteller Organisationsbegriff ... 76 3.5 ... Folgerungen aus der Organisationsbetrachtung ... 90 3.6 ... Die Grenzen der Organisation und das Internet der Dinge ... 91 3.7 ... Sichten der Aufbauorganisation in SAP-Systemen ... 92 3.8 ... Organisationsebenen und -strukturen in der SAP Business Suite ... 101 3.9 ... Hinweise zur Methodik im Projekt ... 110 3.10 ... Fazit ... 112 4. Rechtlicher Rahmen -- normativer Rahmen ... 113 4.1 ... Interne und externe Regelungsgrundlagen ... 114 4.2 ... Internes Kontrollsystem ... 118 4.3 ... Rechtsquellen des externen Rechnungswesens ... 120 4.4 ... Datenschutzrecht ... 124 4.5 ... Allgemeine Anforderungen an ein Berechtigungskonzept ... 135 4.6 ... Fazit ... 142 5. Berechtigungen in der Prozesssicht ... 143 5.1 ... Prozessübersicht ... 143 5.2 ... Der Verkaufsprozess ... 145 5.3 ... Der Beschaffungsprozess ... 151 5.4 ... Unterstützungsprozesse ... 155 5.5 ... Maßgaben für die Funktionstrennung ... 158 5.6 ... Fazit ... 160 TEIL II Werkzeuge und Berechtigungspflege im SAP-System ... 161 6. Technische Grundlagen der Berechtigungspflege ... 163 6.1 ... Benutzer ... 163 6.2 ... Berechtigungen ... 173 6.3 ... Rollen und Profile ... 176 6.4 ... Transfer von Rollen ... 222 6.5 ... Benutzerabgleich ... 225 6.6 ... Vom Trace zur Rolle ... 227 6.7 ... Weitere Auswertungen von Berechtigungsprüfungen ... 234 6.8 ... Fazit ... 239 7. Systemeinstellungen und Customizing ... 241 7.1 ... Pflege und Nutzung der Vorschläge für den Profilgenerator ... 242 7.2 ... Traces ... 262 7.3 ... Upgrade-Nacharbeiten von Berechtigungen ... 271 7.4 ... Parameter für Kennwortregeln ... 278 7.5 ... Menükonzept ... 284 7.6 ... Berechtigungsgruppen ... 290 7.7 ... Parameter- und Query-Transaktionen ... 305 7.8 ... Anhebung eines Berechtigungsfeldes zur Organisationsebene ... 315 7.9 ... Berechtigungsfelder und -objekte anlegen ... 323 7.10 ... Weitere Transaktionen der Berechtigungsadministration ... 327 7.11 ... Fazit ... 329 8. Rollenzuordnung über das Organisationsmanagement ... 331 8.1 ... Grundkonzept des SAP-ERP-HCM-Organisationsmanagements ... 332 8.2 ... Fachliche Voraussetzungen ... 335 8.3 ... Technische Umsetzung ... 335 8.4 ... Konzeptionelle Besonderheit ... 339 8.5 ... Fazit ... 340 9. Zentrales Management von Benutzern und Berechtigungen ... 341 9.1 ... Grundlagen ... 342 9.2 ... Zentrale Benutzerverwaltung ... 348 9.3 ... SAP Access Control User Access Management ... 358 9.4 ... SAP Identity Management ... 366 9.5 ... Compliant Identity Management ... 383 9.6 ... Fazit ... 385 10. Berechtigungen: Standards und Analyse ... 387 10.1 ... Standards und ihre Analyse ... 387 10.2 ... Kritische Transaktionen und Objekte ... 396 10.3 ... Allgemeine Auswertungen technischer Standards ... 398 10.4 ... AGS Security Services ... 406 10.5 ... Fazit ... 418 11. SAP Access Control ... 419 11.1 ... Grundlagen ... 419 11.2 ... Access Risk Analysis ... 423 11.3 ... Business Role Management ... 429 11.4 ... User Access Management ... 431 11.5 ... Emergency Access Management ... 433 11.6 ... Fazit ... 436 12. User Management Engine ... 437 12.1 ... Überblick über die UME ... 438 12.2 ... Berechtigungskonzept von SAP NetWeaver AS Java ... 446 12.3 ... Benutzer- und Rollenadministration mit der UME ... 451 12.4 ... Fazit ... 458 TEIL III Berechtigungen in spezifischen SAP-Lösungen ... 459 13. Berechtigungen in SAP ERP HCM ... 461 13.1 ... Grundlagen ... 461 13.2 ... Besondere Anforderungen von SAP ERP HCM ... 462 13.3 ... Berechtigungen und Rollen ... 464 13.4 ... Berechtigungshauptschalter ... 470 13.5 ... Organisationsmanagement und indirekte Rollenzuordnung ... 472 13.6 ... Strukturelle Berechtigungen ... 474 13.7 ... Kontextsensitive Berechtigungen ... 479 13.8 ... Zeitabhängiges Sperren personenbezogener Daten ... 481 13.9 ... Fazit ... 486 14. Berechtigungen in SAP CRM ... 487 14.1 ... Grundlagen ... 488 14.2 ... Abhängigkeiten zwischen der Benutzerrolle und PFCG-Rollen ... 498 14.3 ... Erstellen von PFCG-Rollen abhängig von Benutzerrollen ... 500 14.4 ... Zuweisen von Benutzerrollen und PFCG-Rollen ... 508 14.5 ... Beispiele für Berechtigungen in SAP CRM ... 517 14.6 ... Fehlersuche im CRM Web Client ... 546 14.7 ... Access Control Engine ... 549 14.8 ... Fazit ... 563 15. Berechtigungen in SAP SRM ... 565 15.1 ... Grundlagen ... 565 15.2 ... Berechtigungsvergabe in SAP SRM ... 568 15.3 ... Fazit ... 588 16. Berechtigungen in SAP BW ... 589 16.1 ... OLTP-Berechtigungen ... 590 16.2 ... Analyseberechtigungen ... 593 16.3 ... Modellierung von Berechtigungen in SAP BW ... 610 16.4 ... RBAC-Modell ... 612 16.5 ... Fazit ... 614 17. Berechtigungen in der SAP-BusinessObjects-Business-Intelligence-Plattform 4.x ... 615 17.1 ... Berechtigungskonzept ... 616 17.2 ... Interaktion mit SAP BW ... 624 17.3 ... Fazit ... 628 18. RFC-Sicherheit mittels Unified Connectivity ... 631 18.1 ... RFC-Sicherheit im Überblick ... 632 18.2 ... Das Konzept von Unified Connectivity ... 634 18.3 ... UCON einrichten und betreiben ... 637 18.4 ... Zusammenspiel von UCON und Berechtigungsprüfungen auf Funktionsbausteine ... 641 18.5 ... Fazit ... 648 19. Berechtigungen in SAP HANA ... 649 19.1 ... Anwendungsszenarien von SAP HANA ... 650 19.2 ... Architektur von SAP HANA ... 651 19.3 ... Benutzerverwaltung in SAP HANA ... 657 19.4 ... Berechtigungen in SAP HANA ... 660 19.5 ... Fazit ... 667 20. Berechtigungen in SAP S/4HANA ... 669 20.1 ... Überblick ... 669 20.2 ... Fiori-Anwendungsrollen anlegen ... 670 20.3 ... Kontinuität im Benutzermanagement ... 677 20.4 ... Fazit ... 677 21. SAP Business Suite: Prozesse und Einstellungen ... 679 21.1 ... Grundlagen ... 680 21.2 ... Berechtigungen im Finanzwesen ... 682 21.3 ... Berechtigungen im Controlling ... 704 21.4 ... Berechtigungen in der Logistik (allgemein) ... 718 21.5 ... Berechtigungen im Einkauf ... 724 21.6 ... Berechtigungen im Vertrieb ... 731 21.7 ... Berechtigungen in technischen Prozessen ... 735 21.8 ... Vereinfachtes Sperren und Löschen personenbezogener Daten in der SAP Business Suite ... 747 21.9 ... Fazit ... 757 22. Konzepte und Vorgehen im Projekt ... 759 22.1 ... Berechtigungskonzept im Projekt ... 760 22.2 ... Vorgehensmodell ... 762 22.3 ... SAP-Best-Practices-Template-Rollenkonzept ... 771 22.4 ... Inhalte eines Berechtigungskonzepts ... 778 22.5 ... Schritte zum Berechtigungskonzept ... 785 22.6 ... Fazit ... 792 Anhang ... 793 A ... Abkürzungsverzeichnis ... 795 B ... Glossar ... 799 C ... Literaturverzeichnis ... 815 D ... Die Autoren ... 823 Index ... 827