SAP-Berechtigungswesen

Dieses Buch vermittelt Ihnen das Rüstzeug für ein Berechtigungskonzept, das den strengsten Anforderungen standhält! Von der Konzeption bis zur Umsetzung im SAP-System finden Sie alles, was Sie dazu brauchen. Sie lernen die Berechtigungspflege in SAP ERP und alle für Sie wichtigen Werkzeuge wie ID Management, ZBV, Access Control und UME kennen. Erfahren Sie, welche Besonderheiten Sie im Hinblick auf HCM, CRM, SRM, BW/BO und HANA beachten müssen. Neu in der 3. Auflage: RFC-Sicherheit mit UCON, das Switchable Authorization Check Framework (SACF), die neue Rollenpflege in SAP ERP und vieles mehr. Aus dem Inhalt: - Rechtsgrundlagen und Organisation - Berechtigungspflege im SAP-System (Transaktion PFCG) - Berechtigungsobjekte, Rollen und Profile - Berechtigungstrace (Transaktion ST01) - Zentrale Benutzerverwaltung (ZBV) - Tools und Reports zur Berechtigungspflege - SAP Access Control - SAP Identity Management - User Management Engine (UME) - Berechtigungen in SAP ERP, HCM, CRM, SRM, BW/BusinessObjects, HANA und S/4HANA - RFC-Sicherheit mit Unified Connectivity (UCON) - Switchable Authorization Check Framework (SACF)

Volker Lehnert ist seit 2000 bei SAP in unterschiedlichen Positionen in den Bereichen Compliance und Sicherheit tätig. Seit 2012 arbeitet er für SAP AG Installed Base Maintenance and Support (IMS) als Projektleiter Datenschutz. In seiner neunjährigen Beratungstätigkeit hat er Projekte rund um das Berechtigungswesen vorangetrieben. Um den gesetzlichen Anforderungen gerecht zu werden, führt Volker Lehnert Sicherheitskonzepte immer wieder auf die eigentlichen Kernfragen zurück: betriebswirtschaftliche Funktionen, organisatorische Konzepte und legale Anforderungen. Volker Lehnert ist Co-Autor des Datenschutzleitfadens der DSAG.

Vorwort ... 21
Danksagung ... 23
1. Einleitung ... 27
TEIL I Betriebswirtschaftliche Konzeption ... 33
2. Einführung und Begriffsdefinition ... 35
2.1 ... Methodische Überlegungen ... 36
2.2 ... Compliance ist Regelkonformität ... 40
2.3 ... Risiko ... 41
2.4 ... Corporate Governance ... 45
2.5 ... Technische vs. betriebswirtschaftliche Bedeutung des Berechtigungskonzepts ... 47
2.6 ... Technische vs. betriebswirtschaftliche Rolle ... 49
2.7 ... Beschreibung von Berechtigungskonzepten ... 51
3. Organisation und Berechtigungen ... 67
3.1 ... Organisatorische Differenzierung am Beispiel ... 69
3.2 ... Begriff der Organisation ... 71
3.3 ... Institutioneller Organisationsbegriff ... 72
3.4 ... Instrumenteller Organisationsbegriff ... 76
3.5 ... Folgerungen aus der Organisationsbetrachtung ... 90
3.6 ... Die Grenzen der Organisation und das Internet der Dinge ... 91
3.7 ... Sichten der Aufbauorganisation in SAP-Systemen ... 92
3.8 ... Organisationsebenen und -strukturen in der SAP Business Suite ... 101
3.9 ... Hinweise zur Methodik im Projekt ... 110
3.10 ... Fazit ... 112
4. Rechtlicher Rahmen -- normativer Rahmen ... 113
4.1 ... Interne und externe Regelungsgrundlagen ... 114
4.2 ... Internes Kontrollsystem ... 118
4.3 ... Rechtsquellen des externen Rechnungswesens ... 120
4.4 ... Datenschutzrecht ... 124
4.5 ... Allgemeine Anforderungen an ein Berechtigungskonzept ... 135
4.6 ... Fazit ... 142
5. Berechtigungen in der Prozesssicht ... 143
5.1 ... Prozessübersicht ... 143
5.2 ... Der Verkaufsprozess ... 145
5.3 ... Der Beschaffungsprozess ... 151
5.4 ... Unterstützungsprozesse ... 155
5.5 ... Maßgaben für die Funktionstrennung ... 158
5.6 ... Fazit ... 160
TEIL II Werkzeuge und Berechtigungspflege im SAP-System ... 161
6. Technische Grundlagen der Berechtigungspflege ... 163
6.1 ... Benutzer ... 163
6.2 ... Berechtigungen ... 173
6.3 ... Rollen und Profile ... 176
6.4 ... Transfer von Rollen ... 222
6.5 ... Benutzerabgleich ... 225
6.6 ... Vom Trace zur Rolle ... 227
6.7 ... Weitere Auswertungen von Berechtigungsprüfungen ... 234
6.8 ... Fazit ... 239
7. Systemeinstellungen und Customizing ... 241
7.1 ... Pflege und Nutzung der Vorschläge für den Profilgenerator ... 242
7.2 ... Traces ... 262
7.3 ... Upgrade-Nacharbeiten von Berechtigungen ... 271
7.4 ... Parameter für Kennwortregeln ... 278
7.5 ... Menükonzept ... 284
7.6 ... Berechtigungsgruppen ... 290
7.7 ... Parameter- und Query-Transaktionen ... 305
7.8 ... Anhebung eines Berechtigungsfeldes zur Organisationsebene ... 315
7.9 ... Berechtigungsfelder und -objekte anlegen ... 323
7.10 ... Weitere Transaktionen der Berechtigungsadministration ... 327
7.11 ... Fazit ... 329
8. Rollenzuordnung über das Organisationsmanagement ... 331
8.1 ... Grundkonzept des SAP-ERP-HCM-Organisationsmanagements ... 332
8.2 ... Fachliche Voraussetzungen ... 335
8.3 ... Technische Umsetzung ... 335
8.4 ... Konzeptionelle Besonderheit ... 339
8.5 ... Fazit ... 340
9. Zentrales Management von Benutzern und Berechtigungen ... 341
9.1 ... Grundlagen ... 342
9.2 ... Zentrale Benutzerverwaltung ... 348
9.3 ... SAP Access Control User Access Management ... 358
9.4 ... SAP Identity Management ... 366
9.5 ... Compliant Identity Management ... 383
9.6 ... Fazit ... 385
10. Berechtigungen: Standards und Analyse ... 387
10.1 ... Standards und ihre Analyse ... 387
10.2 ... Kritische Transaktionen und Objekte ... 396
10.3 ... Allgemeine Auswertungen technischer Standards ... 398
10.4 ... AGS Security Services ... 406
10.5 ... Fazit ... 418
11. SAP Access Control ... 419
11.1 ... Grundlagen ... 419
11.2 ... Access Risk Analysis ... 423
11.3 ... Business Role Management ... 429
11.4 ... User Access Management ... 431
11.5 ... Emergency Access Management ... 433
11.6 ... Fazit ... 436
12. User Management Engine ... 437
12.1 ... Überblick über die UME ... 438
12.2 ... Berechtigungskonzept von SAP NetWeaver AS Java ... 446
12.3 ... Benutzer- und Rollenadministration mit der UME ... 451
12.4 ... Fazit ... 458
TEIL III Berechtigungen in spezifischen SAP-Lösungen ... 459
13. Berechtigungen in SAP ERP HCM ... 461
13.1 ... Grundlagen ... 461
13.2 ... Besondere Anforderungen von SAP ERP HCM ... 462
13.3 ... Berechtigungen und Rollen ... 464
13.4 ... Berechtigungshauptschalter ... 470
13.5 ... Organisationsmanagement und indirekte Rollenzuordnung ... 472
13.6 ... Strukturelle Berechtigungen ... 474
13.7 ... Kontextsensitive Berechtigungen ... 479
13.8 ... Zeitabhängiges Sperren personenbezogener Daten ... 481
13.9 ... Fazit ... 486
14. Berechtigungen in SAP CRM ... 487
14.1 ... Grundlagen ... 488
14.2 ... Abhängigkeiten zwischen der Benutzerrolle und PFCG-Rollen ... 498
14.3 ... Erstellen von PFCG-Rollen abhängig von Benutzerrollen ... 500
14.4 ... Zuweisen von Benutzerrollen und PFCG-Rollen ... 508
14.5 ... Beispiele für Berechtigungen in SAP CRM ... 517
14.6 ... Fehlersuche im CRM Web Client ... 546
14.7 ... Access Control Engine ... 549
14.8 ... Fazit ... 563
15. Berechtigungen in SAP SRM ... 565
15.1 ... Grundlagen ... 565
15.2 ... Berechtigungsvergabe in SAP SRM ... 568
15.3 ... Fazit ... 588
16. Berechtigungen in SAP BW ... 589
16.1 ... OLTP-Berechtigungen ... 590
16.2 ... Analyseberechtigungen ... 593
16.3 ... Modellierung von Berechtigungen in SAP BW ... 610
16.4 ... RBAC-Modell ... 612
16.5 ... Fazit ... 614
17. Berechtigungen in der SAP-BusinessObjects-Business-Intelligence-Plattform 4.x ... 615
17.1 ... Berechtigungskonzept ... 616
17.2 ... Interaktion mit SAP BW ... 624
17.3 ... Fazit ... 628
18. RFC-Sicherheit mittels Unified Connectivity ... 631
18.1 ... RFC-Sicherheit im Überblick ... 632
18.2 ... Das Konzept von Unified Connectivity ... 634
18.3 ... UCON einrichten und betreiben ... 637
18.4 ... Zusammenspiel von UCON und Berechtigungsprüfungen auf Funktionsbausteine ... 641
18.5 ... Fazit ... 648
19. Berechtigungen in SAP HANA ... 649
19.1 ... Anwendungsszenarien von SAP HANA ... 650
19.2 ... Architektur von SAP HANA ... 651
19.3 ... Benutzerverwaltung in SAP HANA ... 657
19.4 ... Berechtigungen in SAP HANA ... 660
19.5 ... Fazit ... 667
20. Berechtigungen in SAP S/4HANA ... 669
20.1 ... Überblick ... 669
20.2 ... Fiori-Anwendungsrollen anlegen ... 670
20.3 ... Kontinuität im Benutzermanagement ... 677
20.4 ... Fazit ... 677
21. SAP Business Suite: Prozesse und Einstellungen ... 679
21.1 ... Grundlagen ... 680
21.2 ... Berechtigungen im Finanzwesen ... 682
21.3 ... Berechtigungen im Controlling ... 704
21.4 ... Berechtigungen in der Logistik (allgemein) ... 718
21.5 ... Berechtigungen im Einkauf ... 724
21.6 ... Berechtigungen im Vertrieb ... 731
21.7 ... Berechtigungen in technischen Prozessen ... 735
21.8 ... Vereinfachtes Sperren und Löschen personenbezogener Daten in der SAP Business Suite ... 747
21.9 ... Fazit ... 757
22. Konzepte und Vorgehen im Projekt ... 759
22.1 ... Berechtigungskonzept im Projekt ... 760
22.2 ... Vorgehensmodell ... 762
22.3 ... SAP-Best-Practices-Template-Rollenkonzept ... 771
22.4 ... Inhalte eines Berechtigungskonzepts ... 778
22.5 ... Schritte zum Berechtigungskonzept ... 785
22.6 ... Fazit ... 792
Anhang ... 793
A ... Abkürzungsverzeichnis ... 795
B ... Glossar ... 799
C ... Literaturverzeichnis ... 815
D ... Die Autoren ... 823
Index ... 827