Sie sind auf Seite 1von 29

Schweizerische

Socit suisse

Societ svizzera

Swiss Life

Lebensversicherungs-

d'Assurances gnrales

di Assicurazioni generali

Insurance and Pension

und Rentenanstalt

sur la vie humaine

sulla vita dell'uomo

Company

SAP Berechtigungskonzept
IT-Konzept
<Version 00.20>

Dokumentenmanagement
Version

<Version 00.20>

Datum
Ersteller
Verwendete Vorlage

Heinz Imesch

Berechtigungen

IT-Konzept V2.0

nderungsnachweis
Version

Beschreibung der nderung

Datum

Autor(en)

00.10

Erste Version fr Workshop

28.11.2014

H. Imesch

00.20

Feedback Workshop 2.12.2014

Inhaltsverzeichnis
1

Dokumentinformation............................................................................................................................ 4
1.1

Zweck des Dokuments...................................................................................................................... 4

1.2

Gltigkeitsbereich............................................................................................................................. 4

1.3

Zielpublikum, Voraussetzungen an den Leser..................................................................................4

1.4

Abgrenzung...................................................................................................................................... 5

1.5

Referenzierte Dokumente................................................................................................................. 5

Methodischer Teil................................................................................................................................... 5
2.1

Definition Rollenkonzept................................................................................................................... 5

2.2

Organisation System...................................................................................................................... 6

2.3

Umsetzung in Projekten.................................................................................................................... 7

2.4

Umsetzung im Betrieb....................................................................................................................... 7

Technischer Teil...................................................................................................................................... 7
3.1

Benutzer........................................................................................................................................... 7

3.1.1

Richtlinien fr Benutzerstammstze..........................................................................................7

3.1.1.1

Normale End-Benutzer........................................................................................................................... 7

3.1.1.2

Technische Benutzer.............................................................................................................................. 8

3.1.1.3

Ausgetretene Benutzer.......................................................................................................................... 9

3.1.1.4

Test Benutzer......................................................................................................................................... 9

3.1.1.5

Schulungsbenutzer Benutzer................................................................................................................. 9

3.1.1.6

Spezielle SAP Benutzer......................................................................................................................... 9

3.1.1.7

Notfalluser............................................................................................................................................ 10

3.1.2

Benutzertypen......................................................................................................................... 11

3.1.3

Benutzergruppen.................................................................................................................... 12

3.1.3.1

3.1.4
3.2

Benutzertypen Systemvermessung.....................................................................................................12

Zentrale Benutzerverwaltung (ZBV)........................................................................................ 13

Berechtigungen............................................................................................................................... 14

3.2.1
329961578.doc

Definitionen............................................................................................................................. 14
<Version 00.20>

2/29

IT-Konzept V2.0

3.2.2

Rollenverantwortliche und System-Owner..............................................................................14

3.2.3

Berechtigungsverwalter (BERV).............................................................................................. 15

3.2.4

Benutzerverwalter BENV........................................................................................................ 17

3.2.5

Test- und Transportstrategie................................................................................................... 20

3.3

Namenskonventionen..................................................................................................................... 21

3.3.1

Benutzer.................................................................................................................................. 21

3.3.2

Rollen...................................................................................................................................... 21

3.4

Sicherheitsrichtlinien....................................................................................................................... 22

3.5

Kritischen Transaktionen und Berechtigungsobjekten....................................................................22

3.6

Systemparametrisierung................................................................................................................. 22

3.7

Konfiguration des Security Audit Log.............................................................................................. 25

Benutzermanagement.......................................................................................................................... 26
4.1

Berechtigungen

Benutzerverwaltung........................................................................................................................ 26

4.1.1

Passwort vergessen................................................................................................................ 26

4.1.2

Neuer Benutzer....................................................................................................................... 26

4.1.3

Benutzerdaten ndern............................................................................................................. 26

4.1.4

Benutzer Austritt...................................................................................................................... 26

4.2

Test User......................................................................................................................................... 26

4.3

Notfall User..................................................................................................................................... 27

4.4

Rollenmanagement......................................................................................................................... 27

4.4.1

Neue Rolle.............................................................................................................................. 27

4.4.2

Rolle ndern............................................................................................................................ 27

4.5

Nicht genutzte Benutzerstammstze.............................................................................................. 27

4.6

Periodische Vernehmlassung und Prfung der Rollenzuordnung...................................................27

4.7

Periodische Prfung der Einhaltung der Methoden und Prozesse..................................................27

Anhang.................................................................................................................................................. 28
5.1

Massnahmenumsetzung................................................................................................................. 28

5.2

Tabellenverzeichnis......................................................................................................................... 28

5.3

Abbildungsverzeichnis.................................................................................................................... 28

5.4

Glossar........................................................................................................................................... 28

329961578.doc

<Version 00.20>

3/29

IT-Konzept V2.0
Kapitel 'Technischer Teil'

Berechtigungen

Dokumentinformation

1.1

Zweck des Dokuments

Dieses Berechtigungskonzept dient als Grundlage fr die Spezifikation und Umsetzung der SAP
Berechtigungen. Die Implementierung legt Regeln fr die praktische Umsetzung des SAPBerechtigungssystems fest und obliegt folgenden Grundstzen:
Dieses Konzept beruht auf der Definition der organisatorischen Stellen durch die
Fachabteilungen.
Zur Ausbung der Ttigkeiten einer organisatorischen Stelle in den Systemen wird dem
Benutzer ein entsprechendes Anwendungsrecht bertragen
Das Anwendungsrecht besteht technisch aus entsprechende(n) Sammelrrolle(n), welche
ihrerseits Einzelrollen enthalten.
Das Konzept geht von einer zentralen Pflege der Berechtigungen bzw. Rollen aus.
Das Konzept stellt organisatorische Hilfsmittel bereit, welche fr die Erstellung von Rollen und
Berechtigungen bentigt werden.
Smtliche Ablufe und Ausfhrungen beruhen auf einer Revisionstauglichkeit.
Die rechtlichen und betrieblichen Anforderungen des Datenschutzes, der Vertraulichkeit und
Sicherheit, risikogerecht sicherstellen.
Die Dokumentation der Berechtigungen im SAP Umfeld wird in zwei Dokumente unterteilt:

Das Berechtigungskonzept enthlt die Grundlagen, im Wesentlichen sind dies die


statischen Teile des Berechtigungskonzepts (prinzipieller Aufbau der
Berechtigungsarchitektur, Organisation, allgemeines Vorgehen, usw.).

Das Berechtigungshandbuch enthlt die dynamischen Teile des Berechtigungskonzepts


(konkretes Vorgehen bei der Berechtigungsimplementation, Ablufe, usw.).

Diese zwei Dokumente enthalten smtliche Informationen, welche beispielsweise eine


Stellvertretung des Berechtigungsadministrators bentigt (Voraussetzung: Kenntnisse in der
Anwendung und im Umgang mit dem Profilgenerator).

1.2

Gltigkeitsbereich

Dieses Dokument bezieht sich auf smtliche durch IFS verantworteten Systeme SAP Systeme der
Swiss Life.
Das Dokument bercksichtigt auch Neuerungen, welche mit dem Release ERP ECC eingefhrt
wurden. Die zur Verfgung stehenden Hilfsmittel werden von SAP kontinuierlich weiterentwickelt,
so dass zu einem spteren Zeitpunkt dieses Dokument unter Umstnden ergnzt oder verndert
werden muss.

1.3

Zielpublikum, Voraussetzungen an den Leser

Dieses Dokument ist an jene Personen gerichtet, welche sich mit der Thematik Berechtigungen
organisatorisch befassen (Fachabteilung, key user, super user) oder mit der technischen
Umsetzung von Berechtigungen (Modulverantwortliche, Berechtigungsadministrator) beauftragt
329961578.doc

<Version 00.20>

4/29

Berechtigungen

IT-Konzept V2.0
Kapitel 'Technischer Teil'

sind. Von den Lesern dieses Dokumentes werden grundstzliche Kenntnisse der SAP
Berechtigungsarchitektur erwartet.

1.4

Abgrenzung

Die Berechtigungsvergabe auf Stufe Betriebssystem und Datenbank werden in den


Betriebshandbchern Betrieb und Basis beschrieben und ist nicht Teil dieses Konzepts.
User

Berechtigungen

Zustndig fr Vergabe

User Fachbereich

Fachbereich

Fachbereich

Sonderberechtigungen

SAP CCoE

User SAP CCoE


BerechtigungenSAP CCoE
Technische User

Technische Berechtigungen

User Datenbank

DB-Berechtigungen

Betrieb und Basis

User Operation System

OS- Berechtigungen

Outsourcer

Abbildung 1: Berechtigungsvergabe

1.5

Referenzierte Dokumente

Nr.

Dokument

[1]

RollenStruktur_1.6.xlsx

[2]
[3]
[4]

Berechtigungshandbuch (muss beim Rollenbau erstellt werden)

[5]

Prozessbeschrieb_RDM_v01.00.pdf

Tabelle 1: Referenzierte Dokumente

Methodischer Teil

2.1

Definition Rollenkonzept

Ein Mitarbeiter eines Unternehmens hat in der Regel diverse Aufgaben zu erfllen. Diese Aufgaben
sind einerseits abhngig von seiner Stellung in der Firma anderseits von den
Unternehmensprozessen selber.
Ein Mitarbeiter kann prozessbergreifende Aufgaben haben, und fr gewisse Aufgaben knnen
unternehmensbergreifende Zugriffsrechte notwendig sein. Die Summe aller Aufgaben eines
329961578.doc

<Version 00.20>

5/29

Berechtigungen

IT-Konzept V2.0
Kapitel 'Technischer Teil'

Mitarbeiters definiert sei Jobprofil. Ein Jobprofil kann in Zustndigkeiten aufgeteilt werden. Eine
Sammelrolle beschreibt eine Position des Mitarbeiters in einer Unternehmensorganisation und in
einem Hauptprozess, z.B. FI Debitorenbuchhalter Bei prozessbergreifenden Aufgaben kann ein
Mitarbeiter somit auch mehrere Rollen haben. Eine Rolle wiederum besteht aus verschiedenen
Funktionen, in denen eine oder mehrere Aufgaben enthalten sind.
Beispiel:
Herr XY ist Team Leiter Buchhaltung. In seiner Stelle als Team Leiter Buchhaltung, hat er unter
anderem die Rolle eines Debitorenbuchhalters.
Position Stelle
-

Team Leiter Buchhaltung


Debitorenbuchhalter

Funktion -

Stammdatenpflege

Aufgabe -

Debitoren erfassen

In den SAP Berechtigungen knnen die oben beschriebenen organisationalen Elemente, wie
Rolle, Funktion und Aufgabe unternehmensspezifisch abgebildet werden. Einem Anwender
(=Zustndigkeit) wird eine oder mehrere Sammelrollen (=Rollen) zugewiesen. Die Sammelrolle
besteht aus einer oder mehreren Einzelrollen (=Funktionen) und diese setzen sich wiederum aus
einer oder mehreren Transaktionen (=Aufgaben) zusammen.

2.2

Organisation System

Grundstzlich gilt es zwei Ebenen zu betrachten, die Organisation und das System. In der
folgenden Abbildung werden diese beiden Ebenen mit ihren Strukturen verglichen, wobei die
Beziehung von einem Element zum nchsten immer von links nach rechts und optimaler Weise im
Verhltnis 1 zu n stehen sollte. Damit werden Redundanzen bei der Transaktionsvergabe pro Rolle
minimiert. Um diese Anforderungen erfllen zu knnen, kommt es auf die Granularitt der
Einzelrollen an. Je kleiner die Einzelrolle desto kleiner die Wahrscheinlichkeit von redundanten
Transaktionen.
Ein Mitarbeiter kann mehrere Zustndigkeiten bekleiden, d.h. eine Stelle muss nicht
zwingendermassen einer 100% Planstelle entsprechen sondern kann eine Teilstelle darstellen.

Abbildung 2: Organisation - System

329961578.doc

<Version 00.20>

6/29

IT-Konzept V2.0
Kapitel 'Technischer Teil'

2.3

Berechtigungen

Umsetzung in Projekten

Die Umsetzung der Berechtigungen in SAP Projekten wird nach folgenden Hauptpunkten
durchgefhrt.
1. Erfassen der gesamten im Projekt einzufhrenden Funktionalitt im SAP durch das
Projektteam
2. Definition der Prozesse, Funktionen und Aufgaben in den betroffenen Bereichen
3. Definition der Rollen systemtechnisch im SAP

Erfassen der Funktionen und Transaktionen, die einer Rolle zugewiesen werden
sollen

Erfassen der relevanten Berechtigungen je Rolle und Einheit

4. Technische Erstellung der Rollen im SAP


5. Testen der Rollen im SAP
6. Anwendererstellung und Rollenzuweisung im SAP
7. Support
Fr die Umsetzung steht folgendes Hilfsmittel zur Verfgung:
Dokument [1] RollenStruktur_1.6.xlsx

2.4

Umsetzung im Betrieb

Nach dem Projektabschluss sind fr den Betrieb folgende Punkte zu beachten:

bergabe der Projektdokumentation an den Betreiber.

Definierte und kommunizierte Ownership der Rollenzuteilung

Definierte und kommunizierte Prozesse fr Rollennderungen und Rollenzuteilungen

Periodische Vernehmlassung und Prfung der Rollenzuteilungen durch die


Bereichsverantwortlichen, siehe auch Kapitel 4.6

Periodische Prfung der Einhaltung der Methoden und Prozesse, siehe auch Kapitel 4.7

Technischer Teil

3.1

Benutzer

3.1.1

Richtlinien fr Benutzerstammstze

3.1.1.1

Normale End-Benutzer

Fr alle Benutzer, die ein Benutzerkonto im SAP bekommen, muss ein Benutzerantrag vorliegen
[Referenziertes Dokument ??.

329961578.doc

<Version 00.20>

7/29

IT-Konzept V2.0
Kapitel 'Technischer Teil'

3.1.1.2

Berechtigungen

Technische Benutzer

Technische Benutzer (z.B. Benutzer fr die Hintergrundverarbeitung, Schnittstellen etc.) mssen


eindeutig von den Benutzerkennungen fr Dialogbenutzer unterschieden werden. Dies muss durch

Eine entsprechende Namenskonvention,

Benutzergruppen und

Rollen

gewhrleistet sein. Fr jede Benutzerkennung muss ein verantwortlicher Bereich definiert werden,
auch wenn die Benutzerkennung nicht fr eine interaktive Anmeldung verwendet wird.
Bei den Benutzern fr die Hintergrundverarbeitung wird unterschieden zwischen

Initiatoren einer Job- bzw. Step-Einplanung


Benutzer, der einen Job oder Job-Step einplant. Dies ist aber nicht der Benutzer, unter dessen
Berechtigungen der Job abluft.
Ein Endbenutzer bentigt die Berechtigungen, um den Initiator einer Job- bzw. StepEinplanung verwenden zu knnen. Der Initiator einer Job- bzw. Step-Einplanung muss ber die
Berechtigungen verfgen, einen Step-User (Hintergrundbenutzername fr
Berechtigungsberprfung) fr einen Job verwenden zu knnen.

Hintergrundbenutzername fr Berechtigungsberprfung
Benutzer, mit dessen Berechtigungen ein Job verarbeitet wird.

Kommunikationsuser werden fr die Kommunikation zwischen

SAP -> SAP

Non-SAP -> SAP

verwendet.
Die Namenskonvention fr Technische Benutzer mssen folgendermassen aufgebaut werden:
Stelle

Bedeutung

Mgliche Werte

Batch-, oder Kommunikationsuser

B: Batch, R: Kommunikation

2-4

Verwaltende Organisation

z.B. CT fr zentrale IT

5-7

Prozess

z.B. XBC

8-9

Rufende Organisation

z.B. L1

10-11

Laufende Nummerierung

01

Tabelle 2: Technische Benutzer

So ergibt sich z.B. der Benutzername RCTXBCL101.


Diese Namenskonvention hat den erheblichen Vorteil, dass klar definiert ist, wer fr diesen
Benutzer verantwortlich ist und fr welchen Prozess er eingesetzt wird. Die Auswertbarkeit wird
erheblich vereinfacht.

329961578.doc

<Version 00.20>

8/29

IT-Konzept V2.0
Kapitel 'Technischer Teil'

3.1.1.3

Berechtigungen

Ausgetretene Benutzer

Benutzer werden aus Revisionsgrnden nie gelscht. Bei diesen Benutzern wird das
Gltigkeitsdatum auf das Austrittsdatum gesetzt und alle Rollen entfernt.

3.1.1.4

Test Benutzer

Diese Art von Benutzern wird fr Tests, z.B. das Testen von Berechtigungsrollen, bentigt. Fr den
Zeitraum des Tests werden diesem Benutzer die erforderlichen Rollen zugewiesen und nach dem
Test wieder entzogen. Die Anzahl der Test-Benutzer sollte so gering wie mglich gehalten werden.
Die Verwaltung der Test-Benutzer obliegt dem Security-Manager SAP CCoE.
Die Namenskonvention fr Test Benutzer sollte folgendermassen aufgebaut werden:
Stelle

Bedeutung

Mgliche Werte

Test Benutzer

2-4

Verwaltende Organisation

z.B. CT fr zentrale IT

5-7

Prozess

z.B. XBC

8-9

Rufende Organisation

z.B. L1

10-11

Laufende Nummerierung

01

Tabelle 3: Test Benutzer

3.1.1.5

Spezielle SAP Benutzer

Benutzer

Beschreibung

SAP*

Zum Schutz des SAP-Standardbenutzers SAP* sollten folgende Manahmen


ergriffen werden:

Fr den Benutzer SAP* muss ein Benutzerstammsatz angelegt werden.

Fr den Benutzer SAP* drfen keine Rollen/Profile vergeben werden.

Fr den Benutzer SAP* muss ein nicht-triviales Kennwort vergeben werden und
an einem sicheren Ort hinterlegt werden.

Der Benutzer SAP* muss einer administrativen Benutzergruppe zugeordnet


werden.

Der Benutzer SAP* ist zu sperren.

Darber hinaus muss die automatische Anlage nach der Lschung des
Benutzerstammsatzes durch Setzen des Systemprofilparameters
login/no_automatic_user_sapstar au den Wert 1 verhindert werden (der
automatische Benutzer SAP* wird dadurch deaktiviert).

DDIC

329961578.doc

Der SAP-Standardbenutzer DDIC (Benutzertyp System) wird fr weite Bereiche des


ABAP Dictionary und des TMS bentigt. Aus diesem Grund bentigt dieser Benutzer
umfangreiche Systemrechte, die ber die in den Benutzerprofilen hinterlegten
Rechte hinausgehen. Die Verwendung des SAP-Standardprofils sap_all fr diesen
<Version 00.20>

9/29

Berechtigungen

IT-Konzept V2.0
Kapitel 'Technischer Teil'

Benutzer wird ausdrcklich empfohlen.


Um diese Benutzerkennung zu schtzen, muss ein nicht-triviales Kennwort
vergeben und an einem sicheren Ort aufbewahrt werden. Die Benutzerkennung
muss einer administrativen Benutzergruppe zugeordnet sein. Die Verwendung der
Benutzerkennung DDIC sollte sowohl systemseitig protokolliert als auch ber
organisatorische Manahmen geregelt werden. Die Benutzerkennung DDIC darf
nicht fr Notfallbenutzereinstze verwendet werden.
SAPCPIC

Der Benutzer SAPCPIC wird bei der Installation als SAP-Standardbenutzer angelegt
und kann nicht fr Dialoganmeldungen genutzt werden. Er wird von eigenen
Programmen und Funktionsbausteinen fr die Systemkommunikation verwendet.
Um diesen Benutzer zu schtzen, sollte das bekannte Standardkennwort dieses
Benutzers gendert werden. Sollte die Benutzerkennung gesperrt werden, muss vor
dieser Umsetzung die aktuelle Version des SAP Hinweises 29276 auf eventuelle
Einschrnkungen bzw. Auswirkungen hin geprft werden.

WF-BATCH Dieser Standardbenutzer wird fr das automatische Workflow-Customizing bentigt.


Dieser Benutzer hat entsprechend den Empfehlungen der SAP den Benutzertyp
System (B) und das SAP-Standardprofil SAP_ALL. Es gelten die gleichen
Absicherungen wie fr die brigen Standardbenutzer.

Tabelle 4: Spezielle SAP Benutzer

3.1.1.6

Notfalluser

Notfalluser drfen nicht fr den tglichen Einsatz, sondern nur im echten Notfall zur Sicherung des
Tagesgeschftes verwendet werden. Der Einsatz dieser Notfalluser wird protokolliert und
ausgewertet. Details zur Freischaltung siehe Kapitel 4.3.

Benutzer
SAP_WALLDOR1

Beschreibung
Notfalluser fr Support von SAP

SAP_WALLDORF
EMERGENCY_01

Notfalluser haben die Berechtigung SAP_ALL. Im System gibt es je


Mandant bis zu 4 Notfalluser

EMERGENCY_02
EMERGENCY_03
EMERGENCY_04
Tabelle 5: SAP Notfall Benutzer

Im Auditlog ist je ein Filter fr jeden Nofalluser (Mandant: *) permanent aktiviert.

329961578.doc

<Version 00.20>

10/29

IT-Konzept V2.0
Kapitel 'Technischer Teil'

3.1.2

Berechtigungen

Benutzertypen

In SAP knnen verschiedene Benutzertypen definiert werden. Und jedes Benutzerkonto ist genau
einem Benutzertyp zugeordnet ist. In der Regel ist Dialog-Benutzertyp der am hufigsten benutzte
Typ.
Benutzertyp
Dialog (Typ 'A')

System (Typ 'B')

Kommunikation (Typ 'C')

Service (Typ 'S)

Referenz (Typ 'L')

Beschreibung
Ein normaler Dialogbenutzer wird von genau einer Person
verwendet.
Bei der Dialoganmeldung erfolgt die Prfung auf abgelaufene/initiale
Kennwrter mit der Mglichkeit das Kennwort zu ndern.
Mehrfache Dialoganmeldungen werden berprft und
gegebenenfalls protokolliert.
Der Dialogtyp wird fr den Swiss Life Anwender verwendet.
Ein Benutzertyp System wird fr die dialogfreie Kommunikation
innerhalb eines Systems (fr RFC bzw. CPIC Service-User) bzw. fr
die Hintergrundverarbeitung innerhalb eines Systems verwendet.
Eine Dialoganmeldung ist nicht mglich. Ein Benutzer dieses Typs ist
von den allgemeinen Einstellungen zur Gltigkeitsdauer eines
Kennworts ausgeschlossen. Das Kennwort kann nur durch
Benutzeradministratoren gendert werden.
Der Benutzertyp Kommunikation wird fr dialogfreie Kommunikation
zwischen Systemen verwendet, z.B.: fr RFC bzw. CPIC ServiceUser verschiedener Anwendungen z.B. ALE, Workflow, TMS, ZBV.
Eine Dialoganmeldung ist nicht mglich.
Ein Benutzer vom Typ Service ist ein Dialogbenutzer, der einem
anonymen, grsseren Nutzerkreis zur Verfgung steht. In der Regel
sollten nur stark eingeschrnkte Berechtigungen vergeben werden.
Servicebenutzer werden z.B. fr anonyme Systemzugnge ber
einen ITS-Service verwendet. Nach einer individuellen
Authentifizierung kann eine mit einem Servicebenutzer begonnene
anonyme Sitzung als personenbezogene Sitzung unter einem
Dialogbenutzer weitergefhrt werden. Bei der Anmeldung erfolgt
keine Prfung auf abgelaufene/initiale Kennwrter. Nur der
Benutzeradministrator kann das Kennwort ndern.
Eine Mehrfachanmeldung ist zulssig.
Ein Referenzbenutzer ist wie der Servicebenutzer ein allgemeiner,
nicht personenbezogener Benutzer. Mit einem Referenzbenutzer
kann man sich nicht im Dialog anmelden. Der Referenzbenutzer
dient nur der zustzlichen Vergabe von Berechtigungen.
Referenzbenutzer werden eingesetzt, um Internetbenutzer mit
identischen Berechtigungen auszustatten.
Einem Dialogbenutzer kann in der Rollen-Sicht ein Referenzbenutzer
zugeordnet werden. Damit erhlt der Dialogbenutzer die Rechte des
zugeordneten Referenzbenutzers. Im Allgemeinen kontrolliert die
Anwendung die Zuweisung von Referenzbenutzern. Der Name des
Referenzbenutzers kann ber Variablen zugewiesen werden. Die
Variablen mssen mit "$" beginnen. Die Zuordnung Variable Referenzbenutzer wird in der Transaktion SU_REFUSERVARIABLE
vorgenommen.

Tabelle 6: SAP Benutzertypen

329961578.doc

<Version 00.20>

11/29

IT-Konzept V2.0
Kapitel 'Technischer Teil'

3.1.3

Berechtigungen

Benutzergruppen

Mithilfe von Benutzergruppen kann dem jeweiligen Benutzeradministrator das Recht zugeordnet
werden, Benutzer einer Gruppe anzulegen und zu ndern.
Bei der SL Gruppe wird jeder Benutzer einer Benutzergruppe zugeordnet. Die einzelnen
Benutzergruppen mssen in allen Systemen und Mandanten vorhanden sein.
Jeder Benutzer ist einer Benutzergruppe zugewiesen gemss folgender Tabelle.
Folgende Namenskonvention gilt fr die Benutzergruppen:
Stelle

Bedeutung

Mgliche Werte

1-2

Verwaltende Organisationseinheit (zwingend)

CH

3-10

Beschreibung

10-11

Zhler

01

Tabelle 7: Benutzergruppe

3.1.3.1

Benutzertypen Systemvermessung

Kategorie Bezeichnung

Verwendung

AX

mySAP ERP Professional

Fachabteilung, SAP CCC, SAP Berater

AY

mySAP ERP Limited Professional

Fachabteilung

AZ

mySAP ERP Employee

ESS-User

BA

mySAP ERP Developer

Entwickler

FI

SAP PSS/Collaborator User

Fachabteilung

91

Test

Administratoren, System User, externe


Revisoren

Tabelle 8: SAP Benutzertypen Systemvermessung

In die Kategorie 91 (Test) gehren smtliche spezielle SAP Benutzer (SAP*, DDIC, TMSADM)

3.1.4

Zentrale Benutzerverwaltung (ZBV)

Smtliche SAP Systeme sind in einer zentralen Benutzerverwaltung (ZBV) eingebunden. Darin
werden die Stammdaten der Benutzer sowie die Zuweisung der Rollen auf die
Benutzerstammstze gepflegt.
Andere Daten, welche der User selber pflegen kann, sind so eingestellt, dass eine Pflege auf dem
Zielsystem automatisch eine nderung in der ZBV zur Folge hat.
Der Berechtigungsverwalter (BERV) erffnet und pflegt die einzelnen Rollen im Rollen Master
(jeweiliges Entwicklungssystem).
Der Benutzerverwalter (BENV) legt in der zentralen Benutzerverwaltung die einzelnen Benutzer an
und weist ihnen die entsprechenden Rollen zu.

329961578.doc

<Version 00.20>

12/29

Berechtigungen

IT-Konzept V2.0
Kapitel 'Technischer Teil'

Abbildung 3: Zentrale Benutzerverwaltung

Die Kommunikation zwischen der ZBV und alle Tochtersysteme luft via einer Trusted Verbindung. Somit werden die nderungsbelege im Tochtersystem den gleichen Benutzer wie in
der ZBV enthalten.
Funktion in ZBV

Log. System

Beschreibung

Zustand

Zentralsystem

SSMCLNT999

SSM Mandant 999

aktiv

Tochtersystem

EB1CLNT010

EB1 Mandant 010

aktiv

Tochtersystem

TB1CLNT010

TB1 Mandant 010

aktiv

Tochtersystem

PB1CLNT010

PB1 Mandant 010

aktiv

Tochtersystem
Tochtersystem
Tochtersystem
Tabelle 9: Zentrale Benutzerverwaltung

3.2

Berechtigungen

Smtliche Rollen (Einzel- wie auch Sammelrollen) werden im Rollen Master angelegt und gepflegt.
Die Rollen werden nach jeder nderung per Transportauftrag auf die Zielsysteme transportiert.
Mehrere Einzelrollen werden zu Sammelrollen zusammengefasst.
Eine Rolle mit dem dazugehrenden Benutzermen sollte nach Mglichkeit einer Stellen-/
Funktionsbeschreibung, zum Beispiel: Personalsachbearbeiter oder Buchhalter oder einer
spezifischen zugeordneten Aufgabe, zum Beispiel Zahlungen freigeben, entsprechen.

329961578.doc

<Version 00.20>

13/29

IT-Konzept V2.0
Kapitel 'Technischer Teil'

3.2.1

Berechtigungen

Definitionen

Kritische Transaktionen, Reports und Berechtigungsobjekte knnen bei Missbrauch oder


unvorsichtiger Handhabung grossen Schaden am Produktivsystem anrichten. Dies kann sich auf
die Verfgbarkeit oder Leistungsfhigkeit des Systems sowie auf die Datenintegritt auswirken.
Solche kritische Transaktionen und Reports knnen im Produktivsystem gesperrt werden oder die
Zuordnung auf einen klar definierten Anwenderkreis eingeschrnkt werden. Dabei ist der
Rollenzuweisungsprozess mit seinen Verantwortlichkeiten wichtig.
Kritische Berechtigungsobjekte werden jedoch zum Teil fr nicht-kritische Transaktionen
verwendet, sodass ein allgemeines Sperren nicht mglich ist. Daher ist es wichtig, kritische
Berechtigungsobjekte zu identifizieren und die Vergabe davon soweit wie mglich einzuschrnken.
Die Berechtigungsobjekte sollten nach Mglichkeit keine Wildcard Werte * enthalten, es sollten
nur einzelne Werte definiert werden.
Im Berechtigungshandbuch, referenzierte Dokument [4], befindet sich eine Zusammenstellung von
kritischen Transaktionen und Berechtigungsobjekten, ohne den Anspruch auf Vollstndigkeit zu
haben.

3.2.2

Rollenverantwortliche und System-Owner

Fr jede (Referenz-) Rolle wird ein Rollenverantwortlicher definiert. Nur der Rollenverantwortliche
darf an den Berechtigungsverwalter einen schriftlichen Auftrag fr das Anlegen, ndern oder
Lschen von Rollen erteilen. Der Rollenverantwortliche fr alle definierten Rollen ist bis zur
Delegation der System-Owner.
Der Rollenverantwortliche wird in der (Referenz-) Rolle im Feld Beschreibung Langtext
festgehalten.
Der System-Owner bestimmt die Berechtigungsverwalter und die Benutzerverwalter.

3.2.3

Berechtigungsverwalter (BERV)

Die Berechtigungsverwaltung der Applikationen auf den SAP Systemen wird durch die so
genannten Berechtigungsverwalter, im Anschluss BERV genannt, wahrgenommen.

Die Berechtigungsverwalter nehmen folgende Rollen wahr:

sind direkte Ansprechpartner des Owners (Rollenverantwortlichen)

sind verantwortlich fr die Benutzerverwalter BENV der Anwendungen/Applikationen

stellen ihre Stellvertretung sicher

Die Berechtigungsverwalter haben folgende Aufgaben und Berechtigungen:

Rollen anzeigen, anlegen und ndern (PFCG) nur im Rollen Master nur im eigenen
Namensraum

In einem Tochtersystem / Zielsystem drfen die Rollen nur angezeigt werden

in Rollen die Transaktionsauswahl und Berechtigungsdaten ndern

zu Berechtigungsdaten bestehender Rollen die Berechtigungen und Berechtigungsprofile


generieren, die seinem Bereich entsprechen

329961578.doc

<Version 00.20>

14/29

IT-Konzept V2.0
Kapitel 'Technischer Teil'

Berechtigungen

Benutzerinformationssystem aufrufen

Testbenutzer anlegen sowie eigene Rollen zuweisen

Transportauftrge fr Rollen anlegen

Nicht zulssig sind folgende Aufgaben:

Rollen Download und Upload

Zuweisung von Berechtigungen fr die Berechtigungsverwaltung

Sind die Business-Anforderungen geprft und entweder in Form einer neuen oder der Anpassung
einer bestehenden Rolle (gilt nach Projektabschluss) umgesetzt worden, wird der folgende
technische Prozess durchlaufen.
Prozess Rollen erstellen allgemein und Swiss Life im Workshop zu definieren

329961578.doc

<Version 00.20>

15/29

IT-Konzept V2.0
Kapitel 'Technischer Teil'

329961578.doc

Berechtigungen

<Version 00.20>

16/29

IT-Konzept V2.0
Kapitel 'Technischer Teil'

Berechtigungen

Abbildung 4: Prozess Rolle erstellen

3.2.4

Benutzerverwalter BENV

Die Benutzerverwaltung wird zentral wahrgenommen. Die Benutzerverwalter knnen die Rollen
nur zuweisen und anzeigen.

Die Benutzerverwalter haben folgende Aufgaben und Berechtigungen:


-

Benutzer anlegen und ndern (SU01)


Benutzern Rollen zuordnen
Rollen und Profile anzeigen
Benutzerstammabgleich durchfhren
Benutzerinformationssystem aufrufen

Nicht zulssig sind folgende Aufgaben:


-

Daten zur Rolle ndern


Profile ndern oder generieren

Die Anforderungen an einen Benutzerverwalter sind:


-

Kenntnisse der internen Ablufe und Prozesse


Umgang mit SAP-Benutzerverwaltung (Benutzer anlegen/ndern/lschen)

Bei Neueintritten / Transfers oder auch fr die Zuteilung einer zustzlichen Rolle zum bestehenden
Benutzer-Profil wird ein entsprechender Antrag erstellt. Die Genehmigung des Antrages wird bis
zur Delegation durch den System-Owner wahrgenommen.
Folgender technische Prozess wird durchlaufen.
Prozess Benutzer erstellen allgemein und Swiss Life im Workshop zu definieren

329961578.doc

<Version 00.20>

17/29

IT-Konzept V2.0
Kapitel 'Technischer Teil'

329961578.doc

Berechtigungen

<Version 00.20>

18/29

IT-Konzept V2.0
Kapitel 'Technischer Teil'

Berechtigungen

Abbildung 5: Prozess Rolle vergabe

3.2.5

Test- und Transportstrategie

Rollen werden nur im Entwicklungssystem gepflegt und anschliessend gemss Figur unten in der
Systemlandschaft transportiert.
Die Rollenpflege ist nicht direkt ans Transportsystem angebunden (Customizingeinstellung),
dadurch wird bei einer nderung einer Rolle nicht automatisch ein Transportauftrag erzeugt. Dies
hat den Vorteil, dass bei der Zuordnung einer Rolle an einen Benutzer kein Transportauftrag
erzeugt wird.

Abbildung 6: Prozess Rollentransport

Der Berechtigungstest ist ein Bestandteil der Einfhrung. Auf jeden Fall muss der
Berechtigungstest sptestens vor dem Integrationstest eingeplant werden. Dies hat die folgenden
Vorteile:
329961578.doc

<Version 00.20>

19/29

IT-Konzept V2.0
Kapitel 'Technischer Teil'

Berechtigungen

Kosteneffizientes Testen

Die einzelnen Berechtigungen werden nicht mehrfach getestet

Unmittelbares Feedback; dadurch kann das Customizing oder die entsprechende


Berechtigung angepasst werden

Verfgbarkeit einer produktionsnahen Testumgebung

Der Integrationstest kann mit den definitiven Berechtigungen durchgefhrt werden

Das Testkonzept besteht aus den folgenden Phasen:

Die Fachabteilung fhrt einen Systemtest durch. Mit diesem Test soll grob ermittelt werden,
ob die erstellten Berechtigungen den Anforderungen gengen. Dieser Test erbrigt sich,
wenn die Rollen in enger Zusammenarbeit der Fachabteilung mit dem SAP CCC definiert
wurden.

Ausgewhlte Testbenutzer testen die Rollen in ihrem definierten SAP Tagesgeschft. Diese
Tests werden von der Fachabteilung und dem SAP CCC betreut und dokumentiert. Bei
Fehlern in der Berechtigungsvergabe werden die Rollen unmittelbar angepasst und die
Tests fortgesetzt.

3.3

Namenskonventionen

3.3.1

Benutzer

3.3.2

Rollen

Bezeichnung der Einzelrollen:


Stelle

Bezeichnung

Beschreibung

<Z>

Fixes Zeichen (Z)

<Version>

Rollenversion, fortlaufende Nummer

<_>

Fixes Zeichen (Unterstrich)

<Kennzeichen>

Rollentyp (Mutterrolle, Tochterrolle, Portalrolle,)

<Kennzeichen>

Mutationstyp (Mutieren,Anzeigen)

<_>

Fixes Zeichen (Unterstrich)

<Kennzeichen>

Datentyp (Bewegungsdaten, Stammdaten, Customizing)

<Kennzeichen>

Sicherheit (kritisch, unkritisch)

<_>

Fixes Zeichen (Unterstrich)

10-11

<Kennzeichen>

Modul, Bereich (FI,CO,MM,SD, BC,)

12

<_>

Fixes Zeichen (Unterstrich)

13-30

<Krzel>

Krzel Einzelrolle (falls nicht abgeleitet) => max. 18 Zeichen)

13-27

<Krzel>

Krzel Einzelrolle (falls abgeleitet) => max. 15 Zeichen)

329961578.doc

<Version 00.20>

20/29

IT-Konzept V2.0
Kapitel 'Technischer Teil'

Berechtigungen

Stelle

Bezeichnung

Beschreibung

28

<_>

Fixes Zeichen: (Unterstrich) (falls abgeleitet)

29-30

<Kennzeichen>

Zhler des Ableitung (falls abgeleitet)

Tabelle 10: Bezeichnung der Rollen

Bezeichnung der Sammelrollen:


Stelle

Bezeichnung

Beschreibung

<Z>

Fixes Zeichen (Z)

<Version>

Rollenversion, fortlaufende Nummer

<_>

Fixes Zeichen (Unterstrich)

<Kennzeichen>

Rollentyp = Sammelrolle

<_>

Fixes Zeichen (Unterstrich)

6-9

<_>

Funktions-ID des Anwendungsrechts

10

<_>

Fixes Zeichen (Unterstrich)

11-28

<Krzel>

Rollenkrzel (max. 18 Zeichen)

29

<_>

Fixes Zeichen: (Unterstrich)

30

<Kennzeichen>

Typ Sammelrolle

Tabelle 11: Bezeichnung der Rollen

3.4

Sicherheitsrichtlinien

Das Dokument Informatik- und Kommunikationsmittel [3] ist integrierter Bestandteil des
Berechtigungskonzeptes.

3.5

Kritischen Transaktionen und Berechtigungsobjekten

Da diese Objekte vom jeweiligen Release abhngen, werden diese im Berechtigungshandbuch


gefhrt.
Das referenzierte Dokument [4] ist integrierter Bestandteil des Berechtigungskonzeptes.

3.6

Systemparametrisierung

Das Security Audit Log ist auf der SAP Systemen der Qualittssicherung und Produktion
eingeschaltet.
Profilparameter die fr alle SAP Systeme Gltigkeit haben:
Parameter
329961578.doc

Einstellung Bedeutung
<Version 00.20>

21/29

Berechtigungen

IT-Konzept V2.0
Kapitel 'Technischer Teil'

login/min_password_digits
login/min_password_letters

1
4

login/min_password_specials

login/min_password_diff

login/password_compliance_to_c 0
urrent_policy

login/password_max_idle_initial

Login/fails_to_session_end

Login/fails_to_user_lock

Login/failed_user_auto_unlock

Login/min_password_lng
Login/password_expiration_time

8
0

Rdisp/gui_auto_logout

10'800

Login/no_automatic_user_sapsta
r
Login/disable_multi_gui_login
Login/multi_login_users
Auth/tcodes_not_checked

Login/ext_security

0
Liste
SU53
SU56
N

Login/ticket_expiration_time

24

Auth/no_check_in_some_cases

329961578.doc

Legt die Mindestzahl von Ziffern in Kennwrter fest


Legt die Mindestzahl von Buchstaben in Kennwrter
fest
Legt die Mindeszahl von Sonderzeichen in Kennwrter
fest
Legt die Anzahl der Zeichen die beim neuen Kennwort
unterschiedlich sein mssen
Mit diesem Parameter kann gesteuert werden, ob das
System bei einer kennwortbasierten Anmeldung prfen
soll, ob das verwendete Kennwort den aktuellen
Kennwortregeln gengt und ob, falls erforderlich, der
Benutzer zur nderung des Kennworts aufgefordert
werden soll.
Legt die Gltigkeitsdauer zurckgesetzter Kennwrter
fest
Legt die Anzahl der erfolglosen Anmeldeversuche fest,
bevor das System keinen neuen Anmeldeversuche
zulsst
Legt die Anzahl der erfolglosen Anmeldeversuche fest,
bevor das System den Benutzer sperrt
Legt fest, ob Benutzersperren aufgrund erfolgloser
Anmeldeversuche um Mitternacht automatisch wieder
aufgehoben werden (0 = die Sperren bleiben wirksam).
Legt die Mindestlnge des Kennwortes fest
Legt die Gltigkeitsdauer von Kennwrtern in Tagen
fest
Legt fest, nach wie vielen Sekunden ohne Eingaben
der SAPGUI Frontend ausgeloggt wird
Kontrolle des Benutzers SAP*
Das Multi Login wird ber einen User Exit gesteuert.
Liste der Benutzer
Keine Prfung auf Berechtigungsobjekt S_TCODE fr
diese Transaktionen.
In SAP gibt es die Mglichkeit externe
Sicherheitsapplikationen bei der Identifikation eines
Anwenders zu gebrauchen. Dieser Parameter steuert,
ob eine solche Applikation verwendet wird.
Zugelassene Werte: Y, N
Dieser Parameter wird fr mySAP.com Single Sign-On
(SSO) verwendet. Es beschrnkt die Zeit (in Stunden)
die jemand am Stck am System angemeldet sein darf.
Standard ist 60 Stunden.
Dieser Parameter steuert, ob bestimmte Transaktionen
von einer Berechtigungsprfung bergangen werden
sollen. Falls der Parameter auf Y (=Yes) gesetzt ist,
sucht das System in Tabelle USOBX_C, ob die
Transaktion und das betroffene Berechtigungsobjekt
eingetragen sind. Falls ein Eintrag vorhanden ist, wird
das Objekt nicht mehr geprft, falls kein Eintrag
vorhanden ist, wird eine normale Berechtigungsprfung
<Version 00.20>

22/29

Berechtigungen

IT-Konzept V2.0
Kapitel 'Technischer Teil'

Auth/authorization_trace

auth/object_disabling_active

Auth/check_value_write_on

Auth/new_buffering

Auth/system_access_check_off

Auth/rfc_authority_check

Rec/client

ALL

durchgefhrt.
Zugelassene Werte: Y, N
Mit diesem Parameter wird der Berechtigungstrace der
Tabelle USOBX_C aktiviert.
Zugelassene Werte: Y, N
Mit diesem Parameter wird gesetzt, ob ein
Berechtigungsobjekt mit der Transaktion
AUTH_SWITCH_OBJECTS deaktiviert werden kann.
Zugelassene Werte: Y, N
Dieser Parameter wird zur Analyse von
Berechtigungsfehlern verwendet.
Zugelassene Werte: 0, 1
Mit diesem Parameter werden Berechtigungen mit
einer neuen Methode gepuffert. Fr mehr
Informationen bitte OSS-Hinweis: 0209899 lesen
Dieser Parameter kann die automatische
Berechtigungsprfung fr gewisse ABAP/4
Sprachelemente ein- und ausschalten, zum Beispiel
file operations, CPIC calls und calls to kernel functions.
Mit diesem Parameter stellt man ein, dass
Berechtigungsprfungen auf die ber RFC
angeforderte Funktion stattfinden. Das
Berechtigungsobjekt ist S_RFC und muss alle
Funktionsgruppen beinhalten, da sonst ein runtime
error erfolgt.
Mit diesem Parameter wird ein Log auf alle
Datennderungen in Tabellen erstellt. Mit Report
RSTBPROT kann man das Log analysieren.

Tabelle 12: Profilparameter

Security Audit Log


DIR_AUDIT

FN_AUDIT
Rsau / enable
Rsau / local / file

Rsau / max_diskspace /
local
Rsau / max_diskspace /
per_day
Rsau / max_diskspace /
per_file
Rsau / selection_slots

329961578.doc

Defined directory of Audit-Logs

\\usr\sap\"Client
"\D00\log

Log name and file extension


Enabling static profiles of the
Security Audit Log
Names and location of the audit files

++++++++.AUD
0 (not enabled)

Defined by
System Admin.'s
settings
Default value
1 (enabled)

\\usr\sap\"Client
"\D00\log\++++
++++.AUD
1000000

Defined by
System Admin.'s
settings
Default value

Maximum space to allocate for the


audit files
Maximum space to allocate for audit
files per day
Maximum space to allocate for each
audit file
Number of filters to allow for the
Security Audit Log

<Version 00.20>

0
0
2

23/29

Berechtigungen

IT-Konzept V2.0
Kapitel 'Technischer Teil'

Security Audit Log


Rsau / SQL-Audit /
filename
Rsau / SQL-Audit /
filesize
Rsau / SQL-Audit / logdir

Rsau / SQL-Audit /
switch

Name of SQL-Audit file


Maximum space to allocate for the
SQL Audit Log
Defined directory of SQL Audit Log

Switching SQL Audit Log on/off

SQL_+++++++
+.AUD
645 MB

Default value

\\usr\sap\"Client
"\D00\log

Defined by
System Admin.'s
settings
Default value

off

Default value

Tabelle 13: Security Audit Log

3.7

Konfiguration des Security Audit Log

Konfiguration des Audit Logs (Aktives Profil: PROD)


Auditklasse

Text

Aufzeichnung

Dialoganmeldung

Logoff Benutzer
Login erfolgreich (Typ=&A)

RFC-/CPIC-Anmeldung

Login gescheitert (Grund=&B, Typ=&A)

Benutzer nach Fehlanmeldungen gesperrt

Benutzersperre wegen Fehlanmeldung wieder


aufgehoben

RFC/CPIC Login erfolgreich (Typ=&A)


RFC/CPIC Login gescheitert, Grund=&B, Typ=&A

RFC Funktionsaufruf

Erfolgter RFC-Aufruf &C (FuGr=&A)


Gescheiterter RFC-Aufruf &C (FuGr=&A)

Transaktionsstart

Transaktion &A gestartet.


Transaktion &A gesperrt
Transaktion &A entsperrt
Start Transaktion &A gescheitert.

Reportstart

Report &A gestartet


Start Report &A gescheitert (Grund =&B)

Benutzerstammnderung

Benutzer &A gelscht.


Benutzer &A gesperrt.
Benutzer &A entsperrt.
Rechte von Benutzer &A gendert.
Benutzerstamm &A wurde gendert.
Berechtigung/Berecht.-Profil

329961578.doc

<Version 00.20>

&B angelegt
24/29

Berechtigungen

IT-Konzept V2.0
Kapitel 'Technischer Teil'

Berechtigung/Berecht.-Profil

&B gelscht

Berechtigung/Berecht.-Profil

&B gendert

Benutzer &A angelegt.


Berechtigung/Berecht.-Profil
Sonstige Ereignisse

&B aktiviert

Download &A Bytes in Datei &C


Digitale Signatur (Grund=&A, ID=&B)
Applikationsserver gestartet

Applikationsserver beendet

Digitale Signatur fehlgeschlagen (Grund=&A, ID=&B)

Tabelle 14: Konfiguration Audit Log

Fr den Benutzer NOTUSER wird je in einem Filter alles in allen Mandanten aufgezeichnet.
Die Auditlogdateien werden nach 90 Tagen gelscht (SM18 als Job).

Benutzermanagement

4.1

Benutzerverwaltung

4.1.1

Passwort vergessen

Wird via Helpdesk gemacht

4.1.2

Neuer Benutzer
???

4.1.3

Benutzerdaten ndern

Wir via ODIS Schnittstelle gemacht.

4.1.4

Benutzer Austritt

Wir via ODIS Schnittstelle gemacht.

4.2

Test User

Test User knnen nur fr die Stufe UT-UAT bestellt werden.


Bestellen via SRF oder Security Officer?
Rechte Bestellung analog Fachabteilung

4.3

Notfall User

Siehe Beilage [5] Prozessbeschrieb_RDM_v01.00.pdf


329961578.doc

<Version 00.20>

25/29

IT-Konzept V2.0
Kapitel 'Technischer Teil'

4.4

Rollenmanagement

4.4.1

Neue Rolle

Berechtigungen

Gemss Kapitel 3.1.4

4.4.2

Rolle ndern

Gemss Kapitel 3.1.4

4.5

Nicht genutzte Benutzerstammstze

Der Benutzerverwalter berprft monatlich die Liste RSUSR200 und fhrt die nachstehenden
Aktionen durch:

nach 45 Tagen nicht benutzt wird der Benutzer gesperrt

nach 90 Tagen nicht benutzt wird der Benutzer gelscht

Wir via ODIS Schnittstelle gemacht.

4.6
Periodische Vernehmlassung und Prfung der
Rollenzuordnung
Die Zuordnung der Rollen zu den Benutzern wird mindestens jhrlich einmal je Fachbereich den
Verantwortlichen zur Prfung und Korrektur unterbreitet. Basis ist der Report S_BCE_68001400 Benutzer nach komplexen Selektionskriterien mit Anzeige der zugeordneten Rollen.
Die Vernehmlassungen mit den Rckmeldungen werden in der zentralen Ablage dokumentiert.

4.7
Periodische Prfung der Einhaltung der Methoden und
Prozesse
Periodisch wird die Einhaltung der Methoden und Prozesse gemss Berechtigungskonzept und
Berechtigungshandbuch geprft, mindestens

einmal halbjhrlich intern

einmal jhrlich extern

Festgestellte Abweichungen, Vernderungen werden Massnahmen festgelegt und terminiert:

Schulung und Instruktion der Mitarbeiter

Ergnzung der Methoden und Werkzeuge, Dokumentation

Die Resultate der Prfungen werden in der zentralen Ablage dokumentiert

329961578.doc

<Version 00.20>

26/29

IT-Konzept V2.0
Kapitel 'Technischer Teil'

Berechtigungen

Anhang

5.1

Massnahmenumsetzung

5.2

Tabellenverzeichnis

Tabelle 1: Referenzierte Dokumente

Tabelle 2: Technische Benutzer

Tabelle 3: Test Benutzer

Tabelle 4: Spezielle SAP Benutzer

10

Tabelle 5: SAP Notfall Benutzer

11

Tabelle 6: SAP Benutzertypen

12

Tabelle 7: Benutzergruppe

12

Tabelle 8: SAP Benutzertypen Systemvermessung

13

Tabelle 9: Zentrale Benutzerverwaltung

14

Tabelle 10: Bezeichnung der Rollen

22

Tabelle 11: Bezeichnung der Rollen

22

Tabelle 12: Profilparameter

24

Tabelle 13: Security Audit Log

25

Tabelle 14: Konfiguration Audit Log

26

Tabelle 14: Glossar

29

5.3

Abbildungsverzeichnis

Abbildung 1: Berechtigungsvergabe

Abbildung 2: Organisation - System

Abbildung 3: Zentrale Benutzerverwaltung

13

Abbildung 4: Prozess Rolle erstellen

17

Abbildung 5: Prozess Rolle vergabe

20

Abbildung 6: Prozess Rollentransport

20

5.4

Glossar

Abkrzung

Erluterung

BENV

Benutzerverwalter

BERV

Berechtigungsverwalter

329961578.doc

<Version 00.20>

27/29

IT-Konzept V2.0
Kapitel 'Technischer Teil'

Berechtigungen

ZBV

Zentrale Benutzerverwaltung

TMS

Transport Management System

Tabelle 15: Glossar

329961578.doc

<Version 00.20>

28/28