SAP BerechtigungskonzeptV02

Schweizerische
Socit suisse
Societ svizzera
Swiss Life
Lebensversicherungs-
d'Assurances gnrales
di Assicurazioni generali
Insurance and Pension
und Rentenanstalt
sur la vie humaine
sulla vita dell'uomo
Company
SAP Berechtigungskonzept
IT-Konzept
<Version 00.20>
Dokumentenmanagement
Version
<Version 00.20>
Datum
Ersteller
Verwendete Vorlage
Heinz Imesch
Berechtigungen
IT-Konzept V2.0
nderungsnachweis
Version
Beschreibung der nderung
Datum
Autor(en)
00.10
Erste Version fr Workshop
28.11.2014
H. Imesch
00.20
Feedback Workshop 2.12.2014
Inhaltsverzeichnis
1
Dokumentinformation............................................................................................................................ 4
1.1
Zweck des Dokuments...................................................................................................................... 4
1.2
Gltigkeitsbereich............................................................................................................................. 4
1.3
Zielpublikum, Voraussetzungen an den Leser..................................................................................4
1.4
Abgrenzung...................................................................................................................................... 5
1.5
Referenzierte Dokumente................................................................................................................. 5
Methodischer Teil................................................................................................................................... 5
2.1
Definition Rollenkonzept................................................................................................................... 5
2.2
Organisation System...................................................................................................................... 6
2.3
Umsetzung in Projekten.................................................................................................................... 7
2.4
Umsetzung im Betrieb....................................................................................................................... 7
Technischer Teil...................................................................................................................................... 7
3.1
Benutzer........................................................................................................................................... 7
3.1.1
Richtlinien fr Benutzerstammstze..........................................................................................7
3.1.1.1
Normale End-Benutzer........................................................................................................................... 7
3.1.1.2
Technische Benutzer.............................................................................................................................. 8
3.1.1.3
Ausgetretene Benutzer.......................................................................................................................... 9
3.1.1.4
Test Benutzer......................................................................................................................................... 9
3.1.1.5
Schulungsbenutzer Benutzer................................................................................................................. 9
3.1.1.6
Spezielle SAP Benutzer......................................................................................................................... 9
3.1.1.7
Notfalluser............................................................................................................................................ 10
3.1.2
Benutzertypen......................................................................................................................... 11
3.1.3
Benutzergruppen.................................................................................................................... 12
3.1.3.1
3.1.4
3.2
Benutzertypen Systemvermessung.....................................................................................................12
Zentrale Benutzerverwaltung (ZBV)........................................................................................ 13
Berechtigungen............................................................................................................................... 14
3.2.1
329961578.doc
Definitionen............................................................................................................................. 14
<Version 00.20>
2/29
IT-Konzept V2.0
3.2.2
Rollenverantwortliche und System-Owner..............................................................................14
3.2.3
Berechtigungsverwalter (BERV).............................................................................................. 15
3.2.4
Benutzerverwalter BENV........................................................................................................ 17
3.2.5
Test- und Transportstrategie................................................................................................... 20
3.3
Namenskonventionen..................................................................................................................... 21
3.3.1
Benutzer.................................................................................................................................. 21
3.3.2
Rollen...................................................................................................................................... 21
3.4
Sicherheitsrichtlinien....................................................................................................................... 22
3.5
Kritischen Transaktionen und Berechtigungsobjekten....................................................................22
3.6
Systemparametrisierung................................................................................................................. 22
3.7
Konfiguration des Security Audit Log.............................................................................................. 25
Benutzermanagement.......................................................................................................................... 26
4.1
Berechtigungen
Benutzerverwaltung........................................................................................................................ 26
4.1.1
Passwort vergessen................................................................................................................ 26
4.1.2
Neuer Benutzer....................................................................................................................... 26
4.1.3
Benutzerdaten ndern............................................................................................................. 26
4.1.4
Benutzer Austritt...................................................................................................................... 26
4.2
Test User......................................................................................................................................... 26
4.3
Notfall User..................................................................................................................................... 27
4.4
Rollenmanagement......................................................................................................................... 27
4.4.1
Neue Rolle.............................................................................................................................. 27
4.4.2
Rolle ndern............................................................................................................................ 27
4.5
Nicht genutzte Benutzerstammstze.............................................................................................. 27
4.6
Periodische Vernehmlassung und Prfung der Rollenzuordnung...................................................27
4.7
Periodische Prfung der Einhaltung der Methoden und Prozesse..................................................27
Anhang.................................................................................................................................................. 28
5.1
Massnahmenumsetzung................................................................................................................. 28
5.2
Tabellenverzeichnis......................................................................................................................... 28
5.3
Abbildungsverzeichnis.................................................................................................................... 28
5.4
Glossar........................................................................................................................................... 28
329961578.doc
<Version 00.20>
3/29
IT-Konzept V2.0
Kapitel 'Technischer Teil'
Berechtigungen
Dokumentinformation
1.1
Zweck des Dokuments
Dieses Berechtigungskonzept dient als Grundlage fr die Spezifikation und Umsetzung der SAP
Berechtigungen. Die Implementierung legt Regeln fr die praktische Umsetzung des SAPBerechtigungssystems fest und obliegt folgenden Grundstzen:
Dieses Konzept beruht auf der Definition der organisatorischen Stellen durch die
Fachabteilungen.
Zur Ausbung der Ttigkeiten einer organisatorischen Stelle in den Systemen wird dem
Benutzer ein entsprechendes Anwendungsrecht bertragen
Das Anwendungsrecht besteht technisch aus entsprechende(n) Sammelrrolle(n), welche
ihrerseits Einzelrollen enthalten.
Das Konzept geht von einer zentralen Pflege der Berechtigungen bzw. Rollen aus.
Das Konzept stellt organisatorische Hilfsmittel bereit, welche fr die Erstellung von Rollen und
Berechtigungen bentigt werden.
Smtliche Ablufe und Ausfhrungen beruhen auf einer Revisionstauglichkeit.
Die rechtlichen und betrieblichen Anforderungen des Datenschutzes, der Vertraulichkeit und
Sicherheit, risikogerecht sicherstellen.
Die Dokumentation der Berechtigungen im SAP Umfeld wird in zwei Dokumente unterteilt:
Das Berechtigungskonzept enthlt die Grundlagen, im Wesentlichen sind dies die

statischen Teile des Berechtigungskonzepts (prinzipieller Aufbau der
Berechtigungsarchitektur, Organisation, allgemeines Vorgehen, usw.).
Das Berechtigungshandbuch enthlt die dynamischen Teile des Berechtigungskonzepts

(konkretes Vorgehen bei der Berechtigungsimplementation, Ablufe, usw.).
Diese zwei Dokumente enthalten smtliche Informationen, welche beispielsweise eine

Stellvertretung des Berechtigungsadministrators bentigt (Voraussetzung: Kenntnisse in der
Anwendung und im Umgang mit dem Profilgenerator).
1.2
Gltigkeitsbereich
Dieses Dokument bezieht sich auf smtliche durch IFS verantworteten Systeme SAP Systeme der
Swiss Life.
Das Dokument bercksichtigt auch Neuerungen, welche mit dem Release ERP ECC eingefhrt
wurden. Die zur Verfgung stehenden Hilfsmittel werden von SAP kontinuierlich weiterentwickelt,
so dass zu einem spteren Zeitpunkt dieses Dokument unter Umstnden ergnzt oder verndert
werden muss.
1.3
Zielpublikum, Voraussetzungen an den Leser
Dieses Dokument ist an jene Personen gerichtet, welche sich mit der Thematik Berechtigungen
organisatorisch befassen (Fachabteilung, key user, super user) oder mit der technischen
Umsetzung von Berechtigungen (Modulverantwortliche, Berechtigungsadministrator) beauftragt
329961578.doc
<Version 00.20>
4/29
Berechtigungen
IT-Konzept V2.0
sind. Von den Lesern dieses Dokumentes werden grundstzliche Kenntnisse der SAP
Berechtigungsarchitektur erwartet.
1.4
Abgrenzung
Die Berechtigungsvergabe auf Stufe Betriebssystem und Datenbank werden in den

Betriebshandbchern Betrieb und Basis beschrieben und ist nicht Teil dieses Konzepts.
User
Berechtigungen
Zustndig fr Vergabe
User Fachbereich
Fachbereich
Fachbereich
Sonderberechtigungen
SAP CCoE
User SAP CCoE

BerechtigungenSAP CCoE
Technische User
Technische Berechtigungen
User Datenbank
DB-Berechtigungen
Betrieb und Basis
User Operation System
OS- Berechtigungen
Outsourcer
Abbildung 1: Berechtigungsvergabe
1.5
Referenzierte Dokumente
Nr.
Dokument
[1]
RollenStruktur_1.6.xlsx
[2]
[3]
[4]
Berechtigungshandbuch (muss beim Rollenbau erstellt werden)
[5]
Prozessbeschrieb_RDM_v01.00.pdf
Tabelle 1: Referenzierte Dokumente
Methodischer Teil
2.1
Definition Rollenkonzept
Ein Mitarbeiter eines Unternehmens hat in der Regel diverse Aufgaben zu erfllen. Diese Aufgaben
sind einerseits abhngig von seiner Stellung in der Firma anderseits von den
Unternehmensprozessen selber.
Ein Mitarbeiter kann prozessbergreifende Aufgaben haben, und fr gewisse Aufgaben knnen
unternehmensbergreifende Zugriffsrechte notwendig sein. Die Summe aller Aufgaben eines
329961578.doc
<Version 00.20>
5/29
Berechtigungen
IT-Konzept V2.0
Mitarbeiters definiert sei Jobprofil. Ein Jobprofil kann in Zustndigkeiten aufgeteilt werden. Eine
Sammelrolle beschreibt eine Position des Mitarbeiters in einer Unternehmensorganisation und in
einem Hauptprozess, z.B. FI Debitorenbuchhalter Bei prozessbergreifenden Aufgaben kann ein
Mitarbeiter somit auch mehrere Rollen haben. Eine Rolle wiederum besteht aus verschiedenen
Funktionen, in denen eine oder mehrere Aufgaben enthalten sind.
Beispiel:
Herr XY ist Team Leiter Buchhaltung. In seiner Stelle als Team Leiter Buchhaltung, hat er unter
anderem die Rolle eines Debitorenbuchhalters.
Position Stelle
-
Team Leiter Buchhaltung

Debitorenbuchhalter
Funktion -
Stammdatenpflege
Aufgabe -
Debitoren erfassen
In den SAP Berechtigungen knnen die oben beschriebenen organisationalen Elemente, wie
Rolle, Funktion und Aufgabe unternehmensspezifisch abgebildet werden. Einem Anwender
(=Zustndigkeit) wird eine oder mehrere Sammelrollen (=Rollen) zugewiesen. Die Sammelrolle
besteht aus einer oder mehreren Einzelrollen (=Funktionen) und diese setzen sich wiederum aus
einer oder mehreren Transaktionen (=Aufgaben) zusammen.
2.2
Organisation System
Grundstzlich gilt es zwei Ebenen zu betrachten, die Organisation und das System. In der
folgenden Abbildung werden diese beiden Ebenen mit ihren Strukturen verglichen, wobei die
Beziehung von einem Element zum nchsten immer von links nach rechts und optimaler Weise im
Verhltnis 1 zu n stehen sollte. Damit werden Redundanzen bei der Transaktionsvergabe pro Rolle
minimiert. Um diese Anforderungen erfllen zu knnen, kommt es auf die Granularitt der
Einzelrollen an. Je kleiner die Einzelrolle desto kleiner die Wahrscheinlichkeit von redundanten
Transaktionen.
Ein Mitarbeiter kann mehrere Zustndigkeiten bekleiden, d.h. eine Stelle muss nicht
zwingendermassen einer 100% Planstelle entsprechen sondern kann eine Teilstelle darstellen.
Abbildung 2: Organisation - System
329961578.doc
<Version 00.20>
6/29
IT-Konzept V2.0
2.3
Berechtigungen
Umsetzung in Projekten
Die Umsetzung der Berechtigungen in SAP Projekten wird nach folgenden Hauptpunkten
durchgefhrt.
1. Erfassen der gesamten im Projekt einzufhrenden Funktionalitt im SAP durch das
Projektteam
2. Definition der Prozesse, Funktionen und Aufgaben in den betroffenen Bereichen
3. Definition der Rollen systemtechnisch im SAP
Erfassen der Funktionen und Transaktionen, die einer Rolle zugewiesen werden
sollen
Erfassen der relevanten Berechtigungen je Rolle und Einheit
4. Technische Erstellung der Rollen im SAP

5. Testen der Rollen im SAP
6. Anwendererstellung und Rollenzuweisung im SAP
7. Support
Fr die Umsetzung steht folgendes Hilfsmittel zur Verfgung:
Dokument [1] RollenStruktur_1.6.xlsx
2.4
Umsetzung im Betrieb
Nach dem Projektabschluss sind fr den Betrieb folgende Punkte zu beachten:
bergabe der Projektdokumentation an den Betreiber.
Definierte und kommunizierte Ownership der Rollenzuteilung
Definierte und kommunizierte Prozesse fr Rollennderungen und Rollenzuteilungen
Periodische Vernehmlassung und Prfung der Rollenzuteilungen durch die

Bereichsverantwortlichen, siehe auch Kapitel 4.6
Periodische Prfung der Einhaltung der Methoden und Prozesse, siehe auch Kapitel 4.7
Technischer Teil
3.1
Benutzer
3.1.1
Richtlinien fr Benutzerstammstze
3.1.1.1
Normale End-Benutzer
Fr alle Benutzer, die ein Benutzerkonto im SAP bekommen, muss ein Benutzerantrag vorliegen
[Referenziertes Dokument ??.
329961578.doc
<Version 00.20>
7/29
IT-Konzept V2.0
3.1.1.2
Berechtigungen
Technische Benutzer
Technische Benutzer (z.B. Benutzer fr die Hintergrundverarbeitung, Schnittstellen etc.) mssen

eindeutig von den Benutzerkennungen fr Dialogbenutzer unterschieden werden. Dies muss durch
Eine entsprechende Namenskonvention,
Benutzergruppen und
Rollen
gewhrleistet sein. Fr jede Benutzerkennung muss ein verantwortlicher Bereich definiert werden,
auch wenn die Benutzerkennung nicht fr eine interaktive Anmeldung verwendet wird.
Bei den Benutzern fr die Hintergrundverarbeitung wird unterschieden zwischen
Initiatoren einer Job- bzw. Step-Einplanung

Benutzer, der einen Job oder Job-Step einplant. Dies ist aber nicht der Benutzer, unter dessen
Berechtigungen der Job abluft.
Ein Endbenutzer bentigt die Berechtigungen, um den Initiator einer Job- bzw. StepEinplanung verwenden zu knnen. Der Initiator einer Job- bzw. Step-Einplanung muss ber die
Berechtigungen verfgen, einen Step-User (Hintergrundbenutzername fr
Berechtigungsberprfung) fr einen Job verwenden zu knnen.
Hintergrundbenutzername fr Berechtigungsberprfung
Benutzer, mit dessen Berechtigungen ein Job verarbeitet wird.
Kommunikationsuser werden fr die Kommunikation zwischen
SAP -> SAP
Non-SAP -> SAP
verwendet.
Die Namenskonvention fr Technische Benutzer mssen folgendermassen aufgebaut werden:
Stelle
Bedeutung
Mgliche Werte
Batch-, oder Kommunikationsuser
B: Batch, R: Kommunikation
2-4
Verwaltende Organisation
z.B. CT fr zentrale IT
5-7
Prozess
z.B. XBC
8-9
Rufende Organisation
z.B. L1
10-11
Laufende Nummerierung
01
Tabelle 2: Technische Benutzer
So ergibt sich z.B. der Benutzername RCTXBCL101.

Diese Namenskonvention hat den erheblichen Vorteil, dass klar definiert ist, wer fr diesen
Benutzer verantwortlich ist und fr welchen Prozess er eingesetzt wird. Die Auswertbarkeit wird
erheblich vereinfacht.
329961578.doc
<Version 00.20>
8/29
IT-Konzept V2.0
3.1.1.3
Berechtigungen
Ausgetretene Benutzer
Benutzer werden aus Revisionsgrnden nie gelscht. Bei diesen Benutzern wird das
Gltigkeitsdatum auf das Austrittsdatum gesetzt und alle Rollen entfernt.
3.1.1.4
Test Benutzer
Diese Art von Benutzern wird fr Tests, z.B. das Testen von Berechtigungsrollen, bentigt. Fr den
Zeitraum des Tests werden diesem Benutzer die erforderlichen Rollen zugewiesen und nach dem
Test wieder entzogen. Die Anzahl der Test-Benutzer sollte so gering wie mglich gehalten werden.
Die Verwaltung der Test-Benutzer obliegt dem Security-Manager SAP CCoE.
Die Namenskonvention fr Test Benutzer sollte folgendermassen aufgebaut werden:
Stelle
Bedeutung
Mgliche Werte
Test Benutzer
2-4
Verwaltende Organisation
z.B. CT fr zentrale IT
5-7
Prozess
z.B. XBC
8-9
Rufende Organisation
z.B. L1
10-11
Laufende Nummerierung
01
Tabelle 3: Test Benutzer
3.1.1.5
Spezielle SAP Benutzer
Benutzer
Beschreibung
SAP*
Zum Schutz des SAP-Standardbenutzers SAP* sollten folgende Manahmen

ergriffen werden:
Fr den Benutzer SAP* muss ein Benutzerstammsatz angelegt werden.
Fr den Benutzer SAP* drfen keine Rollen/Profile vergeben werden.
Fr den Benutzer SAP* muss ein nicht-triviales Kennwort vergeben werden und
an einem sicheren Ort hinterlegt werden.
Der Benutzer SAP* muss einer administrativen Benutzergruppe zugeordnet

werden.
Der Benutzer SAP* ist zu sperren.
Darber hinaus muss die automatische Anlage nach der Lschung des
Benutzerstammsatzes durch Setzen des Systemprofilparameters
login/no_automatic_user_sapstar au den Wert 1 verhindert werden (der
automatische Benutzer SAP* wird dadurch deaktiviert).
DDIC
329961578.doc
Der SAP-Standardbenutzer DDIC (Benutzertyp System) wird fr weite Bereiche des

ABAP Dictionary und des TMS bentigt. Aus diesem Grund bentigt dieser Benutzer
umfangreiche Systemrechte, die ber die in den Benutzerprofilen hinterlegten
Rechte hinausgehen. Die Verwendung des SAP-Standardprofils sap_all fr diesen
<Version 00.20>
9/29
Berechtigungen
IT-Konzept V2.0
Benutzer wird ausdrcklich empfohlen.

Um diese Benutzerkennung zu schtzen, muss ein nicht-triviales Kennwort
vergeben und an einem sicheren Ort aufbewahrt werden. Die Benutzerkennung
muss einer administrativen Benutzergruppe zugeordnet sein. Die Verwendung der
Benutzerkennung DDIC sollte sowohl systemseitig protokolliert als auch ber
organisatorische Manahmen geregelt werden. Die Benutzerkennung DDIC darf
nicht fr Notfallbenutzereinstze verwendet werden.
SAPCPIC
Der Benutzer SAPCPIC wird bei der Installation als SAP-Standardbenutzer angelegt
und kann nicht fr Dialoganmeldungen genutzt werden. Er wird von eigenen
Programmen und Funktionsbausteinen fr die Systemkommunikation verwendet.
Um diesen Benutzer zu schtzen, sollte das bekannte Standardkennwort dieses
Benutzers gendert werden. Sollte die Benutzerkennung gesperrt werden, muss vor
dieser Umsetzung die aktuelle Version des SAP Hinweises 29276 auf eventuelle
Einschrnkungen bzw. Auswirkungen hin geprft werden.
WF-BATCH Dieser Standardbenutzer wird fr das automatische Workflow-Customizing bentigt.

Dieser Benutzer hat entsprechend den Empfehlungen der SAP den Benutzertyp
System (B) und das SAP-Standardprofil SAP_ALL. Es gelten die gleichen
Absicherungen wie fr die brigen Standardbenutzer.
Tabelle 4: Spezielle SAP Benutzer
3.1.1.6
Notfalluser
Notfalluser drfen nicht fr den tglichen Einsatz, sondern nur im echten Notfall zur Sicherung des
Tagesgeschftes verwendet werden. Der Einsatz dieser Notfalluser wird protokolliert und
ausgewertet. Details zur Freischaltung siehe Kapitel 4.3.
Benutzer
SAP_WALLDOR1
Beschreibung
Notfalluser fr Support von SAP
SAP_WALLDORF
EMERGENCY_01
Notfalluser haben die Berechtigung SAP_ALL. Im System gibt es je

Mandant bis zu 4 Notfalluser
EMERGENCY_02
EMERGENCY_03
EMERGENCY_04
Tabelle 5: SAP Notfall Benutzer
Im Auditlog ist je ein Filter fr jeden Nofalluser (Mandant: *) permanent aktiviert.
329961578.doc
<Version 00.20>
10/29
IT-Konzept V2.0
3.1.2
Berechtigungen
Benutzertypen
In SAP knnen verschiedene Benutzertypen definiert werden. Und jedes Benutzerkonto ist genau
einem Benutzertyp zugeordnet ist. In der Regel ist Dialog-Benutzertyp der am hufigsten benutzte
Typ.
Benutzertyp
Dialog (Typ 'A')
System (Typ 'B')
Kommunikation (Typ 'C')
Service (Typ 'S)
Referenz (Typ 'L')
Beschreibung
Ein normaler Dialogbenutzer wird von genau einer Person
verwendet.
Bei der Dialoganmeldung erfolgt die Prfung auf abgelaufene/initiale
Kennwrter mit der Mglichkeit das Kennwort zu ndern.
Mehrfache Dialoganmeldungen werden berprft und
gegebenenfalls protokolliert.
Der Dialogtyp wird fr den Swiss Life Anwender verwendet.
Ein Benutzertyp System wird fr die dialogfreie Kommunikation
innerhalb eines Systems (fr RFC bzw. CPIC Service-User) bzw. fr
die Hintergrundverarbeitung innerhalb eines Systems verwendet.
Eine Dialoganmeldung ist nicht mglich. Ein Benutzer dieses Typs ist
von den allgemeinen Einstellungen zur Gltigkeitsdauer eines
Kennworts ausgeschlossen. Das Kennwort kann nur durch
Benutzeradministratoren gendert werden.
Der Benutzertyp Kommunikation wird fr dialogfreie Kommunikation
zwischen Systemen verwendet, z.B.: fr RFC bzw. CPIC ServiceUser verschiedener Anwendungen z.B. ALE, Workflow, TMS, ZBV.
Eine Dialoganmeldung ist nicht mglich.
Ein Benutzer vom Typ Service ist ein Dialogbenutzer, der einem
anonymen, grsseren Nutzerkreis zur Verfgung steht. In der Regel
sollten nur stark eingeschrnkte Berechtigungen vergeben werden.
Servicebenutzer werden z.B. fr anonyme Systemzugnge ber
einen ITS-Service verwendet. Nach einer individuellen
Authentifizierung kann eine mit einem Servicebenutzer begonnene
anonyme Sitzung als personenbezogene Sitzung unter einem
Dialogbenutzer weitergefhrt werden. Bei der Anmeldung erfolgt
keine Prfung auf abgelaufene/initiale Kennwrter. Nur der
Benutzeradministrator kann das Kennwort ndern.
Eine Mehrfachanmeldung ist zulssig.
Ein Referenzbenutzer ist wie der Servicebenutzer ein allgemeiner,
nicht personenbezogener Benutzer. Mit einem Referenzbenutzer
kann man sich nicht im Dialog anmelden. Der Referenzbenutzer
dient nur der zustzlichen Vergabe von Berechtigungen.
Referenzbenutzer werden eingesetzt, um Internetbenutzer mit
identischen Berechtigungen auszustatten.
Einem Dialogbenutzer kann in der Rollen-Sicht ein Referenzbenutzer
zugeordnet werden. Damit erhlt der Dialogbenutzer die Rechte des
zugeordneten Referenzbenutzers. Im Allgemeinen kontrolliert die
Anwendung die Zuweisung von Referenzbenutzern. Der Name des
Referenzbenutzers kann ber Variablen zugewiesen werden. Die
Variablen mssen mit "$" beginnen. Die Zuordnung Variable Referenzbenutzer wird in der Transaktion SU_REFUSERVARIABLE
vorgenommen.
Tabelle 6: SAP Benutzertypen
329961578.doc
<Version 00.20>
11/29
IT-Konzept V2.0
3.1.3
Berechtigungen
Benutzergruppen
Mithilfe von Benutzergruppen kann dem jeweiligen Benutzeradministrator das Recht zugeordnet
werden, Benutzer einer Gruppe anzulegen und zu ndern.
Bei der SL Gruppe wird jeder Benutzer einer Benutzergruppe zugeordnet. Die einzelnen
Benutzergruppen mssen in allen Systemen und Mandanten vorhanden sein.
Jeder Benutzer ist einer Benutzergruppe zugewiesen gemss folgender Tabelle.
Folgende Namenskonvention gilt fr die Benutzergruppen:
Stelle
Bedeutung
Mgliche Werte
1-2
Verwaltende Organisationseinheit (zwingend)
CH
3-10
Beschreibung
10-11
Zhler
01
Tabelle 7: Benutzergruppe
3.1.3.1
Benutzertypen Systemvermessung
Kategorie Bezeichnung
Verwendung
AX
mySAP ERP Professional
Fachabteilung, SAP CCC, SAP Berater
AY
mySAP ERP Limited Professional
Fachabteilung
AZ
mySAP ERP Employee
ESS-User
BA
mySAP ERP Developer
Entwickler
FI
SAP PSS/Collaborator User
Fachabteilung
91
Test
Administratoren, System User, externe

Revisoren
Tabelle 8: SAP Benutzertypen Systemvermessung
In die Kategorie 91 (Test) gehren smtliche spezielle SAP Benutzer (SAP*, DDIC, TMSADM)
3.1.4
Zentrale Benutzerverwaltung (ZBV)
Smtliche SAP Systeme sind in einer zentralen Benutzerverwaltung (ZBV) eingebunden. Darin
werden die Stammdaten der Benutzer sowie die Zuweisung der Rollen auf die
Benutzerstammstze gepflegt.
Andere Daten, welche der User selber pflegen kann, sind so eingestellt, dass eine Pflege auf dem
Zielsystem automatisch eine nderung in der ZBV zur Folge hat.
Der Berechtigungsverwalter (BERV) erffnet und pflegt die einzelnen Rollen im Rollen Master
(jeweiliges Entwicklungssystem).
Der Benutzerverwalter (BENV) legt in der zentralen Benutzerverwaltung die einzelnen Benutzer an
und weist ihnen die entsprechenden Rollen zu.
329961578.doc
<Version 00.20>
12/29
Berechtigungen
IT-Konzept V2.0
Abbildung 3: Zentrale Benutzerverwaltung
Die Kommunikation zwischen der ZBV und alle Tochtersysteme luft via einer Trusted Verbindung. Somit werden die nderungsbelege im Tochtersystem den gleichen Benutzer wie in
der ZBV enthalten.
Funktion in ZBV
Log. System
Beschreibung
Zustand
Zentralsystem
SSMCLNT999
SSM Mandant 999
aktiv
Tochtersystem
EB1CLNT010
EB1 Mandant 010
aktiv
Tochtersystem
TB1CLNT010
TB1 Mandant 010
aktiv
Tochtersystem
PB1CLNT010
PB1 Mandant 010
aktiv
Tochtersystem
Tochtersystem
Tochtersystem
Tabelle 9: Zentrale Benutzerverwaltung
3.2
Berechtigungen
Smtliche Rollen (Einzel- wie auch Sammelrollen) werden im Rollen Master angelegt und gepflegt.
Die Rollen werden nach jeder nderung per Transportauftrag auf die Zielsysteme transportiert.
Mehrere Einzelrollen werden zu Sammelrollen zusammengefasst.
Eine Rolle mit dem dazugehrenden Benutzermen sollte nach Mglichkeit einer Stellen-/
Funktionsbeschreibung, zum Beispiel: Personalsachbearbeiter oder Buchhalter oder einer
spezifischen zugeordneten Aufgabe, zum Beispiel Zahlungen freigeben, entsprechen.
329961578.doc
<Version 00.20>
13/29
IT-Konzept V2.0
3.2.1
Berechtigungen
Definitionen
Kritische Transaktionen, Reports und Berechtigungsobjekte knnen bei Missbrauch oder

unvorsichtiger Handhabung grossen Schaden am Produktivsystem anrichten. Dies kann sich auf
die Verfgbarkeit oder Leistungsfhigkeit des Systems sowie auf die Datenintegritt auswirken.
Solche kritische Transaktionen und Reports knnen im Produktivsystem gesperrt werden oder die
Zuordnung auf einen klar definierten Anwenderkreis eingeschrnkt werden. Dabei ist der
Rollenzuweisungsprozess mit seinen Verantwortlichkeiten wichtig.
Kritische Berechtigungsobjekte werden jedoch zum Teil fr nicht-kritische Transaktionen
verwendet, sodass ein allgemeines Sperren nicht mglich ist. Daher ist es wichtig, kritische
Berechtigungsobjekte zu identifizieren und die Vergabe davon soweit wie mglich einzuschrnken.
Die Berechtigungsobjekte sollten nach Mglichkeit keine Wildcard Werte * enthalten, es sollten
nur einzelne Werte definiert werden.
Im Berechtigungshandbuch, referenzierte Dokument [4], befindet sich eine Zusammenstellung von
kritischen Transaktionen und Berechtigungsobjekten, ohne den Anspruch auf Vollstndigkeit zu
haben.
3.2.2
Rollenverantwortliche und System-Owner
Fr jede (Referenz-) Rolle wird ein Rollenverantwortlicher definiert. Nur der Rollenverantwortliche
darf an den Berechtigungsverwalter einen schriftlichen Auftrag fr das Anlegen, ndern oder
Lschen von Rollen erteilen. Der Rollenverantwortliche fr alle definierten Rollen ist bis zur
Delegation der System-Owner.
Der Rollenverantwortliche wird in der (Referenz-) Rolle im Feld Beschreibung Langtext
festgehalten.
Der System-Owner bestimmt die Berechtigungsverwalter und die Benutzerverwalter.
3.2.3
Berechtigungsverwalter (BERV)
Die Berechtigungsverwaltung der Applikationen auf den SAP Systemen wird durch die so
genannten Berechtigungsverwalter, im Anschluss BERV genannt, wahrgenommen.
Die Berechtigungsverwalter nehmen folgende Rollen wahr:
sind direkte Ansprechpartner des Owners (Rollenverantwortlichen)
sind verantwortlich fr die Benutzerverwalter BENV der Anwendungen/Applikationen
stellen ihre Stellvertretung sicher
Die Berechtigungsverwalter haben folgende Aufgaben und Berechtigungen:
Rollen anzeigen, anlegen und ndern (PFCG) nur im Rollen Master nur im eigenen
Namensraum
In einem Tochtersystem / Zielsystem drfen die Rollen nur angezeigt werden
in Rollen die Transaktionsauswahl und Berechtigungsdaten ndern
zu Berechtigungsdaten bestehender Rollen die Berechtigungen und Berechtigungsprofile

generieren, die seinem Bereich entsprechen
329961578.doc
<Version 00.20>
14/29
IT-Konzept V2.0
Berechtigungen
Benutzerinformationssystem aufrufen
Testbenutzer anlegen sowie eigene Rollen zuweisen
Transportauftrge fr Rollen anlegen
Nicht zulssig sind folgende Aufgaben:
Rollen Download und Upload
Zuweisung von Berechtigungen fr die Berechtigungsverwaltung
Sind die Business-Anforderungen geprft und entweder in Form einer neuen oder der Anpassung
einer bestehenden Rolle (gilt nach Projektabschluss) umgesetzt worden, wird der folgende
technische Prozess durchlaufen.
Prozess Rollen erstellen allgemein und Swiss Life im Workshop zu definieren
329961578.doc
<Version 00.20>
15/29
IT-Konzept V2.0
329961578.doc
Berechtigungen
<Version 00.20>
16/29
IT-Konzept V2.0
Berechtigungen
Abbildung 4: Prozess Rolle erstellen
3.2.4
Benutzerverwalter BENV
Die Benutzerverwaltung wird zentral wahrgenommen. Die Benutzerverwalter knnen die Rollen
nur zuweisen und anzeigen.
Die Benutzerverwalter haben folgende Aufgaben und Berechtigungen:

-
Benutzer anlegen und ndern (SU01)

Benutzern Rollen zuordnen
Rollen und Profile anzeigen
Benutzerstammabgleich durchfhren
Benutzerinformationssystem aufrufen
Nicht zulssig sind folgende Aufgaben:

-
Daten zur Rolle ndern

Profile ndern oder generieren
Die Anforderungen an einen Benutzerverwalter sind:

-
Kenntnisse der internen Ablufe und Prozesse

Umgang mit SAP-Benutzerverwaltung (Benutzer anlegen/ndern/lschen)
Bei Neueintritten / Transfers oder auch fr die Zuteilung einer zustzlichen Rolle zum bestehenden
Benutzer-Profil wird ein entsprechender Antrag erstellt. Die Genehmigung des Antrages wird bis
zur Delegation durch den System-Owner wahrgenommen.
Folgender technische Prozess wird durchlaufen.
Prozess Benutzer erstellen allgemein und Swiss Life im Workshop zu definieren
329961578.doc
<Version 00.20>
17/29
IT-Konzept V2.0
329961578.doc
Berechtigungen
<Version 00.20>
18/29
IT-Konzept V2.0
Berechtigungen
Abbildung 5: Prozess Rolle vergabe
3.2.5
Test- und Transportstrategie
Rollen werden nur im Entwicklungssystem gepflegt und anschliessend gemss Figur unten in der
Systemlandschaft transportiert.
Die Rollenpflege ist nicht direkt ans Transportsystem angebunden (Customizingeinstellung),
dadurch wird bei einer nderung einer Rolle nicht automatisch ein Transportauftrag erzeugt. Dies
hat den Vorteil, dass bei der Zuordnung einer Rolle an einen Benutzer kein Transportauftrag
erzeugt wird.
Abbildung 6: Prozess Rollentransport
Der Berechtigungstest ist ein Bestandteil der Einfhrung. Auf jeden Fall muss der
Berechtigungstest sptestens vor dem Integrationstest eingeplant werden. Dies hat die folgenden
Vorteile:
329961578.doc
<Version 00.20>
19/29
IT-Konzept V2.0
Berechtigungen
Kosteneffizientes Testen
Die einzelnen Berechtigungen werden nicht mehrfach getestet
Unmittelbares Feedback; dadurch kann das Customizing oder die entsprechende

Berechtigung angepasst werden
Verfgbarkeit einer produktionsnahen Testumgebung
Der Integrationstest kann mit den definitiven Berechtigungen durchgefhrt werden
Das Testkonzept besteht aus den folgenden Phasen:
Die Fachabteilung fhrt einen Systemtest durch. Mit diesem Test soll grob ermittelt werden,
ob die erstellten Berechtigungen den Anforderungen gengen. Dieser Test erbrigt sich,
wenn die Rollen in enger Zusammenarbeit der Fachabteilung mit dem SAP CCC definiert
wurden.
Ausgewhlte Testbenutzer testen die Rollen in ihrem definierten SAP Tagesgeschft. Diese
Tests werden von der Fachabteilung und dem SAP CCC betreut und dokumentiert. Bei
Fehlern in der Berechtigungsvergabe werden die Rollen unmittelbar angepasst und die
Tests fortgesetzt.
3.3
Namenskonventionen
3.3.1
Benutzer
3.3.2
Rollen
Bezeichnung der Einzelrollen:

Stelle
Bezeichnung
Beschreibung
<Z>
Fixes Zeichen (Z)
<Version>
Rollenversion, fortlaufende Nummer
<_>
Fixes Zeichen (Unterstrich)
<Kennzeichen>
Rollentyp (Mutterrolle, Tochterrolle, Portalrolle,)
<Kennzeichen>
Mutationstyp (Mutieren,Anzeigen)
<_>
<Kennzeichen>
Datentyp (Bewegungsdaten, Stammdaten, Customizing)
<Kennzeichen>
Sicherheit (kritisch, unkritisch)
<_>
10-11
<Kennzeichen>
Modul, Bereich (FI,CO,MM,SD, BC,)
12
<_>
13-30
<Krzel>
Krzel Einzelrolle (falls nicht abgeleitet) => max. 18 Zeichen)
13-27
<Krzel>
Krzel Einzelrolle (falls abgeleitet) => max. 15 Zeichen)
329961578.doc
<Version 00.20>
20/29
IT-Konzept V2.0
Berechtigungen
Stelle
Bezeichnung
Beschreibung
28
<_>
Fixes Zeichen: (Unterstrich) (falls abgeleitet)
29-30
<Kennzeichen>
Zhler des Ableitung (falls abgeleitet)
Tabelle 10: Bezeichnung der Rollen
Bezeichnung der Sammelrollen:

Stelle
Bezeichnung
Beschreibung
<Z>
Fixes Zeichen (Z)
<Version>
Rollenversion, fortlaufende Nummer
<_>
<Kennzeichen>
Rollentyp = Sammelrolle
<_>
6-9
<_>
Funktions-ID des Anwendungsrechts
10
<_>
11-28
<Krzel>
Rollenkrzel (max. 18 Zeichen)
29
<_>
Fixes Zeichen: (Unterstrich)
30
<Kennzeichen>
Typ Sammelrolle
3.4
Sicherheitsrichtlinien
Das Dokument Informatik- und Kommunikationsmittel [3] ist integrierter Bestandteil des
Berechtigungskonzeptes.
3.5
Kritischen Transaktionen und Berechtigungsobjekten
Da diese Objekte vom jeweiligen Release abhngen, werden diese im Berechtigungshandbuch

gefhrt.
Das referenzierte Dokument [4] ist integrierter Bestandteil des Berechtigungskonzeptes.
3.6
Systemparametrisierung
Das Security Audit Log ist auf der SAP Systemen der Qualittssicherung und Produktion
eingeschaltet.
Profilparameter die fr alle SAP Systeme Gltigkeit haben:
Parameter
329961578.doc
Einstellung Bedeutung
<Version 00.20>
21/29
Berechtigungen
IT-Konzept V2.0
login/min_password_digits
login/min_password_letters
1
4
login/min_password_specials
login/min_password_diff
login/password_compliance_to_c 0
urrent_policy
login/password_max_idle_initial
Login/fails_to_session_end
Login/fails_to_user_lock
Login/failed_user_auto_unlock
Login/min_password_lng
Login/password_expiration_time
8
0
Rdisp/gui_auto_logout
10'800
Login/no_automatic_user_sapsta
r
Login/disable_multi_gui_login
Login/multi_login_users
Auth/tcodes_not_checked
Login/ext_security
0
Liste
SU53
SU56
N
Login/ticket_expiration_time
24
Auth/no_check_in_some_cases
329961578.doc
Legt die Mindestzahl von Ziffern in Kennwrter fest

Legt die Mindestzahl von Buchstaben in Kennwrter
fest
Legt die Mindeszahl von Sonderzeichen in Kennwrter
fest
Legt die Anzahl der Zeichen die beim neuen Kennwort
unterschiedlich sein mssen
Mit diesem Parameter kann gesteuert werden, ob das
System bei einer kennwortbasierten Anmeldung prfen
soll, ob das verwendete Kennwort den aktuellen
Kennwortregeln gengt und ob, falls erforderlich, der
Benutzer zur nderung des Kennworts aufgefordert
werden soll.
Legt die Gltigkeitsdauer zurckgesetzter Kennwrter
fest
Legt die Anzahl der erfolglosen Anmeldeversuche fest,
bevor das System keinen neuen Anmeldeversuche
zulsst
Legt die Anzahl der erfolglosen Anmeldeversuche fest,
bevor das System den Benutzer sperrt
Legt fest, ob Benutzersperren aufgrund erfolgloser
Anmeldeversuche um Mitternacht automatisch wieder
aufgehoben werden (0 = die Sperren bleiben wirksam).
Legt die Mindestlnge des Kennwortes fest
Legt die Gltigkeitsdauer von Kennwrtern in Tagen
fest
Legt fest, nach wie vielen Sekunden ohne Eingaben
der SAPGUI Frontend ausgeloggt wird
Kontrolle des Benutzers SAP*
Das Multi Login wird ber einen User Exit gesteuert.
Liste der Benutzer
Keine Prfung auf Berechtigungsobjekt S_TCODE fr
diese Transaktionen.
In SAP gibt es die Mglichkeit externe
Sicherheitsapplikationen bei der Identifikation eines
Anwenders zu gebrauchen. Dieser Parameter steuert,
ob eine solche Applikation verwendet wird.
Zugelassene Werte: Y, N
Dieser Parameter wird fr mySAP.com Single Sign-On
(SSO) verwendet. Es beschrnkt die Zeit (in Stunden)
die jemand am Stck am System angemeldet sein darf.
Standard ist 60 Stunden.
Dieser Parameter steuert, ob bestimmte Transaktionen
von einer Berechtigungsprfung bergangen werden
sollen. Falls der Parameter auf Y (=Yes) gesetzt ist,
sucht das System in Tabelle USOBX_C, ob die
Transaktion und das betroffene Berechtigungsobjekt
eingetragen sind. Falls ein Eintrag vorhanden ist, wird
das Objekt nicht mehr geprft, falls kein Eintrag
vorhanden ist, wird eine normale Berechtigungsprfung
<Version 00.20>
22/29
Berechtigungen
IT-Konzept V2.0
Auth/authorization_trace
auth/object_disabling_active
Auth/check_value_write_on
Auth/new_buffering
Auth/system_access_check_off
Auth/rfc_authority_check
Rec/client
ALL
durchgefhrt.
Mit diesem Parameter wird der Berechtigungstrace der
Tabelle USOBX_C aktiviert.
Mit diesem Parameter wird gesetzt, ob ein
Berechtigungsobjekt mit der Transaktion
AUTH_SWITCH_OBJECTS deaktiviert werden kann.
Dieser Parameter wird zur Analyse von
Berechtigungsfehlern verwendet.
Zugelassene Werte: 0, 1
Mit diesem Parameter werden Berechtigungen mit
einer neuen Methode gepuffert. Fr mehr
Informationen bitte OSS-Hinweis: 0209899 lesen
Dieser Parameter kann die automatische
Berechtigungsprfung fr gewisse ABAP/4
Sprachelemente ein- und ausschalten, zum Beispiel
file operations, CPIC calls und calls to kernel functions.
Mit diesem Parameter stellt man ein, dass
Berechtigungsprfungen auf die ber RFC
angeforderte Funktion stattfinden. Das
Berechtigungsobjekt ist S_RFC und muss alle
Funktionsgruppen beinhalten, da sonst ein runtime
error erfolgt.
Mit diesem Parameter wird ein Log auf alle
Datennderungen in Tabellen erstellt. Mit Report
RSTBPROT kann man das Log analysieren.
Tabelle 12: Profilparameter
Security Audit Log

DIR_AUDIT
FN_AUDIT
Rsau / enable
Rsau / local / file
Rsau / max_diskspace /
local
per_day
per_file
Rsau / selection_slots
329961578.doc
Defined directory of Audit-Logs
\\usr\sap\"Client
"\D00\log
Log name and file extension

Enabling static profiles of the
Security Audit Log
Names and location of the audit files
++++++++.AUD
0 (not enabled)
Defined by
System Admin.'s
settings
Default value
1 (enabled)
\\usr\sap\"Client
"\D00\log\++++
++++.AUD
1000000
Defined by
System Admin.'s
settings
Default value
Maximum space to allocate for the

audit files
Maximum space to allocate for audit
files per day
Maximum space to allocate for each
audit file
Number of filters to allow for the
Security Audit Log
<Version 00.20>
0
0
2
23/29
Berechtigungen
IT-Konzept V2.0
Security Audit Log

Rsau / SQL-Audit /
filename
Rsau / SQL-Audit /
filesize
Rsau / SQL-Audit / logdir
Rsau / SQL-Audit /
switch
Name of SQL-Audit file

Maximum space to allocate for the
SQL Audit Log
Defined directory of SQL Audit Log
Switching SQL Audit Log on/off
SQL_+++++++
+.AUD
645 MB
Default value
\\usr\sap\"Client
"\D00\log
Defined by
System Admin.'s
settings
Default value
off
Default value
Tabelle 13: Security Audit Log
3.7
Konfiguration des Security Audit Log
Konfiguration des Audit Logs (Aktives Profil: PROD)

Auditklasse
Text
Aufzeichnung
Dialoganmeldung
Logoff Benutzer
Login erfolgreich (Typ=&A)
RFC-/CPIC-Anmeldung
Login gescheitert (Grund=&B, Typ=&A)
Benutzer nach Fehlanmeldungen gesperrt
Benutzersperre wegen Fehlanmeldung wieder

aufgehoben
RFC/CPIC Login erfolgreich (Typ=&A)

RFC/CPIC Login gescheitert, Grund=&B, Typ=&A
RFC Funktionsaufruf
Erfolgter RFC-Aufruf &C (FuGr=&A)

Gescheiterter RFC-Aufruf &C (FuGr=&A)
Transaktionsstart
Transaktion &A gestartet.

Transaktion &A gesperrt
Transaktion &A entsperrt
Start Transaktion &A gescheitert.
Reportstart
Report &A gestartet

Start Report &A gescheitert (Grund =&B)
Benutzerstammnderung
Benutzer &A gelscht.

Benutzer &A gesperrt.
Benutzer &A entsperrt.
Rechte von Benutzer &A gendert.
Benutzerstamm &A wurde gendert.
Berechtigung/Berecht.-Profil
329961578.doc
<Version 00.20>
&B angelegt
24/29
Berechtigungen
IT-Konzept V2.0
&B gelscht
&B gendert
Benutzer &A angelegt.

Sonstige Ereignisse
&B aktiviert
Download &A Bytes in Datei &C

Digitale Signatur (Grund=&A, ID=&B)
Applikationsserver gestartet
Applikationsserver beendet
Digitale Signatur fehlgeschlagen (Grund=&A, ID=&B)
Tabelle 14: Konfiguration Audit Log
Fr den Benutzer NOTUSER wird je in einem Filter alles in allen Mandanten aufgezeichnet.
Die Auditlogdateien werden nach 90 Tagen gelscht (SM18 als Job).
Benutzermanagement
4.1
Benutzerverwaltung
4.1.1
Passwort vergessen
Wird via Helpdesk gemacht
4.1.2
Neuer Benutzer
???
4.1.3
Benutzerdaten ndern
Wir via ODIS Schnittstelle gemacht.
4.1.4
Benutzer Austritt
4.2
Test User
Test User knnen nur fr die Stufe UT-UAT bestellt werden.

Bestellen via SRF oder Security Officer?
Rechte Bestellung analog Fachabteilung
4.3
Notfall User
Siehe Beilage [5] Prozessbeschrieb_RDM_v01.00.pdf

329961578.doc
<Version 00.20>
25/29
IT-Konzept V2.0
4.4
Rollenmanagement
4.4.1
Neue Rolle
Berechtigungen
Gemss Kapitel 3.1.4
4.4.2
Rolle ndern
Gemss Kapitel 3.1.4
4.5
Nicht genutzte Benutzerstammstze
Der Benutzerverwalter berprft monatlich die Liste RSUSR200 und fhrt die nachstehenden
Aktionen durch:
nach 45 Tagen nicht benutzt wird der Benutzer gesperrt
nach 90 Tagen nicht benutzt wird der Benutzer gelscht
4.6
Periodische Vernehmlassung und Prfung der
Rollenzuordnung
Die Zuordnung der Rollen zu den Benutzern wird mindestens jhrlich einmal je Fachbereich den
Verantwortlichen zur Prfung und Korrektur unterbreitet. Basis ist der Report S_BCE_68001400 Benutzer nach komplexen Selektionskriterien mit Anzeige der zugeordneten Rollen.
Die Vernehmlassungen mit den Rckmeldungen werden in der zentralen Ablage dokumentiert.
4.7
Periodische Prfung der Einhaltung der Methoden und
Prozesse
Periodisch wird die Einhaltung der Methoden und Prozesse gemss Berechtigungskonzept und
Berechtigungshandbuch geprft, mindestens
einmal halbjhrlich intern
einmal jhrlich extern
Festgestellte Abweichungen, Vernderungen werden Massnahmen festgelegt und terminiert:
Schulung und Instruktion der Mitarbeiter
Ergnzung der Methoden und Werkzeuge, Dokumentation
Die Resultate der Prfungen werden in der zentralen Ablage dokumentiert
329961578.doc
<Version 00.20>
26/29
IT-Konzept V2.0
Berechtigungen
Anhang
5.1
Massnahmenumsetzung
5.2
Tabellenverzeichnis
Tabelle 1: Referenzierte Dokumente
Tabelle 2: Technische Benutzer
Tabelle 3: Test Benutzer
Tabelle 4: Spezielle SAP Benutzer
10
Tabelle 5: SAP Notfall Benutzer
11
Tabelle 6: SAP Benutzertypen
12
Tabelle 7: Benutzergruppe
12
Tabelle 8: SAP Benutzertypen Systemvermessung
13
Tabelle 9: Zentrale Benutzerverwaltung
14
22
22
Tabelle 12: Profilparameter
24
Tabelle 13: Security Audit Log
25
Tabelle 14: Konfiguration Audit Log
26
Tabelle 14: Glossar
29
5.3
Abbildungsverzeichnis
Abbildung 1: Berechtigungsvergabe
Abbildung 2: Organisation - System
Abbildung 3: Zentrale Benutzerverwaltung
13
Abbildung 4: Prozess Rolle erstellen
17
Abbildung 5: Prozess Rolle vergabe
20
Abbildung 6: Prozess Rollentransport
20
5.4
Glossar
Abkrzung
Erluterung
BENV
Benutzerverwalter
BERV
Berechtigungsverwalter
329961578.doc
<Version 00.20>
27/29
IT-Konzept V2.0
Berechtigungen
ZBV
Zentrale Benutzerverwaltung
TMS
Transport Management System
Tabelle 15: Glossar
329961578.doc
<Version 00.20>
28/28

Sprache

Willkommen bei Scribd!

SAP BerechtigungskonzeptV02

Hochgeladen von

Dokumentinformationen

Beschreibung:

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Beschreibung:

Copyright:

Verfügbare Formate

SAP BerechtigungskonzeptV02

Hochgeladen von

Beschreibung:

Copyright:

Verfügbare Formate

Verwandte Titel

Schweizerische

Insurance and Pension

sur la vie humaine

sulla vita dell'uomo

Beschreibung der nderung

Erste Version fr Workshop

Feedback Workshop 2.12.2014

Zweck des Dokuments...................................................................................................................... 4

Zielpublikum, Voraussetzungen an den Leser..................................................................................4

Spezielle SAP Benutzer......................................................................................................................... 9

Zentrale Benutzerverwaltung (ZBV)........................................................................................ 13

Rollenverantwortliche und System-Owner..............................................................................14

Test- und Transportstrategie................................................................................................... 20

Kritischen Transaktionen und Berechtigungsobjekten....................................................................22

Konfiguration des Security Audit Log.............................................................................................. 25

Nicht genutzte Benutzerstammstze.............................................................................................. 27

Periodische Vernehmlassung und Prfung der Rollenzuordnung...................................................27

Periodische Prfung der Einhaltung der Methoden und Prozesse..................................................27

Zweck des Dokuments

Das Berechtigungskonzept enthlt die Grundlagen, im Wesentlichen sind dies die

Das Berechtigungshandbuch enthlt die dynamischen Teile des Berechtigungskonzepts

Diese zwei Dokumente enthalten smtliche Informationen, welche beispielsweise eine

Zielpublikum, Voraussetzungen an den Leser

Die Berechtigungsvergabe auf Stufe Betriebssystem und Datenbank werden in den

User SAP CCoE

Betrieb und Basis

User Operation System

Berechtigungshandbuch (muss beim Rollenbau erstellt werden)

Tabelle 1: Referenzierte Dokumente

Team Leiter Buchhaltung

Abbildung 2: Organisation - System

Erfassen der relevanten Berechtigungen je Rolle und Einheit

4. Technische Erstellung der Rollen im SAP

Nach dem Projektabschluss sind fr den Betrieb folgende Punkte zu beachten:

bergabe der Projektdokumentation an den Betreiber.

Definierte und kommunizierte Ownership der Rollenzuteilung

Definierte und kommunizierte Prozesse fr Rollennderungen und Rollenzuteilungen

Periodische Vernehmlassung und Prfung der Rollenzuteilungen durch die

Technische Benutzer (z.B. Benutzer fr die Hintergrundverarbeitung, Schnittstellen etc.) mssen

Eine entsprechende Namenskonvention,

Initiatoren einer Job- bzw. Step-Einplanung

Kommunikationsuser werden fr die Kommunikation zwischen

SAP -> SAP

Non-SAP -> SAP

Batch-, oder Kommunikationsuser

Tabelle 2: Technische Benutzer

So ergibt sich z.B. der Benutzername RCTXBCL101.

Tabelle 3: Test Benutzer

Spezielle SAP Benutzer

Zum Schutz des SAP-Standardbenutzers SAP* sollten folgende Manahmen

Fr den Benutzer SAP* muss ein Benutzerstammsatz angelegt werden.

Fr den Benutzer SAP* drfen keine Rollen/Profile vergeben werden.

Der Benutzer SAP* muss einer administrativen Benutzergruppe zugeordnet

Der Benutzer SAP* ist zu sperren.

Der SAP-Standardbenutzer DDIC (Benutzertyp System) wird fr weite Bereiche des

Benutzer wird ausdrcklich empfohlen.

WF-BATCH Dieser Standardbenutzer wird fr das automatische Workflow-Customizing bentigt.

Tabelle 4: Spezielle SAP Benutzer