Sie sind auf Seite 1von 38

Berechtigungsmanagement

in SAP-Systemen

Workshop

Copyright HSMD GmbH, 2010 all rights reserved Seite 1


Agenda

A Einflussfaktoren Unternehmung 60 min

B Einflussfaktoren SAP-Systeme 60 min

C Implementierungsvariante 60 min

Pause

D Implementierungsdokumente 60 min

E Betriebsdokumente 60 min

F Werkzeuge 60 min

Berechtigungsmanagement in SAP-Systemen Copyright HSMD GmbH, 2010 all rights reserved Seite 2
Übersicht

Konzept Implementierung Betrieb

Einflussfaktoren Implementierungs-
Werkzeug
Unternehmung variante

Einflussfaktoren Implementierungs- Betriebs-


SAP Systeme dokumente dokumente

Berechtigungsmanagement in SAP-Systemen Copyright HSMD GmbH, 2010 all rights reserved Seite 3
Einflussfaktoren Unternehmen

ƒ Welche Faktoren der Unternehmensorganisation sind massgebend?

Unternehmen

Unternehmensgrösse & -struktur

Zentralisierungsgrad

Strukturumsetzung in SAP

Spezialisierungsgrad der MA

Vertraulichkeitsgrad der Produkte

Implementierungsvariante

Berechtigungsmanagement in SAP-Systemen Copyright HSMD GmbH, 2010 all rights reserved Seite 4
Einflussfaktoren Unternehmen

Unternehmensgrösse & ‐struktur

Klein, einfach und überschaubar Gross, mehrere Buchungskreise, Konzern, mehrere Länder

Berechtigungsmanagement in SAP-Systemen Copyright HSMD GmbH, 2010 all rights reserved Seite 5
Einflussfaktoren Unternehmen

Zentralisierungsgrad (1/2)

Beispiel: Ein SSC arbeitet für alle Organisationen eines Landes.

Berechtigungsmanagement in SAP-Systemen Copyright HSMD GmbH, 2010 all rights reserved Seite 6
Einflussfaktoren Unternehmen

Zentralisierungsgrad (2/2)

Beispiel: Ein SSC arbeitet für einige Organisationen einiger Länder.

Berechtigungsmanagement in SAP-Systemen Copyright HSMD GmbH, 2010 all rights reserved Seite 7
Einflussfaktoren Unternehmen

Strukturumsetzung: Standorte als Buchungskreis

Ein Buchungskreis ist eine bilanzierende Einheit im Sinne einer rechtlich


selbständigen Firma. Er ist zentrales Organisationselement der Finanzbuchhaltung.
Berechtigungsmanagement in SAP-Systemen Copyright HSMD GmbH, 2010 all rights reserved Seite 8
Einflussfaktoren Unternehmen

Strukturumsetzung: Standorte als Werke

Ein Werk kann ein Verteilzentrum, eine Filiale, eine Produktionsstätte oder ein
Lager sein. Die Bezeichnung für „das Werk“ kann in den einzelnen SAP-Modulen
unterschiedlich sein.
Berechtigungsmanagement in SAP-Systemen Copyright HSMD GmbH, 2010 all rights reserved Seite 9
Einflussfaktoren Unternehmen

Strukturumsetzung: Standorte als Kostenstelle

Die Kostenstelle ist eine organisatorische Einheit innerhalb eines


Kostenrechnungskreises, die einen eindeutig abgegrenzten Ort der
Kostenentstehung darstellt.
Die Einteilung kann nach funktionalen, abrechnungstechnischen,
leistungstechnischen, räumlichen und/oder Verantwortungsgesichtspunkten
vorgenommen werden.
Berechtigungsmanagement in SAP-Systemen Copyright HSMD GmbH, 2010 all rights reserved Seite 10
Einflussfaktoren Unternehmen

Strukturumsetzung: Standorte als Verkaufsorganisation

Die Verkaufsorganisation ist eine organisatorische Einheit der Logistik, die das Unternehmen
nach den Erfordernissen des Vertriebs gliedert. Jede Verkaufsorganisation steht für eine
verkaufende Einheit im rechtlichen Sinne, sie ist z.B. für die Produkthaftung oder eventuelle
Regressansprüche der Kunden verantwortlich. Sie ist außerdem für den Vertrieb der Artikel
verantwortlich und sie handelt Verkaufskonditionen aus. Mit Hilfe der Verkaufsorganisationen
kann eine regionale Untergliederung des Marktes, z.B. nach Ländern, berücksichtigt werden.
Ein kompletter Geschäftsvorfall des Vertriebs wird immer innerhalb einer
Verkaufsorganisation abgewickelt.
Berechtigungsmanagement in SAP-Systemen Copyright HSMD GmbH, 2010 all rights reserved Seite 11
Einflussfaktoren Unternehmen

Spezialisierungsgrad der Mitarbeiter

Die Mitarbeiterzahl kann einen nicht unwesentlichen Einfluss


auf die Rollen haben.

Grosse Firmen Æ Spezialisten:


Bei grösseren Firmen mit vielen Mitarbeitern müssen
vielfach Rollen für Spezialisten erstellt werden, das
bedeutet: viele kleine Rollen mit wenigen Transaktionen.

Kleine Firmen Æ Generalisten:


Bei kleineren Firmen mit wenigen Mitarbeitern sehen wir
eher die Mitarbeiter die alle Funktionen in Personalunion
durchführen.

Berechtigungsmanagement in SAP-Systemen Copyright HSMD GmbH, 2010 all rights reserved Seite 12
Einflussfaktoren Unternehmen

Vertraulichkeitsgrad der Produkte

In den Branchen, wie Versicherungen, Banken und Spital wo viele sensitive Personendaten
gespeichert werden, aber auch in der chemischen Industrie wo das gesamte Know-how in
Rezepturen hinterlegt ist, bestehen Anforderungen auf die speziell eingegangen werden
muss.

In solchen fällen wird jeweils ein „Spezialkonzept“ für die sensitiven Daten erstellt.

Fast jede Firma hat solche für sie sensitive Daten, auf die eingegangen werden muss.

In den Branchen, wie Grossmaschinenbau, Anlagenbau, Schiffsbau oder generell in der


Bauwirtschaft, wo (fast) jedes Produkt ein Unikat ist, werden in der Regel keine
Spezialrollen für einzelne Berechtigungsobjekte oder Transaktionen erstellt.

Berechtigungsmanagement in SAP-Systemen Copyright HSMD GmbH, 2010 all rights reserved Seite 13
Einflussfaktoren SAP-Systeme

ƒ Welche Faktoren der SAP‐Prüfungsmethoden sind massgebend?

SAP-Systeme

ERP

Strukurelle-Berechtigungen

Analyse-Berechtigungen

Portalrollen

CRM-/ACE-Berechtigungen

Organsiationsebenentype

Berechtigungsmanagement in SAP-Systemen Copyright HSMD GmbH, 2010 all rights reserved Seite 14
Varianten der SAP-Prüfimplementierung

ERP
ƒ Die gebräuchlichste Methode ist die Berechtigungsprüfung mit der AUTHORITY‐CHECK‐Anweisung, mit 
der ein bestimmtes Berechtigungsobjekt an einer bestimmten Stelle im Programm geprüft wird. 
ƒ Verläuft die Prüfung positiv, hat der Anwender auch die notwendigen Berechtigungen in seinem 
Benutzerstammsatz. Wenn die Berechtigungen nicht ausreichen, läuft das Programm auf einen Fehler 
mit einer entsprechenden Fehlermeldung, je nach Programm wird der Datensatz überlesen oder das 
Programm bricht mit einer Fehlermeldung ab. 
ƒ Jede Transaktion wird im SAP‐Standard mindestens mit dem Berechtigungsobjekt S_TCODE geprüft. 

Berechtigungsmanagement in SAP-Systemen Copyright HSMD GmbH, 2010 all rights reserved Seite 15
Varianten der SAP-Prüfimplementierung

Strukturell Berechtigungen (SAP HR)
ƒ Strukturelle Berechtigungen definieren die Zugriffsrechte auf organisatorische Einheiten, die innerhalb 
der Organisationsstruktur definiert sind. 
ƒ Die zu schützenden Personendaten sind über den Objekttyp P definiert. Da die einzelnen 
Organisationshierarchien durch Objektverknüpfungen (Organisationseinheiten – Planstellen ‐
Personen) entstehen, gibt es unterschiedliche Auswertungs‐ und damit Zugriffswege. 
ƒ Diese Auswertungswege werden über Strukturen definiert und können über die strukturellen 
Berechtigungen angesteuert werden. Dabei wird ausgehend von einem Startobjekt ein Auswertungs‐
bzw. Verknüpfungsweg festgelegt der den Zugang zu Personendaten liefet. 
ƒ Die Strukturellen Berechtigungen werden nicht über den SAP‐Profilgenerator, sondern über die 
Transaktion OOSP erstellt, die Zuordnung wird über die Tabelle T77UA gepflegt. 

Berechtigungsmanagement in SAP-Systemen Copyright HSMD GmbH, 2010 all rights reserved Seite 16
Varianten der SAP-Prüfimplementierung

Analyse‐Berechtigungen (SAP BI)
ƒ In transaktionalen Systemen wie SAP ECC werden transaktionale Daten in normalisierten 
Tabellen abgelegt und zur weiteren Verarbeitung in andere Tabellen weitergereicht. 
ƒ Im Gegensatz dazu legt das SAP BI den Fokus auf einen Prozess aus dem jeweiligen 
Quellsystem, wobei Informationen zu diesem Prozess extrahiert und im SAP BI aufbereitet 
werden. 
ƒ Ziel dieses Vorganges ist es dem Anwender nur die benötigten  (richtigen) Daten in der 
Prozesssicht zu liefern. Bei der Datenübernahme vom ERP ins BI werden die Daten von 
SAP‐Tabellen in InfoCubes übernommen, dabei findet eine Umsetzung statt. 
Die Berechtigungsrelevanten Elemente für das Data Warehouse Design sind dabei die 
Workbench, Queries  und InfoCube‐Objekte, die InfoSource, Transatkionale Objekte, 
InfoObjekte und Quellsysteme. 
ƒ Welche Objekte schlussendlich Berechtigungsrelevant sind oder nicht bestimmt alleine der 
BI‐Entwickler. Genau genommen sind die Merkmale nichts anderes als 
Berechtigungsfelder im ERP.
ƒ Die Analyseberechtigungen werden nicht über den SAP‐Profilgenerator, sondern über die 
Transaktion RSECADMIN erstellt und zugeordnet. 

Berechtigungsmanagement in SAP-Systemen Copyright HSMD GmbH, 2010 all rights reserved Seite 17
Varianten der SAP-Prüfimplementierung

Portalrollen (SAP Portal)
ƒ Ein wichtiger Unterschied zwischen ABAP‐Rollen und Portalrollen besteht darin, dass 
im Portal keine Berechtigungen für die Backend‐Anwendung selbst definiert werden. 
Dies muss weiterhin im Backend‐System (SAP‐ERP) selbst durchgeführt werden.
ƒ Im Portal wird aber mithilfe von Access Control Lists (ACL) der Zugriff auf die 
einzelnen Objekte (Portalrollen, Worksets, Pages, iViews) definiert. 
ƒ Eine Backend‐Transaktion muss man im Portal als iView betrachten. 

Berechtigungsmanagement in SAP-Systemen Copyright HSMD GmbH, 2010 all rights reserved Seite 18
Varianten der SAP-Prüfimplementierung

SAP‐CRM & SAP‐ACE
ƒ Die CRM Access Control Engine ist eine Kontrolloption zur Steuerung von Benutzerrechten im 
Channel Management von CRM. Die ACE ist nicht rollen, sondern regelbasiert, die 
regelbasierte Zugangskontrolle ist die Sicherheitslösung für CRM‐Massendaten. Die Regeln 
wirken allerdings komplementär zu den Berechtigungen, die dem betreffenden Benutzer 
über die Rollen vergeben worden sind. 
ƒ Die ACE ist also ein System, um benutzerabhängige Zugangsrechte auf Informationsobjekte 
zu definieren. Die Anwendung kann dabei die Berechtigungen für verschieden Aktionen wie 
lesen Schreiben und Loschen für Informationsobjekte in CRM prüfen. 
ƒ Die Regeln für ACE lassen sich mit der Transaktion SM30 administrieren, die Views beginnen 
alle mit CRM_ACE_*

Berechtigungsmanagement in SAP-Systemen Copyright HSMD GmbH, 2010 all rights reserved Seite 19
Varianten der SAP-Prüfimplementierung

Organisationsebenentype
ƒ Die Abgrenzung nach Organisation kann je nach SAP‐System (Anwendung) für 
einen Konzern unterschiedlich sein. Z.B. im ERP möglichst einfach (nach 
Buchungskreis) im HR aber differenzierter (nach Personalbereich) und in der 
Planung im APO noch eine Stufe feiner(nach Location entspricht einem Werk). 

Berechtigungsmanagement in SAP-Systemen Copyright HSMD GmbH, 2010 all rights reserved Seite 20
Implementierungsvarianten

ƒ Welche Faktoren der unterschiedlichen Umsetzungs‐
/Implementierungsvarianten sind massgebend?

Orientierung nach

Funktionen

Stellen

Prozessen

Business Rollen

Kombination

Berechtigungsmanagement in SAP-Systemen Copyright HSMD GmbH, 2010 all rights reserved Seite 21
Implementierungsvarianten

Orientierung des Berechtigungskonzepts: Funktionsorientierung
ƒ Das funktionsorientierte Konzept ist am weitesten verbreitetet.
ƒ Man kann es auch als Baukastensystem bezeichnen.
ƒ Die Rollen können einzeln oder als Sammelrollen zugeordnet werden. 
ƒ Beispiel‐Sammelrolle: YS:RFI001 FI Debitoren pflegen.
ƒ YE:RFI001 Debitoren pflegen
ƒ YE:RFI003 Debitoren Bewegungsdaten pflegen 
ƒ YE:RFI012 Zahllauf
ƒ Beispiel‐Sammelrolle: YS:RFI006  FI Stammdaten pflegen.
ƒ YE:RFI001 Debitoren pflegen
ƒ YE:RFI011 Kreditoren pflegen
ƒ YE:RFI021 Sachkonten pflegen
ƒ YE:RFI012 Zahllauf

Berechtigungsmanagement in SAP-Systemen Copyright HSMD GmbH, 2010 all rights reserved Seite 22
Implementierungsvarianten

Orientierung des Berechtigungskonzepts: Stellenorientierung
ƒ Beim stellenorientierten Konzept werden alle Transaktionen, die ein Mitarbeiter für seine tägliche 
Arbeit an seiner Stelle braucht, in die entsprechende Rolle gepackt. 
ƒ Vorteil: Pro User vielfach zwei Rollen 
‐> sehr übersichtlich
ƒ Nachteil: fast alle Transaktionen kommen in mehreren / vielen Rollen vor
‐> grosser Aufwand bei neuen Projekten
‐> grosser Aufwand bei Releasewechsel
ƒ Beispiel‐Stellen: 
ƒ Buchhalter (gesamte Buchhaltung)
ƒ Anlagebuchhalter
ƒ Kreditorenbuchhalter
ƒ Debitorenbuchhalter
ƒ Investitionscontroller
ƒ etc. 

Berechtigungsmanagement in SAP-Systemen Copyright HSMD GmbH, 2010 all rights reserved Seite 23
Implementierungsvarianten

Orientierung des Berechtigungskonzepts: Prozessorientierung
ƒ Vom Prozessorientierten Aufbau von Rollen wird viel gesprochen und geschrieben. In der Praxis sind die 
Prozesse meistens nicht so beschrieben, dass diese in Rollen prozessorientierten Rollen umgesetzt werden 
können. 
ƒ Vorteil:   ‐ übersichtliche Rollen
‐ die Funktion der Rolle kann sehr genaue beschrieben werden
ƒ Nachteil: ‐ grosser Aufwand bei der Prozessbeschreibung
‐ Prozessbeschreibungen nicht für die Rollenerstellung geeignet
‐ viele kleine Rollen
ƒ Beispiel‐Prozesse: 
ƒ Einstellung Mitarbeiter
ƒ Offerte erstellen
ƒ Rechnungseingang
ƒ Materialeinkauf
ƒ etc. 

Berechtigungsmanagement in SAP-Systemen Copyright HSMD GmbH, 2010 all rights reserved Seite 24
Implementierungsvarianten

Orientierung des Berechtigungskonzepts: Business Rollen
ƒ Unter einer Business Rolle versteht man eine Sammelrolle die Einzelrollen auf mehreren 
Systeme zuordnet.  
ƒ In einem grösseren Unternehmen benötigt ein Einkäufer zugriff auf mehrere SAP‐Systeme, 
wie  ERP, SRM(EBP), BI und Portal um seine tägliche Arbeit ausführen zu können.
ƒ Vorteil:  ‐ sehr effizient bei der Rollenvergabe
‐ übersichtlich 
‐ für alle leicht verständlich
ƒ Nachteil:  ‐ grosser Aufwand bei der Rollenbeschreibung

AAS - Solution Manager SRM (EB)

Business Rolle (Einkäufer)


SAP-Rolle 1 Einkäufer SRM BI
SAP-Rolle 2 Reporting BI
SAP-Rolle 3 Einkäufer ERP
SAP-Rolle 4 Einkäufer Portal ERP

Portal

Berechtigungsmanagement in SAP-Systemen Copyright HSMD GmbH, 2010 all rights reserved Seite 25
Implementierungsvarianten

Orientierung des Berechtigungskonzepts: 
Mischformen
ƒ vielfach mit der Zeit gewachsen

ƒ meistens unübersichtlich

ƒ oft muss nach einer gewissen Zeit ein Reengineering durchgeführt werden

ƒ aus Sicht der (internen) Revisionsstelle ist diese Form besonders problematisch

Berechtigungsmanagement in SAP-Systemen Copyright HSMD GmbH, 2010 all rights reserved Seite 26
Implementierungs- und Betriebsdokumente

Hauptdokumente

Rollenkatalog Organisationswerteliste

Organisationsstruktur Umsetzungsplan

Berechtigungskonzept Namenskonventionen

Nebendokumente

Benutzerkonzept Kritische Berechtigungen

Supportrollenkonzept Changemangementkonzept

Testkonzept ...

Berechtigungsmanagement in SAP-Systemen Copyright HSMD GmbH, 2010 all rights reserved


Implementierungs- und Betriebsdokumente

Rollenkatalog pro Modul/Anwendung

Für jedes Modul und / oder System wird ein Rollenkatalog erstellt. Der Rollenkatalog wird
vom Berechtigungsteam als leere Vorlage aus dem SAP übernommen.
Für die Zuordnungen von Transaktionen zu den Rollen wird aber letztendlich die
Fachabteilungen verantwortlich. Für Modulfremde Transaktionen muss das Einverständnis
vom entsprechenden Modulverantwortlichen eingeholt werden.

Beispiele

Template
Rollenkatalog FI

Template
Rollenkatalog CO

Template
Rollenkatalog MM

Template
Rollenkatalog SD

SAP-Authorizations Workshop Copyright HSMD GmbH, 2010 all rights reserved Seite 28
Implementierungs- und Betriebsdokumente

Organisationsstruktur (1) Hauptstruktur
Damit die Mitarbeiter vom Berechtigungsteam, sich die Organisation der Firma vorstellen
können, ist es wichtig diese zu visualisieren.
In diesem Dokument sollen die Organisationen gemäss SAP-Begrifflichkeiten beschrieben werden.

Template
Organigramm

SAP-Authorizations Workshop Copyright HSMD GmbH, 2010 all rights reserved Seite 29
Implementierungs- und Betriebsdokumente

Organisationsstruktur (2) Unterstrukturen
Für Kostenstellen, Profitcenter aber auch für sensitive Daten wie Stücklisten oder
Rezepturen gilt es mit einfachen Graphiken die Organisation zu visualisieren.

Beispiel

Template
Kostenstellen

SAP-Authorizations Workshop Copyright HSMD GmbH, 2010 all rights reserved Seite 30
Implementierungs- und Betriebsdokumente

Organisationswerteliste

Für jede definierte Organisation, werden alle Organisationsfeldwerte in einer Excel Liste
beschrieben. Für kleinere Firmen wie auch die Musterfirma erstellt man (wegen der
geringeren Komplexität) nur einen Organisationsebenentype. Das Oberste Ziel ist es, dass
alle Rollen einer Organisation (FL01) immer die gleichen Organisationswerte enthalten.

Template
Organsiationswerteliste

Berechtigungsmanagement in SAP-Systemen Copyright HSMD GmbH, 2010 all rights reserved Seite 31
Implementierungs- und Betriebsdokumente

Namenkonventionen

Damit die Rollennamen problemlos erweitert werden können (sei es durch Zukauf einer
neuen Firma, oder durch den Einsatz neuer SAP-Systemtypen wie XI, SRM oder aber durch
eine zweite unabhängige ERP-Systemlinie) müssen wir bei der Namensvergabe einige
Vorkehrungen treffen.

Template
Namenskonventionen

Berechtigungsmanagement in SAP-Systemen Copyright HSMD GmbH, 2010 all rights reserved Seite 32
Implementierungs- und Betriebsdokumente

Berechtigungskonzept

In einem Berechtigungskonzept werden die Rollen einzeln beschrieben. Es wird definiert


welche Funktionen mit diesen Rollen ausgeführt werden können und welches die wichtigsten
Organisationselemente sind die abgegrenzt werden müssen.

Template
Berechtigungskonzept

Wird AAS eingesetzt kann zusätzlich der Zusammenhang zwischen Sammelrollen,


Planstellen, Business Roles, etc. dokumentiert werden.

Berechtigungsmanagement in SAP-Systemen Copyright HSMD GmbH, 2010 all rights reserved Seite 33
Implementierungs- und Betriebsdokumente

Umsetzungsplanung

Die Einführung eines Berechtigungskonzepts benötigt eine klare Struktur.


Die Terminsituation und die Aufwände werden plan- und kontrollierbar.

Beispiel Einführung in einem grossen CCSAP

Berechtigungsmanagement in SAP-Systemen Copyright HSMD GmbH, 2010 all rights reserved Seite 34
Implementierungs- und Betriebsdokumente

Übersicht der Fragestellungen

Berechtigungsmanagement in SAP-Systemen Copyright HSMD GmbH, 2010 all rights reserved Seite 35
Implementierungs- und Betriebsdokumente

Kritische Berechtigungen

Berechtigungsmanagement in SAP-Systemen Copyright HSMD GmbH, 2010 all rights reserved Seite 36
Werkzeuge

PFCG ZBV GRC

Access Manager Identity Manager Compliance Enforcer

Berechtigungsmanagement in SAP-Systemen Copyright HSMD GmbH, 2010 all rights reserved Seite 37
Besten Dank für Ihre Aufmerksamkeit!

Berechtigungsmanagement in SAP-Systemen Copyright HSMD GmbH, 2010 all rights reserved Seite 38