Praxishandbuch Berechtigungen in SAP S/4HANA inklusive SAP Fiori E-Book

Alexander SambillPraxishandbuch Berechtigungen in SAP S/4HANA® inklusive SAP Fiori®

ISBN:978-3-960123-62-0 (E-Book)

Lektorat:Bernhard Edlmann

Korrektorat/Lektorat:Die Korrekturstube – Lektorat & Korrektorat

Coverdesign:Philip Esch

Coverfoto:© Sashkinw | Nr. 149116975 – istockphoto.com

Satz & Layout:Johann-Christian Hanke

1. Auflage 2024

© Espresso Tutorials GmbH, Gleichen 2024

URL:www.espresso-tutorials.de

Das vorliegende Werk ist in allen seinen Teilen urheberrechtlich geschützt. Alle Rechte sind vorbehalten, insbesondere das Recht der Übersetzung, des Vortrags, der Reproduktion und der Vervielfältigung. Espresso Tutorials GmbH, Bahnhofstr. 2, 37130 Gleichen, Deutschland.

Ungeachtet der Sorgfalt, die auf die Erstellung von Text und Abbildungen verwendet wurde, können weder der Verlag noch die Autoren oder Herausgeber für mögliche Fehler und deren Folgen eine juristische Verantwortung oder Haftung übernehmen.

Feedback:Wir freuen uns über Fragen und Anmerkungen jeglicher Art. Bitte senden Sie diese an: [email protected].

Inhaltsverzeichnis

Willkommen bei Espresso Tutorials!

Unser Ziel ist es, SAP-Wissen wie einen Espresso zu servieren: Auf das Wesentliche verdichtete Informationen anstelle langatmiger Kompendien – für ein effektives Lernen an konkreten Fallbeispielen. Viele unserer Bücher enthalten zusätzlich Videos, mit denen Sie Schritt für Schritt die vermittelten Inhalte nachvollziehen können. Besuchen Sie unseren YouTube-Kanal mit einer umfangreichen Auswahl frei zugänglicher Videos: https://www.youtube.com/user/EspressoTutorials.

Kennen Sie schon unser Forum? Hier erhalten Sie stets aktuelle Informationen zu Entwicklungen der SAP-Software, Hilfe zu Ihren Fragen und die Gelegenheit, mit anderen Anwendern zu diskutieren: https://forum.espresso-tutorials.com/.

Eine Auswahl weiterer Bücher von Espresso Tutorials:

Julian Harfmann, Sabrina Heim, Andreas Dietrich:

Compliant Identity Management mit SAP

®

IdM und GRC AC

Bianca Folkerts:

Praxishandbuch für die Risikoanalyse mit SAP

®

GRC Access Control

Denis Reis:

SAP BI – Berechtigungen sind einfach: Das Wesentliche auf den Punkt gebracht

Andreas Prieß, Manfred Sprenger:

Schnelleinstieg SAP

®

-Berechtigungen für Anwender und Einsteiger –

2., erweiterte Auflage

Vorwort

In den letzten Jahrzehnten ist die Digitalisierung in Unternehmen mit vernetzten plattformübergreifenden sowie mobilen Technologien rasant vorangeschritten. Hinzugekommen sind neue interne sowie externe IT-Richtlinien, die es nicht nur zu beachten gilt, sondern die auch starken Einfluss auf die Systemkonzeption und die technische Abwicklung aller Geschäftsprozesse haben. Eine unter diesem Vorzeichen fast unumgängliche Enterprise-Resource-Planning(ERP-)Lösung vereint alle Unternehmensprozesse, technischen Anforderungen und die Integration von Stakeholdern innerhalb einer Software. Dies gilt auch für die SAP Business Suites.

In den vergangenen Jahren haben sich die SAP-Technologien und Produkte signifikant weiterentwickelt. Mit der Einführung neuer Technologien, der Konsolidierung von Plattformen, Modulen und Lösungen sowie der Integration neuer Anwendungen hat sich das gesamte Spektrum der Geschäftsprozesse und Systemlandschaften gewandelt. Die neueste Softwaregeneration, SAP S/4HANA, stellt das Sinnbild dieser Entwicklungen dar. Mit großen Veränderungen kommen meist große Anpassungen auf den Kunden zu. Das gilt auch für das gesamte Berechtigungskonzept innerhalb von SAP S/4HANA sowie für die Transformation zu der neuen ERP-Lösung.

Dieses Fachbuch zielt darauf ab, IT-Experten, SAP-Beratern und Sicherheitsspezialisten die komplexe Welt der SAP-Sicherheits- und Berechtigungssysteme nahezubringen und sie durch die wesentlichen Aspekte der Implementierung und Verwaltung von SAP-Berechtigungen zu führen. Die Inhalte sind derart strukturiert, dass sie sowohl Einsteigern als auch erfahrenen Fachleuten wertvolle Einblicke und praktische Anleitungen bieten.

Aufbau des Buches

1. Einführung in die SAP-Berechtigungen

Das erste Kapitel bietet eine grundlegende Einführung in die Konzepte der Authentifizierung und Autorisierung innerhalb von SAP-Systemen. Es erklärt, was Berechtigungen sind, warum sie technisch notwendig sind und wie Rollen sowie Profile definiert werden. Ein besonderes Augenmerk liegt auf Berechtigungsvorschlagswerten, die als Grundlage für effektive Berechtigungskonzepte dienen.

2. Rollenkonzept

Das zweite Kapitel beleuchtet die Einflussfaktoren auf ein Berechtigungskonzept und führt in die Rollenkonzeptionierung ein. Eine besondere Rolle spielen dabei Funktionstrennungen, die sicherstellen, dass keine Interessenkonflikte oder Sicherheitsrisiken entstehen.

3. SAP Fiori

Im dritten Kapitel wird die technologische Basis von SAP Fiori vorgestellt, gefolgt von einer Einführung in die Administrationstools und den berechtigungsseitigen Paradigmenwechsel, den SAP Fiori mit sich bringt. Die Implementierung des SAP-Fiori-basierten Berechtigungskonzepts und die speziellen Berechtigungserfordernisse werden detailliert behandelt. Außerdem wird auf die Prüfung und Lösung von Berechtigungsfehlern eingegangen.

4. SAP-S/4HANA-Berechtigungsmigration

Die SAP liefert mit der Business Suite SAP S/4HANA viele Innovationen, Veränderungen und neue Möglichkeiten. Daher stelle ich in Kapitel 4 den SAP-S/4HANA-Berechtigungsmigrationsprozess einschließlich seiner Voraussetzungen, technischen Grundlagen, Architektur und Konzipierung vor. Das Kapitel bietet Tipps und Tricks sowie eine Schritt-für-Schritt-Anleitung zur Verwendung von Standard-SAP-Tools für Ihre Berechtigungsmigration zu SAP S/4HANA.

Dieses Buch soll Ihnen als umfassender Leitfaden dienen, um die Herausforderungen der SAP-Berechtigungsmigration und SAP-Fiori-Berechtigungsintegration zu meistern und weiterhin die Sicherheit Ihrer SAP-Systeme zu gewährleisten. Ich hoffe, dass die behandelten Themen und praktischen Beispiele Ihnen wertvolle Erkenntnisse und Werkzeuge an die Hand geben, um Ihre Arbeit im Bereich der SAP-Sicherheit effizienter und effektiver zu gestalten.

Beste Grüße

Alexander Sambill

Widmung

Mit tiefster Dankbarkeit widme ich dieses Buch meiner Familie, die mir durch ihre beständige Unterstützung und Hingabe die Grundlage für all meine Bestrebungen geschaffen hat. Meiner Partnerin, deren unerschütterliche Liebe, Vertrauen und Zuspruch mich auf jedem Schritt dieser Reise begleitet haben – deine Stärke und Geduld sind für mich unverzichtbar. Meinen Freunden danke ich für ihre inspirierende Begleitung und die vielen Momente, in denen ihr mir geholfen habt, den Blick für das Wesentliche zu bewahren.

Ein besonderer Dank gilt meinem Lektor, dessen fachkundige Anmerkungen und sorgfältige Arbeit dieses Werk verfeinert haben. Dem gesamten Team des Verlags möchte ich meinen aufrichtigen Dank für die professionelle Zusammenarbeit und das entgegengebrachte Vertrauen aussprechen. Ohne eure vereinte Unterstützung wäre dieses Buch in dieser Form nicht möglich gewesen.

Im Text verwenden wir Kästen, um wichtige Informationen besonders hervorzuheben. Jeder Kasten ist zusätzlich mit einem Piktogramm versehen, das diesen genauer klassifiziert:

Die Form der Anrede

Um den Lesefluss nicht zu beeinträchtigen, verwende ich im vorliegenden Buch bei personenbezogenen Substantiven und Pronomen zwar nur die gewohnte männliche Sprachform, meine aber gleichermaßen Personen weiblichen und diversen Geschlechts.

Hinweis zum Urheberrecht

Zum Abschluss des Vorwortes noch ein Hinweis zum Urheberrecht: Sämtliche in diesem Buch abgedruckten Screenshots unterliegen dem Copyright der SAP SE. Alle Rechte an den Screenshots hält die SAP SE. Der Einfachheit halber haben wir im Rest des Buches darauf verzichtet, dies unter jedem Screenshot gesondert auszuweisen.

1   Einführung in die SAP-Berechtigungen

In diesem Kapitel beginnen wir gemeinsam die Reise in die Welt der SAP-Berechtigungen. Sie erfahren, warum und in welchen Situationen Berechtigungen unerlässlich sind und weshalb sie einen zentralen Bestandteil des Sicherheitskonzepts in Ihrer SAP Business Suite darstellen. Sie erhalten eine Einführung in elementare Berechtigungskomponente wie Rollen, Profile und Berechtigungsvorschlagswerte im Kontext einer ordnungsgemäßen Zugriffssteuerung. Darüber hinaus schauen wir uns auch das Best-Practice-Vorgehen bei der Berechtigungszuweisung an und klären, welche technischen Einflüsse es zu beachten gilt.

Wir tauchen in essenzielle Grundlagenthemen wie die Authentifizierung und Autorisierung innerhalb der SAP-Landschaft ein, ich erläutere Ihnen aber auch die Berechtigungen, die den Kern der Autorisierung bilden. Anschließend betrachten wir gemeinsam die wichtigen Bestandteile einer ordnungsgemäßen Berechtigungspflege und -zuweisung sowie die historische Entwicklung der SAP-Berechtigungsvergabe, die von starren Profilen hin zu flexibleren und komplexeren Rollenmodellen fortgeschritten ist. Diese Evolution spiegelt nicht nur technische Fortschritte wider, sondern auch ein tieferes Verständnis für die Notwendigkeit eines feingranularen und gleichzeitig wartbaren Berechtigungskonzepts.

Diese Einführung in die SAP-Berechtigungen skizziert wesentliche Faktoren für einen ordnungsgemäßen Rollenbau und eine saubere Ausgestaltung der Berechtigungen. Sie dient als Wiederholung und als Vorbereitung für die nachfolgenden Spezialthemen, etwa die Rollenkonzeption, die SAP-Fiori-Berechtigungen und die SAP-S/4HANA-Berechtigungsmigration.

1.1   Authentifizierung und Autorisierung

In der Diskussion um Sicherheitskonzepte sorgt die Vermischung zweier zentraler Begriffe, Authentifizierung und Autorisierung, häufig für Verwirrung.

Eine Authentifizierung erfolgt, wenn Sie sich beispielsweise bei einem SAP-System mit Ihrem Benutzernamen und Passwort oder anderen Anmeldeinformationen bzw. -möglichkeiten wie SAP Single Sign-On (SSO) anmelden. Das System überprüft die Korrektheit dieser Angaben und gewährt daraufhin Zugang. Die Authentifizierung klärt somit die Frage, wer Sie sind, definiert aber nicht, was Sie tun dürfen.

Nachdem ein Benutzer authentifiziert worden ist, spielen Berechtigungen eine entscheidende Rolle, um zu bestimmen, welche Aktionen er im System ausführen darf. Hier kommt die Autorisierung ins Spiel. Ein Benutzer ohne entsprechende Berechtigungen kann sich zwar im System anmelden, aber keine Funktionen nutzen. Der Benutzer ist somit authentifiziert, aber nicht autorisiert.

Entscheidend ist im Bereich der Autorisierung, die Berechtigungen adäquat und gemäß der tatsächlichen Nutzung zu verwalten und korrekt zuzuweisen, um Zugriffe effektiv und effizient zu steuern. Hier kommt außerdem das wichtige IT-Prinzip Least Leverage Principle zum Tragen.

1.2   Was sind Berechtigungen?

Berechtigungen sind essenziell, um Endbenutzern die Ausführung von Geschäftstätigkeiten in einem System zu ermöglichen. Die Benutzer werden für Systemfunktionen autorisiert bzw. berechtigt. Typischerweise benötigen sie, entsprechend ihren spezifischen Verantwortlichkeiten und Aufgaben (den Jobfunktionen), bestimmte Berechtigungen, ohne die der Zugriff auf notwendige Systemfunktionen und Daten nur eingeschränkt oder nicht möglich ist. Abhängig von der jeweiligen Jobfunktion sollten die Zugriffsanforderungen somit variieren. In manchen Fällen kann es erforderlich sein, dass ein Benutzer mehrere positionsbezogene Berechtigungen erhält. Dies kann z.B. durch anwendungsübergreifende Funktionen, Stellvertreterrollen oder Jobsharing bedingt sein.

Berechtigungen dienen grundlegend der Steuerung des Zugangs zu sensiblen Funktionen oder Daten. Im Umkehrschluss darf der Zugriff auf geschäftskritische Systemfunktionen oder sensible Unternehmensdaten nicht allen Benutzern erlaubt sein. Unberechtigter Zugriff kann sowohl interne Richtlinien als auch Gesetze oder Vorschriften, wie beispielsweise die Datenschutz-Grundverordnung (DSGVO), verletzen.

Die Gestaltung des Zugriffsmodells und die Art und Weise, wie Sie Ihren Benutzern Zugriff gewähren, werden somit durch verschiedene Anforderungen beeinflusst. Diese lassen sich generell in externe und interne Anforderungen unterteilen, wobei die wichtigsten nachstehend aufgelistet sind.

Externe Anforderungen:

rechtliche Verpflichtungen – z.B. Sarbanes-Oxley Act, Foreign Account Tax Compliance Act (FATCA), Datenschutz-Grundverordnung (DSGVO), NIS-2-Richtlinie

GxP-Anforderungen – »Good x Practices«, z.B. Good Manufacturing Practices

Branchenstandards – z.B. IEEE-Standards

Zertifizierungen – z.B. Cybersecurity Maturity Model Certification, ISO/IEC 27001 – Informationssicherheitsmanagement

Interne Anforderungen:

interne Kontrollen (z.B. über die Finanzberichterstattung)

interne Richtlinien (z.B. IT-Verhaltenskodex)

Prinzipien (z.B. Prinzip der minimalen Rechte)

Standards (z.B. Best Practices und Qualitätskontrollen)

Prozessvorgaben (kontrollierte Verfahren und Prozesse)

Ethik und Kultur (bezüglich des Zugriffs auf Informationen und Daten)

Nicht alle diese Anforderungen müssen auf Ihr spezifisches Zugriffsmanagement zutreffen. Beispielsweise können sich externe Anforderungen wie GxP-Zertifizierungen primär auf Geschäftsvorgänge und -prozesse beziehen, während interne Kontrollen entscheidend für die Festlegung der Zugriffsrechte Ihrer Endbenutzer sind. Die Implementierung eines robusten, nachhaltigen und effektiven Berechtigungskonzepts ist entscheidend, um Kontrollen im System effizient zu etablieren. Exponentiell steigt diese Erwartungshaltung im Umfeld von großen und globalen hybriden Systemlandschaften.

Berechtigungen sind somit ein Schlüsselelement in einer Organisation, um den Zugriff auf Systemfunktionen und Daten angemessen zu gewähren oder zu verweigern. Dabei sollten Sie sowohl externe als auch interne Anforderungen berücksichtigen und den Unternehmensrichtlinien sowie Governance-, Risk- und Compliance-Anforderungen entsprechen.

1.3   Rollen und Profile

Rollen und Profile bilden auf der Ebene des Anwendungsservers in der SAP Business Suite die zentralen Elemente zur Vergabe von Berechtigungen an Endbenutzer. Diese Komponenten beinhalten Berechtigungen, die den Nutzern die Ausführung von Anwendungen, den Zugriff auf Datensätze und die Arbeit im System ermöglichen. In der Regel obliegt die Verantwortung für die Pflege dieser Elemente den Sicherheits- oder Berechtigungsadministratoren.

1.3.1   Rollen

In SAP dienen Rollen als technische Container für die Definition und Pflege von Berechtigungsdaten. Einst unter dem Begriff »Aktivitätsgruppen« bekannt, fungieren Rollen als Nachfolger und Ersatz für manuelle Profile, die zuvor mittels der Transaktion SU02 erstellt wurden. Die zentrale Anwendung für die Pflege von Rollen ist der Profilgenerator per Transaktion PFCG. Mithilfe dieser Administratorenfunktion können Sie Rollen erstellen, ändern, analysieren, zuweisen, transportieren und löschen. Innerhalb der Transaktion pflegen Sie auch die jeweiligen Berechtigungen je Rolle.

Man unterscheidet grundsätzlich zwischen zwei Arten von Rollen: Einzelrollen und Sammelrollen. Beide sind in Ihrem Berechtigungskonzept von Bedeutung, wirken sich jedoch aufgrund ihres technischen und konzeptionellen Ansatzes unterschiedlich aus.

Tabelle 1.1 zeigt die wesentlichen Komponenten einer Einzelrolle, die auch im Profilgenerator ersichtlich sind.

Komponente

Beschreibung

Vorteil

Rollenmenü

Enthält Menüobjekte wie Transaktionen, Funktionsmodule, Web-Dynpro-Anwendungen oder OData-Service.

Sie erhalten eine Übersicht über den Rolleninhalt und können bei der Berechtigungspflege automatisch die SAP-Berechtigungsvorschlagswerte verwenden.

Rollenanwendungen

Enthält die Liste an Applikationen, die in der Rolle enthalten sind.

Es sind nicht nur basierend auf dem Rollenmenüinhalt alle Anwendungen ersichtlich, sondern auch deren Anwendungsvarianten.

Rollenberechtigung

Zeigt die detaillierten Berechtigungen, die Zugriff auf Geschäftsdaten und -funktionen ermöglichen.

Sie können die Berechtigungen für jede Rolle und Aufgabenfunktion getrennt differenzieren und pflegen.

Rollenbenutzer

Eine Rolle kann Endbenutzern zugewiesen werden, um Zugriffe bereitzustellen.

Ein Endbenutzer hat keine Zugriffe auf das System, solang Sie ihm keine Rolle mit den richtigen Berechtigungen zuweisen.

Tabelle 1.1: Wesentliche Komponenten einer Einzelrolle

Einzelrollen

Eine Einzelrolle stellt die zentrale Komponente in einem Best-Practice-Rollenkonzept dar. Sie beinhaltet alle relevanten Anwendungen wie Transaktionen, Funktionsmodule oder OData-Service, die über das Rollenmenü integriert werden (siehe Abbildung 1.1).

Abbildung 1.1: Transaktion »PFCG« – Einzelrolle, Registerkarte Menü

Sammelrollen

Sammelrollen sind, wie der Namen schon andeutet, Sammlungen von Einzelrollen. Sie werden verwendet, um an einen Benutzer auf indirektem Weg mehrere Einzelrollen gleichzeitig zu vergeben (siehe Abbildung 1.2).

Abbildung 1.2: Transaktion »PFCG« – Sammelrolle, Registerkarte Rollen

Eine ausführliche Erläuterung der unterschiedlichen Rollentypen finden Sie in Abschnitt 2.2.3.

1.3.2   Profile

Berechtigungsprofile existierten schon lange vor den Rollen. Vor SAP R/3 waren manuelle Profile die Schlüsselelemente, um Benutzern den Zugriff auf SAP-Systeme zu ermöglichen. Heutzutage, nach Einführung von Rollen zur Berechtigungszuweisung, ist ein Profil lediglich eine technische Entität, die vom System für die weitere Verarbeitung benötigt wird.

Ein Berechtigungsprofil ist vergleichbar mit etwa auf Lebensmittelverpackungen üblichen UPC- oder EAN-Codes. In diesen sind alle erforderlichen Informationen enthalten – in diesem Fall Berechtigungsdaten. Profile sind somit die Voraussetzung dafür, dass das SAP-System die unzähligen Konstellationen von Berechtigungen, die in einem System allgemein existieren, benutzerspezifisch schnell lesen und verarbeiten kann. Für eine umfassende und vor allem standardkonforme Rollen- und Berechtigungspflege wurde die technische Komponente »Rolle« entwickelt. Damit können Administratoren Berechtigungsdaten lesen und per Transaktion PFCG technisch bearbeiten. Nach der Anpassung muss das Rollenprofil (Berechtigungsprofil) generiert werden, sodass eine prozessuale Verarbeitung seitens des Systems erfolgen kann.

In einem SAP-System existieren zwei Profiltypen – Rollenprofile und manuelle Profile.

Rollenprofile

Das SAP-System analysiert die Berechtigungen innerhalb einer Rolle nicht direkt. Stattdessen bezieht es die erforderlichen Berechtigungsinformationen aus dem zugehörigen Rollenprofil. Aus diesem Grund existiert zwischen einer Rolle und ihrem Profil eine direkte Eins-zu-eins-Beziehung. In einigen Fällen kann es vorkommen, dass eine Rolle mehrere Rollenprofile hat. Diese zusätzlichen Profile sind jedoch nur Unterprofile des führenden Hauptprofils der Rolle.

Wenn Sie somit das Berechtigungsprofil für eine Rolle in SAP generieren, erstellt das System automatisch ein zugehöriges Rollenprofil, das die tatsächlichen Berechtigungsobjekte und deren Wertausprägungen enthält. Jedes Mal, wenn Sie Änderungen an den Berechtigungen einer Rolle vornehmen, ist es erforderlich, das Rollenprofil neu zu generieren, um diese Anpassungen zu berücksichtigen. Es ist somit mit einer Aktualisierung vergleichbar. Das generierte Profil finden Sie unter der Registerkarte Berechtigungen für die betreffende Rolle in der Transaktion PFCG (siehe Abbildung 1.3).

Abbildung 1.3: Transaktion »PFCG« – generiertes Rollenprofil

Für den richtigen Umgang mit Rollen ist es wichtig, den Unterschied zwischen Berechtigungsprofilen und Rollenprofilen zu verstehen – auch wenn er marginal ist. Ein Berechtigungsprofil beinhaltet sämtliche Berechtigungen innerhalb einer Rolle und kann auch als eigenständiges manuelles Profil existieren. Ein Rollenprofil, üblicherweise unterschieden zwischen Hauptrollenprofilen und Unterprofilen, ist ein generiertes Berechtigungsprofil, das eine Eins-zu-eins-Beziehung zu seiner zugehörigen Rolle aufweist. Ein Rollenprofil ist notwendig, damit das System alle Berechtigungsmerkmale innerhalb einer Rolle validieren kann. Da Sie im Normalfall nicht mit manuellen Profilen arbeiten sollten und Aktivitätsgruppen veraltet sind, stellt ein Berechtigungsprofil eine Art von Rollenprofil dar. Während Berechtigungsprofile (und die darin enthaltenen Berechtigungen) über die Transaktion PFCG pflegbar sind, sind Rollenprofile dies nicht. Das System generiert basierend auf dem gepflegten Berechtigungsprofil automatisch das Rollenprofil bzw. die Rollenprofile der korrespondierenden Rolle. Das Rollenprofil dient lediglich als technischer Container, den das SAP-System für die weitere Berechtigungsverarbeitung von Endbenutzern benötigt.

Manuelle Profile

Manuelle Profile wurden in der Vergangenheit in der Transaktion SU02 erstellt, bevor die SAP die Transaktion PFCG zur Kombination und anwendungsfreundlichen Pflege von Berechtigungen auf den Markt brachte. Vor der Verbreitung von SAP R/3 war dieser Profiltyp das Schlüsselelement zur Berechtigung von Personen. Mit der Einführung von Rollen sollten manuelle Profile generell nicht mehr genutzt werden, um Endbenutzer zu berechtigen. Im Gegensatz zu generierten Rollenprofilen, die über die Transaktion PFCG erstellt werden, haben manuelle Profile keinen Verwendungsnachweis für die jeweils vorhandene Berechtigung. Darüber hinaus ist für sie stets ein hoher Pflege- sowie Wartungsaufwand einzuplanen.

Sobald eine neue SAP-Upgrade-Version veröffentlicht wird, müssen Sie manuelle Profile stets manuell aktualisieren, um den veränderten Berechtigungsanforderungen des Systems gerecht zu werden. Dies bedeutet, dass Sie das System und Ihre Geschäftsanforderungen für neue Funktionen manuell anpassen müssen und den automatischen Vorschlagswertemechanismus nicht nutzen können. Außerdem lassen sich, anders als bei Rollen, für die Zuweisung von Profilen an Endbenutzer keine Gültigkeitszeiträume festlegen. Neben dem hohen Wartungsaufwand, der mit der Verwendung von manuellen Profilen einhergeht, haben diese zudem oft Überberechtigungen und unerwünschte kritische Berechtigungen zur Folge.

Einschlägige Standardprofile

Ein SAP-System enthält auch gängige Standardprofile, die oft bei der initialen SAP-Installation oder nach Release-Upgrades importiert oder erstellt werden. Diese Profile können Sie auch eigenständig aktualisieren. Sie gewähren umfangreichen und teilweise kritischen Zugriff auf das System, weshalb sie häufig im Fokus von Auditoren stehen.

Standardprofile zählen ebenfalls zu den manuellen Profilen. Beispiele hierfür sind Profile wie SAP_ALL, SAP_NEW, S_A.SYSTEM oder S_A.DEVELOP. Das Profil SAP_ALL umfasst nahezu alle System- und Geschäftsberechtigungen und stellt somit das umfassendste Berechtigungskonglomerat in einem SAP-System dar. Ihr systemeigenes SAP_ALL-Profil können Sie über die Transaktion SU21 stets neu generieren. Tabelle 1.2 bietet einen Überblick über einige gängige Standardprofile.

ID

Beschreibung

SAP_ALL

Enthält nahezu alle SAP-Systemberechtigungen und gewährt Zugriff auf alle Daten, Systemkonfigurationen, Komponentenwartungen, Anpassungen und Betriebsvorgänge.

SAP_NEW

Enthält alle neuen Berechtigungen ab Basisversion 7.31. Verwenden Sie dieses Profil nur nach Upgrades, wenn Sie neue Anwendungen oder Funktionen testen müssen. Im Hinblick auf spätere Versionen ersetzt die Rolle SAP_NEW das Profil SAP_NEW (SAP-Hinweis 2227969).

S_A.SYSTEM

Enthält alle Basisberechtigungen für System-, Benutzer- und Rollenwartung.

S_A.DEVELOP

Enthält Entwicklerberechtigungen für vollen Systemzugriff.

Tabelle 1.2: Gängige Standardprofile in einem SAP-System

Standardprofile sollten nur für Testzwecke wie z.B. System- und Funktionstests auf Testsystemen sowie im Notfall für bestimmte Support- oder technische Benutzer zeitweiligen Einsatz finden.

1.4   Berechtigungsvorschlagswerte

Berechtigungsvorschlagswerte bilden das Rückgrat für die nachhaltige Erstellung und Pflege von Rollen innerhalb der SAP Business Suite. Die Integration dieser Standardwerte in Ihr Berechtigungskonzept gewährleistet die ordnungsgemäße Nutzung von Anwendungen und reduziert den Aufwand für die Rollenpflege nach neuen SAP-Upgrades oder anderen Anpassungen, die Einfluss auf die Berechtigungen haben. Dieses Thema ist für jeden Sicherheits- oder Berechtigungsadministrator essenziell und ist die Grundlage für ein nachhaltiges, sicheres, wartbares und individuelles Berechtigungskonzept.

In jede SAP-Standardanwendung sind grundsätzlich Berechtigungsprüfungen integriert, die primär durch AUTHORITY-CHECK-Anweisungen im ABAP-Programmcode realisiert werden. Diese prüfen das Vorhandensein bestimmter Berechtigungsobjekte und deren Felder und Werte im Benutzerpuffer, basierend auf den jeweils zugewiesenen Rollenberechtigungen. Es existieren jedoch über 4.500 SAP-Standardberechtigungsobjekte in der SAP Business Suite. Daher ist eine der häufigsten Herausforderungen bei der Rollenpflege, die richtige Kombination der erforderlichen Berechtigungsobjekte, -felder und -werte zu finden, die für die Ausführung von Anwendungen in der Endbenutzerrolle erforderlich sind. Die Berechtigungsprüfungen schützen nahezu jede Funktionalität innerhalb der Anwendung. Die SAP stellt für jede Standardanwendung (z.B. Transaktionen, Funktionsbausteine oder Webservices) ein vordefiniertes Set an notwendigen Berechtigungen für die akkurate Rollenpflege zur Verfügung. Diese vorgeschlagenen Berechtigungen nennt man Berechtigungsvorschlagswerte. Sie definieren die notwendigen Berechtigungsanforderungen, um die im Quellcode verankerten Berechtigungsprüfungen für die vorgesehenen Programmfunktionen erfolgreich zu durchlaufen.

1.4.1   Nutzung der Berechtigungsvorschlagswerte

Schauen wir uns die Zusammenhänge zwischen Programmcode, Vorschlagswerten und Endbenutzerberechtigung anhand des Beispiels der Transaktion FB03 – Finanzbelege anzeigen – an. Wie in Abbildung 1.4 zu erkennen, ist das ihr zugrunde liegende Hauptprogramm das ProgrammSAPMF05L.