SAP-Berechtigungsmanagement

Verschaffen Sie Ihren Benutzern mit den passenden Berechtigungen Zugriff auf die für die Ausübung ihrer Tätigkeit notwendigen Anwendungen

Lösungen für effiziente Berechtigungen

Unser Angebot

Berechtigungen in SAP S/4HANA

Herausforderungen im Berechtigungsmanagement

Besonders in Systemlandschaften, die schon lange in Betrieb sind, finden sich historisch gewachsene Berechtigungsstrukturen. Statt kleiner, modularer, stellenbezogener Rollen werden bestehende Rollen immer weiter ausgebaut und an verschiedene Mitarbeiter unterschiedlicher Stellen vergeben. Dies führt zwar kurzfristig zu weniger Verwaltungsaufwand, lässt aber die Komplexität der Rolle im Laufe der Zeit massiv ansteigen. Dadurch geht die Effizienz bei der Berechtigungsentwicklung immer mehr verloren.

Weitaus mehr Schaden kann jedoch durch zu umfangreiche Berechtigungen entstehen. So wird möglicherweise ein Mitarbeiter dazu berechtigt, Zugriff auf Daten zu erhalten, für die er nicht autorisiert ist. Im schlimmsten Fall entsteht durch kriminelles Handeln ein wirtschaftlicher Schaden. Um das zu verhindern, muss ein Berechtigungskonzept vorhanden sein, das beschreibt, wie Berechtigungen zu erstellen und an die Benutzer zu vergeben sind.

Die häufigsten Herausforderungen sind:

  • Undurchsichtige Rollenstruktur

  • Zu viele Berechtigungen in Rollen

  • Keine Funktionstrennung (SoD)

  • Bleibende Berechtigungen nach Stellenwechsel

  • Keine automatisierten Prozesse

SAP-Berechtigungsmanagement als Teil des Identity Lifecycle

Die Berechtigungen in SAP-Systemen bilden die Grundlage für das Identity & Access Management. Sie ermöglichen den Benutzern Zugriff auf die für die Ausübung ihrer Tätigkeiten notwendigen Anwendungen. Da fachliche und organisatorische Anforderungen Änderungen unterliegen, müssen SAP-Berechtigungen regelmäßig einer Kontrolle und Nachbearbeitung unterzogen werden. Nur so ist gewährleistet, dass Prozesse sicher und technisch vollständig korrekt abgebildet werden.

Um Risiken in Berechtigungen zu identifizieren, zu minimieren und korrekt über den SAP User Lifecycle zuzuordnen, empfiehlt sich der Einsatz von unterstützenden Lösungen aus dem Identity & Access Management.

SAP-Berechtigungsmanagement | IBsolution

Das Identity Lifecycle Management ist Teil der Enterprise Security und beschreibt alle Prozesse zur Vergabe von Rollen und Berechtigungen − vom Eintritt eines Mitarbeiters in das Unternehmen über wechselnde Zuständigkeiten oder gar Abteilungswechsel bis hin zu seinem Austritt.

Zum Identity Lifecycle Management

Identity Lifecycle Mangement | User Lifecycle Management | IBsolution

Für die Pflege und Verwaltung von Zugriffsrechten und Benutzern bietet SAP folgende Lösungen:

  • SAP GRC Access Control

  • SAP Identity Management

  • SAP Cloud Identity & Access Governance

  • SAP Cloud Identity (SSO, IAS, IPS)

Diese Lösungen ermöglichen einzeln oder miteinander kombiniert einen effizienten und Compliance-konformen Betrieb der Zielsysteme. Dies umfasst das Aufdecken und Minimieren von Risiken sowie die prozessbasierte Bereitstellung und Entfernung von Benutzern und Zugriffen.

Zu den SAP Identity & Access Management Lösungen

SAP Identity & Access Management | IBsolution

Die Tools der SECMENDO-Produktreihe erweitern die Möglichkeiten bestehender Lösungen für das Identity & Access Management (IAM). Die Ziele sind eine verbesserte Benutzererfahrung, erweiterte Funktionen und effizientere Prozesse.

Zu den SECMENDO-Produkten

SECMENDO | IBsolution

 

Lösungsansätze für effiziente Berechtigungen

Berechtigungen dienen dazu, die Organisationsstruktur, die Geschäftsprozesse und die Funktionstrennung abzubilden. Daher steuern sie im SAP-System die Zugriffsmöglichkeiten der Benutzer. Die Sicherheit der Geschäftsdaten hängt direkt von den vergebenen Berechtigungen ab. Aus diesem Grund muss die Vergabe von Berechtigungen gut geplant und durchgeführt werden, um die gewünschte Sicherheit zu erreichen.

Die Berechtigungen werden in SAP-Systemen in Form von Rollen an die Benutzer vergeben. Das Ziel ist es, ein möglichst sicheres System zu schaffen sowie die Komplexität und Anzahl der Rollen so gering wie möglich zu halten. Nur so kann ein ausgewogenes Kosten-Nutzen-Verhältnis erreicht werden.

Das Rollenkonzept sieht vor, dass jeder Anwender nur die Aufgaben bearbeiten kann, zu denen er befugt ist. Die Entwicklung erfolgt abteilungsübergreifend und muss sensible Daten vor unbefugtem Zugriff schützen. Ein klares Rollenkonzept ermöglicht einen modularen Aufbau von Berechtigungen, ohne für jeden Benutzer eigene Rollen anlegen zu müssen.

Wir verfolgen bei einem Redesign das Prinzip der stellenbezogenen Arbeitsplatzrollen, um das Jobprofil der Mitarbeiter technisch abzubilden. Um den Aufwand für gleiche Jobprofile mit unterschiedlichen organisatorischen Zugehörigkeiten zu minimieren, werden die Organisationseinheiten über eine Zusatzrolle vererbt. Die Trennung der technischen und organisatorischen Anforderungen erleichtert die Rollenentwicklung und -änderung erheblich. Benötigen bestimmte Personen, beispielsweise Teamleiter, erweiterte Berechtigungen, werden dafür Key-User-Rollen entwickelt, welche die bestehende Arbeitsplatzrolle erweitern.

Mit diesem Ansatz wird das Berechtigungsmanagement erheblich effizienter, da fachliche Änderungen keine globalen Auswirkungen auf die gesamte Berechtigungsstruktur haben. Das sichert die Qualität der Berechtigungen nachhaltig.

Die Berechtigungen in SAP-Systemen ermöglichen den Benutzern den Zugriff auf die für ihre Tätigkeiten relevanten Anwendungen. Damit die Prozesse sicher und korrekt abgebildet werden, müssen SAP-Berechtigungen regelmäßig einer Kontrolle und Nachbearbeitung unterzogen werden.

 

Unser Angebot

Das Redesign von Berechtigungen beim Umstieg auf SAP S4/HANA oder das Aufräumen bestehender Berechtigungen auf Altsystemen − ein effizientes Berechtigungs- und Rollenkonzept ist die Basis für einen sicheren und funktionalen Betrieb der SAP-Systeme.

Gemeinsam mit Ihnen erarbeiten wir für Ihre Systeme und Prozesse passende Berechtigungen. In Workshops mit Ihren Fachabteilungen erstellen wir Konzepte, um den Mitarbeitern die benötigten Rechte zu vergeben. Das Ziel ist dabei, sogenannte Arbeitsplatzrollen zu definieren, welche die Jobprofile auf Stellenebene darstellen.

Mit diesen Methoden helfen wir Ihnen nicht nur bei der Implementierung. Sie können die Lösungen danach auch eigenständig pflegen und verwalten oder Sie legen den Betrieb  vertrauensvoll in unsere Hände: Wir nennen das Customer Success.

Wir unterstützen Sie bei Ihren Herausforderungen in den Bereichen:

  • Berechtigungskonzeption

  • Erstellung von Berechtigungen und Rollen

  • Sicherung Ihrer Unternehmensdaten vor unberechtigten Zugriffen

  • Einhaltung von Compliance-Richtlinien

Ansprechpartner

Simon Toepper IBsolution

Simon Toepper

simon.toepper@ibsolution.de

+49 7131 2711 1308

SAP- und SECMENDO-Produkte für das Berechtigungs- und Benutzermanagement

Um Risiken zu verhindern, müssen Berechtigungen regelmäßig geprüft und überarbeitet werden. Da bei einer großen Benutzerzahl ein Gesamtüberblick äußerst schwierig ist, bietet sich der Einsatz von Zusatzlösungen an.

Hierfür empfehlen wir die folgenden SAP- und SECMENDO-Produkte.

SAP Cloud Identity & Access Governance (IAG)

SAP Cloud IAG bietet ähnliche Funktionen wie SAP GRC Access Control. Der Funktionsumfang zielt dabei auf Cloud-Systeme ab. Über den SAP Cloud Connector können jedoch auch On-Premise-SAP-Systeme angebunden werden.

SAP Cloud IAG bietet:

  • Access Request Management (ARM)
    Beantragung von Benutzern und Berechtigungen und deren Provisionierung in Zielsysteme

  • Access Risk Analysis (ARA)
    Analyse von Risiken und Minderung der Risiken basierend auf definierten Regeln

  • Emergency Access Management (EAM)
    Zugriffsverwaltung in Notfällen durch Firefighter

  • Business Role Management (BRM)
    Verwaltung, Erstellung und Änderung von Rollen der Zielsysteme mit Workflows

Mehr erfahren

SAP GRC Access Control

SAP GRC Access Control ist ein Produkt, um Risiken zu identifizieren, Risiken zu minimieren und Workflows zu automatisieren.

SAP GRC Access Control bietet:

  • Access Request Management (ARM)
    Beantragung von Benutzern und Berechtigungen und deren Provisionierung in Zielsysteme
  • Access Risk Analysis (ARA)
    Analyse von Risiken und Minderung der Risiken basierend auf definierten Regeln
  • Emergency Access Management (EAM)
    Zugriffsverwaltung in Notfällen durch Firefighter
  • Business Role Management (BRM)
    Verwaltung, Erstellung und Änderung von Rollen der Zielsysteme mit Workflows
SAP Identity Management

Bei SAP Identity Management steht die nachvollziehbare Verwaltung und konsistente Verteilung digitaler Identitäten über ihren Lebenszyklus hinweg – Vergabe, wiederholte Anpassungen, Löschung – im Vordergrund. Die Lösung ermöglicht es, individuelle Workflows flexibel abzubilden, sodass erforderliche Benutzerkonten, Rollen und Berechtigungen regelbasiert und automatisiert zugewiesen werden können.

Mehr erfahren

SAP Cloud Identity

SAP Cloud Identity Lösungen ermöglichen die Authentifizierung (IAS), ein Single Sign-On (SSO) und die Provisionierung (IPS) gegenüber SAP Cloud-Systemen. Besonders in einer hybriden Systemlandschaft und der Kommunikation zwischen on-premise und Cloud Systemen ermöglichen diese Produkte eine vollständige Integration.

SAP Cloud Identity Lösungen:

  • SAP Identity Authentication Service

  • SAP Identity Provisioning Service

  • SAP Single Sign-On

SECMENDO.authority_audit

Brechen Sie gewachsene Strukturen auf und bereinigen Sie Ihre Rollen und Berechtigungen als Vorbereitung auf SAP S/4HANA.

Mehr erfahren

SECMENDO.authority_generator

Passen Sie Berechtigungsrollen auf der Basis von Berechtigungstraces maßgerecht an.

Mehr erfahren

code-4333398_1920_1600_1070

 

SAP S/4HANA und Berechtigungen

Der Weg zu SAP S4/HANA stellt mit Blick auf die Berechtigungen eine besondere Herausforderung dar.

Viele bisher benutzte Transaktionen werden obsolet und fallen weg. Dafür werden einige neue hinzugefügt und durch SAP Fiori-Apps ersetzt/ergänzt. Dies führt zwangsläufig dazu, dass nach einem Upgrade auf SAP S/4HANA die Berechtigungen überarbeitet werden müssen. Um das Überarbeiten der Berechtigungen zu vereinfachen, wird unbedingt empfohlen, die Berechtigungsvorschlagswerte (SU24) zu pflegen. Das muss, sofern noch nicht geschehen, vor dem Upgrade durchgeführt werden. Dadurch werden die neuen Transaktionen automatisch mit den bisherigen Berechtigungsausprägungen versehen. Der nachträgliche Pflegeaufwand reduziert sich deutlich.

Zusätzlich zu den bereits genannten klassischen Berechtigungen müssen Fiori-Berechtigungen für Apps erstellt werden. Diese werden in Form von Kacheln und Katalogen den Rollen hinzugefügt und den Benutzern zugeordnet. Auch hier ist darauf zu achten, dass die Kataloge und Kacheln den fachlichen Anforderungen gerecht werden und Jobprofile abbilden.

Lernen Sie auch die anderen Bestandteile unseres SAP Security-Portfolios kennen

Identity Lifecycle Management | IBsolution

Identity Lifecycle Management

Das Identity Lifecycle Management ist Teil der Enterprise Security und beschreibt alle Prozesse zur Vergabe von Rollen und Berechtigungen − vom Eintritt eines Mitarbeiters in das Unternehmen über wechselnde Zuständigkeiten oder gar Abteilungswechsel bis hin zu seinem Austritt.

Mehr erfahren
SAP Identity & Access Management | IBsolution

SAP Identity & Access Management

Lösungen für das Identity & Access Management ermöglichen einzeln oder miteinander kombiniert einen effizienten und compliancekonformen Betrieb der Zielsysteme. Dies umfasst das Aufdecken und Minimieren von Risiken sowie die prozessbasierte Bereitstellung und Entfernung von Benutzern und Zugriffen.

Mehr erfahren
Produktreihe SECMENDO | IBsolution

Produktreihe SECMENDO

Die Tools der SECMENDO-Produktreihe erweitern die Möglichkeiten bestehender Lösungen für das SAP Identity & Access Management (IAM). Die Ziele sind eine verbesserte Benutzererfahrung, erweiterte Funktionen und effizientere Prozesse.

Mehr erfahren

Sie möchten wissen, welche Möglichkeiten das SAP-Berechtigungsmanagement für Ihr Unternehmen bietet?

Für weitere Informationen einfach das Formular ausfüllen und einsenden. Wir freuen uns auf Ihre Anfrage.